Incident Response (IRE)
1/2. Semester
5 ECTS | 4 SWS
Continuous Assessment (CA)
Inhalte
- Incident-Response-Lebenszyklus (Vorbereitung, Erkennung, Analyse, Eindämmung, Beseitigung, Wiederherstellung, Lessons Learned), Rollen und Verantwortlichkeiten sowie Einbettung in organisatorische Sicherheitsstrategien.
- Methoden zur Identifikation von Incidents mittels Logs, SIEM-Systemen, Endpoint- und Netzwerküberwachung, Threat Intelligence und Alarm-Triage.
- Technische und organisatorische Maßnahmen zur kurzfristigen und langfristigen Eindämmung, Beseitigung von Bedrohungen, Systemwiederherstellung sowie Berücksichtigung der Business Continuity.
- Einsatz moderner Technologien (insbesondere KI) zur Unterstützung in jeder Phase der Bearbeitung von Incidents.
- Forensische Datensicherung und -analyse während der Incident Response, Schnittstellen zwischen Incident Response und Forensik sowie Sicherstellung der Beweisführung.
- Gesetzliche Anforderungen, Compliance (z. B. Datenschutz, Meldepflichten), Dokumentation, Kommunikation mit Stakeholdern sowie Zusammenarbeit mit Management und externen Stellen.
- Dokumentation von Sicherheitsvorfällen, Ursachenanalyse (Root Cause Analysis), Lessons Learned, Kennzahlen und Optimierung der Incident-Response-Prozesse.
Lernziele/Kompetenzen
Die Studierenden sind in der Lage,
- Den Incident-Response-Lebenszyklus zu erklären und anzuwenden sowie in organisatorische Sicherheits- und Risikomanagementprozesse zu integrieren.
- Sicherheitsvorfälle zu erkennen, zu analysieren und zu klassifizieren unter Einsatz geeigneter technischer und organisatorischer Verfahren.
- Maßnahmen zur Eindämmung, Beseitigung und Wiederherstellung bei komplexen Sicherheitsvorfällen zu konzipieren und umzusetzen.
- Moderne Technologien (insbesondere KI) für die Bearbeitung von Incidents einsetzen und deren Mehrwert und Herausforderungen korrekt einzuschätzen.
- Forensische Prinzipien im Incident-Response-Kontext anzuwenden, insbesondere zur Sicherstellung der Beweisintegrität.
- Rechtliche, regulatorische und organisatorische Rahmenbedingungen bei der Behandlung von Sicherheitsvorfällen zu bewerten und zu berücksichtigen.
- Incident-Response-Aktivitäten zu dokumentieren, zu kommunizieren und zu evaluieren sowie Verbesserungsmaßnahmen abzuleiten.
Literatur
- Cichonski, Paul; Millar, Tim; Grance, Tom; Scarfone, Karen: Computer Security Incident Handling Guide (NIST SP 800-61 Rev. 2) National Institute of Standards and Technology, 2012
- Mandia, Kevin; Prosise, Chris; Pepe, Matt: Incident Response & Computer Forensics 3rd Edition, McGraw-Hill, 2014
- Bejtlich, Richard: The Practice of Network Security Monitoring: Understanding Incident Detection and Response No Starch Press, 2013
Dozentinnen / Dozenten
- Prof. Dr. Sachar Paulus
- n.n.
Empfohlene Vorkenntnisse
-
Informationssicherheitsmanagement, speziell IS-Risikomanagement
-
Technische Sicherheitsmaßnahmen (Betriebssystemsicherheit, Netzwerksicherheit)
Die folgenden Kenntnisse und Fertigkeiten werden für den Besuch der Veranstaltung empfohlen:
Daten zum Modul
| Semester |
1/2 |
| Unterrichtssprache |
Deutsch |
|
Häufigkeit
|
Wintersemester
|
| Kreditpunkte |
5 |
| Modulverantwortlich |
Prof. Dr. Sachar Paulus |
| Dauer |
1 Semester |
| Studienleistung |
Keine |
| Prüfungsvorleistung |
Keine |
| Prüfungsleistung |
Continuous Assessment (CA) |
Semesterwochenstunden
| Vorlesung |
4 SWS |
| Summe |
4 SWS |
Arbeitsaufwand (work load)
| Vorlesung |
60 h |
| Aufgaben |
30 h |
| Projekt |
60 h |
| Summe |
150 h |