Incident Response

Bezeichnet das strukturierte Reagieren auf IT-Sicherheitsvorfälle mit dem Ziel, Schaden zu begrenzen und Wiederherstellung zu ermöglichen. Ein gut gerüstetes Incident-Response-Team (IRT) folgt klar definierten Phasen: Preparation (Richtlinien, Werkzeuge, Schulungen), Identification (Anomalie-Detektion, Alerts, Erstbewertung), Containment (Kurzfristiges Eindämmen, z. B. Isolierung betroffener Systeme), Eradication (Schadcode-Entfernung, Patch-Management) und Recovery (Systemwiederherstellung, Monitoring nach Wiederanbindung). Abschließend erfolgt Lesson Learned (Post-Mortem), um Lücken im Prozess oder technische Defizite aufzudecken. Tools wie SOAR-Plattformen (Security Orchestration, Automation and Response) automatisieren Alarmtriage, während forensische Tools (z. B. Volatility) bei der Ursachenanalyse helfen. Krisenkommunikation mit Stakeholdern, Dokumentation für Rechtsverfahren und regulatorische Meldepflichten (z. B. DSGVO-Benachrichtigung) sind integraler Bestandteil eines ganzheitlichen IR-Konzepts.