Suchen

Incident Response | Incident

| Redakteur: Gerald Viola

Bei Incident Response handelt es sich um eine organisierte Antwort auf die Handhabung der Folgen eines Einbruchs oder eines Angriffs (Engl. incident). Das Ziel ist es, die Situation

Firmen zum Thema

Bei Incident Response handelt es sich um eine organisierte Antwort auf die Handhabung der Folgen eines Einbruchs oder eines Angriffs (Engl. incident). Das Ziel ist es, die Situation so zu handhaben, dass der Schaden begrenzt und die Wiederherstellungszeit sowie -kosten reduziert werden. Zum Incident-Response-Plan gehören eine Richtlinie, die ein Ereignis (Incident) genau definiert und eine Schritt-für-Schritt-Anleitung bereitstellt, der im Falle eines Ereignisses zu folgen ist.

Die Reaktion der Unternehmen wird vom Computer Incident Response Team geleitet, eine sorgfältig gewählte Gruppe, die neben Sicherheits- und IT-Personal unter Umständen auch Mitarbeiter aus der Rechts, Personal- und Public-Relations-Abteilungen umfasst.

Laut dem SANS Institut, umfasst der effektive Umgang mit Sicherheitsereignissen sechs Schritte:

  • Vorbereitung: Die Organisation schult die User und IT-Mitarbeiter, um das Bewusstsein für aktualisierte Sicherheitsmaßnahmen zu fördern und um eine schnelle und richtige Reaktion auf Computer- und Netzwerk-bezogene Sicherheitsereignisse zu trainieren.
  • Erkennung: Das Response Team wird aktiviert und entscheidet, ob ein bestimmtes Ereignis tatsächlich ein Sicherheitsereignis darstellt. Das Team wird unter Umständen das CERT Coordination Center kontaktieren, das sicherheitsrelevante Internet-Aktivitäten überwacht und aktuelle Informationen über Viren und Würmer vorhält.
  • Eingrenzung: Das Team stellt fest, wie weit sich das Problem ausgebreitet hat und grenzt das Problem ein, indem es alle betroffenen Systeme und Geräte abhängt, um weitere Schäden zu vermeiden.
  • Auslöschen: Das Team führt Untersuchungen durch, um den Ursprung des Ereignisses festzustellen. Die Ursache des Problems sowie alle Spuren des Schadcodes werden entfernt.
  • Wiederherstellung: Die Daten und Software werden von sauberen Datensicherungsdateien wieder hergestellt, wobei darauf geachtet wird, dass alle Sicherheitslücken geschlossen werden. Die Systeme werden auf Schwachstellen oder Wiederholungen des Ereignisses überprüft.
  • Erfahrungen: Das Team analysiert das Ereignis und dessen Handhabung und spricht Empfehlungen für eine verbesserte Reaktion und zum Vorbeugen ähnlicher Fälle in Zukunft aus.

(ID:2020907)