Incident Response Plan erstellen: Leitfaden fuer schnelle Reaktion

Das NIST definiert sechs Phasen: 1. Vorbereitung – Rollen definieren, Tools bereitstellen, Team schulen. 2. Identifikation – Erkennen, dass ein Vorfall vorliegt. SIEM-Systeme sind unverzichtbar. 3. Eindaemmung – Schaden begrenzen. Kurzfristig: Systeme isolieren. Langfristig: Ursache beseitigen. 4. Beseitigung – Malware entfernen, Schwachstellen patchen, kompromittierte Zugaenge sperren. 5. Wiederherstellung – Systeme aus Backups wiederherstellen. 6. Lessons Learned – Was ist passiert? Was hat funktioniert? Was muss verbessert werden?

Kommunikation ist der am meisten unterschaetzte Aspekt: Intern: - Wer informiert die Geschaeftsfuehrung? - Welche Informationen gehen an Mitarbeiter? - Wie verhindert man unkontrollierte Informationsabfluesse? Extern: - Wann und wie werden Kunden informiert? - Wer spricht mit der Presse? - Wann wird die Aufsichtsbehoerde informiert? Regeln: - Nur autorisierte Personen kommunizieren extern - Fakten kommunizieren, keine Spekulationen - Verschluesselte Kanaele nutzen - Jede Kommunikation dokumentieren

Ohne richtige Infrastruktur kann kein IRP funktionieren: Logging und Monitoring - Zentrale Log-Sammlung (SIEM) ist Pflicht - Network-, Endpoint-, Authentication-Logs - Mindestens 90 Tage Aufbewahrung Forensik-Readiness - Disk-Images sichern koennen - RAM-Dumps erstellen koennen - Chain of Custody dokumentieren Automatisierung (SOAR) - Automatische Isolierung kompromittierter Endpunkte - Automatische Ticket-Erstellung bei Alarmen Backup-Systeme – Immutable Backups fuer schnelle Wiederherstellung – Details in unserem Backup & Disaster Recovery Artikel