Was bedeutet Incident Response?
Kurz gesagt: Incident Response ist die Reaktion eines Unternehmens auf einen IT-Sicherheitsvorfall und teilweise auch die Vorbereitung darauf. Diese Reaktion sollte möglichst strukturiert ablaufen. Es gilt den Angriff schnell zu erkennen, die Gefahr einzudämmen und Schäden so weit wie möglich zu minimieren. Um dies zu gewährleisten beginnt Incident Response nicht erst mit einem Angriff, sondern bereits mit der entsprechenden Vorsorge.
Warum ist Incident Response wichtig?
Viele Unternehmen arbeiten daran, dass ein Cybervorfall erst gar nicht passiert. Das ist an für sich auch löblich, allerdings sollte man immer einen Plan B in der Hinterhand wissen. Dieser dient dafür, gewappnet zu sein, sollte es trotz sämtlicher anderer Sicherheitsmaßnahmen dennoch zu einem IT-Sicherheitsvorfall kommen. Vorsichtsmaßnahmen wie Endpoint Protection oder Firewall kann kein IT-Sicherheitssystem eine 100prozentige Sicherheit garantieren. Viele Angriffe beginnen beispielsweise mit Phishing. Je nachdem wie dieses gestaltet ist, können dadurch andere Sicherheitsmechanismen ausgehebelt werden. Durch eine hohe Anzahl an Mitarbeitenden, steigt die Wahrscheinlichkeit, dass ein Fehler passiert, ein Phishing-Angriff erfolgreich ist und es zu einem Sicherheitsvorfall kommt. Entsprechend ist es wichtig, darauf vorbereitet zu sein.
Welche vorbereitenden Maßnahmen sind für Incident Response sinnvoll?
Es gibt mehrere Möglichkeiten sich auf einen erfolgreichen Cyberangriff vorzubereiten. Die erste, unserer Meinung nach, sinnvollste Maßnahme, ist die Erstellung eines Notfallplans. Darin sind alle Schritte und Zuständigkeiten bei einem Angriff geregelt. Ziel ist es, das Unternehmen möglichst schnell wieder handlungsfähig zu machen. Vergleichen lässt sich dies mit einem Erste-Hilfe-Notfall. Wer erst bei einem akuten Notfall notwendige Handlungen recherchiert, wird deutlich langsamer in der Durchführung. Es ist sinnvoll, wenn alle Beteiligten vorher wissen, was zu tun ist.
Neben einem Notfallplan gibt es auch die Möglichkeit sich technisch zu wappnen. Sicherheitsfirmen wie Sophos bieten Incident Response Services an. Mit diesen können verdächtige Aktivitäten frühzeitig erkannt werden. Dadurch kann viel früher agiert werden und größerer Schaden wird verhindert.
Was passiert in einem konkreten Angriffsfall?
Wenn bereits sinnvolle Incident Response Maßnahmen vorab implementiert wurden, gibt dies allen Beteiligten erst einmal die dringend notwendige Ruhe, um schnell und effizient notwendige Schritte durchzuführen. Der Notfallplan regelt die Zuständigkeiten, wer wird informiert und wer ist wofür verantwortlich. Befallene Geräte werden schnellstmöglich isoliert und etwaige Malware wird beseitigt. Es wird geprüft, ob es zu Datenverlust oder Datendiebstahl gekommen ist. Je nach Situation und Unternehmensstruktur ist es dann notwendig auf Backups zurückzugreifen und/oder die Meldepflichten beim BSI einzuhalten.
Zusätzlich gilt es nun die Sicherheitslücke zu finden, die erst zum Angriff geführt hat und diese zu schließen. Das verhindert einen zeitnahen neuen Vorfall über das gleiche Einfallstor.
Wie kann ISCL bei Incident Response unterstützen?
Durch unsere langjährige Erfahrung stehen wir Unternehmen zunächst beratend zur Seite. Wir bieten auch die Unterstützung bei der Erstellung eines Notfallplans an. Tendenziell raten wir auch vielen Unternehmen zu einem Monitoring-System bei dem Angriffe automatisch erkannt und geblockt werden. Als Sophos Gold-Partner sind wir gern bereit, sie hierzu zu beraten. Allerdings möchten wir an dieser Stelle auch betonen, dass uns immer eine markenunabhängige Beratung wichtig ist. Nur auf diese Weise kann das beste Produkt für ihr Unternehmen gefunden werden.
Sollten Sie Fragen zu Incident Response oder anderen Themen rund um das Thema IT Security haben, freuen wir uns darüber, wenn Sie uns kontaktieren!