Incident Management

Was ist Incident Management?

Incident Management bezeichnet den strukturierten Umgang mit sicherheitsrelevanten Vorfällen in IT-Systemen – von der Erkennung über die Eindämmung bis zur Wiederherstellung und Nachbearbeitung. Ziel ist es, negative Auswirkungen auf Geschäftsprozesse und IT-Infrastrukturen zu minimieren, Beweise rechtssicher zu sichern und die Ursachen des Vorfalls systematisch zu beheben. Incident Management ist ein zentraler Bestandteil des Informationssicherheits-Managementsystems (ISMS) und stellt sicher, dass Organisationen auf Bedrohungen wie Malware-Befall, Datenlecks oder Insider-Angriffe professionell reagieren können.

Technischer Aufbau & Varianten

Kernphasen eines Incident-Response-Prozesses:

• Detection & Reporting: Erkennen verdächtiger Aktivitäten (z. B. über SIEM, IDS/EDR, Log-Analysen)

• Triage: Einordnung nach Schweregrad, betroffenen Systemen und Auswirkungen

• Containment: Isolierung betroffener Systeme zur Verhinderung der Ausbreitung

• Eradication & Recovery: Entfernung des Angriffsvektors und Wiederherstellung des Betriebs

• Lessons Learned: Dokumentation, Analyse und Ableitung von Verbesserungsmaßnahmen

Beteiligte Komponenten:

• Incident Response Team (IRT) oder CSIRT

• Playbooks und Runbooks für standardisierte Reaktionen

• Forensische Tools zur Beweissicherung (z. B. Volatility, FTK)

• SIEM-Plattformen zur zentralen Ereignis-Korrelation

• Notfallkommunikationskanäle und Eskalationswege

Relevanz in der Praxis

Ein professionelles Incident Management hilft Unternehmen:

• Reaktionszeiten zu verkürzen und Angreifer schnell zu isolieren

• Rechtssichere Dokumentation für Audit, Haftung oder Strafverfolgung zu liefern

• Ruf- und Reputationsschäden durch koordinierte Krisenkommunikation zu minimieren

• Lessons Learned in bestehende Prozesse und Schulungen zu integrieren

Standards & regulatorische Anforderungen

• ISO/IEC 27035: Leitlinie für Incident-Handling-Prozesse

• NIS-2: fordert strukturierte Reaktionsprozesse auf Sicherheitsvorfälle

• DORA: verlangt Meldepflicht für Cybervorfälle in der Finanzindustrie

• BSI IT-Grundschutz: OPS.9 „Reaktion auf Sicherheitsvorfälle“

• DSGVO: Artikel 33 – Pflicht zur Meldung von Datenpannen an Aufsichtsbehörden

Verwandte Begriffe

• Security Information and Event Management (SIEM)

• Endpoint Detection and Response

• Forensic Readiness

• Incident Response Plan

• SOC (Security Operations Center)

• Cybersecurity

Beispiel aus der Praxis

Ein mittelständisches Unternehmen entdeckte ungewöhnlichen Datenverkehr zu einem externen Server. Das Incident-Response-Team identifizierte durch SIEM-Korrelation und EDR-Analyse ein kompromittiertes Nutzerkonto. Nach sofortiger Isolierung des Endpunkts wurde mithilfe forensischer Tools der Schadcode extrahiert. Die Nachbereitung ergab ein Phishing-Vektor über ein veraltetes Webportal, was zur Einführung eines Phishing-Simulationsprogramms führte.