Tipps und Ratschläge für einen effektiven Incident-Response-Plan

Neben Plänen für Business Continuity (BC) und Disaster-Recovery (DR) ist auch ein Incident-Response-Plan wichtig. Wir geben Tipps zur Erstellung.

Neben einem Disaster-Recovery-Plan auch einen Incident-Response-Plan zu haben, ist äußerst wichtig. Als Incidents...

sind dabei Vor- oder Störfälle gemeint, die sich bei nicht angemessenen Reaktionen zu einem Desaster entwickeln können. 

Weiterhin sind sie oftmals der erste Schritt, ein Desaster zu erkennen. Kommt es im Unternehmen zu einer vom normalen Regelbetrieb abweichenden Situation, muss man das so schnell wie möglich erkennen. Eine Einschätzung der Art und Schwere ist unabdingbar. Im Anschluss kann man angemessen darauf reagieren.

Stufen Sie eine Situation als einen Vorfall oder ein Desaster ein, sollten Sie nach Möglichkeit die Schwere des Ereignisses einschätzen und evaluieren können, wie schnell man die Situation bereinigen kann. Ein Vorfall ist sollte als Situation definiert sein, die zu einer Störung der Geschäftstätigkeiten, einem Ausfall, Verlusten oder einer Krise führen kann. 

Ein sehr einfaches Beispiel wäre ein Leck in einer Leitung. Sollte die Leitung platzen, könne das schnell in einem Desaster enden. Bahnt sich ein Virus den Weg in das Unternehmensnetzwerk, würde man das anfänglich als einen Vorfall behandeln. In dem Fall nimmt man an, dass sich das Problem schnell mithilfe entsprechender Software-Tools und Security-Techniken adressieren lässt. Sollte der Virus Ursache für einen groß angelegten DoS-Angriff (Denial-of-Service) sein, wird der Vorfall schnell zu einem Desaster. In diesem Fall wäre die Geschäftstätigkeit wahrscheinlich komplett unterbrochen.

In diesem Leitfaden zur Incident-Response-Planung zeigen wir Ihnen, wie Sie einen solchen Plan aufsetzen. Weiterhin behandeln wir, was darin enthalten sein sollte.

Was ist ein Incident-Reponse-Plan?

Incident-Response-Pläne nennt man manchmal auch Notfall-Managementpläne. So oder so kommt es natürlich nicht auf den Namen, sondern auf den Inhalt an. Der Aufbau sollte konsistent sein und angemessene Praktiken zur Reaktion auf Vorfälle enthalten. Ein Incident-Response-Plan besteht aus Organisation, Aktionen und Prozeduren wie folgt:

  • Erkennen Sie einen Vorfall und reagieren Sie darauf.
  • Schätzen Sie die Situation schnell und effizient ein.
  • Benachrichtigen Sie die entsprechenden Ansprechpartner und Organisationen über den Vorfall.
  • Organisieren Sie die Reaktion der Firma. Das gilt auch für die Instandsetzung einer Kommandozentrale.
  • Weiten Sie die Reaktionsbemühungen je nach Schwere des Vorfalls aus.
  • Unterstützen Sie die Wiederherstellungsanstrengungen, die nach einem Vorfall stattfinden.

Incident-Response-Pläne minimieren tatsächlich die betrieblichen und finanziellen Auswirkungen potenzieller Desaster. Sie treten in der Regel in Kraft, wenn ein Beauftragter vor Ort oder eine entsprechend geschulte Person einen Vorfall oder eine abnormale Situation deklariert. Incident-Response-Pläne werden meist vor detaillierteren Abläufen wie zum Beispiel Disaster-Recovery- und Business-Continuity-Plänen eingesetzt. 

Sehen wir uns eine typische Zeitleiste im Hinblick auf ein Desaster an, ist das Vorfallsmanagement oder bildlich gesprochen der Ersthelfer und der Ausgangspunkt für weitere Wiederherstellungs-Prozesse.

Zu guten Business-Continuity-Praktiken, die von Organisationen wie dem Business Continuity Institute und DRI International unterstützt werden, gehören natürlich auch Incident-Response-Pläne. Sie sind ein essenzieller Teil eines kompletten Business-Continuity-Management-Prozesses

Ein gut organisiertes Incident-Response-Team mit einem detaillierten Plan kann helfen, die Auswirkungen einer ungeplanten Situation zu lindern. Schnelle Reaktion in Kombination mit gut durchdachten Aktionen kann ein Unternehmen oftmals davor bewahren, komplexere und teurere Disaster-Recovery- und Business-Continuity-Pläne ausführen zu müssen. Häufig hilft die richtige Reaktion auf einen Vorfall einer Firma schnell wieder in zurück zum Normalzustand.

Es gibt allerdings auch Situationen, denen die Incident-Response-Teams nicht mehr gewachsen sind. In solchen Fällen geben diese Teams die bekannten Informationen an die Notfall-Managementteams und Rettungskräfte wie zum Beispiel Feuerwehr oder Polizei weiter. Ist physischer Schaden an Gebäuden oder wichtigen Business-Systemen involviert, zieht man die Mitarbeiter zu einem alternativen Standort um und aktiviert anschließend die BC- oder DR-Pläne.

Wichtige Überlegungen zur Incident-Response-Planung

Nachfolgend finden Sie einige wichtige Punkte, die Sie für die Erstellung eines Incident-Response-Plans in Betracht ziehen sollten.

  • Die Unterstützung der Geschäftsleitung ist essenziell. Ohne die Unterstützung der Geschäftsleitung können Sie keinen guten Incident-Response-Plan ausformulieren. Weiterhin ist es nicht möglich, ein gutes Team auszubilden, das angemessen auf Vorfälle reagiert.
  • Halten Sie den Plan so einfach wie möglich. Ein gut strukturierter, Schritt-für-Schritt-Plan mit relevanten Informationen wird helfen, die meisten Vorfälle unbeschadet zu überstehen.
  • Kommunizieren Sie den Status des Vorfalls regelmäßig. Geben Sie relevante Fakten aus, sobald diese verfügbar sind. Verbreiten und aktualisieren Sie diese schnell. Halten Sie relevante Parteien auf dem Laufenden und korrigieren Sie falsche Fakten.
  • Überprüfen und testen. Sobald der Incident-Response-Plan fertig ist, überprüfen und exerzieren Sie diesen durch. Damit garantieren Sie, dass die dokumentierten Prozeduren auch Sinn ergeben. Weiterhin stellen Sie sicher, dass die Teams entsprechend ausgerüstet sind, um den Plan angemessen durchführen zu können.
  • Seien Sie flexibel. Ein Incident-Response-Plan sollte von Natur aus flexibel gestaltet sein, damit er sich an verschiedene Situationen anpassen lässt. Dazu sollte auch gehören, wer zum Team gehört und wer Zugriff auf die Ressourcen hat, die den Vorfall lindern.

Stellen Sie bei der Entwicklung eines Incident-Response-Plans sicher, dass Sie diesen mit verschiedenen internen Abteilungen absprechen. Dazu gehören Gebäudemanagement, Rechtsabteilung, Risikomanagement und andere Abteilungen, die für die Aufrechterhaltung des Betriebs wichtig sind. Sofern möglich, lassen Sie auch lokale Rettungsorganisation über den Incident-Response-Plan schauen. Ihre Vorschläge sind sicher wertvoll, um den Erfolg Ihres Plans zu garantieren.

Die Entwicklung eines Incident-Response-Plans involviert das Unternehmensmanagement und eine proaktive Richtlinie für Business Continuity (BC), sowie Disaster-Recovery (DR). Der Schlüssel zum Erfolg sind Schritt-für-Schritt-Prozeduren, gut geschulte Mitarbeiter zu diesem Themenbereich, vorgefertigte Formulare für die Bewertung des Schadens und des Vorfalls, periodische Überprüfungen sowie Übungen und Wartung des Plans und dazugehörige Komponenten.

Über den Autor:
Paul Kirvan, CISA und FBCI, bringt 24 Jahre Erfahrung in Sachen BCM (Business Continuity Management) mit sich. Er ist Consultant, Autor und Ausbilder und hat dutzende Schulungen und Betriebsprüfungen bezüglich BCMS (Business Continuity Management System) nach den internationalen Standards BS 25999 und ISO 22310 durchgeführt. Kirvan arbeitet derzeit als freier BCM-Consultant und -Betriebsprüfer. Weiterhin ist er Vorsitzender von Business Continuity Institute USA und ein Mitglied des BCI Global Membership Council. Sie können ihn unter pkirvan@msn.com erreichen.

Folgen Sie SearchDataCenter.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Disaster-Recovery-Strategien, Business-Continuity und Virtualisierung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close