Containment (Incident Containment / Eingrenzung von Sicherheitsvorfällen)

Containment bezeichnet die Phase im Incident-Response-Prozess, in der ein erkannter Sicherheitsvorfall isoliert und eingedämmt wird, um eine weitere Ausbreitung im Netzwerk zu verhindern, bevor die eigentliche Bereinigung und Wiederherstellung beginnt. Typische Containment-Maßnahmen umfassen Netzwerkisolierung betroffener Systeme, Sperrung kompromittierter Konten und Blockierung von Angreifer-IP-Adressen. In IT-Vergaben für SOC- oder MDR-Dienste sollten Auftraggeber klare Containment-Reaktionszeiten und -prozesse als messbare SLA-Parameter verlangen und regelmäßige Übungen (Tabletop Exercises) fordern.