Post-Mortem
Was ist Post-Mortem?
Post-MortemSchuldfreie Nachbetrachtung nach einem Vorfall, die Zeitlinie und Mitursachen erfasst und konkrete Massnahmen festlegt, um das Problem kuenftig zu verhindern oder frueher zu erkennen.
Ein Security-Post-Mortem ist eine strukturierte Retrospektive, die einen Vorfall in organisationales Lernen ueberfuehrt. Das Team rekonstruiert die Zeitlinie aus Logs, Tickets und Chats, identifiziert Erfolge und Fehler und verfolgt Mitursachen mit Techniken wie Five-Whys oder Causal Mapping. Ergebnis ist ein schriftliches Dokument mit konkreten, zugewiesenen Massnahmen: fehlende Detections, kaputte Playbooks, Werkzeugluecken, Trainingsbedarf und Prozessaenderungen. Damit es produktiv bleibt, ist das Post-Mortem schuldfrei, fokussiert auf Systeme statt Personen, zeitlich begrenzt und wird bis zum Abschluss der Massnahmen verfolgt.
● Beispiele
- 01
Analyse eines Beinahe-Ransomware-Vorfalls zeigt, dass ein Alt-VPN-Konto kein MFA hatte.
- 02
Dokumentation, wie ein laermender Alarm drei Wochen vorher stummgeschaltet wurde, bevor ein echter Angriff dieselbe Technik nutzte.
● Häufige Fragen
Was ist Post-Mortem?
Schuldfreie Nachbetrachtung nach einem Vorfall, die Zeitlinie und Mitursachen erfasst und konkrete Massnahmen festlegt, um das Problem kuenftig zu verhindern oder frueher zu erkennen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Post-Mortem?
Schuldfreie Nachbetrachtung nach einem Vorfall, die Zeitlinie und Mitursachen erfasst und konkrete Massnahmen festlegt, um das Problem kuenftig zu verhindern oder frueher zu erkennen.
Wie funktioniert Post-Mortem?
Ein Security-Post-Mortem ist eine strukturierte Retrospektive, die einen Vorfall in organisationales Lernen ueberfuehrt. Das Team rekonstruiert die Zeitlinie aus Logs, Tickets und Chats, identifiziert Erfolge und Fehler und verfolgt Mitursachen mit Techniken wie Five-Whys oder Causal Mapping. Ergebnis ist ein schriftliches Dokument mit konkreten, zugewiesenen Massnahmen: fehlende Detections, kaputte Playbooks, Werkzeugluecken, Trainingsbedarf und Prozessaenderungen. Damit es produktiv bleibt, ist das Post-Mortem schuldfrei, fokussiert auf Systeme statt Personen, zeitlich begrenzt und wird bis zum Abschluss der Massnahmen verfolgt.
Wie schützt man sich gegen Post-Mortem?
Schutzmaßnahmen gegen Post-Mortem kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Post-Mortem?
Übliche alternative Bezeichnungen: Blameless Review, Lessons Learned.
● Verwandte Begriffe
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
- forensics-ir№ 525
Incident-Response-Plan
Dokumentiertes, freigegebenes Playbook, das festlegt, wie eine Organisation Cybervorfälle vorbereitet, erkennt, eindämmt, bereinigt und auswertet.
- defense-ops№ 999
Security Playbook
Dokumentierte, wiederholbare Prozedur, die Respondern fuer einen bestimmten Alarm- oder Vorfalltyp genau vorgibt, was wann zu tun ist.
- forensics-ir№ 1127
Tabletop-Übung
Diskussionsbasierte Simulation, in der Beteiligte einen hypothetischen Cybervorfall durchspielen, um Pläne, Rollen, Entscheidungen und Kommunikation zu prüfen.
- defense-ops№ 660
MTTC (mittlere Eindämmungszeit)
Durchschnittliche Zeitspanne zwischen Detektion eines Vorfalls und dem Zustand, in dem die Bedrohung sich nicht mehr ausbreiten, Daten exfiltrieren oder weiteren Schaden anrichten kann.