Der Begriff „Threat Response“ (deutsch: „Bedrohungsreaktion“) bezeichnet alle technischen und organisatorischen Maßnahmen, mit denen IT-Sicherheitsvorfälle erkannt, bewertet, eingedämmt und behoben werden. Im Softwarekontext umfasst „Threat Response“ vor allem Funktionen, die auf Basis von Sicherheitsalarmen konkrete Gegenmaßnahmen auslösen – von der automatischen Isolierung kompromittierter Systeme bis zur strukturierten Unterstützung von Incident-Response-Teams. Ziel ist es, die Auswirkungen von Angriffen zu minimieren, Ausfallzeiten zu verringern und regulatorische Vorgaben einzuhalten.
Alarmkorrelation und Priorisierung: Zusammenführung von Sicherheitsereignissen aus verschiedenen Quellen (z. B. Endpoint, Netzwerk, Cloud) und automatische Einstufung nach Kritikalität und Risiko.
Automatisierte Eindämmung (Containment): Isolierung infizierter Endpunkte, Sperrung kompromittierter Benutzerkonten oder Blockierung verdächtiger IP-Adressen und Domains.
Playbooks und Runbooks: Vordefinierte Reaktionsabläufe, die Schritt für Schritt festlegen, wie bei bestimmten Bedrohungen vorzugehen ist – häufig teilweise oder vollständig automatisiert.
Orchestrierung (SOAR-Funktionen): Ansteuerung und Koordination verschiedener Sicherheitssysteme (z. B. Firewall, EDR, E-Mail-Gateway, Ticket-System), um einheitliche Reaktionen über mehrere Tools hinweg auszulösen.
Threat-Intelligence-Anreicherung: Anreicherung von Alerts mit Informationen aus Threat-Intelligence-Feeds (z. B. bekannte Indicators of Compromise, Taktiken/Techniken), um schneller fundierte Entscheidungen treffen zu können.
Forensik und Beweissicherung: Sammlung von Logdaten, Prozessinformationen, Dateihashes und Netzwerkverbindungen zur Ursachenanalyse und zur Nachvollziehbarkeit des Angriffsverlaufs.
Interaktive Fallbearbeitung (Case Management): Anlage und Verwaltung von Sicherheitsfällen mit Aufgabenlisten, Kommentaren, Verantwortlichkeiten und Statusverfolgung.
Echtzeit-Benachrichtigungen: Meldung kritischer Vorfälle an Security-Teams per Dashboard, E-Mail, SMS oder Kollaborationstools (z. B. Teams, Slack).
Integration in ITSM- und Ticket-Systeme: Automatisierte Erstellung und Aktualisierung von Tickets in Service-Management-Systemen, um Security-Vorfälle in die regulären IT-Prozesse einzubinden.
Reporting und Compliance-Nachweise: Erstellung von Berichten zu Vorfällen, Reaktionszeiten und getroffenen Maßnahmen für Management, Revision und Aufsichtsbehörden.
Ein Endpoint-Detection-&-Response-System (EDR) erkennt ein verdächtiges Verschlüsselungsverhalten und isoliert den betroffenen Rechner automatisch vom Unternehmensnetzwerk.
Eine SOAR-Plattform führt nach einem Phishing-Alarm ein Playbook aus: betroffene E-Mails werden aus den Postfächern entfernt, der Absender wird blockiert und ein Ticket im ITSM-System angelegt.
Ein Cloud-Sicherheitsdienst entdeckt ungewöhnliche Administratoraktivitäten in einer SaaS-Anwendung, setzt ein Zwangs-Passwort-Reset durch und erzwingt Multifaktor-Authentifizierung.
Ein SIEM-System korreliert mehrere Login-Versuche aus ungewöhnlichen Ländern, stuft das Muster als Brute-Force-Angriff ein und löst die temporäre Sperrung der betroffenen Konten aus.
Ein OT-Security-System erkennt verdächtigen Datenverkehr zu einer SPS (PLC) in einer Produktionsanlage und veranlasst die Segmentierung des betroffenen Netzwerkteils, um Manipulationen zu verhindern.