Incident-Response-Dienstleister: Was können sie leisten, was nicht?
Wenn ein Unternehmen einen gravierenden Sicherheitsvorfall hat und externe Experten zu Hilfe ruft, sind die Erwartungen meistens sehr hoch. Doch nicht alle kann der Dienstleister auch erfüllen. Sinnvoll ist es, sich schon frühzeitig zu informieren und Serviceverträge abzuschließen.
Ein IT-Sicherheitsvorfall kommt idealerweise nur sehr selten vor. Was aber, wenn doch etwas passiert? Die vielleicht existierenden Pläne, wie auf diesen Vorfall zu reagieren ist, wurden lange nicht geübt und sind möglicherweise aufgrund verschiedener Restrukturierungen im Unternehmen gar nicht mehr gültig. Die im Plan niedergeschriebenen internen Kontaktpersonen für verschiedene Themen gibt es in der jeweiligen Rolle vielleicht nicht mehr und auch die IT-Systeme werden nur noch zum Teil selbst betrieben. Aufgrund mangelnder Übung ist nicht klar, welche Erstmaßnahmen durchgeführt werden sollten, damit eine spätere forensische Untersuchung effektiv sein kann.
Wünschenswert wäre es sicherlich, wenn etwaige Vorfälle durch eigenes Personal professionell und schnell bearbeitet werden können. Doch – ähnlich wie bei einem richtigen Brand – kann sich nicht jedes Unternehmen eine Werksfeuerwehr leisten, die so professionell reagieren kann. Für viele Unternehmen liegt es daher nahe, externe Unterstützung zu suchen, statt ein eigenes Incident-Response- und Forensik-Team aufzubauen. Ähnlich, wie es auch beim IT-Betrieb oder der Realisierung von IT-Projekten vielfach etabliert ist.