Incident-Response-Bericht

1. Executive Summary

  • Kurzbeschreibung des Vorfalls: Zusammenfassung des Geschehens, einschließlich des Zeitpunkts und der betroffenen Systeme.
  • Auswirkungen: Kurze Beschreibung der direkten Auswirkungen des Vorfalls auf das Unternehmen.

2. Hintergrund

  • Erkennung des Vorfalls: Wie und wann der Vorfall entdeckt wurde.
  • Zeitrahmen: Wann hat der Vorfall begonnen, und wie lange dauerte er?
  • Betroffene Systeme und Daten: Welche Systeme oder Daten waren betroffen?

3. Incident-Analyse

  • Art des Vorfalls: Kategorisierung des Vorfalls (z.B. DDoS, Phishing, Malware).
  • Ursache des Vorfalls: Analyse, wie der Vorfall verursacht wurde.
  • Vorgehensweise der Angreifer: Beschreibung der Schritte, die der/die Angreifer unternommen haben, falls bekannt.

4. Reaktion auf den Vorfall

  • Erste Reaktion: Erste Maßnahmen, die unternommen wurden, um den Vorfall zu bewältigen.
  • Eindämmungsstrategien: Schritte, die unternommen wurden, um die Ausbreitung zu verhindern und weitere Schäden zu minimieren.
  • Eradikation und Recovery: Maßnahmen zur Entfernung der Bedrohung und zur Wiederherstellung betroffener Systeme.

5. Lehren aus dem Vorfall

  • Schwachstellen, die ausgenutzt wurden: Analyse der Schwachstellen, die zum Vorfall geführt haben.
  • Verbesserungen: Empfehlungen für Änderungen in Politiken, Verfahren oder Infrastruktur, um ähnliche Vorfälle in der Zukunft zu verhindern.

6. Anhänge

  • Detaillierte Logs und Beweise: Sicherheitslogs, Beweise und andere relevante Informationen, die während der Untersuchung gesammelt wurden.
  • Kommunikationsprotokolle: Dokumentation der Kommunikation während des Vorfalls.