Incident Response Management
Wir bieten Ihnen zuverlässige Unterstützung bei IT Sicherheitsvorfällen
Wofür
Incident-Response oder Vorfallreaktion ist ein hochgradig organisierter Ansatz zur Handhabung von Cyberangriffen. Insbesondere die Adressierung und das Management der Folgen einer Sicherheitsverletzung oder eines Cyberangriffs stehen hier im Mittelpunkt. Unser Ziel ist es, die Situation eines Security-Incident für Sie in jedem Fall so zu handhaben, dass Schäden begrenzt und Wiederherstellungszeit und -kosten reduziert werden.
Incident Impact
Durchschnittlich 75.000 Euro Schaden entsteht bei Sicherheitsverletzungen. In diesem Betrag sind Imageschäden und Ausfälle des Geschäftsbetriebs noch nicht enthalten. Zu diesem Ergebnis kommt die Studie „Incident Response Management. How European Enterprises are Planning to Prepare for a Cyber Security Breach“ des Marktanalyse- und Beratungsunternehmens PAC. Der Studie liegen die Aussagen von 200 IT-Entscheidern und Sicherheitsverantwortlichen aus Unternehmen aus Großbritannien, Frankreich und Deutschland (Unternehmensgröße 1.000+ Mitarbeiter) zugrunde. Eine wichtige Erkenntnis formulierte Duncan Brown, Research Director bei PAC: „86 Prozent der Firmen glauben, auf einen Cyber-Angriff vorbereitet zu sein“, aber 39 Prozent haben keinen Bereitschaftsplan für Sicherheitsverletzungen aus dem Internet!“.
Unser Serviceportfolio
Microsoft 365
Warum Sie sich mit der Sicherheit von Microsoft 365 beschäftigen müssen und wie wir Sie bei der Absicherung unterstützen lesen Sie hier.
Cloud-Hosting
Ersetzen Sie Ihre lokale Hardware durch hochverfügbare und kosteneffiziente Cloud-Ressourcen. Mit einer Metro Cloud-Lösung bleiben Ihre Daten in ISO-27001 zertifizierten Rechenzentren in Hamburg.
Mehrwert
Incident Response: 6 Phasen
Reaktion gemäß SANS und NIST
Phase 01: Vorbereitung
In dieser Phase wird der Incident Response Plan erarbeitet und in der Organisation implementiert. Diese Phase wird vor einer realen Cyber-Attacke durchlaufen, sie bereitet ein Unternehmen auf eine Cyber Attacke vor.
Phase 02: Absicherungsmaßnahmen und Beweissicherung
Die Analyse einer Bedrohung erfolgt bei jeder Beobachtung einer Anomalie. Hier werden auch der Incident Scope und der Ablauf des Angriffs einschließlich der Tools und Methoden ermittelt. Zum Ersteren rechnet man auch die Ermittlung aller vom Angriff betroffenen Systeme, Netzwerke und Anwendungen. Auch eine Speicherung von Systemen für eine nachgelagerte forensische Analyse kann hier erfolgen. Der Incident Response Plan erleichtert die Auswahl einer Strategie, weil Strategien und Prozeduren zu typischen Incident-Szenarien bereits griffbereit vorliegen.
Phase 03: Wiederherstellung des Geschäftsbetriebes
In dieser Phase werden alle vom Incident betroffenen Systeme wiederhergestellt oder ersetzt. Sobald die Systeme im „sauberem“ Zustand vorliegen, wird der Normalbetrieb wiederaufgebaut.
Phase 04: Überwachung
Ein dediziertes Testing und Monitoring über einen längeren Zeitraum hinweg sichert die Wiedererreichung des Ausgangszustands ab.
Phase 05: Reporting
Der Incident-Report für Versicherungen und Behörden erfüllt die gesetzlichen Anforderungen und kann aufgrund des Incident Response Plans vorbereitet und gesetzeskonform ablaufen.
Phase 06: Erkenntnisse
Nach Abschluss der Maßnahmen werden die erzielten Erkenntnisse für ein Refinement des Incident Response Plans verwendet. Hier werden weitere Maßnahmen festgelegt, um bei künftigen Security Incidents ein Auftreten zu verhindern und Negativfolgen zu minimieren.
24h
Einsatzbereitschaft
Wir sind schnell Einsatzbereit und unterstützen sie bei einem Sicherheitsvorfall innerhalb weniger Stunden.
3
Kompetenzbereiche
Wir bieten Ihnen Kompetenzen in den Bereichen IT-Sicherheitsberatung, Management und operativer Betrieb und Netzwerk und Infrastruktur aus einer Hand.
1h
Reaktionszeit
Unsere Kunden können bei einem Sicherheitsvorfall mit einer schnellen Reaktionszeit rechnen.
Wie wir helfen
Methoden zur zielführenden
Umsetzung der Incident Response
Eines steht fest: die Phasen 02 und 03 sind die wichtigsten, da sie als einziges Ziel die Schadensminimierung und Wiederherstellung des Geschäftsbetriebs haben. Damit dies erfolgreich geschehen kann, haben wir als IT-Dienstleister organisatorische Strukturen aufgesetzt, die eine beschleunigte Recovery erst ermöglichen.
1. SENTINEL Incident Response Team
Die Absicherungsmaßnahmen werden von unserem Incident Response Team mit klarer Rollenverteilung und dediziert bearbeitet.
- Unser Incident Response Manager reagiert sofort, um eine Ausweitung des Schadens zu verhindern und um direkt Gegenmaßnahmen einzuleiten. Er nutzt seine Erfahrung und überwacht und priorisiert die Aktionen während der Erkennung, Analyse und Eindämmung des Incidents.
- Unsere Sicherheitsanalysten unterstützen den Manager von der ersten Sekunde des Einsatzes an. Sie ermitteln sicher in dem betroffenen Netzwerk die Zeit, den Ort und die Details des Vorfalls. Unsere Triage-Analysten prüfen alle Beobachtungen von Anomalien. Dabei filtern sie falsch positive Ergebnisse und fokussieren tatsächliche Security Incidents.
- Die Beweissicherung obliegt forensischen Analysten. Anhand von aufgefundenen Artefakten dokumentieren Sie alle Spuren des Angriffs. Die Artefakte liefern als erkennbare Rückstände des Angriffs wichtige Hinweise auf den Angreifer. Deren Integrität wird für die spätere Auswertung und Verfolgung gesichert.
2. Sofort-Gegenmaßnahmen vor Ort
Uns ist bewusst, dass Incident Response Handlung erfordert und Kommunikation nicht vernachlässigt werden darf. Wir wissen auch, dass diese Handlungen oft das Handanlegen an den physischen Geräten erfordert. Wir haben uns daher auf den Incident-Response-Einsatz organisatorisch vorbereitet.
- Der Regelfall für den Incident Response-Einsatz unserer Task Force ist der Vor-Ort-Einsatz beim Kunden.
- Der Regelfall für den Incident Response-Einsatz unserer Task Force ist der Einsatz noch am Tag der Meldung.
- Eine der ersten Maßnahmen des Incident Response Managers ist das Erstellen eines Reaktionsplans, den er mit dem Verantwortlichen der Kunden-Organisation abstimmt und dann sofort zur Umsetzung bringt.
- Der Incident Response Manager hält während des gesamten Einsatzes der Task Group engen, permanenten Kontakt mit dem Verantwortlichen in der Kunden-Organisation. So ist sichergestellt, dass zu jedem Zeitpunkt die Kunden-Organisation darüber informiert ist, welche Schritte gerade umgesetzt werden und welche Ergebnisse zu erwarten sind. Der Incident Response Manager übermittelt der Organisation des Kunden auch die besonderen Anforderungen bei Vorfällen mit hohem Schweregrad.
Sie haben Fragen an uns? Kontaktieren Sie unsere
Spezialisten!
E-Mail: [email protected]
Sicherheitsvorfälle lassen sich nicht vollständig vermeiden. Und wenn es dann soweit ist, geht es um Schadensminimierung in jeder Hinsicht. Mit Methodik und Routine sorgen wir dafür, dass Sie sich zeitnah wieder Ihrem Kerngeschäft widmen können.
Lars Heymeier
Geschäftsführer
Buchen Sie direkt im Kalender ihr persönliches Beratungsgespräch! >>>