Die meisten Unternehmen brauchen Hilfe, um nach einer Cyberattacke schnell wieder handlungsfähig zu werden. Immer mehr Dienstleister bieten diese Unterstützung gegen eine fixe Jahresgebühr als so genannte „Incident Response Retainer“ an. Was taugen diese Angebote? Sind sie ihr Geld wirklich wert? Die Experten von Bosch CyberCompare klären auf.
Inhalt:
„Assume Breach“, ist eine häufig zu lesende Empfehlung von Cyberexperten. Unternehmen sollten jederzeit davon ausgehen, bereits Opfer eines Cyberangriffs zu sein, und entsprechende Sicherheitsmaßnahmen vorbereiten. Dies ist sicher ein vernünftiger Rat, doch der Ernstfall trifft die meisten dennoch unerwartet. Notfallpläne – sofern überhaupt vorhanden – erweisen sich dann häufig als unzureichend. Um schnell wieder handlungsfähig zu werden bleibt oft nichts anderes übrig, als externe Hilfe in Anspruch zu nehmen.
Es ist daher kein Wunder, dass die Nachfrage nach „Incident-Reponse“-Services steigt. Die Dienstleister, in der Regel spezialisierte IT-Sicherheitsunternehmen, bieten häufig gegen eine Jahresgebühr sogenannte „Retainer“ an – fixe Leistungspakete, die im Ernstfall in Anspruch genommen werden können.
Dieses Whitepaper gibt Ihnen wertvolle Tipps, worauf Sie bei der Auswahl eines Incident-Response-Anbieters und der Definition des Retainers unbedingt achten sollten.
Sie erfahren unter anderem:
- Was für und was gegen einen Incident Response Retainer spricht.
- Aus welchen Komponenten ein IR Retainer typischerweise besteht.
- Wie Sie die Kosten berechnen und vergleichen können.
Originalauszug aus dem Dokument:
Service Level Agreements (SLA) sind ein wesentlicher Vertragsbestandteil v.a. für eine Erstreaktion, nachdem Sie den Anbieter über den kritischen Incident informiert haben. Eine 7x24h Abdeckung sollte bei einem IR Retainer immer inkludiert werden. Eine Erreichbarkeit lediglich zu Geschäftszeiten schränkt aus unserer Sicht den Service zu kritisch ein. Die globale Abdeckung des Anbieters bei international aufgestellten Unternehmen ist in diesem Kontext ein relevantes Kriterium.
Dabei sollten Sie aber v.a. die wichtigsten Datacenter im Auge haben und nicht zwangsläufig jedes Werk und Vertriebsstandort direkt mitabdecken wollen. Hier spielt also die Regionalität des Anbieters eine Rolle: bevorzugt man eher einen lokalen Experten, der der Unternehmen ggf. bereits kennt und schnell mit dem Auto vor Ort ist, oder setzt man auf einen globalen Champion, welcher Incident Response als Kerngeschäft betreibt.
Wichtig ist dabei auch die Anzahl der zur Verfügung stehenden IR Analysten. Zahlen kleiner als 5 sollten Sie schon kritisch hinterfragen; gleichzeitig muss das kein K.O.-Kriterium dar-stellen, wenn es sich z.B. um einen sehr guten, lokalen Champion handelt (Tipp: fragen Sie auch, wie viele Retainer/Kunden parallel von dieser Anzahl an Analysten abgedeckt werden müssen).
Abschließend sollten Sie die gewünschten Sprachen klar definieren, v.a. wenn es um Internationalität geht.