Incident Response
Was ist Incident Response?
Incident ResponseStrukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
Incident Response (IR) ist die strukturierte Behandlung von Ereignissen, die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationswerten gefährden. NIST SP 800-61 definiert sechs Phasen (Preparation, Detection & Analysis, Containment, Eradication, Recovery, Post-Incident), SANS verwendet das ähnliche PICERL-Modell. Wirksame IR basiert auf erprobten Playbooks, Bereitschaftsrotationen, Eskalations- und Kommunikationsketten, Einbindung von Recht und PR sowie auf SIEM-, SOAR-, EDR- und Forensik-Tools. Ziel sind minimale Schäden und Wiederherstellungszeiten und kontinuierliche Verbesserung von Prävention und Detektion.
● Beispiele
- 01
Eindämmung eines bestätigten Business Email Compromise: Token widerrufen, Zugangsdaten zurücksetzen, Betroffene informieren.
- 02
Koordination von Bereinigung und Wiederherstellung eines Ransomware-infizierten ERP über IT, Recht und Geschäftsleitung.
● Häufige Fragen
Was ist Incident Response?
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Incident Response?
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
Wie schützt man sich gegen Incident Response?
Schutzmaßnahmen gegen Incident Response kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Incident Response?
Übliche alternative Bezeichnungen: IR, Vorfallsreaktion.