Security Incident Response Management: Erklärung und Tipps für die Umsetzung

Security Incident Response Management: Erklärung und Tipps für die Umsetzung

Beitrag vom 07.02.2025

Zur Themenwelt Informationssicherheit

Security Incident Response Management: Wie Unternehmen Cyberangriffe erfolgreich abwehren

Cyberangriffe nehmen rasant zu und sie können jedes Unternehmen treffen, unabhängig von Größe und Branche. Die möglichen Folgen reichen vom Verlust wertvoller Daten über Imageschäden bis hin zum Stillstand von Geschäftsprozessen.  

Ein effektives Security Incident Response Management schafft die Voraussetzungen dafür, dass Verantwortliche im Ernstfall schnell reagieren und effektive Gegenmaßnahmen treffen. So lässt sich das Schlimmste oftmals verhindern.

Wir haben uns mit dem Sicherheitsexperten und Trainer Thomas Kuhn (Kuhn-Informatik GmbH) darüber unterhalten, 

  • was Incident Response Management bedeutet, 

  • wie ein Incident-Response-Plan aussieht und 

  • was bei der Umsetzung zu beachten ist.

Was bedeutet Security Incident Response Management? – Definition

Als Security Incident Response Management, Security Incident Management oder nur Security Incident Response bezeichnet man einen organisierten und strukturierten Prozess, um IT-Sicherheitsvorfälle (Incidents) zu erkennen und zu beheben. Vorrangiges Ziel ist es, schnell den normalen Geschäftsbetrieb wiederherzustellen und Schäden zu minimieren.  

Dabei gibt es viele verschiedene Arten von Incidents, mit denen Unternehmen heute konfrontiert sind. 

Einige Beispiele: 

Ransomware-Angriff

Eine Schadsoftware (Malware) sperrt den Zugang zu einem Computer oder verschlüsselt Daten, bis Opfer ein Lösegeld zahlen. 

Phishing-Angriff

Mitarbeitende erhalten zum Beispiel eine E-Mail, die angeblich von einer vertrauenswürdigen Person oder Organisation stammt. Darin werden sie aufgefordert, auf einen Link zu klicken, der Malware herunterlädt, oder auf einer Website sensible Daten einzugeben.  

Datenpannen nach Fehlkonfigurationen

Zugriffsrechte sind falsch eingestellt oder eine Datenbank ist nicht gesichert. Außenstehende können sensible Informationen einsehen.  

Verlust oder Diebstahl von Endgeräten

Ein Laptop oder Smartphone geht verloren beziehungsweise wird gestohlen. Es entsteht das Risiko, dass Unbefugte auf Unternehmensdaten zugreifen.

Distributed Denial of Service (DDoS)-Angriff

Eine große Anzahl an Anfragen überlastet einen Server oder ein Netzwerke. Wichtige Dienste sind nicht mehr erreichbar

Insider Threat

Ein:e (ehemalige:r) Mitarbeiter:in oder Dienstleister missbraucht Zugriffsrechte, um beispielsweise Daten zu kopieren, zu löschen oder zu verändern

Diese Beispiele machen deutlich: Security Incidents sind vielfältig und sie gehen nicht immer auf Cyberkriminelle zurück. Ausschlaggebend kann auch ein Versehen oder eine fehlerhafte Einstellung sein.  

Eines haben alle Incidents gemeinsam: Eine schnelle, angemessene Reaktion ist entscheidend, um Schäden zu verhindern oder zu begrenzen. 

Die verschiedenen Phasen eines Security Incident Response Managements

Am Anfang jedes erfolgreichen Security Incident Response Managements steht ein Bewusstsein für die Wichtigkeit des Themas. „Das Security Incident Response Management ist eine Prio-1-Aufgabe in der Informationssicherheit“, betont Thomas Kuhn.  

Bei der Umsetzung können sich Unternehmen an zwei Normen bzw. Standards orientieren: 

  • ISO 27035 

  • BSI IT-Grundschutz 

Nach der ISO 27035 besteht ein Security-Incident-Response-Prozess aus 5 Schritten:

1. Plan and Prepare (Planung und Vorbereitung)

Zunächst halten Verantwortliche grundlegende Richtlinien, Prozesse und Rollen in einem Incident-Response-Plan fest. Außerdem treffen sie technische sowie organisatorische Vorbereitungen und sensibilisieren Mitarbeitende für das Thema. 

 

2. Detection and Reporting (Erkennung und Meldung)

Wird ein potenzieller IT-Sicherheitsvorfall erkannt, so müssen Mitarbeitende, Kund:innen oder Zulieferer die Möglichkeit haben, ihn schnell und einfach zu melden. 

 

3. Assessment and Decision (Bewertung und Entscheidung)

Im nächsten Schritt müssen Verantwortliche beantworten, ob es sich um einen echten Sicherheitsvorfall handelt. Lautet die Antwort Ja, kommunizieren sie alle relevanten Informationen dazu – intern und gegebenenfalls extern, zum Beispiel an Behörden. Wie schwer ist der Vorfall, welche Ursachen sowie Auswirkungen hat er und welche Maßnahmen müssen ergriffen werden? Diese Fragen stehen nun im Mittelpunkt.

 

4. Responses (Maßnahmen/Reaktion) 

„Der vierte Schritt“, so Thomas Kuhn, „ist die eigentliche Response.“ Sie beinhaltet zum Beispiel, betroffene Systeme zu isolieren, Malware zu entfernen und Systeme wiederherzustellen. Wichtig für die abschließende Phase ist es, Maßnahmen und zentrale Erkenntnisse zu dokumentieren. 

 

5. Lessons Learned (Nachbereitung und Verbesserung) 

Nach einem Vorfall ist (leider) vor dem nächsten. Zu einem guten Security Incident Response Management gehört deshalb eine Auswertung am Ende. 

Zentrale Fragen dabei sind: 

  • Welche Faktoren haben zu dem Vorfall beigetragen? 

  • Wie effektiv waren die Response-Maßnahmen? 

  • Wie lassen sich Richtlinien, Pläne und Maßnahmen für das nächste Mal anpassen? 

Mithilfe der Antworten können Verantwortliche ihren Incident-Response-Plan optimieren

So erstellen Unternehmen einen Security-Incident-Response-Plan

Das Herzstück eines erfolgreichen Security Incident Response Managements ist ein Incident-Response-Plan: ein Dokument, das sich an den oben aufgeführten fünf beziehungsweise sechs Phasen orientiert. „Üblicherweise“, erläutert Thomas Kuhn, „handelt es sich um ein Flussdiagramm mit Erläuterungen zu den einzelnen Phasen.“ Dafür eigne sich kein Plan von der Stange. „Jedes Unternehmen hat andere Prozesse, Verantwortlichkeiten und Strukturen. Daran muss es seinen Plan anpassen.“

Die Einbindung eines Security Incident Response Managements in interne Strukturen

Thomas Kuhn empfiehlt, das Security Incident Response Management nicht einfach einer vorhandenen IT-Abteilung als Zusatzaufgabe zu übertragen, sondern ein eigenes Incident Response Team (IRT) zu bilden. „Dieses kümmert sich dann um die Verdachtsfälle und Vorfälle. In großen Unternehmen sei es meist kein Problem, ein solches Team ins Leben zu rufen. Allerdings mache es sowohl für große als auch für kleine Unternehmen mit weniger Ressourcen Sinn, externe Partner hinzuzuziehen, um wirklich abgesichert zu sein. „Interne Teams kennen nie alle Angriffsvektoren.“  

In jedem Fall brauche es eine Person, die die Fäden in der Hand hält. Falls dafür keine Ressourcen im Unternehmen vorhanden sind, bieten sogenannte Security Operations Center (SOC) ein Komplettpaket (Managed Service) an.  

Aber: „Je mehr Know-how intern vorhanden ist und je mehr Verantwortlichkeit eine Person übernehmen kann, die in das Unternehmen integriert ist, desto besser ist es. Optimalerweise bauen Unternehmen möglichst viele Ressourcen intern auf und greifen nur bei ausgewählten Themen auf externe Unterstützung zurück.“

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

  • Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
  • Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
  • Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Unsere Seminar-Empfehlungen für Sie

Security Incident Manager (TÜV)

In unserem Seminar Security Incident Manager (TÜV) bauen Sie Wissen über Cyberangriffe und dem damit verbundenen Vorfallmanagement/ Incident Response Management auf. Der hohe Praxisbezug, die vielfältigen Aufgaben sowie der aktive Austausch mit weiteren Teilnehmerinnen und Teilnehmern geben Ihnen die Möglichkeit, Ihre eigenen Pläne zu ergänzen bzw. zu vervollständigen.

Sicherheit mobiler Geräte

Im Mobile Security Kurs erarbeiten Sie gemeinsam mit unseren Referentinnen und Referenten und den anderen Teilnehmerinnen und Teilnehmern die grundlegenden Herausforderungen und Angriffsvektoren für die Sicherheit mobiler Geräte bzw. Endgeräte.

Sie erhalten umfassendes Know-how über Endgeräteschutz-Technologien inklusive der Installationsproblematik von Apps (Anwendungen) und betrachten ein Konzept, wie Sie diese sowohl auf Mobilgeräten als auch in einer Betriebsinfrastruktur implementieren können.

Netzwerksicherheit und Firewall Schulung für IT-Sicherheitsbeauftragte / Informationssicherheitsbeauftragte

Ziel der Netzwerksicherheits- und Firewall Schulung ist es, Ihnen einen Überblick über Netzwerktechnologien, Sicherheitskonzeptionen, potenzielle Gefährdungen sowie Möglichkeiten zur Abwehr zu vermitteln – immer im Zusammenhang zum Informationssicherheitsmanagementsystem (ISMS) bzw. zum internen und externen Prüfungsaudit.

Im gemeinsamen Austausch mit anderen Teilnehmerinnen und Teilnehmern erhalten Sie außerdem wertvolle Hinweise und sind bestens auf Fragen Ihrer Mitarbeiterinnen und Mitarbeiter im Unternehmen vorbereitet.

Herausforderungen und Best Practices

Den Kompetenzaufbau hält Thomas Kuhn für eine der zentralen Herausforderungen im Security Incident Response Management. Eine andere sei die Bereitstellung notwendiger Ressourcen: „Externe Unterstützung kostet Geld und manche Geschäftsführer sehen Security Incident Response immer noch vor allem als Kostenfaktor.“ 

Außerdem werde das Üben und Testen gerne vernachlässigt. „Oft gibt es zwar ein Dokument, in dem alle Maßnahmen und Abläufe festgehalten sind, aber diese wurden nie geprobt. Bei einem Security Incident müssen Verantwortliche dann erst nachlesen, wie sie richtig reagieren.“ Manchmal sei der Security-Incident-Response-Plan seit Jahren nicht mehr aktualisiert worden und seien einige darin genannte Personen gar nicht mehr im Unternehmen. 

Verhindern lassen sich solche Situationen durch praktische Übungen, am besten mindestens einmal im Jahr. „Unternehmen können zum Beispiel einen Phishing-Angriff oder einen Ransomware-Angriff simulieren. So können Mitarbeitende üben, wie sie in dieser Situation richtig reagieren und beispielsweise betroffene Konten sperren.“ Teilweise machen Cyberversicherungen diese Übungen sogar zur Voraussetzung, damit sie im Ernstfall eine bestimmte Schadenshöhe übernehmen.  

Ein effektives Security Incident Response Management wird immer wichtiger für Unternehmen

Ein gutes Security Incident Response Management ist mehr als eine optionale Zutat im Bereich Informationssicherheit. Angesichts fortschreitender Digitalisierung, zunehmender Cyberkriminalität und der schnellen Entwicklung von künstlicher Intelligenz trägt es entscheidend dazu bei, dass Unternehmen wettbewerbsfähig bleiben. 

Allerdings reicht es nicht aus, einen Security-Incident-Response-Plan zu erstellen und in einer Schublade abzulegen. Das Erkennen und Eindämmen von Sicherheitsvorfällen klappt nur dauerhaft, wenn Unternehmen systematisch Know-how aufbauen sowie erweitern und die Reaktion auf Vorfälle regelmäßig trainieren. Nur dann können Verantwortliche bei einem Security Incident umgehend die richtigen Maßnahmen ergreifen. 

Ihre Ansprechpartnerin

Kontaktformular E-Mail senden
Ihre Ansprechpartnerin: Anna-Lena BartschTÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

Tel.: +49 201 31955-41
abartsch@tuev-nord.de