Vorfallreaktionsplan – Incident Response Plan (IRP)

Ein Vorfallreaktionsplan, auch Incident Response Plan (IRP) genannt, ist eine Ansammlung an schriftlichen Anweisungen. Mithilfe des Dokuments sollen Sicherheitsvorfälle entdeckt werden. Weiterhin sind dort angemessene Reaktionen hinterlegt, die wiederum zur Limitierung der Auswirkungen führen.

Vorfallreaktionspläne stellen Anweisungen zur Verfügung, inwiefern die zuständigen Personen auf potenzielle Szenarios reagieren sollten. Dazu gehören Datensicherheitsverletzungen, DoS (Denial of Service), DDoS (Distributed Denial of Service), Lücken in der Firewall, Ausbrüche von Viren oder Malware und auch Bedrohungen durch Insider. Ohne einen Vorfallreaktionsplan entdecken Unternehmen Angriffe möglicherweise erst gar nicht oder können nicht angemessen auf die Bedrohungen reagieren. Auch eine Wiederherstellung nach einem Vorfall ist ohne so einen Plan oftmals problematisch.

Laut dem SANS Institute gibt es bei einem Vorfallreaktionsplan sechs wichtige Phasen:

1. Vorbereitung: Sowohl die Anwender als auch die IT-Mitarbeiter müssen geschult oder in Kenntnis gesetzt werden, dass potenzielle Vorfälle passieren können.
2. Identifikation: Bestimmung, ob es sich bei einem Ereignis tatsächlich um einen Sicherheitsvorfall handelt.
3. Eindämmung: Den durch den Vorfall verursachten Schaden begrenzen und die betroffenen Systeme isolieren, um weiteren Schaden zu vermeiden.
4. Ausmerzung: Die Ursache oder den Auslöser des Vorfalls finden und die betroffenen Systeme aus der produktiven Umgebung entfernen.
5. Wiederherstellung: Betroffene Systeme wieder in die produktive Umgebung integrieren, nachdem sichergestellt ist, dass keine weiteren Bedrohungen bestehen.
6. Gewonnene Erkenntnisse: Vervollständigung der Vorfalldokumentation und Analyse, was das Team oder das Unternehmen aus dem Vorfall lernen kann. Auf diese Weise lassen sich künftige Reaktionen unter Umständen verbessern.

Ein Vorfallreaktionsplan kann einem Unternehmen helfen, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren. Die Identifikation der teilnehmenden Interessenverbände, das Rationalisieren der forensischen Analysen, das Beschleunigen der Wiederherstellungszeit und die Reduzierung negativer Publicity sind das Ziel. Somit gewinnen Unternehmensmanagement, Besitzer und Aktionäre an Vertrauen. Der Plan sollte beinhalten, welche Rollen und Verantwortlichkeiten die Mitglieder des Reaktionsteams haben. Weiterhin muss der Plan von diesem Team getestet und in die Tat umgesetzt werden. Der Plan sollte außerdem Informationen zu den Tools, den Technologien und den physischen Ressourcen beinhalten, mit denen das Unternehmen auf Datensicherheitsverletzungen reagiert.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!