Was sind die 6 Phasen der Incident Response?

Das NIST-Framework definiert 4 Phasen (Vorbereitung, Erkennung und Analyse, Eindämmung/Beseitigung/Wiederherstellung, Post-Incident-Aktivität), während das SANS-Framework diese auf 6 erweitert: Vorbereitung, Identifikation, Eindämmung, Beseitigung, Wiederherstellung und Lessons Learned. Beide Frameworks betonen, dass Incident Response zyklisch ist, nicht linear, wobei Erkenntnisse aus jedem Vorfall zukünftige Vorbereitungs- und Erkennungsfähigkeiten verbessern.

Was sollte ein Incident-Response-Plan beinhalten?

Ein umfassender IR-Plan sollte enthalten: Rollen und Verantwortlichkeiten (wer macht was bei einem Vorfall), Kommunikationsverfahren (interne Eskalation, externe Benachrichtigung, Medienhandhabung), Klassifizierungskriterien nach Schweregradniveaus, Eindämmungsstrategien für verschiedene Vorfallstypen, Beweissicherungsverfahren, Kontaktlisten (Rechtsberatung, Strafverfolgung, IR-Retainer, Versicherung), Wiederherstellungsverfahren und Post-Incident-Review-Vorlagen.

Was ist der Unterschied zwischen Incident Response und Disaster Recovery?

Incident Response konzentriert sich auf das Erkennen, Eindämmen und Beseitigen von Sicherheitsbedrohungen (Malware, Datenschutzverletzungen, Angriffe) bei gleichzeitiger Beweissicherung für Untersuchungen. Disaster Recovery konzentriert sich auf die Wiederherstellung von IT-Systemen und Geschäftsbetrieb nach jeder Störung (Naturkatastrophen, Hardwareausfälle, Cyberangriffe). IR ist sicherheitsorientiert und investigativ; DR ist betriebsorientiert und restaurativ.

Wie oft sollte der Incident-Response-Plan getestet werden?

Organisationen sollten vierteljährlich Planspielübungen, halbjährlich technische Simulationen (Purple-Team-Übungen) und jährlich eine vollständige IR-Plan-Überprüfung durchführen. Nach jedem bedeutenden Vorfall sollte eine Lessons-Learned-Überprüfung stattfinden und der Plan entsprechend aktualisiert werden. Regulatorische Rahmenwerke wie PCI DSS verlangen jährliche Tests. Studien zeigen, dass Organisationen mit regelmäßig getesteten IR-Plänen Verletzungskosten um durchschnittlich 2,66 Millionen Dollar reduzieren.

Was ist Incident Response? Phasen und Best Practices

Warum es wichtig ist

Jede Organisation wird früher oder später einen Sicherheitsvorfall erleben. Die Effektivität ihrer Reaktion bestimmt, ob ein Vorfall ein handhabares Ereignis oder eine katastrophale Verletzung wird. Incident Response bietet die Struktur und Prozesse, um Sicherheitsereignisse effektiv zu handhaben.

Die Kosten unzureichender Incident Response sind erheblich. Organisationen, denen formale IR-Fähigkeiten fehlen, erleben längere Angriffsverweilzeiten (Monate vs. Tage), weitgehendere Kompromittierung, höhere finanzielle Auswirkungen und größere Reputationsschäden.

Über die unmittelbare Schadensminderung hinaus ermöglicht Incident Response Lernen. Jeder Vorfall bietet Informationen über Angreifertechniken, organisatorische Schwächen und Verteidigungslücken. Strukturierter IR extrahiert diesen Wert durch Lessons-Learned-Prozesse.

Regulatorische Anforderungen schreiben zunehmend IR-Fähigkeiten vor. DSGVO, HIPAA, PCI-DSS und andere Frameworks verlangen dokumentierte Incident-Response-Verfahren und rechtzeitige Breach-Benachrichtigung.

Der Incident Response Lebenszyklus

Das NIST Computer Security Incident Handling Guide definiert einen weit verbreiteten IR-Lebenszyklus:

NIST Incident Response Lebenszyklus

Vorbereitung

Erkennung & Analyse

Eindämmung, Beseitigung & Wiederherstellung

Aktivitäten nach dem Vorfall

Phase 1: Vorbereitung

Etablierung der IR-Fähigkeit vor Auftreten von Vorfällen:

vorbereitungscheckliste.txt

Text


Vorbereitungselemente:

Personen:
- Incident Response Team etablieren
- Rollen und Verantwortlichkeiten definieren
- Training und Zertifizierung anbieten
- Kontaktlisten pflegen

Prozesse:
- Incident Response Plan erstellen
- Playbooks für häufige Vorfallstypen entwickeln
- Kommunikationsverfahren definieren
- Eskalationspfade etablieren

Technologie:
- IR-Toolkits zusammenstellen
- Forensische Workstations einrichten
- Erkennungsfähigkeiten sicherstellen (SIEM, EDR)
- Backup-Kommunikationskanäle pflegen

Übungen:
- Tabletop-Übungen durchführen
- Technische IR-Übungen durchführen
- Plan basierend auf Erkenntnissen aktualisieren

Phase 2: Erkennung & Analyse

Potenzielle Vorfälle identifizieren und deren Schweregrad bestimmen:

Erkennungsquellen:

SIEM-Alerts und -Korrelationen
EDR-Erkennungen
Benutzerberichte
Externe Benachrichtigungen
Threat-Intelligence-Feeds

Analyseaktivitäten:

Initiale Triage und Validierung
Schweregrad- und Umfangsbewertung
Vorfallskategorisierung
Beweissammlung

schweregrad-klassifizierung.txt

Text


Beispiel Vorfalls-Schweregradmatrix:

Kritisch (P1):
- Bestätigte Verletzung mit Datenexfiltration
- Aktiver [Ransomware](/de/glossary/ransomware)-Angriff
- Kompromittierung geschäftskritischer Systeme

Hoch (P2):
- Bestätigte Kompromittierung, Umfang unbekannt
- Malware-Ausbruch
- Privilegierte Kontokompromittierung

Mittel (P3):
- Einzelsystem-Kompromittierung
- [Malware](/de/glossary/malware)-Erkennung ohne Ausbreitung
- Verdächtige Aktivität unter Untersuchung

Niedrig (P4):
- [Phishing](/de/glossary/phishing)-Versuch ohne Kompromittierung
- Richtlinienverletzung
- Potenzielle Indicators of Compromise

Phase 3: Eindämmung, Beseitigung & Wiederherstellung

Angreiferzugriff stoppen und normalen Betrieb wiederherstellen:

Eindämmung

Kurzfristig: Sofortige Maßnahmen zur Begrenzung des Schadens
Langfristig: Nachhaltige Kontrollen während der Untersuchung

eindaemmungsoptionen.txt

Text


Eindämmungsstrategien:

Netzwerk-Eindämmung:
- Betroffenes Segment isolieren
- Angreifer-IP-Adressen blockieren
- C2-Domänen sinkholing
- VPN-Zugriff deaktivieren

Host-Eindämmung:
- Vom Netzwerk isolieren (aber eingeschaltet lassen)
- Kompromittierte Konten deaktivieren
- Lateral-Movement-Pfade blockieren
- Host für Forensik einfrieren

Identitäts-Eindämmung:
- Betroffene Passwörter zurücksetzen
- Verdächtige Sitzungen widerrufen
- MFA für betroffene Konten durchsetzen
- Dienstkonten deaktivieren

Beseitigung

Malware und Hintertüren entfernen
Kompromittierte Zugangsdaten zurücksetzen
Ausgenutzte Schwachstellen patchen
Bereinigung über alle betroffenen Systeme verifizieren

Wiederherstellung

Systeme sicher wiederherstellen
Wiederhergestellte Systeme überwachen
Funktionalität verifizieren
Normale Operationen schrittweise wiederherstellen

Phase 4: Aktivitäten nach dem Vorfall

Aus dem Vorfall lernen:

Lessons Learned

Post-Incident-Review durchführen
Was gut lief identifizieren
Verbesserungsmöglichkeiten identifizieren
Erkenntnisse dokumentieren

Dokumentation

Abschlussbericht verfassen
Zeitleiste und Ursachen dokumentieren
Empfehlungen erfassen
Beweise angemessen aufbewahren

post-incident-review.txt

Text


Lessons Learned Meeting-Agenda:

1. Zeitleisten-Review
 - Was ist passiert und wann?
 - Wie wurde es erkannt?
 - Wie haben wir reagiert?

2. Was hat funktioniert
 - Effektive Erkennungen
 - Erfolgreiche Eindämmung
 - Gute Kommunikation

3. Verbesserungsmöglichkeiten
 - Erkennungslücken
 - Prozessengpässe
 - Werkzeugbeschränkungen
 - Kommunikationsprobleme

4. Aktionspunkte
 - Erkennungsverbesserungen
 - Playbook-Updates
 - Training-Bedarf
 - Werkzeuginvestitionen

Aufbau eines IR-Programms

Incident Response Plan

Dokumentierter Plan sollte enthalten:

IR-Team-Rollen und Kontaktinformationen
Vorfallskategorien und Schweregradkriterien
Eskalationsverfahren
Kommunikationsvorlagen
Rechtliche und Compliance-Anforderungen
Beweishandhabungsverfahren

Playbooks

playbook-beispiel.txt

Text


Ransomware Response Playbook:

Initiale Reaktion:
1. Betroffene Systeme nicht herunterfahren
2. Alle bekannten betroffenen Systeme vom Netzwerk isolieren
3. IR-Team und Führung benachrichtigen
4. Beweissicherung initiieren

Untersuchung:
5. Ransomware-Variante identifizieren
6. Infektionsvektor bestimmen
7. Laterale Bewegung identifizieren
8. Alle betroffenen Systeme identifizieren

Eindämmung:
9. Netzwerksegmente isolieren
10. C2-Kommunikation blockieren
11. Kompromittierte Zugangsdaten zurücksetzen
12. Backups schützen/verifizieren

Wiederherstellung:
13. Wiederherstellungsoptionen bewerten
14. Systeme aus sauberen Backups wiederherstellen
15. Wiederhergestellte Systeme überwachen
16. Abwehr stärken

Übungen und Tests

Tabletop-Übungen: Papierbasierte Szenarien
Technische Übungen: Praktische IR-Übungen
Vollsimulationen: Realistische Szenarien
Red Team-Übungen: Tatsächliche Angriffssimulation

Karriereverbindung

Incident Response-Fähigkeiten sind in allen Sicherheitsrollen gefragt. SOC-Analysten handhaben Vorfälle der Stufe 1, dedizierte Incident Responder behandeln komplexe Vorfälle, und Führungskräfte müssen IR-Fähigkeiten und Reaktion auf Führungsebene verstehen.

Incident Response Rollen (US-Markt)

Role	Entry Level	Mid Level	Senior
SOC Analyst	55 $	75 $	100 $
Incident Responder	80 $	105 $	135 $
IR Manager	110 $	140 $	175 $

Source: CyberSeek

Im Bootcamp

Wie wir Incident Response unterrichten

In unserem Cybersecurity-Bootcamp lernen Sie nicht nur Incident Response in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 8: Erweiterte Sicherheitsoperationen

Verwandte Themen, die Sie beherrschen werden:Incident ResponseDFIRThreat HuntingVolatility

Sehen Sie, wie wir das unterrichten

360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote

Blog

Karriere-Guides

Glossar

Zertifizierungen

Vergleiche

Tools

Autoren

Unternehmensschulung

Unsere Talente Einstellen

Incident Response

Warum es wichtig ist

Der Incident Response Lebenszyklus

Phase 1: Vorbereitung

Phase 2: Erkennung & Analyse

Phase 3: Eindämmung, Beseitigung & Wiederherstellung

Phase 4: Aktivitäten nach dem Vorfall

Aufbau eines IR-Programms

Incident Response Plan

Playbooks

Übungen und Tests

Karriereverbindung

Incident Response Rollen (US-Markt)

Wie wir Incident Response unterrichten