Datenschutz-Glossar

Incident-Response

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist eine Incident-Response?

Eine Incident-Response ist eine Reihe von Maßnahmen, die eine Organisation ergreift, wenn sie einem Ereignis wie einer Sicherheitsverletzung oder einem Cyberangriff ausgesetzt ist. Zu den Maßnahmen, die zur Reaktion auf den Vorfall ergriffen werden, gehören Vorbereitung, Erkennung, Eindämmung, Beseitigung und Wiederherstellung. Ein Vorfall kann jede unerwünschte Netzwerk- oder Systemaktivität sein, die die Computer- und Netzwerksicherheit gefährdet.

Incident-Response und Netzwerksicherheit sind eng miteinander verbunden. Bei der Netzwerksicherheit besteht das Ziel einer Organisation darin, Vorfälle zu verhindern. Wenn ein Angriff trotz Netzwerksicherheitsbemühungen erfolgreich ist, benötigt eine Organisation eine effektive Incident-Response, um den Angriff zu stoppen, Schäden zu mindern und den Netzwerksicherheitsplan für die Zukunft zu verbessern. Die beste Praxis für die effektivste Incident-Response besteht darin, einen formellen Incident-Response-Plan zu haben - ein Satz von Verfahren, der alle Aspekte der Reaktion von der Erkennung bis zur Wiederherstellung beschreibt.

Welche Ereignisse erfordern eine Incident-Response?

Ein Angriff, der eine Incident-Response erfordert, kann viele Formen annehmen, einschließlich (aber nicht beschränkt auf) ein Datenleck, Ransomware-Angriff, Distributed Denial of Service Angriff (auch bekannt als DDoS), Malware, installiert durch eine Phishing-Falle oder eine Geschäftsemail-Komprimittierung (eine Form von Social Engineering, bei dem sich jemand in einer E-Mail als Mitarbeiter ausgibt). Vorfälle können extern oder innerhalb des Systems der Organisation entstehen. Ein Vorfall, der eine Reaktion erfordert, muss kein tatsächlicher Angriff sein, sondern kann eine “unmittelbare Bedrohung” eines neuen Angriffsschemas oder eine neu entdeckte Sicherheitslücke in der Software sein.

Was ist ein Incident-Response-Plan?

Obwohl es möglich ist, einen Vorfall ohne formellen Plan zu behandeln, kann ein formeller Incident-Response-Plan schnellere Maßnahmen und ein effektiveres Ergebnis ermöglichen. Vordefinierte Teams, die bestimmten Aufgaben zugeordnet sind, können effizienter reagieren, ein wichtiger Vorteil, wenn eine Organisation aktiv unter Angriff steht.

Ein Incident-Response-Plan ist hochgradig spezifisch für die einzelne Organisation und spiegelt deren Netzwerk und Daten, deren Personal sowie deren Sicherheitsprioritäten und wahrgenommene Schwachstellen wider. Zusätzlich zur detaillierten Beschreibung, was getan werden sollte, um die Bedrohung einzudämmen und zu beseitigen, sollte ein Incident-Response-Plan auch das Personal und seine Verantwortlichkeiten, die richtigen Kommunikationskanäle sowie die Werkzeuge und Genehmigungen, die das Reaktionsteam benötigt, festlegen.

Die Schritte einer Incident-Response

Eine Incident-Response folgt in der Regel diesen fünf Schritten, wie sie im Incident-Response-Plan festgelegt sind, sofern ein solcher existiert. Die Details innerhalb jedes Schrittes variieren stark je nach Organisation und Art der Bedrohung.

  • Erkennung und Analyse: Dieser Schritt überschneidet sich mit den Netzwerksicherheitsverfahren, insbesondere dem Teil des Netzwerksicherheitsplans, der die Aktivitäten im Netzwerk überwacht. Wenn die Netzwerksicherheitsüberwachung einen möglichen Vorfall erkennt, können die zugewiesenen Mitarbeiter die im Incident-Response-Plan identifizierten Werkzeuge verwenden, um den Vorfall zu analysieren und das Ausmaß des Vorfalls zu bestimmen.
  • Eindämmung: Wenn ein Vorfall erkannt und das Ausmaß seiner Auswirkungen bewertet ist, besteht der nächste Schritt darin, den Schaden zu minimieren, indem der Vorfall eingedämmt wird. Eine weitere Ausbreitung des Angriffs durch das Netzwerk der Organisation oder nach außen hin zu verbundenen Netzwerken zu verhindern, kann beinhalten, betroffene Geräte (wie Server oder Computer) oder Netzwerksegmente physisch zu isolieren. Der Eindämmungsschritt kann auch das Sichern des betroffenen Systems (zur späteren Analyse oder als Beweismittel bei einer möglichen Strafverfolgung) und das Sichern bedrohter Daten umfassen.
  • Beseitigung: Sobald die Bedrohung eingedämmt ist, konzentrieren sich die Maßnahmen auf die gründliche Entfernung der Bedrohung, sei es durch Löschen von Malware oder Entfernen des Angreifers aus dem System. Erfolgreiche Eindämmung gibt dem Reaktionsteam Zeit für eine sorgfältige Überprüfung der Systeme, um sicherzustellen, dass alle Bedrohungen beseitigt wurden.
  • Wiederherstellung und Schadensreparatur: Wenn die Bedrohung beseitigt ist, ist es sicher, Systeme und Daten wieder voll funktionsfähig zu machen. In der Wiederherstellungsphase werden isolierte Geräte und Systeme wieder ins Netzwerk eingebunden, Softwarefehler werden behoben und Daten aus Sicherungsdateien wiederhergestellt.
  • Erfahrungen: Eine Überprüfung des Vorfalls nach dem Ereignis kann zu Anpassungen des Incident-Response-Plans und des Netzwerksicherheitsplans führen.

Sowohl während als auch nach einem Vorfall muss das Reaktionsteam das Ereignis möglicherweise anderen Parteien melden, einschließlich anderer Personen innerhalb der Organisation, Aufsichtsbehörden, Strafverfolgungsbehörden und Kunden. Du kannst auch das, was passiert ist, mit interessierten Drittparteien wie Softwareanbietern und ISPs oder sogar mit den Medien teilen. Der Incident-Response-Plan sollte festlegen, wer informiert wird und wann, und wer für die Kommunikation verantwortlich ist.

Was bedeutet Incident-Response für mich?

Eine der größten Bedrohungen für deine persönlichen Informationen, die auf dem System eines anderen gespeichert sind, ist ein Datenleck. Eine effektive Incident-Response kann den Unterschied bedeuten zwischen dem Schutz deiner Daten oder dass sie in die Hände von Kriminellen geraten. Als Benutzer können wir keinen Einfluss auf den Incident-Response-Plan einer Organisation nehmen – wir müssen uns auf deren Cybersicherheit-Praktiken verlassen. Aber wir können unsere Daten in unseren eigenen persönlichen Netzwerken und Geräten schützen. Die Verwendung eines Browsers mit starken Datenschutz- und Sicherheitsfunktionen, wie der Brave browser, kann helfen, das Risiko zu verringern, dass deine Daten in die falschen Hände geraten:

  • Der Brave Browser enthält Safe Browsing, welches helfen kann, Datenlecks zu verhindern, indem es vor bösartigen Websites schützt.
  • Der integrierte Ad-Blocker von Brave—Brave Shields—kann bösartige und irreführende Werbung blockieren, teilweise durch die Verwendung von Filterlisten. Er ist auch sicherer als Erweiterungen, die selbst neue Sicherheitsrisiken einführen können.
  • Brave aktualisiert automatisch Verbindungen auf das sicherere HTTPS. Stelle sicher, dass dein Browser dich nicht auf eine Sicherheitswarnung hinweist, oder überprüfe, dass die URL mit https:// beginnt (nicht “http://”). Diese Zeichen zeigen an, dass deine Daten während der Übertragung verschlüsselt werden. Dies ist keine Garantie dafür, dass Ihre Daten verschlüsselt gespeichert werden, aber es könnte die Wahrscheinlichkeit erhöhen.

Manchmal können wir uns dafür entscheiden, Geschäfte mit Unternehmen zu machen, die eine gute Bilanz bei der Sicherung von Daten haben (oder die überhaupt keine Daten sammeln, wie Brave), und Unternehmen mit einer Geschichte von Datenlecks vermeiden. Du kannst auch die Anzahl der Orte, an denen deine Daten gespeichert sind, begrenzen und so das Risiko verringern, dass deine Daten in einem Datenleck verwickelt werden. Die Verwendung starker, einzigartiger Passwörter und Multifaktor-Authentifizierung, wenn verfügbar, kann helfen, deine Daten im Falle eines Datenlecks zu schützen.

Wenn du eine Benachrichtigung erhältst, dass deine Daten möglicherweise kompromittiert wurden, oder in den Nachrichten sehen, dass es bei einem Unternehmen, mit dem du Geschäfte machst, zu einem Datenleck gekommen ist, ergreife sofort Maßnahmen zum Schutz deiner Konten und Daten:

  • Ändere dein Passwort auf dieser Seite sofort sowie auf allen anderen Seiten, auf denen du dasselbe Passwort verwendest. Und setze in Zukunft starke, einzigartige Passwörter und PINs.
  • Überprüfe das Datum des Lecks und überprüfe die Aktivität der betroffenen Konten an oder nach diesem Datum. Achte auf ungewöhnliche Aktivitäten wie eine Adressänderung, Telefonnummer oder Rechnungsdetails.
  • Beachte, dass nicht alle Datenlecks schnell gefunden werden – es kann eine Verzögerung zwischen dem Zeitpunkt geben, an dem deine Konten kompromittiert wurden, und dem Zeitpunkt, an dem du benachrichtigt wurdest. Deshalb solltest du diese Überprüfung der Kontoaktivitäten regelmäßig wiederholen und wachsam auf zukünftige ungewöhnliche Aktivitäten achten, indem du monatliche Kontoauszüge genau überprüfst.
  • Bewahre das Benachrichtigungsschreiben oder die E-Mail über das Datenleck auf, falls du zukünftig einen Nachweis darüber benötigst, dass deine Daten kompromittiert wurden.
  • Lege Betrugswarnungen bei den großen Kreditauskunfteien ein, um zu verhindern, dass jemand gestohlene Daten verwendet, um ein Darlehen oder eine Kreditkarte in deinem Namen zu erhalten.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.