Incident-Response-Funktionalitäten sind wie Versicherungen: Man braucht sie, hofft aber, sie nie einsetzen zu müssen. Das macht es schwer, den richtigen Ansatz zu finden. Kommt es zu einem Angriff, ist es oft zu spät, die Strategie noch anzupassen. Unternehmen sollten daher frühzeitig in eine klare Strategie und erfahrene Partner investieren, um im Ernstfall handlungsfähig zu bleiben.

von Marc Schlaeppi, Incident Response Engineer bei Kudelski Security

Ein zentraler Aspekt der Cyberabwehr ist die Entscheidung, wie Unternehmen ihre Incident-Response-Strategie gestalten: Sollen interne Teams aufgebaut oder externe Dienstleister einbezogen werden? Diese Wahl hat weitreichende Konsequenzen, besonders in kritischen Momenten, wenn schnelle Reaktionen entscheidend sind. Wie so oft haben beide Möglichkeiten Vor- und Nachteile, die Entscheider kennen müssen, um die für ihr Unternehmen beste Entscheidung treffen und die Stärken und Schwächen der eigenen Firma gezielt nutzen zu können.

Die interne Lösung scheint verlockend

Die Vorteile eines rein internen Incident-Response-Teams liegen auf der Hand: Es verfügt über einen tiefen Einblick in alle Unternehmensbereiche, interne Systeme, Prozesse und Daten. Das ermöglicht eine schnelle und effiziente Reaktion auf Vorfälle – und kann einen Cyberangriff so frühzeitig eindämmen und die Auswirkungen begrenzen. Darüber hinaus erleichtert der direkte Austausch unter Kollegen die Kommunikation in Krisensituationen, gewährleistet eine einheitliche Informationslage und koordinierte Massnahmen.

Ein internes Team bietet die Möglichkeit, maßgeschneiderte Strategien zur Risikominimierung zu entwickeln, die auf die spezifischen Sicherheitsanforderungen der Firma zugeschnitten sind. Dies trägt zu einem umfassenden Krisenmanagement bei, das nicht nur die Eindämmung von Vorfällen umfasst, sondern auch Pläne zur Sicherstellung der Geschäftskontinuität und zur Bewältigung von Katastrophen integriert. Insgesamt bietet ein internes Team eine grössere Kontrolle über eingesetzte Tools, Technologien und Methoden.

Die Grenzen der internen Bedrohungserkennung und -abwehr

Trotz der Vorteile eines internen Incident-Response-Teams gibt es überzeugende Gründe, externe Unterstützung in Betracht zu ziehen. Angesichts der Herausforderungen, die mit einem Cyberangriff einhergehen, stellt sich die Frage, wann der Einsatz eines externen Incident-Response-Teams die bessere Wahl ist. Ein zentraler Aspekt ist die praktische Erfahrung: Wie viele reale Einsätze bewältigt ein internes Team in einem Monat? Für die meisten Unternehmen lautet die Antwort «nicht viele». Im Gegensatz dazu verfügen Drittanbieter meist über erheblich umfangreichere Praxiserfahrungen. Ein Cyberangriff, der für einen Betrieb möglicherweise nur einmal in einem Jahrzehnt vorkommt, steht für die Expertenfast monatlich an. Diese regelmässige Praxis schafft einen Erfahrungsschatz, der intern kaum erreicht werden kann.

Zusätzlich gibt es Herausforderungen, die durch Outsourcing reduziert oder sogar vollständig eliminiert werden können. Der Aufbau und die kontinuierliche Pflege eines internen Incident-Response-Teams sind oft kostenintensiv, insbesondere wenn hochspezialisiertes Personal oder fortschrittliche Technologien erforderlich sind. Darüber hinaus besteht die Gefahr, dass interne Teams mit Interessenskonflikten behaftet sind, unter Umständen interne Lösungen bevorzugen oder eventuell Eigeninteressen verfolgen. Auch die Skalierbarkeit kann problematisch sein: Grosse oder besonders komplexe Vorfälle können interne Ressourcen schnell überfordern und so die Reaktionsfähigkeit einschränken. Ein erfahrener Drittanbieter bringt hingegen frische Perspektiven und innovative Ansätze in die Incident-Response-Strategie ein. Dieser profitiert von einem breiten Erfahrungsspektrum aus der gesamten Branche, während selbst hochqualifizierte firmeneigene Teams meist auf einen begrenzten Erfahrungshorizont zurückgreifen können.

Die Vorteile des Outsourcings von Bedrohungserkennung und -abwehr

Die entscheidende Frage lautet nicht, ob ein internes Team in der Lage ist, auf Bedrohungen zu reagieren, sondern ob ein externes Team dies schneller und effektiver bewältigen kann. Es geht hier nicht um richtig oder falsch, sondern um die Wahl zwischen gut und besser. Es ist die Entscheidung zwischen dem Aufbau und der kontinuierlichen Pflege eines eigenen Incident-Response-Teams oder einer kosteneffizienten Alternative, bei der nur die tatsächlich benötigten Dienstleistungen eines externen Anbieters in Anspruch genommen werden. Es ist die Abwägung zwischen dem Aufbau eines internen Wissenspools und der Nutzung jahrzehntelanger, stetig wachsender Erfahrung eines spezialisierten Teams. Ebenso steht die Frage im Raum, ob Personal bezahlt werden soll, das rund um die Uhr, also auch nachts und am Wochenende, einsatzbereit ist, oder ob eine 24/7-Abdeckung durch einen vertraglich vereinbarten externen Anbieter vorzuziehen ist.

Wenn ein externes Incident-Response-Team eingreifen muss, profitieren Unternehmen von einer Kombination aus hochspezialisiertem Wissen und einem breiten Kompetenzspektrum, das Fähigkeiten wie Threat Hunting und Threat Remediation umfasst. Diese Expertise basiert auf der Erfahrung, die das Team durch die Zusammenarbeit mit zahlreichen anderen Kunden gesammelt hat, und wird durch fundierte Kenntnisse in Threat Intelligence und Threat Analysis ergänzt.

Das bedeutet jedoch nicht, dass das Auslagern seiner Incident-Response ohne eigene Herausforderungen auskommt. Es erfordert einen erhöhten Kommunikationsaufwand, um sicherzustellen, dass die externen Sicherheitsexperten in zeitkritischen Situationen Zugang zu allen benötigten Informationen haben. Die Integration eines externen Teams in bestehende Prozesse und Systeme eines Unternehmens kann ebenfalls schwierig sein. Zusätzlich müssen Sicherheitsbedenken berücksichtigt werden, die mit der Öffnung sensibler Systeme für ein externes Unternehmen einhergehen. Gleichzeitig bleibt es wichtig, ein gewisses Mass an interner Expertise aufrechtzuerhalten, um nicht zu stark von einem Anbieter abhängig zu werden und die eigene Autonomie zu wahren.

Diese Herausforderungen lassen sich jedoch durch die Wahl des richtigen Partners und eine effektive Beziehungsgestaltung deutlich verringern. Klare Kommunikation ist dabei unverzichtbar, ebenso wie eine gut abgestimmte und integrierte Zusammenarbeit. Wenn Sicherheitsprobleme auftreten, kann es zudem sinnvoll sein, auch unkonventionelle Ansätze in Betracht zu ziehen – beispielsweise innezuhalten, um sicherzustellen, dass alle relevanten Aspekte berücksichtigt werden.

Optimismus wahren, für Krisen wappnen

Unternehmen versuchen, möglichst viele kritische Geschäftsbereiche intern zu organisieren, um die Abhängigkeit von externen Partnern gering zu halten. Doch die Incident Response ist ein hochspezialisiertes Feld, in dem die Expertise eines externen Teams, das regelmässig mit schwerwiegenden Vorfällen konfrontiert wird, unverzichtbar sein kann. Mit dem richtigen Partner wird ein externes Team zu einer natürlichen und wertvollen Erweiterung der internen Sicherheitsabteilung.

Das Outsourcing erfordert zwar anfangs zusätzlichen Aufwand für die Etablierung klarer Kommunikationswege und die Integration in bestehende Prozesse. Doch in Krisensituationen, wenn die Firma vor potenziell verheerenden Konsequenzen steht, ist es ein unschätzbarer Vorteil, diese Herausforderung nicht allein bewältigen zu müssen. (Kudelsky Security/mc)