In diesem Fall ist die Reaktionsgeschwindigkeit von größter Wichtigkeit, da eine Kompromittierung eine Gefährdung des ganzen Informationssystems des Unternehmens darstellt. Wenn die Kompromittierung zudem eine Störung des Dienstes zur Folge hat, kann ein längerer Ausfall mit finanziellen Verlusten einhergehen. Im Falle schließlich der Entstellung einer Webseite (Änderung der Seiten), steht der gute Ruf des ganzen Unternehmens auf dem Spiel.

Reaktionsphase

Die Reaktionsphase ist meist die Phase, die in den Informatiksicherheits-Projekten am wenigsten Beachtung findet. Sie besteht darin die Ereignisse vorauszusehen und die im Schadensfall zu ergreifenden Maßnahmen zu planen.

Im Falle einer Eindringung zum Beispiel, ist es nämlich möglich, dass der Systemadministrator nachfolgenden Szenarien reagiert :

• Die Adresse des Piraten herausfinden und zurückschlagen ;
• Den Netzanschluss der Maschine abstellen ;
• Die Maschine aus dem Netzwerk entfernen ;
• Das System neu installieren.

Tatsächlich ist jede dieser Aktionen tendenziell schädlicher (insbesondere bezüglich der Kosten) als die Eindringung selbst. Wenn nämlich das Funktionieren der kompromittierte Maschine für die Funktion des Informationssystems vital ist, oder wenn es sich um die Website eines online-Handelsunternehmens handelt, so kann die Nicht-Verfügbarkeit des Dienstes über eine lange Zeitspanne katastrophale Folgen haben.

Außerdem ist es in dieser Art von Fällen wesentlich Beweise zu erstellen, für den Fall eines Strafverfahrens. Im gegenteiligen Fall, wenn die kompromittierte Maschine als Ausgangspunkt für eine andere Attacke benutzt worden ist, so kann das Unternehmen zur Verantwortung gezogen werden.

Die Einführung eines Wiederaufnahmeplans nach Schadensfall ermöglicht so eine Verschlimmerung des Schadens zu vermeiden und sicherzustellen dass alle Maßnahmen ordnungsgemäß angewandt werden, um die Beweiselemente zu sichern.

Ein gut erarbeiteter Plan für den Schadensfall definiert außerdem den Verantwortungsbereich jeder Person und vermeidet damit Zeitverschwendung durch Anweisungen und Gegenanweisungen.

Restaurierung

Die Wieder-in-Funktion-Setzung des Systems muss in dem Wiederaufnahmeplan nach Schadensfall detailliert beschrieben werden und muss folgende Elemente mit einbeziehen :

• Datierung der Eindringung  : die Kenntnis des ungefähren Datums der Kompromittierung ermöglichte es die Einbringungsrisiken im Rest des Netzwerkes einzuschätzen, sowie den Grad der Kompromittierung der Maschine ;
• Abgrenzung der Kompromittierung  : es handelt sich darum die nötigen Maßnahmen zu ergreifen, damit sich die Kompromittierung nicht weiter verbreitet ;
• Back-up-Strategie : wenn das Unternehmen eine Back-up-Strategie besitzt, ist es empfehlenswert zu überprüfen welche Änderungen die Daten des kompromittierten Systems im Vergleich zu den als zuverlässig geltenden Daten, erfahren haben. Wenn nämlich die Daten von einemVirus oder einem Trojanerinfiziert worden sind, so kann deren Wiederherstellung möglicherweise zur Verbreitung des Schadenfalls beitragen ;
• Beweisermittlung : aus rechtlichen Gründen ist es notwendig die Protokolldateien des korrupten Systems abzuspeichern, um diese im Fall einer Strafermittlung vorbringen zu können ;
• Einrichtung einer Rückzugs-Website : anstatt das kompromittierte System wieder in Gang zu setzen, ist es vernünftiger eine Rückzugs-Seite vorauszusehen, und diese rechtzeitig zu aktivieren, um so die Ununterbrochenheit des Dienstes sicherzustellen.

Übung des Notfallplans

Durch Üben des Notfallplans wird überprüft, ob dieser richtig funktioniert und gleichzeitig werden alle betroffenen Akteuren aufgeklärt, genauso wie Evakuierungsübungen unverzichtbar sind in Notfallplänen für Brandfälle.