{"id":6362,"date":"2025-12-31T03:35:00","date_gmt":"2025-12-31T03:35:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6362"},"modified":"2025-12-31T03:35:00","modified_gmt":"2025-12-31T03:35:00","slug":"so-geht-post-incident-review","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6362","title":{"rendered":"So geht Post-Incident Review"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Post-Incident Reviews k\u00f6nnen dazu beitragen, die richtigen Lehren aus Sicherheitsvorf\u00e4llen zu ziehen \u2013 wenn sie richtig aufgesetzt sind.\n

dotshock | shutterstock.com<\/p>\n<\/div>\n

Angenommen, Ihr Unternehmen wird von Cyberkriminellen angegriffen<\/a>, kommt dabei aber mit einem blauen Auge davon, weil die Attacke zwar sp\u00e4t, aber noch rechtzeitig entdeckt und abgewehrt werden konnte \u2013 ohne gr\u00f6\u00dferen Business Impact. Jetzt einfach wie bisher weiterzumachen und die Sache zu vergessen, w\u00e4re allerdings kontraproduktiv. Schlie\u00dflich haben die Angreifer einen Weg gefunden, Ihre Systeme zu kompromittieren und dabei Abwehrma\u00dfnahmen zu umgehen.<\/p>\n

Deshalb ist an dieser Stelle ein Post-Incident Review essenziell: Ein strukturierter Prozess, in dessen Rahmen das Unternehmen analysiert, \u00a0<\/p>\n

was gut gelaufen ist,<\/p>\n

was nicht, und<\/p>\n

wie die Performance in Zukunft verbessert werden kann.<\/p>\n

Das klingt erst einmal simpel \u2013 allerdings gilt es einige wichtige Dinge zu beachten, um eine robuste Post-Incident-Review-Strategie zu entwickeln. Welche das sind, haben wir im Gespr\u00e4ch mit verschiedenen Sicherheitsexperten herausgearbeitet.<\/p>\n

1. Zeitnah handeln<\/h2>\n

Nicht nur wenn es um die Analyse geht, ist Timing bei Security Incidents von entscheidender Bedeutung. Lassen Sie erst einmal Wochen oder Monate ins Land ziehen<\/a>, bevor Sie ein Post-Incident Review anberaumen, steigt das Risiko, dass wichtige Elemente in Vergessenheit geraten \u2013 und Sicherheitsentscheider und ihre Teams sich kein vollst\u00e4ndiges Bild von dem Angriff mehr machen k\u00f6nnen. \u00a0<\/p>\n

David Taylor, Managing Director bei der IT-Beratung Protiviti, r\u00e4t deshalb dazu, m\u00f6glichst zeitnah t\u00e4tig zu werden: \u201cEin Review kurz nach einem Incident gew\u00e4hrleistet, dass alle Details noch frisch in den K\u00f6pfen sind und vermittelt zudem ein Gef\u00fchl von Dringlichkeit\u201d. Zudem k\u00f6nnten die Review-Beteiligten auf diese Weise auch eine akkurate Timeline der Ereignisse erarbeiten, so der Chefberater.\u00a0 \u00a0<\/p>\n

Wie diese Timeline ausgestaltet werden sollte, wei\u00df Heather Clauson Haughian<\/a>, Mitbegr\u00fcnderin und gesch\u00e4ftsf\u00fchrende Partnerin der auf Datenschutz spezialisierten Anwaltskanzlei CM Law: \u201cZun\u00e4chst gilt es, festzuhalten, was genau passiert ist \u2013 von den ersten Anzeichen eines Problems bis hin zu seiner Bew\u00e4ltigung.\u201d<\/p>\n

Das unterst\u00fctze alle Beteiligten dabei, nachzuvollziehen, an welchen Stellen es zu Verz\u00f6gerungen oder Fehlern gekommen ist \u2013 und an welchen nicht. \u201cEs geht im Grunde darum, den Vorfall in eine verst\u00e4ndliche \u201aStory\u2018 zu gie\u00dfen und daraus entsprechende Lehren zu ziehen\u201d, erkl\u00e4rt die Rechtsexpertin.<\/p>\n

2. Ursachenanalyse fahren<\/h2>\n

Pflichtbestandteil eines Post-Incident Reviews ist zudem eine Ursachenanalyse (auch Root Cause Analysis<\/a>) \u2013 zumindest wenn Ihnen daran gelegen ist, k\u00fcnftige Incidents zu verhindern.<\/p>\n

Dieser \u00dcberzeugung ist auch Michael Brown<\/a>, Field CISO beim IT-Dienstleister Presidio: \u201cDie Grundursache eines Vorfalls zu identifizieren, ist essenziell. Die Teams m\u00fcssen herausfinden, ob es sich dabei um eine technische Schwachstelle, menschliches Versagen oder Prozess- beziehungsweise Technologiel\u00fccken handelt. Nur so l\u00e4sst sich sicherstellen, dass nicht nur Symptome behandelt werden.\u201d<\/p>\n

3. L\u00fccken identifizieren<\/h2>\n

Ein Post-Incident Review sollte dar\u00fcber hinaus auch beinhalten, die Performance des Sicherheitsteams mit Blick auf etablierte Prozesse (etwa den Incident-Response-Plan<\/a>) zu evaluieren. Das ist laut Protiviti-Manager Taylor unerl\u00e4sslich, um die Team-F\u00e4higkeiten sukzessive zu verbessern: \u201cEs kann wertvolle Informationen f\u00fcr innovative Optimierungen liefern, Schulungsl\u00fccken identifizieren und Ineffizienzen in der Reaktionsphase beseitigen.\u201d<\/p>\n

Presidio geht diesbez\u00fcglich mit gutem Beispiel voran, wie Field CISO Brown verr\u00e4t: \u201cIm Rahmen unserer Post-Incident Reviews bewerten wir die Leistung unseres Incident-Response-Teams in unterschiedlichen Bereichen \u2013 etwa Detection, Reaktionszeit, Kommunikation, Koordination oder Prozesstreue.\u201d<\/p>\n

4. Business Impact analysieren<\/h2>\n

Die Auswirkungen eines Sicherheitsvorfalls vollumf\u00e4nglich zu durchdringen, ist eine vielschichtige Angelegenheit, die sowohl quantitative als auch qualitative Analysen umfassen sollte. Ersteres sollte laut Sicherheitsentscheider Brown beispielsweise Aspekte wie finanzielle Einbu\u00dfen, verlorene Marktanteile oder Kundenauftr\u00e4ge beinhalten. <\/p>\n

Zweiteres sich hingegen mit Fragen befassen wie:<\/p>\n

Wurde die Business Continuity nachhaltig beeintr\u00e4chtigt?<\/p>\n

Wurden die zust\u00e4ndigen Beh\u00f6rden rechtzeitig informiert?<\/p>\n

Sind Reputationssch\u00e4den entstanden?<\/p>\n

5. Kontext erfassen<\/h2>\n

Ein weiterer Schl\u00fcsselfaktor f\u00fcr Post-Incident-Analysen ist au\u00dferdem der Kontext des Sicherheitsvorfalls. Ihn zu erfassen, ist entscheidend, wenn es darum geht, eine Timeline f\u00fcr den Incident aufzusetzen, aus der alle Beteiligten lernen k\u00f6nnen.<\/p>\n

\u201cAllzu oft wird bei Nachbesprechungen der Kontext, in dem Entscheidungen getroffen wurden, \u00fcbersprungen\u201d, kritisiert Security-Forscher Eireann Leverett<\/a> und erg\u00e4nzt: \u201cDokumentieren Sie den Vorfall so, wie er sich entwickelt hat \u2013 nicht nur das Ergebnis. Incidents entwickeln sich im Zeitverlauf \u2013 und das Team, das diesen bearbeitet, kann selten vorab auf s\u00e4mtliche Fakten zugreifen.\u201d<\/p>\n

Jede neue Entdeckung \u2013 etwa mit Blick auf das Einfallstor f\u00fcr den Angriff, seinen Scope oder die von den Angreifern verwendeten Tools, k\u00f6nnten die Untersuchungsziele des Teams ver\u00e4ndern, so Leverett: \u201cWas als Containment-Vorhaben beginnt, kann schnell zum umf\u00e4nglichen Recovery-Projekt<\/a> ausarten. Nur wenn Sie tracken, wann und warum Ver\u00e4nderungen stattgefunden haben, ist sp\u00e4ter auch nachvollziehbar, welche Ma\u00dfnahmen ergriffen wurden.\u201d<\/p>\n

6. Abteilungs\u00fcbergreifend kollaborieren<\/h2>\n

Ein Post-Incident Review zu leiten, ist Sache des CISO \u2013 oder anderer Security- oder IT-F\u00fchrungskr\u00e4fte. Allerdings ist es empfehlenswert, auch Personen aus anderen Abteilungen einzubinden, die potenziell Insights beitragen k\u00f6nnen. So empfiehlt etwa Sicherheitsexperte Leverett, das Post-Incident-Team um Kollegen aus den Bereichen Governance, Recht und Risikomanagement zu erweitern: \u201cDiese k\u00f6nnen die Grundursache des Incidents m\u00f6glicherweise mit allgemeinen, breiter angelegten Richtlinienl\u00fccken in Verbindung bringen.\u201d<\/p>\n

Sinnvoll ist nach Meinung von Leverett au\u00dferdem, die Finanz- und Personalabteilung einzubinden, sowie \u2013 je nach Art und Schwere des Vorfalls \u2013 auch Vorstandsmitglieder<\/a>. Letzteres signalisiere eine strategische Priorisierung und unterst\u00fctze dabei, technische Erkenntnisse mit Risiko-Diskussionen auf Governance-Ebene zu verkn\u00fcpfen, ist der Experte \u00fcberzeugt.<\/p>\n

\u201cWichtig ist dabei, dass alle Beteiligten gleichberechtigt zu Wort kommen \u2013 unabh\u00e4ngig von ihrer Position oder Rolle\u201d, erg\u00e4nzt Protiviti-Mann Taylor. Das trage nicht nur dazu bei, Security-Vorf\u00e4lle besser zu durchdringen, sondern etabliere auch ein kooperatives Umfeld.<\/p>\n

7. Schuldzuweisungen vermeiden<\/h2>\n

Im Rahmen eines Post-Incident Reviews \u201cFingerpointing\u201d zu betreiben, ist mit hoher Wahrscheinlichkeit nicht produktiv. Deshalb empfiehlt auch IT-Anw\u00e4ltin Haughian, den Fokus darauf zu legen, zu lernen und zu optimieren: \u201cSchuldzuweisungen bringen Sie nicht weiter. Es gilt, den tats\u00e4chlichen Ablauf der Ereignisse aufzudecken, Entscheidungsprozesse zu verstehen und alle Faktoren zu identifizieren, die zu Fehlern beigetragen haben. Dieser Ansatz kann dabei helfen, k\u00fcnftige strategische Entscheidungen in Zusammenhang mit Tools<\/a>, Schulungen<\/a> und Richtlinien zu treffen.\u201d<\/p>\n

Auch Leverett h\u00e4lt nichts von einer Kultur der Schuldzuweisung: \u201cEs geht nicht darum, ob ein bestimmtes Individuum die richtige Entscheidung getroffen hat oder nicht. Vielmehr gilt es Fragen zu kl\u00e4ren wie: \u201aWar das Team unter den gegebenen Umst\u00e4nden in der Lage, gute Entscheidungen zu treffen?\u2018 Oder: \u201aH\u00e4tten eine bessere Dokumentation, andere Tools oder mehr Budget f\u00fcr schnellere und bessere Ergebnisse gesorgt?\u2018\u201d<\/p>\n

8. Aktiv werden<\/h2>\n

S\u00e4mtliche Erkenntnisse, die im Rahmen eines Post-Incident Reviews gewonnen werden, sind relativ nutzlos, wenn im Nachgang nichts passiert. Soll hei\u00dfen: Den Erkenntnissen m\u00fcssen konkrete Ma\u00dfnahmen folgen. \u00a0<\/p>\n

Um das bestm\u00f6glich umzusetzen, empfiehlt Rechtsexpertin Haughian, schriftlich genau festzuhalten, an welchen Stellen optimiert werden muss, wann das geschehen soll und wer daf\u00fcr verantwortlich zeichnet: \u201cDiese Verbesserungen k\u00f6nnen etwa Softwareaktualisierungen, Richtlinien\u00e4nderungen oder neue Schulungsinitiativen sein. Unabh\u00e4ngig davon macht diese Nachbereitung ein Post-Incident Review erst wirklich n\u00fctzlich. Bleibt sie aus, entfallen damit auch umsetzbare Empfehlungen \u2013 und das Ganze ist nicht mehr als eine akademische \u00dcbung\u201d, h\u00e4lt die Datenschutzexpertin fest. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Post-Incident Reviews k\u00f6nnen dazu beitragen, die richtigen Lehren aus Sicherheitsvorf\u00e4llen zu ziehen \u2013 wenn sie richtig aufgesetzt sind. dotshock | shutterstock.com Angenommen, Ihr Unternehmen wird von Cyberkriminellen angegriffen, kommt dabei aber mit einem blauen Auge davon, weil die Attacke zwar sp\u00e4t, aber noch rechtzeitig entdeckt und abgewehrt werden konnte \u2013 ohne gr\u00f6\u00dferen Business Impact. Jetzt […]<\/p>\n","protected":false},"author":0,"featured_media":6363,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6362","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6362"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6362"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6362\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6363"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}