Incident Response
Onesurance verfügt über einen 24/7-Incident-Response-Prozess, um Sicherheitsvorfälle schnell zu erkennen, einzudämmen und zu lösen. Unser Incident Response Team steht unter der Leitung des Datenschutzbeauftragten und folgt einem strukturierten 6-Schritte-Prozess.
Incident Response auf einen Blick
- 24/7 verfügbar — Kontinuierliches Monitoring und Reaktion, Tag und Nacht
- <1 Stunde Reaktionszeit P1 — Kritische Vorfälle innerhalb von 1 Stunde bearbeitet
- 6-Schritte-Prozess — Von Erkennung bis Abschluss, vollständig dokumentiert
- IRT unter Leitung DSB — Incident Response Team gesteuert vom Datenschutzbeauftragten
Incident-Response-Prozess
Unser Incident-Response-Prozess besteht aus sechs klar definierten Phasen. Jeder Sicherheitsvorfall durchläuft diese Phasen, um eine schnelle, effektive und dokumentierte Bearbeitung zu gewährleisten. Das Incident Response Team (IRT) wird bei jedem bestätigten Vorfall aktiviert und steht unter der Leitung des Datenschutzbeauftragten.
6-Schritte-Incident-Response-Prozess
Vorfälle werden über mehrere Kanaele erkannt und sofort eskaliert.
- 24/7 automatisiertes Monitoring — Azure Security Center, SIEM und Anomalieerkennung laufen kontinuierlich
- Kontaktpunkte — Mitarbeiter, Kunden und externe Parteien können Vorfälle per Telefon, E-Mail oder internes Ticketsystem melden
- BEI P1 ZUERST ANRUFEN — Bei Verdacht auf einen kritischen Vorfall (P1) immer zuerst telefonisch den DSB kontaktieren, danach erst schriftlich melden
Jeder gemeldete Vorfall wird vom zugewiesenen Koordinator nach Schweregrad und Auswirkung bewertet.
- Vorfallkoordinator — Der DSB oder ein benannter Stellvertreter übernimmt die Koordination
- Schweregrad-Klassifizierung — Vorfall wird als P1 (Kritisch), P2 (Hoch), P3 (Mittel) oder P4 (Niedrig) klassifiziert
- IRT-Aktivierung — Bei P1 und P2 wird das vollständige Incident Response Team aktiviert
Sofortige Maßnahmen zur Schadensbegrenzung und Verhinderung weiterer Ausbreitung.
- Firewall-Regeln — Blockierung verdaechtigen Datenverkehrs und Angriffsvektoren durch Firewall-Anpassungen
- Isolation — Betroffene Systeme werden vom Netzwerk isoliert, um Ausbreitung zu verhindern
- Log-Sicherung — Alle relevanten Logs und Beweismaterialien werden für forensische Untersuchungen gesichert
Eingehende Untersuchung der Ursache, des Umfangs und der Auswirkungen des Vorfalls.
- Root-Cause-Analyse — Ermittlung der zugrunde liegenden Ursache des Vorfalls
- Angriffsmethode — Identifizierung der verwendeten Angriffstechnik und des -vektors
- Zeitachse — Rekonstruktion der vollständigen Zeitachse des Vorfalls, von der ersten Kompromittierung bis zur Erkennung
Systeme werden in einen sicheren, betriebsbereiten Zustand zurückversetzt.
- Patching — Schwachstellen werden gepatcht und Sicherheitsupdates angewendet
- Malware-Entfernung — Entfernung bösartiger Software und Hintertüren
- Saubere Backups — Wiederherstellung aus verifizierten, sauberen Backups
- Zugangsdaten zurücksetzen — Alle möglicherweise kompromittierten Passwörter und Schlüssel werden zurückgesetzt
- 48-Stunden-Monitoring — Nach Wiederherstellung werden Systeme mindestens 48 Stunden intensiv auf erneute Aktivität überwacht
Der Vorfall wird formell abgeschlossen und alle Erkenntnisse werden festgehalten.
- Vorfallbericht — Vollständiger Bericht mit Zeitachse, Auswirkungen, Ursache und ergriffenen Maßnahmen
- Lessons Learned — Evaluierungssitzung mit dem IRT zur Identifizierung von Verbesserungspunkten
- Verfahrensaktualisierungen — Anpassung von Verfahren, Richtlinien und technischen Maßnahmen auf Basis der Erkenntnisse
Schweregrade & Reaktionszeiten
Jeder Vorfall wird nach Schweregrad und Auswirkung klassifiziert. Die Klassifizierung bestimmt die Reaktionszeit, die Eskalationsstufe und die verfügbaren Ressourcen.
| Stufe | Reaktionszeit | Lösungszeit | Beispiele | Eskalation |
|---|---|---|---|---|
| Kritisch P1 | <1 Stunde | <48 Stunden | Aktive Datenschutzverletzung, Ransomware-Angriff, vollständige Systemkompromittierung | Telefonisch sofort — DSB + Geschäftsleitung |
| Hoch P2 | <4 Stunden | <72 Stunden | Potenzielle Datenschutzverletzung, unbefugter Zugriff auf Produktionssysteme | Telefonisch + E-Mail — DSB |
| Mittel P3 | <1 Arbeitstag | <20 Arbeitstage | Verdaechtige Aktivität, Phishing-Versuch mit Klick, Schwachstelle in Produktion | E-Mail — DSB |
| Niedrig P4 | Geplant | <3 Monate | Fehlgeschlagene Anmeldeversuche, blockierte Malware, informative Sicherheitsmeldungen | Ticketsystem |
Ansprechpartner Incident Response
Bei einem Sicherheitsvorfall wenden Sie sich an die untenstehenden Personen. Bei einem P1-Vorfall immer zuerst telefonisch Kontakt aufnehmen.
Datenschutzbeauftragter
Menno Kooistra
E-Mail: dpo@onesurance.ai
DSB E-Mail: dpo@onesurance.ai
Primärer Ansprechpartner
Backup-Ansprechpartner
Dennie van den Biggelaar
Telefon: +31 6 12 23 66 37
Backup bei Abwesenheit des DSB
Tests & Übungen
Der Incident-Response-Plan wird regelmäßig getestet, um die Wirksamkeit zu gewährleisten und das Team geubt zu halten.
Jährliche Tabletop Exercises
Mindestens einmal jährlich führt das IRT eine Tabletop Exercise durch. Dabei wird ein realistisches Vorfallszenario ohne tatsächliche Systemauswirkungen durchgespielt, um Entscheidungsfindung und Kommunikation zu testen.
Szenariotests
Spezifische Szenarien wie Ransomware, Datenschutzverletzung und Insider-Bedrohung werden durchgespielt. Nach jeder Übung werden Erkenntnisse dokumentiert und der Incident-Response-Plan aktualisiert.
SICHERHEITSNOTFALL?
Bei einem aktiven Sicherheitsvorfall nehmen Sie sofort telefonisch Kontakt auf:
E-Mail: dpo@onesurance.aiDatenschutzbeauftragter — Menno Kooistra
Fragen zum Incident Response?
Unser Datenschutzbeauftragter hilft Ihnen gerne bei Fragen zu unserem Incident-Response-Prozess, Sicherheitsmeldungen oder Eskalationsverfahren.