Dreaming Andy - Fotolia
Vorfallreaktion und Incident-Management: Die Unterschiede
Die Begriffe Incident-Management und Incident Response werden auch von Security-Verantwortlichen manchmal synonym verwendet. Sie sind technisch gesehen aber nicht gleichbedeutend.
Wie effektiv ein Unternehmen mit einem Cybersicherheitsvorfall umgeht, hat einen erheblichen Einfluss darauf, wie viel Schaden entsteht und wie schnell sich das Unternehmen erholen kann.
Unternehmen benötigen sowohl Strategien für das Management als auch für die Reaktion auf Vorfälle. Obwohl sich die beiden Begriffe überschneiden - und viele Sicherheitsexperten sie austauschbar verwenden - sind sie technisch unterschiedlich.
Was ist Incident-Management?
Das Management von Vorfällen bezieht sich auf den umfassenderen strategischen Umgang einer Organisation mit einem Vorfall. Es erfordert die koordinierte Aufsicht einer Führungsgruppe, der in der Regel Vertreter von Teams wie Vorstand, IT, Rechtsabteilung, Kommunikation und Personalwesen angehören.
Nachfolgend sind einige Aufgaben aufgeführt, die typischerweise von einer Gruppe für das Management von Zwischenfällen übernommen werden:
- die proaktive Ausarbeitung von Plänen zur Bewältigung von Zwischenfällen, bevor es zu einem Vorfall kommt;
- Beaufsichtigung der technischen Maßnahmen während eines aktiven Vorfalls;
- bei Bedarf die Hilfe Dritter in Anspruch nehmen;
- die Entscheidung, wann und wie die Einzelheiten des Vorfalls und die Reaktion der Organisation mit Mitarbeitern, Kunden, Aufsichtsbehörden und den Medien unter Berücksichtigung der gesetzlichen und regulatorischen Vorschriften kommuniziert werden sollen; und
- die Nachbereitung des Vorfalls, um zu bewerten, wie er in künftige Strategien zur Bewältigung von Vorfällen einfließen sollte.
Was versteht man unter Vorfallreaktion (Incident Response)?
In seiner engsten Definition ist die Reaktion auf Vorfälle der technische Teil des übergreifenden Vorfallmanagementprozesses. Stellen Sie sich vor, eine Organisation wird Opfer eines Ransomware-Angriffs. Die Reaktion auf den Vorfall würde die folgenden Aktivitäten umfassen:
- die anfängliche Identifizierung des Vorfalls, vielleicht durch ein SIEM oder ein Tool zur Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR, Security Orchestration, Automation and Response);
- eine Warnung eines Mitarbeiters oder von einem externen Security Operations Center (SOC);
- die Eindämmung der Ransomware, wenn die Identifizierung rechtzeitig erfolgte;
- den Versuch, die Infektion aus dem Netzwerk zu beseitigen; und
- die Wiederherstellung von Daten aus Sicherungskopien.
Das typische Incident-Response-Team besteht hauptsächlich aus internen Sicherheits- und IT-Fachleuten, vielleicht mit Unterstützung durch externe Sicherheitsanbieter.
Unterschiede zwischen Incident-Management und Incident Response
Die Reaktion auf Vorfälle ist taktisch und zielgerichtet, während das Vorfallmanagement strategisch und umfassend ist.
Da die Reaktion auf Vorfälle im Wesentlichen eine Teilmenge des Vorfallmanagements ist, kann das eine ohne das andere nicht erfolgreich sein. Die übergreifende Strategie für das Incident-Management hat einen großen Einfluss auf die technischen Vorfallreaktionsprozesse. Und die Reaktion auf Vorfälle wirkt sich direkt darauf aus, wie wahrscheinlich es ist, dass das Unternehmen sensible Daten durch Diebstahl oder Verschlüsselung verliert, was sie zu einem wichtigen Teil des Vorfallmanagements macht.
Die Reaktion auf einen Vorfall hat erhebliche unmittelbare Auswirkungen, da sie bestimmt, wie schnell und effektiv sich ein Unternehmen von einem Angriff oder einem anderen Sicherheitsvorfall erholen kann.
Das Vorfallmanagement hat in der Regel größere langfristige Auswirkungen auf das Geschäft, da es die Kommunikation mit den wichtigsten Interessengruppen umfasst. Verfügt ein Unternehmen nicht über eine wirksame Strategie zur Bewältigung eines Angriffs, ist die Wahrscheinlichkeit, dass er bei Mitarbeitern, Kunden, Medien, Aufsichtsbehörden und der Öffentlichkeit negative Aufmerksamkeit erregt, sehr viel größer - was dem Ruf der Marke langfristig schadet. Aus diesem Grund ist ein Plan für die Reaktion auf Vorfälle (IRP, Incident Response Plan), der Details zum Incident-Management enthält, von entscheidender Bedeutung.
Außerdem ist es unerlässlich, das Management von und die Reaktion auf Vorfälle anhand realistischer Übungsszenarien zu proben. Es ist erstaunlich, wie oft Unternehmen glauben, dass ihre Reaktionspläne effektiv sind, bis beim Testen einfache Fehler aufgedeckt werden - wie zum Beispiel die Speicherung des Reaktionsplans in demselben Netzwerk, das von Hackern verschlüsselt wurde, wodurch er unzugänglich ist.