Ähnlich wie Business Continuity Planning ist das Incident Management Teil einer breiteren Sicherheits- und Notfallmanagement-Bemühung, die einer Organisation helfen kann, auf Unterbrechungen zu reagieren und sich von diesen zu erholen, die ihre Informationssysteme, Missionen und Geschäftsprozesse, Mitarbeiter und die Hauptstätte betreffen.

Lassen Sie uns unten erläutern, was ein Incident Response Plan ist, warum er wichtig ist und wie man einen erstellt.

Was ist ein Incident Response Plan?

Ein Incident Response (IR) Plan ist ein Dokument, das eine vorbestimmte Reihe von Anweisungen oder Verfahren zur Erkennung, Reaktion und Begrenzung der Folgen eines Sicherheitsvorfalls enthält. Diese Anweisungen oder Verfahren sollen einer Organisation vor, während und nach bestätigten oder vermuteten Sicherheitsvorfällen helfen.

Was ist ein Cyber Incident Response Plan?

Ein Cyber Incident Response Plan dokumentiert die Anweisungen oder Verfahren zum Erkennen, Reagieren auf und Begrenzen der Folgen von Cyberangriffen auf das Informationssystem einer Organisation.

Während also ein Incident Response Plan Verfahren zur Bewältigung beliebiger Sicherheitsvorfälle festlegen kann, etabliert ein Cyber Incident Response Plan spezifische Verfahren zur Bewältigung böswilliger Computer-Vorfälle. Beispiele für böswillige Computer-Vorfälle sind:

  • Unbefugter Zugriff auf ein System oder Daten
  • Denial-of-Service-Angriff
  • Virus, Wurm, Trojanisches Pferd oder eine andere Art von bösartiger Logik, die unbefugte Änderungen an Systemhardware, Software oder Daten vornimmt

Dieser Plan kann als Anhang des Business Continuity Plans einer Organisation enthalten sein.

In der NIST Special Publication 800-34, Revision 1, wurde der Incident Response Plan in Cyber Incident Response Plan umbenannt.

Vertrauen nutzen, um Wachstum zu beschleunigen

Fordern Sie eine Demo anangle-right
cta-bg

Warum ist ein Incident Response Plan wichtig?

Ein Incident Response Plan kann einer Organisation helfen, schneller und kostengünstiger auf einen Sicherheitsvorfall oder ein Ereignis zu reagieren und sich davon zu erholen. Er legt klar dar, was getan werden muss, damit das Personal die Incident Response effektiver, effizienter und konsistenter durchführen kann. Dies kann dem Personal helfen, Informationsverluste oder -diebstähle und Dienstunterbrechungen, die durch Vorfälle verursacht werden, zu minimieren, was zu erheblichen Kosteneinsparungen führen kann.

Zum Beispiel gaben in IBMs Bericht über die Kosten einer Datenschutzverletzung 2022 fast drei Viertel der Organisationen an, dass sie einen IR-Plan hatten, während 63 % dieser Organisationen angaben, den Plan regelmäßig zu testen. Die Organisationen mit einem IR-Team, das einen IR-Plan testete, sparten durchschnittlich 2,66 Millionen Dollar an Verstoßkosten im Vergleich zu denen ohne IR-Team und IR-Plan-Tests. Dies entspricht einer Kosteneinsparung von 58 %.

NIST-Vorfallreaktionsplan

Die NIST SP 800-61-Veröffentlichung – auch bekannt als der Leitfaden zur Handhabung von Computer-Sicherheitsvorfällen – soll Organisationen dabei helfen, erfolgreiche Computer-Sicherheitsvorfallreaktionsfähigkeiten aufzubauen und Vorfälle effizient und effektiv zu handhaben. Die meisten ihrer Richtlinien drehen sich um die Analyse von vorfallbezogenen Daten und die Bestimmung der geeigneten Reaktion auf jeden Vorfall.

NIST empfiehlt, dass ein Vorfallreaktionsplan Folgendes umfassen sollte:

  • Eine Missionserklärung
  • Strategien und Ziele
  • Genehmigung durch das obere Management
  • Einen organisatorischen Ansatz zur Vorfallreaktion
  • Wie das Vorfallreaktionsteam mit dem Rest der Organisation und anderen Organisationen kommunizieren wird
  • Messgrößen zur Bewertung der Vorfallreaktionsfähigkeit und ihrer Wirksamkeit
  • Ein Fahrplan zur Weiterentwicklung der Vorfallreaktionsfähigkeit
  • Wie das Programm in die Gesamtorganisation passt

Diese Empfehlungen und andere Richtlinien in NIST 800-61 sind in den untenstehenden Schritten enthalten.

Wie man einen Vorfallreaktionsplan erstellt

Das Schreiben und die Pflege eines Vorfallreaktionsplans erfordert Zusammenarbeit und Koordination zwischen wichtigen Stakeholdern innerhalb einer Organisation. Im Folgenden skizzieren wir den schrittweisen Prozess, um Ihnen den Einstieg zu erleichtern.

1. Eine Vorfallreaktionsrichtlinie erstellen

Bevor Sie mit einem Vorfallreaktionsplan beginnen, müssen Sie die Vorfallreaktionsrichtlinie Ihrer Organisation festlegen. Diese Richtlinie bildet die Grundlage für Ihr Vorfallreaktionsprogramm und sollte:

  • Definieren, welche Ereignisse als Vorfälle betrachtet werden
  • Die Organisationsstruktur für die Vorfallreaktion festlegen
  • Rollen und Verantwortlichkeiten definieren
  • Die Anforderungen für die Meldung von Vorfällen auflisten

Der Plan sollte dann einen Fahrplan für die Implementierung Ihres Vorfallreaktionsprogramms auf der Grundlage der Richtlinie enthalten.

2. Kurz- und langfristige Ziele des Vorfallreaktionsprogramms definieren

Der Vorfallreaktionsplan sollte sowohl kurz- als auch langfristige Ziele für das Programm enthalten. Dies erfordert von Ihnen, Messgrößen zur Bewertung der Wirksamkeit des Programms und des Fortschritts in Richtung dieser Ziele festzulegen.

Beispiele für Messgrößen sind:

  • Anzahl der bearbeiteten Vorfälle
  • Gesamtaufwand für die Arbeit am Vorfall
  • Durchschnittliche Zeit, die das Vorfallreaktionsteam benötigt, um auf den ersten Bericht eines Vorfalls zu reagieren

3. Das Vorfallreaktionsteam und seine Verantwortlichkeiten identifizieren.

Sie sollten ein benanntes Vorfallreaktionsteam haben, das Sicherheitsvorfälle verwaltet. Der Vorfallreaktionsplan sollte angeben, wer Teil des Vorfallreaktionsteams ist und was seine Hauptziele und Verantwortlichkeiten sind.

4. Anforderungen für Vorfallbearbeiter festlegen

Wenn ein Vorfall auftritt, müssen Vorfallbearbeiter die Vorfalldaten analysieren, die Auswirkungen des Vorfalls bestimmen und angemessen handeln, um den Schaden zu begrenzen und normale Dienste wiederherzustellen. Dies erfordert exzellente technische Fähigkeiten in bestimmten Bereichen wie Systemadministration, Netzwerkadministration, Programmierung, technischer Support oder Eindringungserkennung. Je nach Besetzungsmodell Ihres Vorfallreaktionsteams können Sie Teammitglieder haben, die sich auf mehrere technische Bereiche spezialisiert haben, oder mindestens eine kompetente Person in jedem Hauptbereich.

Der Vorfallreaktionsplan Ihrer Organisation sollte die Anforderungen für Vorfallbearbeiter angeben, einschließlich wie oft sie geschult werden sollten.

5. Den Vorfallreaktionsprozess definieren

Ein kritischer Teil jedes Vorfallreaktionsplans ist die Definition des organisatorischen Ansatzes für die Vorfallreaktion.

Der Prozess sollte Folgendes umfassen:

  • Erkennung: Wie werden Vorfälle erkannt? Wird Automatisierung verwendet?
  • Meldung: Wie werden Vorfälle von internen und externen Quellen gemeldet?
  • Antwort: Was sind die Verfahren zur Reaktion auf einen Vorfall?
  • Überprüfung: Wie wird der Prozess der Vorfallbearbeitung überprüft? Werden nach größeren Vorfällen Meetings abgehalten? Werden für jeden gelösten Vorfall Nachverfolgungsberichte erstellt?

Wenn Sie überlegen, welche Schritte Sie während eines Vorfalls unternehmen werden, sollten Sie auch überlegen, wie Sie diese effizient durchführen werden. Incident-Management-Tools können Ihren Prozess beschleunigen und rationalisieren, indem sie Aktionen wie Benachrichtigungen automatisieren, Metrikberichte erstellen, Stakeholder koordinieren und mehr. Einige Tools wie Rootly bieten sogar zusätzliche Unterstützung und Funktionen — wie Kommunikations- und Retrospektivvorlagen, Beratung durch Incident-Response-Experten und andere Ressourcen zur Entwicklung der Incident-Response-Fähigkeiten Ihrer Organisation.

6. Definieren Sie eine Kommunikationsstrategie

Ein Incident-Response-Plan sollte erklären, wie das Incident-Response-Team mit dem Rest der Organisation und Außenstehenden, wie Strafverfolgungsbehörden, Medien und anderen Incident-Response-Organisationen, kommunizieren wird.

Das Team sollte mehrere Kommunikationsmethoden im Incident-Response-Plan planen und dokumentieren. Beispiele können sein:

  • E-Mail
  • Webseite
  • Telefonanrufe
  • Tägliche Besprechungen persönlich
  • Sprachmailbox-Begrüßung für aktuellen Vorfallstatus und Updates

7. Bereitstellung einer Roadmap zur Weiterentwicklung der Incident-Response-Fähigkeiten

Ihr Incident-Response-Programm sollte sich an neue Bedrohungen, verbesserte Technologien und aus größeren Vorfällen gewonnene Erkenntnisse anpassen. Um sicherzustellen, dass es sich im Laufe der Zeit verbessert und weiterentwickelt, sollten Sie in Ihrem Incident-Response-Plan eine Roadmap bereitstellen. Diese Roadmap kann das Abhalten eines „Lessons-Learned“-Meetings mit allen Beteiligten nach einem größeren Vorfall umfassen. Dies kann entscheidend sein, um die Sicherheitsmaßnahmen und den Vorfallbearbeitungsprozess selbst im Laufe der Zeit zu verbessern.

8. Überprüfen, aktualisieren und testen Sie diesen Plan regelmäßig

Laut NIST SP 800-61 sollten Incident-Response-Pläne mindestens jährlich überprüft und getestet werden, um sicherzustellen, dass die Organisation ihre Informationssicherheitsfähigkeiten im Laufe der Zeit weiterentwickelt und Fortschritte bei ihren Zielen für die Incident-Response macht.

Vorlage für einen Incident Response Plan

Verwenden Sie die untenstehende Vorlage, um den Prozess der Erstellung eines Incident Response Plans für Ihre Organisation zu vereinfachen.