Forensic Investigations / Leistungen / Incident Response


Incident Response - Im Falle eines Falles geeignete Strategien bereithalten.

Incident Response (Bild Copyright colin.brown)

Unter dem Begriff Incident Response faßt man Strategien und Maßnahmen als Reaktion ('response') auf "Vorfälle, Zwischenfälle, Ereignisse, Störfälle" (engl. 'incidents') zusammen. In der Regel handelt es sich dabei um sicherheitsrelevante Ereignisse im Unternehmen, oder aber auch um ungeklärte, wiederkehrende Fehlfunktionen.

Zielsetzung und Einsatzbereiche

Zielsetzung

Zielsetzung ist die Erkennung von Anomalien in digitalen Systemen und adäquate Reaktion auf diese (Schadensbegrenzung, Beweissicherung, Systemwiederherstellung).

Eine vernünftig vorbereitete Incident Response-Strategie ist essentiell, um Fehler, Hektik und Durcheinander oder gar Panik im Ernstfall möglichst durch geplante und gezielte Massmahmen zu ersetzen. Je besser die Strategie vorbereitet ist, desto weniger muss improvisiert werden; das Risiko, dass improvisierte und unter Druck gefällte Entscheidungen zu Fehlern führen, sinkt damit erheblich.

Die Incident Response-Strategie sollte die Sicherung flüchtiger Daten (RAM-Speicher, Netzwerk-Datenverkehr) zur Rekonstruktion von Vorfällen beinhalten, und muss im Falle von Hackerangriffen oder Virenbefall eine Abwägung zwischen Ausfallschäden durch Abschaltung eines Systems und dem Risiko möglicher Folgeschäden bei Nichtabschaltung treffen. Gute Incident Response-Strategien ermöglichen Schadensbegrenzung, Beweissicherung und Systemwiederherstellung mit geringen oder gar keinen Ausfallzeiten.

Einsatzbereiche

  • Sicherheitsrelevante Vorfälle (Hackerangriffe, Virenbefall etc.)
  • Kontinuierliche Fehler in kritischen Infrastrukturen
  • Betrugs-/Unterschlagungs-/Untreuehandlungen durch Mitarbeiter
  • Datendiebstahl
  • (Industrie-)Spionage
  • Missbrauch von Unternehmensressourcen
  • Straftaten von Mitarbeitern

Methodiken, Anwendbarkeit, Produkt- und Dienstleistungsangebote

Methodiken

Neben vorbereitenden Strategien wie Aufstellung eines Notfallplanes und Konfiguration entsprechender Intrusion Detection Systeme kommen hier hauptsächlich Methodiken der EDV/IT-Forensik zum Einsatz. Bei entsprechender Vorbereitung kann zur Ursachenermittlung auch auf volatile ('flüchtige') Daten aus dem Arbeitsspeicher der Systeme oder den Netzwerk-Datenverkehr zurückgegriffen werden, um beispielsweise Infektionswege von Viren nachzuvollziehen und entsprechende Maßnahmen ergreifen zu können.

Anwendbarkeit

Die Anwendbarkeit ist in allen Unternehmen gegeben, insbesondere bei generell höherem Schutzbedürfnis oder zum Schutz besonders kritischer Infrastrukturen. Auch bei kontinuierlichen Fehlern in Systemen lassen sich diese Methodiken z.B.zur Ursachenermittlung ungeklärter Abstürze oder zum Nachweis von Fehlfunktionen in Software heranziehen.

Produkt- und Dienstleistungsangebote

  • Ausarbeitung geeigneter Incident Response-Strategien
  • Vorbereitung zur Sicherung volatiler Daten wie RAM-Speicher oder Netzwerk-Datenverkehr bei Bedarf
  • Beweissicherung, Analyse, Auswertung und Dokumentation (EDV/IT-Forensik )
  • Systemwiederherstellung ("Emergency/Desaster Recovery")
  • Schwachstellenanalyse, Abwehr- und Gegenstrategien, um künftige Vorfälle zu vermeiden (Security Audit /Software Audit )

Siehe auch