Die Frage ist nicht ob, sondern wann ein Vorfall eintritt. Ohne vorbereiteten Plan reagiert man chaotisch und macht teure Fehler.
Phasen der Incident Response¶
- Preparation: Plan, Werkzeuge, Team, Kontakte
- Detection: Identifizierung des Vorfalls (SIEM, Alert)
- Containment: Begrenzung der Ausbreitung (Isolierung, Blockierung)
- Eradication: Beseitigung der Ursache
- Recovery: Wiederherstellung des Betriebs
- Lessons Learned: Post-Mortem, Verbesserungen
Containment-Checkliste¶
- Betroffene Systeme isolieren (Netzwerksegmentierung)
- Kompromittierte Zugangsdaten widerrufen
- C2-Kommunikation blockieren (Firewall)
- Beweise sichern (Forensic Image)
- Stakeholder benachrichtigen
Kommunikationsvorlage¶
Subject: [SECURITY INCIDENT] Severity: HIGH — Unauthorized Access Detected Impact: API server compromised, potential data access Status: CONTAINED Actions taken: 1. Server isolated from network 2. API keys rotated 3. Forensic image captured Next steps: - Root cause analysis - Affected data assessment - Regulatory notification (if required)
Wichtigste Erkenntnis¶
Plan VOR dem Vorfall erstellen. Zuerst Containment, dann Forensik. Alles dokumentieren. Blameless Post-Mortem.
securityincident responsesocdfir