Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

Linda Rosencrance
von
Contributing Writer

Was ist ein Incident Response Retainer?

Analyse
04 Januar 20245 Minuten
Business ContinuityRisikomanagement

Ein Incident Response Retainer kann ihre Reaktionsfähigkeit auf Cyberangriffe entscheidend verbessern. Das sollten Sie zum Thema wissen.

Sind Sie in Sachen Incident Response gut aufgestellt? Selbst falls ja, kann ein Incident Response Retainer als Ergänzung Sinn machen.

Sind Sie in Sachen Incident Response gut aufgestellt? Selbst falls ja, kann ein Incident Response Retainer als Ergänzung Sinn machen.

Foto: SomTaste – shutterstock.com

Angesichts der kontinuierlich steigenden Zahl von Cyberangriffen wird es für Unternehmen immer wichtiger, zeitnah auf alle Bedrohungen angemessen zu reagieren, um Risiken, Reputationsschäden und rechtliche Konsequenzen zu minimieren respektive zu vermeiden. Weil die Mitarbeiter, die auf Cybervorfälle reagieren, darin oft nicht geübt sind, kommt es in vielen Fällen zu Verzögerungen und kostspieligen Fehlern, die die Situation noch verschlimmern.

Um sicherzustellen, dass sich dedizierte Security-Experten zuerst und ausschließlich mit Cyber Incidents auseinandersetzen, beschäftigen Unternehmen entweder eigene Incident-Response-Teams – oder sie setzen auf externe Dienstleistungen, wie William Candrick, leitender Analyst bei Gartner, erklärt. Er fügt hinzu: “Viele Unternehmen stellen jedoch fest, dass sie im Fall von besonders schweren oder komplexen Incidents zusätzliche Expertise, Ressourcen und Skills benötigen – und zwar auf Abruf.”

An dieser Stelle kommen Incident Response Retainer ins Spiel.

Incident Response Retainer – Definition

Ein Incident Response (IR) Retainer bezeichnet eine Dienstleistung eines externen Serviceanbieters. Dieser verpflichtet sich dabei, im Fall eines Sicherheitsvorfalls sofort mit Rat und Tat zur Seite zu stehen. Will Sweeney, Gründer von Zaviant Consulting, erklärt: “Es handelt sich um ein Surface-Level-Agreement. Der Dienstleister hilft Ihnen im Ernstfall dabei, den Incident zu bewältigen. Dazu gehört auch, eine weitere Ausbreitung zu verhindern.”

Ein Incident-Response-Retainer-Vertrag definiert dabei auch die Parameter, unter denen die Zusammenarbeit stattfindet, wie Jess Burn, Chefanalystin bei Forrester, weiß: “In Verträgen dieser Art wird eine bestimmte Reaktionszeit festgelegt, für den Fall, dass ein Cyberangriff beim Service Provider gemeldet wird. Vertraglich festgelegt wird im Regelfall auch ein Zeitkontingent, das der Serviceanbieter im Angriffsfall für Incident-Response- und Forensik-Maßnahmen vorsieht. Dieser wird meist nach festen Stundensätzen abgerechnet.”

Incident Response Retainer – Vorteile

Shmulik Yehezkel, Chief Critical Cyber Operations Officer beim israelischen Security-Startup CYE, weiß aus Erfahrung, worauf es bei der effektiven Bewältigung von Cybervorfällen ankommt. Er nennt drei wesentliche Faktoren:

  • qualifizierte Fachleute,

  • klar definierte operative Prozesse, und

  • geeignete Technologien.

“Ohne einen Incident-Response-Retainer-Dienstleistungsvertrag kann es zu Komplikationen kommen”, meint der Sicherheitsexperte und begründet seine Einschätzung: “Es kann schwierig sein, kurzfristig ein kompetentes Incident-Response-Team aufzutun – und selbst wenn Experten verfügbar sind, heißt das nicht, dass die auch das für den jeweiligen Incident nötige Fachwissen mitbringen.”

Darüber hinaus bringe jedes Unternehmen seine eigenen Prozesse und Anlagen mit, so Yehezkel. Deshalb nehme es einige Zeit in Anspruch, bis sich die Incident-Response-Experten mit den jeweiligen Bedingungen vertraut gemacht haben: “Das kann potenziell zu Fehlern führen”, meint der Security-Spezialist und fügt an: “IR-Teams sind auf eine Vielzahl von Tools angewiesen. Bei deren Bereitstellung kann es aufgrund von Faktoren wie der Netzwerkarchitektur oder bestehenden Sicherheitsmaßnahmen zu Problemen kommen.”

Forrester-Analystin Burn empfiehlt Unternehmen ebenfalls, so schnell wie möglich einen Incident-Response-Anbieter auszuwählen – am besten in Rücksprache mit ihrem Cyberversicherer (falls vorhanden; diese haben oft bevorzugte Retainer-Services, Breach Coaches und anderen Dienstleistungen): “Warten Sie nicht, bis Sie angegriffen werden. Der Vorteil eines Incident Response Retainer liegt insbesondere im Onboarding-Prozess durch den Dienstleister: Diese setzen oft auf mehrere Einführungs-Sessions, um die Umgebung des Unternehmens, die eingesetzten Sicherheitstechnologien sowie die Fähigkeiten und Kompetenzen des internen Sicherheitsteams kennenzulernen.”

Ein anderes Problem, bei dem Incident Response Retainer helfen können: der Security-Fachkräftemangel. Gartner-Analyst Candrick erklärt: “Incident Response Retainer sind eine Möglichkeit, Ihr internes Cybersecurity-Team oder Ihren Managed-Security-Dienstleister schnell zu verstärken, wenn bei einem komplexen Sicherheitsvorfall zusätzliche Skills und Ressourcen benötigt werden.”

Ein weiteres schlagendes Argument für Incident Response Retainer wirft Javier Dominguez, CISO beim Sicherheitsanbieter Commvault, in die Waagschale: “Mit Hilfe von Incident-Response-Retainer-Services können Unternehmen auch ihre Kosten besser managen. Denn die haben den Vorteil, dass ein vorab definierter Stundensatz und ein Budget greift, wenn Sie die Dienstleistung in Anspruch nehmen müssen. Haben Sie keinen IR-Retainer, sind Sie im Nachteil, weil Sie dann unter Umständen unter Druck in Vertragsverhandlungen eintreten müssen.”

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Incident Response Retainer – Komponenten

Kayne McGladrey ist Senior Member beim IEEE und darüber hinaus als Field CISO für den Softwareanbieter Hyperproof tätig. Dem Experten zufolge umfasst ein Incident Response Retainer Offering in der Regel folgende Elemente:

  • Eine umfassende Incident-Response-Strategie, die die Wahrscheinlichkeit von Datenschutzverletzungen und die finanziellen Auswirkungen minimiert.

  • IR-Experten, die rund um die Uhr ansprechbar sind.

  • Etablierte Kommunikationskanäle und Reaktionspläne, um die Wiederherstellung nach einem Incident zu beschleunigen.

  • Entwicklung und Testing von Incident-Response-Plänen und entsprechender Playbooks.

  • Unterstützung bei Wiederherstellung, Krisenmanagement und –kommunikation.

  • Forensische Tools, um die Auswirkungen spezifischer Cyberbedrohungen schnell zu beheben beziehungsweise zu reduzieren.

  • Trainings- und Schulungsprogramme, um die Awareness innerhalb der Organisation zu verbessern, um Bedrohungen schneller zu erkennen.

Brandon Leiker, Principal Solutions Architect beim Softwareanbieter 11:11 Systems, sieht Incident Response Retainer allgemein als nützliche Ergänzung für Unternehmen jeder Größe an: “Diese Services können essenzieller Bestandteil der IR-Strategie eines Unternehmens sein – unabhängig von dessen Größe.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

vgwort
Linda Rosencrance
von
Contributing Writer

Linda Rosencrance is a freelance writer/editor/author who has written about information technology since 1999.

Mehr von diesem Autor

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild