Die Frage ist nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann – und wie schnell es reagieren kann. Incident Response ist die Disziplin, die entscheidet, ob aus einem Vorfall ein beherrschbares Ereignis wird oder eine existenzbedrohende Krise. Dieser Artikel zeigt, wie ein professioneller Incident-Response-Prozess aufgebaut ist und was ihn im Ernstfall tragfähig macht.
Was ist Incident Response?
Incident Response ist der organisierte Ansatz zur Vorbereitung auf, Erkennung von, Eindämmung von und Erholung nach Cybersicherheitsvorfällen. Es ist kein einzelner Schritt, sondern ein durchdachter Prozess, der technische, organisatorische und kommunikative Maßnahmen integriert. Ein effektiver Prozess minimiert den Schaden, verkürzt die Wiederherstellungszeit, sichert Beweismittel für mögliche rechtliche Schritte und liefert Erkenntnisse, die zukünftige Vorfälle verhindern.
Die sechs Phasen nach NIST
Das National Institute of Standards and Technology (NIST) beschreibt in seinem Computer Security Incident Handling Guide (SP 800-61) sechs Phasen, die sich in der Praxis bewährt haben.
Phase 1: Vorbereitung
Die Vorbereitung findet statt, bevor etwas passiert – und ist die wichtigste Phase. Sie umfasst das Aufstellen und Schulen eines Incident Response Teams (IRT), einen Incident-Response-Plan mit klaren Rollen, Werkzeuge und Kommunikationswege sowie regelmäßige Tabletop Exercises. Unternehmen, die diese Phase vernachlässigen, reagieren im Ernstfall chaotisch – und Chaos ist der beste Freund des Angreifers.
Phase 2: Erkennung und Analyse
Der IBM Cost of a Data Breach Report zeigt regelmäßig Erkennungszeiten von über 200 Tagen im Durchschnitt. Reife Unternehmen liegen bei wenigen Stunden. Erkennungsquellen sind SIEM, IDS/IPS, EDR, Netzwerk-Monitoring, Mitarbeitermeldungen und externe Hinweise. Die Analyse bestimmt Umfang, Angriffsvektor und Auswirkungen – Grundlage für jede weitere Entscheidung.
Phase 3: Eindämmung
Ist ein Vorfall bestätigt, muss er so schnell wie möglich eingedämmt werden. Kurzfristige Eindämmung heißt: betroffene Systeme isolieren, Accounts sperren, bösartige IPs blockieren. Langfristige Eindämmung schafft eine Übergangslösung, die den Betrieb ermöglicht, während die Bereinigung vorbereitet wird. Entscheidend ist die Balance zwischen schneller Eindämmung und Beweissicherung für die forensische Analyse.
Phase 4: Beseitigung
Ursache identifizieren und restlos entfernen: Malware entfernen, Schwachstellen schließen, kompromittierte Credentials zurücksetzen, betroffene Systeme neu aufsetzen. Gründlichkeit ist hier entscheidend – Angreifer installieren gern Backdoors, um nach der Bereinigung wieder hereinzukommen.
Phase 5: Wiederherstellung
Die schrittweise Rückführung in den Normalbetrieb erfolgt unter erhöhter Überwachung. Priorisieren Sie geschäftskritische Systeme. Backups müssen vor der Wiederherstellung auf Integrität und Kompromittierung geprüft werden – nichts ist bitterer, als eine kompromittierte Sicherung einzuspielen.
Phase 6: Lessons Learned
Die am häufigsten vernachlässigte – und gleichzeitig wertvollste – Phase. Im Post-Incident-Review analysiert das Team ehrlich: Was ist passiert? Wie schnell wurde es erkannt? Was hat gut funktioniert? Was nicht? Die Ergebnisse fließen in den Plan, in die Detection-Regeln und in die Härtung der betroffenen Systeme ein.
Das Incident Response Team: Rollen und Verantwortlichkeiten
- Incident Response Manager: Leitet das Team, trifft strategische Entscheidungen, kommuniziert mit der Geschäftsführung.
- Technische Analysten: Führen die forensische Analyse durch, identifizieren den Angriffsvektor und setzen Gegenmaßnahmen um.
- Kommunikationsverantwortliche: Koordinieren interne und externe Kommunikation – mit Behörden, Kunden und Medien.
- Rechtsabteilung: Berät zu Meldepflichten (DSGVO, NIS 2), Beweissicherung und rechtlichen Konsequenzen.
- Management: Entscheidet über Abschaltungen, Budgets und Ressourcen in Echtzeit.
Tabletop Exercises: Der stille Unterschied
Tabletop Exercises sind moderierte Planspiele, in denen das IRT einen fiktiven Vorfall durchspielt, ohne technische Maßnahmen tatsächlich auszuführen. Sie decken Schwächen im Plan auf, trainieren Entscheidungsfindung unter Druck und schweißen das Team zusammen. Typische Szenarien: Ransomware, Datenabfluss, Insider-Bedrohung, DDoS, kompromittiertes Cloud-Konto. Mindestens zwei Übungen pro Jahr – mehr ist besser, gerade bei sich ändernden Infrastrukturen.
Fazit
Incident Response ist keine Option, sondern Pflicht. Die Investition zahlt sich im Ernstfall vielfach aus: schneller erkannt, sauberer eingedämmt, besser dokumentiert – und am Ende schneller zurück im Geschäft. Wer heute Plan, Team und Übung etabliert, macht den Unterschied zwischen einer unangenehmen Episode und einem Schlagzeilen-Vorfall.