Definition Was ist Incident Response Management?

Von Erik1

Datenschutzverletzungen und Cyberangriffe zwingen Unternehmen dazu, effektiv zu handeln. Mit einem funktionierenden Incident Response Management (Vorfallreaktionsmanagement) können potenzielle Probleme frühzeitig erkannt und eliminiert werden.

Anbieter zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Als Incident Response Management (zu Deutsch: Vorfallreaktionsmanagement) bezeichnet man eine systematische Strategie, welche Unternehmen, Organisationen und Einzelpersonen in die Lage versetzt, Cyberangriffe und IT-Sicherheitslücken abzuwehren oder zu schließen. Im Idealfall verhindert ein effektives Incident Response Management, dass Malware, Datenschutzverletzungen, Cyberangriffe und andere akute IT-Bedrohungen Schaden anrichten und / oder sich ausbreiten. Ein weiteres Ziel des Vorfallreaktionsmanagements ist die Verhinderung zukünftiger Angriffe.

Die sechs Phasen des Vorfallreaktionsmanagements

Definitionsgemäß umfasst das Incident Response Management alle technischen und organisatorischen Anweisungen sowie Maßnahmen zur rechtzeitigen Erkennung und Eliminierung von Cyberbedrohungen. Eine zentrale Rolle spielt hierbei der Incident Response Plan. In ihm sind alle notwendigen Aktionen zur Verbesserung der Sicherheit eindeutig definiert. Außerdem legt der Plan die sicherheitsbezogenen, personellen Zuständigkeiten innerhalb des verantwortlichen IT-Teams fest. Üblicherweise ist der Vorfallreaktionsplan in sechs Schritte oder Phasen unterteilt:

Phase 1 ist die Vorbereitungsphase. Hierzu zählen insbesondere die Vorbereitung und Schulung von Mitarbeitern, die in der betreffenden Organisation mit Informationstechnologie befasst sind. Phase 2 ist die Erkennungsphase. In dieser Phase wird der Incident Response Plan in Gang gesetzt. Akute Bedrohungen werden identifiziert und näher spezifiziert. Phase 3 ist die Eindämmungsphase. Erkannte Vorfälle und Bedrohungen werden durch gezielte, vorab festgelegte oder spontan ergriffene Maßnahmen an einer Ausbreitung gehindert. Phase 4 ist die Ausschaltungsphase. In dieser Phase werden alle schadhaften Dateien und Systeme restlos entfernt oder gepatcht. Phase 5 ist die Wiederherstellungsphase. Die betroffenen Geräte, Rechner und Systeme werden nach der Ausmerzung aller Bedrohungen erneut in die Geschäftsumgebung integriert. Phase 6 ist die After-Action-Phase. Hier werden durch die zuständigen Teammitglieder alle gewonnenen Erkenntnisse zusammengetragen und in den (nunmehr erneuerten) Incident Response Plan aufgenommen.

Incident Response Management ist Teamarbeit: Diese Rollen gibt es

Zu einem effektiven Incident Response Management gehört grundsätzlich ein Team mit klar definierten Rollen und Zuständigkeiten. Folgende berufliche Qualifikationen sind dabei unerlässlich und sollten durch die Besetzung des Teams abgedeckt sein:

  • IT-Security Engineer
  • IT-Security-Analyst
  • Legal Risk Manager (Risikomanager)
  • Fachleute für Unternehmenskommunikation

Typische Fälle und Herausforderungen

Neben klassischen Datensicherheitsverletzungen kommen in der heutigen digitalen Welt vor allem fünf Angriffstypen regelmäßig vor: Phishing, Distributed-Denial-of-Service (DDoS), Man-in-the-middle (MitM), Malware und Passwort-Hacking. Sie machen rund 90 Prozent aller Vorfälle aus.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47979476)