Unterstützung im Fall der Fälle

Das Know-how, das zur Eingrenzung oder Behebung eines bereits laufenden Angriffs notwendig ist, ist sehr speziell und erfordert einerseits eine entsprechende Fachausbildung und andererseits (im Idealfall tiefergehendes) Verständnis über das IT-System, das gerade angegriffen wird. 

Damit grenzt sich die Gruppe jener Personen und Organisationen, die auf solche Angriffe unterstützend reagieren können von jenen ab, die sich auf die vorbereitende Absicherung oder den Wiederaufbau nach einem Angriff fokussieren.

• Die Erwartungshaltung ist sehr oft, dass ein IT-Security-Angriff durch einen erfahrenen und gut ausgebildeten Experten innerhalb von kurzer Zeit (Minuten bis Stunden) behoben werden kann. Dieser Eindruck wird beispielsweise durch Spielfilme erweckt, in denen Hackerangriffe oft innerhalb von Minuten oder Sekunden durch rasche Eingabe von Befehlen in ein Terminal gelöst werden. Die Realität ist davon weit entfernt: Die Prüfung von IT-Systemen auf auffällige Spuren von Angreifern, das Analysieren von möglicher Schadsoftware oder das Aussperren eines Angreifers aus einem System erfordern (zusätzlich zu dem bereits angesprochenen Know-how) viel Zeit, Geduld, Personal und Vorsicht, damit der Schaden nicht noch vergrößert wird.
  
  
• Die beste Unterstützung, die man im Falle eines IT-Security Vorfalls erhalten kann, kommt in der Regel von jemandem, der das betroffene System sehr gut kennt. Das ist meistens das eigene IT-Personal bzw. ein Dienstleister, der im Vorfeld die Möglichkeit hatte, das System kennenzulernen. Bzw. der es nicht nur kennt, sondern der auch an der Absicherung des Systems gegen Angriffe und der Einrichtung von Wiederaufbaumaßnahmen (Backups, Ersatz-Infrastruktur, etc.) beteiligt war.
  
  
• Ist ein solcher Dienstleister nicht bereits vorab vertraglich zur Unterstützung verpflichtet worden, so muss auf andere Experten-Pools zugegriffen werden. Zusätzlich zur individuellen Suche nach einem Dienstleister per Internetsuchmaschine, stehen diverse Ansprechstellen bei Wirtschaft und Behörden zu Verfügung, die aber in unterschiedlichem Ausmaß unterstützen können. Das betrifft sowohl die fachlichen Fähigkeiten also auch die zeitliche Verfügbarkeit. Es ist daher in jedem Fall sinnvoll, bereits vor einem IT-Sicherheitsvorfall Dienstleister zu identifizieren, zu prüfen und ihre Unterstützung vertraglich zu sichern. Insbesondere wenn mehrere Organisationen gleichzeitig von einem Vorfall betroffen sein sollten, kann es ansonsten sehr schwer werden, geeignete Unterstützung zu finden.