Skip to content

Was sind die Phasen des Incident-Response-Lebenszyklus, und warum ist die Reihenfolge wichtig?

Kurzantwort

Das klassische Modell ist PICERL: Vorbereitung, Identifikation (Erkennung), Eindämmung, Beseitigung, Wiederherstellung und Lessons Learned. NIST gruppiert es als Vorbereitung; Erkennung und Analyse; Eindämmung, Beseitigung und Wiederherstellung; sowie Aktivität nach dem Vorfall. Die Reihenfolge zählt, weil man den Umfang erfassen und eindämmen muss, bevor man beseitigt, und erst wiederherstellt, wenn die Bedrohung entfernt ist – sonst infiziert man erneut. Es ist eine Schleife, keine Linie: Lessons Learned fließen in die Vorbereitung zurück.

Interviewer stellen diese Frage, um zu prüfen, ob du ein strukturiertes mentales Modell für das Chaos hast. Während eines echten Vorfalls drängt das Adrenalin Menschen, Schritte zu überspringen – eine Maschine zu löschen, bevor sie den Umfang verstehen, oder Backups wiederherzustellen, bevor der Angreifer vertrieben ist. Ein benanntes Rahmenwerk hält das Team diszipliniert.

Die zwei gängigen Modelle

Das SANS-PICERL-Modell buchstabiert sechs Phasen aus: Preparation (Vorbereitung), Identification (Identifikation), Containment (Eindämmung), Eradication (Beseitigung), Recovery (Wiederherstellung), Lessons Learned. NIST SP 800-61 fasst diese zu vier zusammen: Vorbereitung; Erkennung und Analyse; Eindämmung, Beseitigung und Wiederherstellung; sowie Aktivität nach dem Vorfall. Sie beschreiben dieselbe Arbeit.

Warum die Reihenfolge tragend ist

  • Vorbereitung ist alles, was du vor dem Alarm tust: Logging, Playbooks, Werkzeuge, IR-Retainer und Tabletop-Übungen. Die meisten Vorfälle werden hier gewonnen oder verloren.
  • Identifikation/Erkennung bestätigt, dass ein Vorfall echt ist, und erfasst seinen Umfang. Man kann nicht bekämpfen, was man nicht kartiert hat.
  • Eindämmung stoppt die Blutung – oft unterteilt in kurzfristig (einen Host isolieren) und langfristig (temporäre Maßnahmen anwenden, während man plant). Dämme ein, bevor du beseitigst, damit sich der Angreifer während des Aufräumens nicht ausbreitet.
  • Beseitigung entfernt die Grundursache: Malware, Backdoors, kompromittierte Konten.
  • Wiederherstellung bringt Systeme zurück in den Produktivbetrieb und überwacht auf erneute Infektion.
  • Lessons Learned hält fest, was passiert ist, und speist Verbesserungen in die Vorbereitung zurück.

Warum das wichtig ist

Der Zyklus ist eine Schleife, keine Checkliste. Die stärkste Antwort benennt die Phasen, erklärt, warum Eindämmung der Beseitigung und Wiederherstellung vorangeht, und betont, dass das Post-Incident-Review der Ort ist, an dem eine Organisation tatsächlich besser wird. Interviewer suchen jemanden, der IR unter Druck als wiederholbaren Prozess behandelt.

Wahrscheinliche Anschlussfragen

  • Warum wird die Eindämmung in kurz- und langfristige Schritte unterteilt?
  • Was gehört in die Phase «Vorbereitung», bevor ein Vorfall überhaupt eintritt?
  • Wie fließen Lessons Learned in den Rest des Zyklus zurück?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.