{"id":14669,"date":"2025-08-25T04:01:06","date_gmt":"2025-08-25T04:01:06","guid":{"rendered":"https:\/\/newestek.com\/?p=14669"},"modified":"2025-08-25T04:01:06","modified_gmt":"2025-08-25T04:01:06","slug":"6-wichtige-punkte-fur-ihren-incident-response-plan","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14669","title":{"rendered":"6 wichtige Punkte f\u00fcr Ihren Incident Response Plan"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
Lesen Sie, welche Schritte f\u00fcr Ihren Notfallplan besonders wichtig sind.<\/figcaption><\/figure>\n

PeopleImages.com \u2013 Yuri A \u2013 Shutterstock.com<\/p>\n<\/div>\n

Wenn ein Unternehmen einen gr\u00f6\u00dferen Ausfall seiner IT-Systeme erlebt \u2013 beispielsweise aufgrund eines Cyberangriffs \u2013 ist es zu diesem Zeitpunkt nicht mehr voll gesch\u00e4ftsf\u00e4hig. Deshalb ist ein effektiver Plan zur Reaktion auf Vorf\u00e4lle (Incident Response<\/a>, IR) unerl\u00e4sslich.<\/p>\n

Es geht jedoch nicht nur darum, die Quelle eines Angriffs zu finden und ihn einzud\u00e4mmen. Unternehmen m\u00fcssen auf Widerstandsf\u00e4higkeit ausgelegt sein<\/a>, um auch dann weiterarbeiten zu k\u00f6nnen, wenn wichtige Systeme nicht mehr verf\u00fcgbar sind.<\/p>\n

Was geh\u00f6rt zu einem effektiven Incident Response Plan? Hier sind sechs wesentliche Komponenten:<\/p>\n

Folgen absch\u00e4tzen<\/strong><\/h2>\n

Wenn eine Sicherheitsverletzung wichtige Systeme zum Erliegen bringt, m\u00fcssen Unternehmen \u00fcber einen soliden IT-Ausfallsicherheits- oder Business-Continuity-Plan (BC)<\/a> verf\u00fcgen. Selbst wenn das Unternehmen nur f\u00fcr ein paar Stunden ausf\u00e4llt, kann dies zu gro\u00dfen finanziellen Verlusten<\/a> und einer negativen PR f\u00fchren.<\/p>\n

\u201eEine der wichtigsten Komponenten ist es, die wesentlichen Funktionen zu verstehen, die Ihr Unternehmen erf\u00fcllt, und welche Auswirkungen es h\u00e4tte, wenn diese gest\u00f6rt w\u00fcrden\u201c, betont Justin Kates, leitender Business-Continuity-Berater f\u00fcr den Betreiber von Convenience-Stores Wawa.<\/p>\n

\u201eDies geschieht in der Regel durch eine sogenannte Business Impact Analysis (BIA)\u201c, erg\u00e4nzt der Experte. \u201cEinige im Bereich der Gesch\u00e4ftskontinuit\u00e4t sind der Meinung, dass die BIA kein hilfreiches Mittel ist. Sie hilft jedoch dem Verantwortlichen f\u00fcr Business Continuity , ein besseres Verst\u00e4ndnis daf\u00fcr zu bekommen, wie Prozesse im gesamten Unternehmen funktionieren.\u201c<\/p>\n

Die BIA katalogisiert jeden Prozess und ermittelt, welche Auswirkungen in bestimmten Intervallen je nach Dauer eines Gesch\u00e4ftsausfalls zu erwarten sind. Laut Kates k\u00f6nnen dabei Workarounds mit manuellen Schritten zur Durchf\u00fchrung des Prozesses oder die Nutzung alternativer Dienste zur Erf\u00fcllung von Mindestanforderungen hilfreich sein.<\/p>\n

Schon im Vorfeld sollte klar sein, welche Teile des Unternehmens f\u00fcr den Betrieb am wichtigsten sind. \u201eNach Meinung von Adam Ennamli, Chief Risk, Compliance and Security Officer bei der General Bank of Canada, besteht die Grundlage eines jeden effektiven Notfallplans darin, \u201esein Unternehmen wirklich zu verstehen \u2013 von den Menschen \u00fcber die Prozesse bis hin zum Betrieb, und zwar durch eine detaillierte und pragmatische Folgenabsch\u00e4tzung.\u201c<\/p>\n

Der Security-Spezialist f\u00fcgt hinzu: \u201eWenn man \u00fcber BIA und RTOs [Recovery Time Objective] spricht, sollte man nicht nur K\u00e4stchen ankreuzen. Sie erstellen eine Karte, die Ihnen und Ihren Entscheidungstr\u00e4gern genau zeigt, worauf Sie sich konzentrieren m\u00fcssen, wenn etwas schief geht.\u201c<\/p>\n

Laut Enmamil behandeln allerdings viele Organisationen ihre Systeme als gleich kritisch. \u201eUnd wenn es bei einem tats\u00e4chlichen Vorfall darauf ankommt, wird wertvolle Zeit mit weniger wichtigen Ressourcen verschwendet, w\u00e4hrend kritische Gesch\u00e4ftsfunktionen offline bleiben und keine Einnahmen bringen.\u201c<\/p>\n

Umfassende Kommunikationsstrategie<\/strong><\/h2>\n

Ein weiteres Schl\u00fcsselelement, das \u00fcber Erfolg oder Misserfolg einer Strategie zur Reaktion auf Vorf\u00e4lle entscheiden kann, ist die Kommunikation. Ohne klare Kommunikation zwischen den wichtigsten Interessengruppen des Unternehmens kann es zu viel l\u00e4ngeren Ausfallzeiten oder zum Verlust wichtiger Prozesse \u00fcber l\u00e4ngere Zeitr\u00e4ume kommen.<\/p>\n

\u201cEs geht nicht nur darum, eine Telefonkette oder eine Liste mit E-Mail-Adressen zu haben. Sie ben\u00f6tigen vorab genehmigte Inhaltsbl\u00f6cke und Vorlagen f\u00fcr verschiedene Szenarien, [mehrere] Backup-Kommunikationskan\u00e4le und klare Entscheidungs- und Delegationsstrukturen. Es muss klar sein, wer was zu wem sagen darf\u201c, betont Ennamil. \u201eWenn ein Vorfall eintritt, ist das Letzte, was Sie wollen, Pressemitteilungen zu verfassen, Massen-E-Mails zu versenden oder herauszufinden, wie Sie Ihr Team erreichen k\u00f6nnen, weil Ihre prim\u00e4ren Kan\u00e4le ausgefallen sind.\u201c<\/p>\n

Jason Wingate, CEO von Emerald Ocean f\u00fcgt hinzu, dass Unternehmen \u00fcber solide Kommunikationsprotokolle<\/a> verf\u00fcgen sollten. \u201eSie werden sich eine klare Befehlskette und Kommunikation w\u00fcnschen\u201c, sagt er. \u201eOhne festgelegte Protokolle sind Sie in etwa so effektiv wie bei dem Versuch, eine Brandbek\u00e4mpfung mit Rauchzeichen zu koordinieren.\u201c<\/p>\n

Die Schwere des Vorfalls sollte die Kommunikationsstrategie bestimmen, erg\u00e4nzt David Taylor, Gesch\u00e4ftsf\u00fchrer des globalen Beratungsunternehmens Protiviti. \u201eW\u00e4hrend die Mitglieder des Cybersicherheitsteams in engem Kontakt stehen und zusammenarbeiten, sind andere wahrscheinlich nicht so gut eingebunden oder nicht so gut informiert.\u201c<\/p>\n

Taylor f\u00fchrt aus: \u201eJe nach Schweregrad sollte die Art, das Publikum und die H\u00e4ufigkeit der Kommunikation von der Unternehmensf\u00fchrung vorgegeben werden.\u201c Dies erm\u00f6gliche es den Verantwortlichen f\u00fcr Cybersicherheit und anderen F\u00fchrungskr\u00e4ften, einen einheitlichen Zeitrahmen zu entwickeln, in dem sie mit Updates rechnen k\u00f6nnen. \u201eGemeinsam k\u00f6nnen sich die technischen Einsatzteams auf die Reaktion konzentrieren, ohne den Fortschritt zu stoppen, um ad hoc Updates bereitzustellen.\u201c<\/p>\n

Einer der wichtigsten Schritte ist die Ernennung eines Kommunikationsleiters , merkt Business-Continuity-Berater Kate an. \u201eWenn Technologiesysteme nicht verf\u00fcgbar sind, m\u00fcssen viele innerhalb der Organisation Workarounds implementieren, um wesentliche Prozesse am Laufen zu halten.\u201c Dem Experten zufolge basieren viele Entscheidungen auf Updates, die \u00fcber den Status des Vorfalls und die erwarteten L\u00f6sungszeiten bereitgestellt werden. \u201eDie Technologieteams werden sich darauf konzentrieren, die Auswirkungen des Vorfalls zu mildern, und haben m\u00f6glicherweise nicht die Zeit, Updates bereitzustellen\u201c, so Kates. \u201eIn Ihren Pl\u00e4nen sollte festgelegt sein, wer die F\u00fchrung bei der Weitergabe von Updates an interne und externe Interessengruppen \u00fcbernimmt, einschlie\u00dflich der Aktualisierung, wenn es m\u00f6glicherweise keine neuen Informationen gibt.\u201c<\/p>\n

Klare Strukturen mit definierten Reaktionsrollen und Arbeitsabl\u00e4ufen<\/strong><\/h2>\n

Es ist wichtig zu verstehen, wer nach einem Vorfall wof\u00fcr verantwortlich ist. \u201eWenn ein Cybervorfall eintritt, ist Verwirrung der gr\u00f6\u00dfte Feind\u201c, so der CEO von Emerald Ocean. \u201cEin Team ohne definierte Rollen wird wie ein Orchester ohne Dirigenten herumlaufen. Bei Vorf\u00e4llen kostet Verwirrung Zeit, und wenn ein Vorfall eintritt, ist Zeit alles.\u201c<\/p>\n

Struktur und Rollen sollten \u00fcber die Cybersecurity- oder IT-Mitarbeiter hinausgehen. \u201eDer gr\u00f6\u00dfte Irrglaube in der Cybersicherheit ist, dass es sich nur um ein IT-Problem handelt\u201c, mahnt Wingate. Die IR-Struktur und die Rollen sollten idealerweise Vertreter aus dem gesamten Unternehmen umfassen.<\/p>\n

\u201eZu den wichtigsten Rollen im Bereich Cybersicherheit geh\u00f6ren unter anderem der CIO\/CTO, der CISO, der Einsatzleiter, der Koordinator f\u00fcr Vorf\u00e4lle, der Endpunktanalyst, der Netzwerkanalyst und die externe forensische Unterst\u00fctzung\u201c, fasst Taylor zusammen. Zu den Rollen au\u00dferhalb der Cybersicherheit sollten das Krisenmanagementteam und m\u00f6glicherweise Vertreter aus den Bereichen Recht, Unternehmenskommunikation, Personalwesen, Finanzen und andere geh\u00f6ren, je nach Ausma\u00df des Vorfalls.<\/p>\n

\u201eEs ist wichtig festzulegen, wer welche dieser Rollen \u00fcbernimmt, und die damit verbundenen Verantwortlichkeiten sollten ebenfalls klar definiert und in den entsprechenden Pl\u00e4nen leicht nachzuschlagen sein\u201c, betont Taylor.<\/p>\n

Laut Rocco Grillo, Gesch\u00e4ftsf\u00fchrer der Unternehmensberatungsfirma Alvarez & Marsal Disputes and Investigations , ist es auch wichtig, dass \u201edie wichtigsten externen Interessengruppen identifiziert werden.<\/p>\n

\u201eDazu geh\u00f6ren externe Anw\u00e4lte, IR- und forensische Ermittlungsunternehmen, Cyber-Versicherungskontakte, Benachrichtigungs- und Kredit\u00fcberwachungsunternehmen, Strafverfolgungsbeh\u00f6rden und Ransomware-Verhandlungsunternehmen\u201c, so \u00a0der Leiter der globalen Praxis f\u00fcr Cyberrisiken und Incident Response Services des Unternehmens.<\/p>\n

\u00dcberblick \u00fcber die gesamte Bedrohungslandschaft<\/strong><\/h2>\n

Die Bedrohungslandschaft im Bereich der Cybersicherheit ist breit gef\u00e4chert und komplex. Wirksame IR-Strategien m\u00fcssen so konzipiert werden, dass sie dieser Komplexit\u00e4t gerecht werden. Angriffe k\u00f6nnen von einer wachsenden Zahl von Quellen ausgehen und nicht nur ein Unternehmen, sondern auch seine Lieferanten und andere Gesch\u00e4ftspartner betreffen. \u201eDer Fokus liegt mehr auf Angriffen auf die Lieferkette als auf direkten Angriffen auf Unternehmen\u201c, erg\u00e4nzt Grillo.<\/p>\n

\u201eAngriffe auf die Lieferkette<\/a> sind so, als w\u00fcrde ein Einbrecher in das B\u00fcro des Hausmeisters einbrechen, um sich die Schl\u00fcssel f\u00fcr alle Wohnungen im Geb\u00e4ude zu verschaffen\u201d, erl\u00e4utert der Unternehmensberater, \u201cim Gegensatz zu einem Einbrecher, der nur in das Penthouse des Geb\u00e4udes einbricht, um die Kronjuwelen zu stehlen.\u201c<\/p>\n

Dar\u00fcber hinaus m\u00fcssen sich IR-Pl\u00e4ne nicht nur auf externe Bedrohungen konzentrieren, sondern auch auf Insider-Bedrohungen<\/a>. \u201eInsider-Bedrohungsrisiken beschr\u00e4nken sich nicht nur auf b\u00f6swillige Mitarbeiter, sondern auch auf Mitarbeiter, die menschliche Fehler begehen und\/oder unwissentlich Cyber-Risiken f\u00fcr ihre Unternehmen schaffen, die Bedrohungsakteure ausnutzen k\u00f6nnen\u201c, erg\u00e4nzt Grillo.<\/p>\n

Auch Drittanbieter und Lieferanten<\/a> w\u00fcrden in diese Kategorie fallen. \u201eDritte k\u00f6nnen autorisierten Zugang zu einem Unternehmen haben. Wenn sie von einem Bedrohungsakteur kompromittiert werden, schaffen sie diesen versehentlich Zugang\u201c, so der Berater.<\/p>\n

Regelm\u00e4\u00dfige Tests<\/strong><\/h2>\n

Unternehmen m\u00fcssen ihre Pl\u00e4ne zur Reaktion auf Vorf\u00e4lle und zur Gesch\u00e4ftskontinuit\u00e4t regelm\u00e4\u00dfig testen, um sicherzustellen, dass sie wirksam sind. \u201eDas sollte eigentlich selbstverst\u00e4ndlich sein: Wie bei allem anderen in der Technik auch, sollte man alles erst einmal testen\u201c, fordert Wingate von Emerald Ocean. \u201cWenn Sie aus einem Flugzeug springen, m\u00f6chten Sie ja auch, dass Ihr Fallschirm vorher \u00fcberpr\u00fcft wurde.\u201c<\/p>\n

Einer der Gr\u00fcnde, warum regelm\u00e4\u00dfige Tests so wichtig sind, ist die sich st\u00e4ndig ver\u00e4ndernde Cybersicherheitslandschaft. \u201eMeiner Erfahrung nach liegt der Schl\u00fcssel zu einer effektiven Wiederherstellung darin, Incident-Response-Pl\u00e4ne nicht als statische Dokumente zu betrachten und sie regelm\u00e4\u00dfig einem Stresstest zu unterziehen\u201c, erkl\u00e4rt Ennamli von der General Bank of Canada. \u201cDer Dreh- und Angelpunkt liegt darin, \u00fcber die theoretische Planung hinauszugehen und praktische, getestete Schritte zu unternehmen, die sich unter Druck bew\u00e4hrt haben.\u201c<\/p>\n

Nach jedem Sicherheitsvorfall m\u00fcssen die IR- und BC-Teams des Unternehmens \u00fcberpr\u00fcfen, wie gut die Pl\u00e4ne umgesetzt wurden und wo Verbesserungen vorgenommen werden k\u00f6nnen.<\/p>\n

\u201eNach der Wiederherstellung nach einem Vorfall [und] \u00dcbungen des Vorfallsreaktionsprogramms muss eine disziplinierte Auswertung der gewonnenen Erkenntnisse erfolgen\u201c, so Taylor von Protiviti. \u201eDiese werden allgemein als After-Action-Reviews (AARs), Post-Incident-Reviews (PIRs), Hotwashes oder Debriefings bezeichnet. Unabh\u00e4ngig von der Bezeichnung ist ein disziplinierter und dokumentierter Ansatz zur Bew\u00e4ltigung sowohl positiver als auch negativer Aspekte nach einem Vorfall f\u00fcr eine kontinuierliche Verbesserung von entscheidender Bedeutung.\u201c<\/p>\n

Einfachheit und Modularit\u00e4t sollten im Vordergrund stehen<\/strong><\/h2>\n

Obwohl die Bedrohungslandschaft komplex ist, m\u00fcssen IR- und BC-Strategien dies nicht sein. Manchmal ist einfacher besser.<\/p>\n

\u201eWir sehen in der Regel, dass Organisationen zahlreiche, hundertseitige Ordner f\u00fcr ihre Notfallpl\u00e4ne erstellen, einen f\u00fcr die Reaktion auf Vorf\u00e4lle, einen anderen f\u00fcr die Gesch\u00e4ftskontinuit\u00e4t, einen weiteren f\u00fcr die Notfallwiederherstellung\u201c, beschreibt Kates von Wawa. \u201eDie meisten dieser Pl\u00e4ne \u00fcberschneiden sich erheblich und sind nur kopierte Vorlagen, die sie online gefunden haben.\u201c<\/p>\n

Anstatt f\u00fcr jede Art von Vorfall separate, umst\u00e4ndliche Pl\u00e4ne zu erstellen, empfiehlt Kates einen modularen \u2018Playbook\u201c-Ansatz. \u201eMan kann einige wenige gefahrenspezifische Playbooks entwickeln \u2013 Ransomware, Stromausfall, Unwetter \u2013, die g\u00e4ngige Funktionen der Reaktion auf Vorf\u00e4lle [wie] Kommunikation, Lagebewertung, Umgehung von Gesch\u00e4ftsprozessen \u2013 sofort einsatzbereit machen\u201c.<\/p>\n

Dieser Ansatz erm\u00f6gliche es den Teams, relevante Ma\u00dfnahmen je nach Art des Vorfalls zu aktivieren und zu kombinieren, wodurch ein n\u00fctzlicherer Plan entsteht. \u201eIch habe festgestellt, dass es auch viel einfacher ist, als mehrere gro\u00dfe Pl\u00e4ne zu verwalten, um sicherzustellen, dass die Informationen aktuell bleiben\u201c, sagt er. \u201cDie Strategieb\u00fccher enthalten Checklisten und Entscheidungsb\u00e4ume, die die Einsatzkr\u00e4fte durch komplexe Verfahren f\u00fchren und so die kognitive \u00dcberlastung w\u00e4hrend einer Krise reduzieren.\u201c (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Lesen Sie, welche Schritte f\u00fcr Ihren Notfallplan besonders wichtig sind. PeopleImages.com \u2013 Yuri A \u2013 Shutterstock.com Wenn ein Unternehmen einen gr\u00f6\u00dferen Ausfall seiner IT-Systeme erlebt \u2013 beispielsweise aufgrund eines Cyberangriffs \u2013 ist es zu diesem Zeitpunkt nicht mehr voll gesch\u00e4ftsf\u00e4hig. Deshalb ist ein effektiver Plan zur Reaktion auf Vorf\u00e4lle (Incident Response, IR) unerl\u00e4sslich. Es geht jedoch nicht nur darum, die Quelle eines Angriffs zu finden… <\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14669","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14669","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14669"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14669\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14669"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14669"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14669"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}