- Ein Incident Response Plan (IRP) ist ein dokumentierter Ablaufplan, der festlegt, wer bei einem Sicherheitsvorfall welche Aufgaben übernimmt und wie die Kommunikation läuft.
- Die Kernrollen sind Incident Manager (Gesamtverantwortung), technisches Response-Team, Kommunikationsverantwortlicher und Management-Liaison. In KMU können Personen mehrere Rollen bündeln.
- Drei Eskalationsstufen - Standard, Erhöht und Krise - steuern den Ressourceneinsatz und die Entscheidungsbefugnisse je nach Schweregrad des Vorfalls.
- Der Kommunikationsplan regelt interne und externe Kommunikation, Sprachregelungen und Freigabeprozesse. Wer nicht kommuniziert, verliert die Kontrolle über die Narrative.
- Ein IRP, der nie getestet wurde, ist wertlos. Tabletop-Übungen und simulierte Vorfälle decken Schwachstellen auf, bevor der Ernstfall sie offenbart.
Warum ein Incident Response Plan kein Nice-to-have ist
Der Ransomware-Angriff trifft das Unternehmen am Donnerstagabend um 22:15 Uhr. Der IT-Leiter bemerkt es am Freitagmorgen, als die ersten Mitarbeiter sich nicht mehr anmelden können. Er ruft den Geschäftsführer an, der gerade auf einer Messe ist. Der Geschäftsführer fragt: Was sollen wir tun? Der IT-Leiter weiß es technisch, aber organisatorisch fehlen alle Grundlagen. Wer informiert die Kunden? Wer spricht mit der Presse, wenn sie anruft? Wer meldet ans BSI? Wer entscheidet, ob das Lösegeld gezahlt wird? Und wer koordiniert das alles, während die IT gleichzeitig versucht, den Schaden einzugrenzen?
Ohne einen Incident Response Plan sind das alles offene Fragen in einem Moment, in dem du keine Zeit für offene Fragen hast. Jede Minute, die du mit Klärung von Zuständigkeiten verbringst, ist eine Minute, in der sich der Angriff ausbreiten kann, in der Fristen verstreichen und in der das Vertrauen von Kunden und Partnern erodiert.
Ein Incident Response Plan, kurz IRP, löst dieses Problem. Er definiert im Voraus, wer was tut, in welcher Reihenfolge, mit welchen Ressourcen und über welche Kommunikationswege. Er ist kein theoretisches Dokument für die Schublade, sondern ein operativer Leitfaden, der im Krisenfall funktionieren muss.
NIS2 fordert in Artikel 21 explizit die Bewältigung von Sicherheitsvorfällen als eine der zehn Mindestmaßnahmen. ISO 27001 widmet dem Thema die Controls A.5.24 bis A.5.28. Und die DSGVO setzt mit ihren 72-Stunden-Meldefristen voraus, dass du einen funktionierenden Meldeprozess hast. Ein IRP ist also nicht nur operativ sinnvoll, sondern regulatorisch gefordert.
Was ein Incident Response Plan ist und was nicht
Ein IRP ist kein allgemeiner Notfallplan, kein Business-Continuity-Plan und kein Disaster Recovery Plan. Er grenzt sich folgendermaßen ab:
| Dokument | Fokus | Beantwortet |
|---|---|---|
| Incident Response Plan | Reaktion auf Sicherheitsvorfälle | Wer tut was, wenn ein Angriff erkannt wird? |
| Business Continuity Plan | Aufrechterhaltung des Geschäftsbetriebs | Wie arbeiten wir weiter, wenn Systeme ausfallen? |
| Disaster Recovery Plan | Wiederherstellung der IT-Infrastruktur | Wie stellen wir Systeme und Daten wieder her? |
| Krisenmanagementplan | Gesamtsteuerung bei schwerwiegenden Ereignissen | Wer führt das Unternehmen durch eine existenzielle Krise? |
In der Praxis greifen diese Dokumente ineinander. Bei einem schweren Ransomware-Angriff startest du mit dem IRP, aktivierst parallel den BCP, um den Geschäftsbetrieb aufrechtzuerhalten, und nutzt den DRP für die technische Wiederherstellung. Der IRP ist dabei das Dokument, das als erstes zum Einsatz kommt und die initiale Reaktion steuert.
Ein guter IRP für ein mittelständisches Unternehmen hat 15 bis 25 Seiten. Nicht 5 (zu oberflächlich) und nicht 80 (liest im Ernstfall niemand). Er muss so geschrieben sein, dass jemand unter Stress die relevanten Informationen in unter zwei Minuten findet. Klare Gliederung, Checklisten, Kontaktlisten und Entscheidungsbäume statt Fließtext.
Aufbau und Gliederung eines IRP
Ein vollständiger Incident Response Plan gliedert sich in acht Abschnitte. Jeder Abschnitt hat eine klare Funktion und sollte eigenständig nutzbar sein, damit du im Ernstfall direkt zum relevanten Kapitel springen kannst.
Abschnitt 1: Zweck und Geltungsbereich
Hier definierst du, wofür der Plan gilt und wofür nicht.
Zweck: Der IRP beschreibt den strukturierten Ablauf bei der Erkennung, Bewertung, Eindämmung, Beseitigung und Nachbereitung von Sicherheitsvorfällen im Unternehmen.
Geltungsbereich: Alle IT-Systeme, Netzwerke und Daten des Unternehmens, einschließlich Cloud-Dienste und extern gehosteter Systeme. Physische Sicherheitsvorfälle (Einbruch, Brand) werden im separaten Krisenmanagementplan behandelt, sofern sie keine IT-Komponente haben.
Definition Sicherheitsvorfall: Ein Sicherheitsvorfall ist jedes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationswerten des Unternehmens tatsächlich oder potenziell beeinträchtigt.
Abschnitt 2: Rollen und Verantwortlichkeiten
Das Herzstück des IRP. Hier wird festgelegt, wer welche Aufgabe übernimmt. In einem Unternehmen mit 50 bis 200 Mitarbeitern sind vier Kernrollen erforderlich, wobei Personen mehrere Rollen bündeln können.
Rolle 1: Incident Manager
Der Incident Manager ist die zentrale Koordinationsstelle während eines Vorfalls. Er oder sie hat die Gesamtverantwortung für die Vorfallsbehandlung und trifft operative Entscheidungen.
| Aspekt | Details |
|---|---|
| Hauptaufgabe | Koordination aller Maßnahmen, Entscheidungen über Eskalation und Eindämmungsstrategie |
| Besetzt durch | ISB, IT-Leitung oder erfahrener Senior-Admin |
| Befugnisse | Kann Systeme abschalten, Netzwerksegmente isolieren, externe Dienstleister beauftragen (bis zu einem definierten Budget) |
| Erreichbarkeit | 24/7 über Mobiltelefon, Stellvertreter benannt |
| Stellvertreter | Namentlich benannt, mit gleichen Befugnissen |
In einem Unternehmen mit 80 Mitarbeitern ist der Incident Manager oft der IT-Leiter oder der ISB. Wichtig ist, dass diese Person Entscheidungsbefugnis hat, ohne bei jeder Maßnahme die Geschäftsführung fragen zu müssen. Wenn der Incident Manager um 22 Uhr entscheidet, das Netzwerk vom Internet zu trennen, muss das innerhalb seiner Befugnisse liegen.
Rolle 2: Technisches Response-Team
Das Team, das die operative Arbeit leistet: Analyse, Eindämmung, Beseitigung, Wiederherstellung.
| Aspekt | Details |
|---|---|
| Hauptaufgabe | Technische Analyse, Eindämmung, forensische Sicherung, Beseitigung und Wiederherstellung |
| Besetzt durch | IT-Administratoren, Netzwerkspezialisten, ggf. externe Forensiker |
| Mindestgröße | 2-3 Personen intern, erweiterbar durch externe Partner |
| Kompetenzen | Netzwerkanalyse, Log-Auswertung, Malware-Analyse (Grundkenntnisse), Systemwiederherstellung |
Für ein mittelständisches Unternehmen bedeutet das realistischerweise: zwei bis drei IT-Mitarbeiter aus dem bestehenden Team plus ein externer Dienstleister, der bei schweren Vorfällen hinzugezogen werden kann. Tools wie ISMS Lite helfen dabei, Rollen, Kontaktdaten und Eskalationsstufen zentral zu pflegen, sodass im Ernstfall alle Informationen sofort griffbereit sind. ab 500 Euro pro Jahr oder als Einmalkauf für 2.500 Euro, ohne Seat-Lizenzen oder versteckte Kosten erhältst du alle Module inklusive Incident-Management. Diesen Dienstleister solltest du vor dem Ernstfall unter Vertrag nehmen, nicht erst während der Krise suchen. Ein Retainer-Vertrag mit einem Incident-Response-Dienstleister kostet einen niedrigen vierstelligen Betrag pro Jahr und sichert dir Reaktionszeiten von wenigen Stunden. Die Anforderungen an externe Partner solltest du in einer Lieferanten-Sicherheitsrichtlinie festhalten.
Rolle 3: Kommunikationsverantwortlicher
Unterschätzt und im Ernstfall entscheidend. Jemand muss die interne und externe Kommunikation steuern, während die Techniker den Vorfall bearbeiten.
| Aspekt | Details |
|---|---|
| Hauptaufgabe | Interne Information der Mitarbeiter, externe Kommunikation mit Kunden, Partnern, ggf. Presse |
| Besetzt durch | Geschäftsführung, Marketing/PR-Leitung oder ISB |
| Befugnisse | Sprachregelung festlegen, Kommunikation freigeben, Medienanfragen beantworten oder verweigern |
| Koordination | Stimmt sich eng mit Incident Manager und Management-Liaison ab |
In vielen mittelständischen Unternehmen gibt es keine PR-Abteilung. Dann fällt diese Rolle der Geschäftsführung oder einer vertrauenswürdigen Führungskraft zu. Entscheidend ist, dass es genau eine Person gibt, die für Kommunikation zuständig ist. Wenn drei verschiedene Leute unterschiedliche Aussagen machen, verschärft das die Krise.
Rolle 4: Management-Liaison
Die Verbindung zwischen dem Incident-Response-Team und der Geschäftsleitung.
| Aspekt | Details |
|---|---|
| Hauptaufgabe | Geschäftsführung informieren, strategische Entscheidungen einholen (Lösegeld, Geschäftsbetrieb, rechtliche Schritte) |
| Besetzt durch | ISB, Prokurist oder direkt ein Mitglied der Geschäftsführung |
| Befugnisse | Kann Budgetfreigaben für externe Unterstützung erteilen, strategische Entscheidungen treffen |
| Eskalation | Wird ab Eskalationsstufe 2 aktiviert |
Abschnitt 3: Eskalationsstufen
Nicht jeder Vorfall erfordert das gleiche Maß an Aufmerksamkeit und Ressourcen. Drei klar definierte Eskalationsstufen helfen, die Reaktion proportional zum Vorfall zu gestalten.
Stufe 1: Standard-Incident
| Merkmal | Beschreibung |
|---|---|
| Schweregrad | 1-4 |
| Beispiele | Malware auf einzelnem PC, fehlgeschlagener Phishing-Versuch, verdächtige Anmeldeaktivität ohne Kompromittierung |
| Aktivierte Rollen | Incident Manager (leichtgewichtig), ein Mitglied des technischen Teams |
| Reaktionszeit | Beginn der Bearbeitung innerhalb von 4 Stunden während der Geschäftszeiten |
| Befugnisse | IT-Team bearbeitet eigenständig, keine Management-Information nötig |
| Dokumentation | Ticketsystem, Kurzbericht nach Abschluss |
Stufe 2: Erhöhter Incident
| Merkmal | Beschreibung |
|---|---|
| Schweregrad | 5-7 |
| Beispiele | Erfolgreicher Phishing-Angriff mit kompromittiertem Konto, Ransomware auf einzelnem Server, Verdacht auf Datenabfluss |
| Aktivierte Rollen | Incident Manager (vollzeit), technisches Response-Team, Management-Liaison, Kommunikationsverantwortlicher (Stand-by) |
| Reaktionszeit | Beginn innerhalb von 1 Stunde, auch außerhalb der Geschäftszeiten |
| Befugnisse | Incident Manager kann Systeme isolieren und externe Unterstützung anfordern. Management wird informiert |
| Dokumentation | Detailliertes Vorfallsprotokoll, Meldepflicht-Check (NIS2/DSGVO) |
| Meldepflicht-Check | Innerhalb von 4 Stunden prüfen, ob Meldepflichten bestehen |
Stufe 3: Krise
| Merkmal | Beschreibung |
|---|---|
| Schweregrad | 8-10 |
| Beispiele | Ransomware-Verschlüsselung des gesamten Netzwerks, bestätigte Exfiltration sensibler Daten, Kompromittierung des Domain-Controllers, Totalausfall geschäftskritischer Systeme |
| Aktivierte Rollen | Alle Rollen vollzeit. Geschäftsführung übernimmt strategische Führung. Externe Incident-Response-Dienstleister werden aktiviert |
| Reaktionszeit | Sofort, rund um die Uhr |
| Befugnisse | Geschäftsführung entscheidet über Geschäftsbetrieb, Lösegeld, öffentliche Kommunikation, rechtliche Schritte |
| Dokumentation | Lückenlose Timeline, alle Entscheidungen und Begründungen schriftlich |
| Meldepflicht | NIS2-Erstmeldung ans BSI innerhalb von 24 Stunden, DSGVO-Meldung prüfen |
| Zusätzlich | Rechtsanwalt einbinden, Versicherung informieren, ggf. Strafanzeige erstatten |
Abschnitt 4: Ablaufphasen
Der operative Kern des IRP beschreibt die sechs Phasen der Vorfallsbehandlung. Jede Phase hat klare Eingangsbedingungen, Aktivitäten und Ergebnisse.
Phase 1 - Erkennung und Meldung: Sicherheitsvorfälle werden über technisches Monitoring, Mitarbeiter-Meldungen oder externe Hinweise erkannt. Jede Meldung wird im Ticketsystem erfasst und dem Incident Manager zugewiesen. Ziel: Innerhalb von 15 Minuten liegt eine erste Einschätzung vor, ob es sich um einen echten Vorfall handelt.
Phase 2 - Erstbewertung und Klassifizierung: Der Incident Manager bewertet den Vorfall anhand der Schweregrad-Skala (1-10) und ordnet die passende Eskalationsstufe zu. Er aktiviert die entsprechenden Rollen und informiert die Beteiligten. Ziel: Innerhalb von 30 Minuten stehen Schweregrad, Eskalationsstufe und aktivierte Ressourcen fest.
Phase 3 - Eindämmung: Das technische Team stoppt die Ausbreitung des Vorfalls. Kurzfristige Maßnahmen (Systeme isolieren, Konten sperren) werden sofort umgesetzt. Langfristige Maßnahmen (temporäre Workarounds, forensische Sicherung) folgen parallel. Ziel: Die Ausbreitung ist gestoppt, Beweise sind gesichert.
Phase 4 - Beseitigung: Die Ursache des Vorfalls wird identifiziert und eliminiert. Malware wird entfernt, Schwachstellen werden gepatcht, kompromittierte Credentials werden rotiert. Ziel: Der Angriffsvektor ist geschlossen, alle Artefakte sind entfernt.
Phase 5 - Wiederherstellung: Systeme werden schrittweise wieder in Betrieb genommen, beginnend mit den geschäftskritischsten. Jedes System wird nach dem Hochfahren intensiv überwacht. Ziel: Normalbetrieb ist wiederhergestellt, erhöhtes Monitoring läuft.
Phase 6 - Nachbereitung: Innerhalb von zwei Wochen nach Abschluss findet ein Lessons-Learned-Workshop statt. Die Vorfallsdokumentation wird vervollständigt. Verbesserungsmaßnahmen werden definiert, priorisiert und in die Umsetzung gegeben. Ziel: Der IRP und die Sicherheitsmaßnahmen werden auf Basis der gewonnenen Erkenntnisse verbessert.
Abschnitt 5: Kommunikationsplan
Die Kommunikation während eines Sicherheitsvorfalls ist mindestens so wichtig wie die technische Reaktion. Schlechte Kommunikation verstärkt Krisen, gute Kommunikation begrenzt Schäden. Der Kommunikationsplan regelt, wer wann wen über welchen Kanal informiert.
Interne Kommunikation:
| Zielgruppe | Wann | Durch wen | Kanal | Inhalt |
|---|---|---|---|---|
| IT-Team | Sofort bei Erkennung | Incident Manager | Telefon, Chat | Technische Details, Arbeitsaufträge |
| Geschäftsführung | Bei Stufe 2 und 3 | Management-Liaison | Telefon | Lage, Auswirkungen, Handlungsoptionen |
| Alle Mitarbeiter | Wenn Auswirkungen spürbar | Kommunikationsverantwortlicher | E-Mail, Intranet | Was passiert, was zu tun ist, was nicht zu tun ist |
| Betriebsrat | Bei Stufe 3, wenn Mitarbeiterdaten betroffen | Geschäftsführung | Persönlich | Sachverhalt, betroffene Daten, Maßnahmen |
Externe Kommunikation:
| Zielgruppe | Wann | Durch wen | Kanal | Inhalt |
|---|---|---|---|---|
| BSI (NIS2) | Innerhalb von 24 Std. bei erheblichem Vorfall | ISB/Incident Manager | Online-Meldeportal | Frühwarnung gemäß NIS2 |
| Datenschutz-Aufsichtsbehörde | Innerhalb von 72 Std. bei Datenpanne | DSB | Online-Meldeportal | Meldung gemäß Art. 33 DSGVO |
| Betroffene Personen | Unverzüglich bei hohem Risiko | Kommunikationsverantwortlicher | Brief, E-Mail | Benachrichtigung gemäß Art. 34 DSGVO |
| Kunden/Partner | Wenn Auswirkungen auf Geschäftsbeziehung | Kommunikationsverantwortlicher | E-Mail, Telefon | Sachverhalt, Auswirkungen, Maßnahmen |
| Presse | Nur auf Anfrage, nur bei Stufe 3 | Kommunikationsverantwortlicher | Pressemitteilung | Abgestimmte Sprachregelung |
| Cyber-Versicherung | Bei Stufe 2 und 3 | Management-Liaison | Telefon, E-Mail | Schadensmeldung gemäß Vertrag |
| Strafverfolgungsbehörden | Bei Stufe 3, wenn strafrechtlich relevant | Geschäftsführung/Anwalt | Strafanzeige | Sachverhalt, Beweise |
| Externer IR-Dienstleister | Bei Stufe 2 und 3 | Incident Manager | Telefon | Retainer aktivieren, Briefing |
Sprachregelungen:
Definiere im Voraus, was nach außen kommuniziert werden darf und was nicht. Als Grundregel gilt:
- Bestätige den Vorfall faktisch, ohne technische Details preiszugeben
- Beschreibe die ergriffenen Maßnahmen auf hoher Ebene
- Gib keine Informationen über den Angriffsvektor oder die Angreifer heraus
- Mache keine Aussagen über den Umfang des Schadens, bevor die Analyse abgeschlossen ist
- Alle externe Kommunikation wird vor Versand vom Kommunikationsverantwortlichen freigegeben
Eine vorbereitete Sprachregelung für den häufigsten Fall, einen Ransomware-Angriff, könnte wie folgt aufgebaut sein:
Gegenüber Kunden: "Wir haben am [Datum] einen Sicherheitsvorfall in unserer IT-Infrastruktur festgestellt. Wir haben sofort Gegenmaßnahmen eingeleitet und arbeiten mit externen Spezialisten an der Aufklärung und Behebung. [Konkreter Hinweis auf Auswirkungen für den Kunden]. Wir informieren dich, sobald weitere Erkenntnisse vorliegen."
Gegenüber Presse: "Wir können bestätigen, dass es einen Sicherheitsvorfall gegeben hat. Die Aufklärung läuft. Wir kooperieren mit den zuständigen Behörden. Zum Schutz der laufenden Untersuchung können wir zu diesem Zeitpunkt keine weiteren Details nennen."
Abschnitt 6: Kontaktliste
Die wichtigste Seite des gesamten Plans. In einer Krise muss jeder Beteiligte in unter einer Minute erreichbar sein. Diese Liste muss aktuell gehalten werden und sowohl digital als auch ausgedruckt verfügbar sein - denn bei einem Ransomware-Angriff ist das digitale Adressbuch möglicherweise nicht zugänglich.
| Rolle | Name | Telefon (dienstlich) | Telefon (privat) | Stellvertreter | |
|---|---|---|---|---|---|
| Incident Manager | [Name] | [Nummer] | [Nummer] | [E-Mail] | [Name Stellvertreter] |
| Technisches Team Lead | [Name] | [Nummer] | [Nummer] | [E-Mail] | [Name] |
| Kommunikation | [Name] | [Nummer] | [Nummer] | [E-Mail] | [Name] |
| Management-Liaison | [Name] | [Nummer] | [Nummer] | [E-Mail] | [Name] |
| Geschäftsführer/in | [Name] | [Nummer] | [Nummer] | [E-Mail] | [Name] |
| Datenschutzbeauftragter | [Name] | [Nummer] | [Nummer] | [E-Mail] | [Name] |
| Externer IR-Dienstleister | [Firma] | [Hotline] | - | [E-Mail] | - |
| Rechtsanwalt IT-Recht | [Name/Kanzlei] | [Nummer] | - | [E-Mail] | - |
| Cyber-Versicherung | [Versicherer] | [Schadens-Hotline] | - | [E-Mail] | [Vertragsnr.] |
| BSI Meldestelle | - | [Nummer] | - | [Portal-URL] | - |
| Datenschutz-Aufsichtsbehörde | [Behörde] | [Nummer] | - | [Portal-URL] | - |
Drucke diese Liste aus und lege sie an mindestens drei physischen Orten im Unternehmen ab: Büro des IT-Leiters, Büro der Geschäftsführung und Serverraum. Wenn die IT verschlüsselt ist und du die Nummern nur digital gespeichert hattest, stehst du vor einem vermeidbaren Problem.
Abschnitt 7: Werkzeuge und Ressourcen
Liste auf, welche Tools und Ressourcen dem Incident-Response-Team zur Verfügung stehen. Dazu gehören:
Technische Werkzeuge:
- SIEM-System: [Name, Zugang]
- EDR-Lösung: [Name, Admin-Zugang]
- Forensik-Tools: [Live-USB, Disk-Imaging-Software]
- Netzwerk-Analyse: [Wireshark, tcpdump, Netflow-Analyse]
- Log-Management: [Zentraler Log-Server, Zugang]
- Backup-System: [Name, Zugang, Standort der Offline-Backups]
Organisatorische Ressourcen:
- Meldeformular BSI: [URL, Zugangsdaten]
- Meldeformular Datenschutz-Aufsichtsbehörde: [URL, Zugangsdaten]
- Vorfallsdokumentations-Vorlage: [Speicherort]
- Kommunikationsvorlagen: [Speicherort]
- Retainer-Vertrag externer IR-Dienstleister: [Vertragsnummer, Aktivierungsprozess]
- Cyber-Versicherungspolice: [Vertragsnummer, gedeckte Leistungen, Schadensmeldeprozess]
Ausweich-Kommunikation: Was passiert, wenn E-Mail und Teams/Slack nicht mehr funktionieren? Definiere einen alternativen Kommunikationskanal. Das kann eine Signal-Gruppe sein, ein privater WhatsApp-Kanal oder im Notfall einfach Telefon. Der Kanal muss vorab eingerichtet und allen Beteiligten bekannt sein.
Abschnitt 8: Pflege und Tests
Ein IRP ist ein lebendes Dokument. Er muss regelmäßig aktualisiert und getestet werden, sonst veraltet er und versagt im Ernstfall.
Review-Zyklus: Mindestens jährlich, zusätzlich nach jedem tatsächlichen Vorfall und bei wesentlichen Änderungen an der IT-Infrastruktur oder Organisationsstruktur.
Verantwortlich für Pflege: Der ISB oder der benannte Incident Manager.
Versionierung: Jede Änderung wird versioniert. Die aktuelle Version ist klar gekennzeichnet. Alte Versionen werden archiviert, aber nicht gelöscht.
Ein Muster-IRP zum Mitnehmen
Hier die komprimierte Struktur eines IRP, die du als Ausgangspunkt für dein eigenes Dokument verwenden kannst. Ergänze die Platzhalter mit deinen unternehmensspezifischen Daten.
Deckblatt und Metadaten
| Feld | Inhalt |
|---|---|
| Dokumenttitel | Incident Response Plan [Firmenname] |
| Version | 1.0 |
| Datum | [Erstellungsdatum] |
| Nächstes Review | [Datum + 12 Monate] |
| Verantwortlich | [Name ISB/IT-Leiter] |
| Freigegeben durch | [Name Geschäftsführer/in] |
| Vertraulichkeit | Intern - vertraulich |
| Verteilung | Incident-Response-Team, Geschäftsführung, DSB |
Gliederung des Dokuments
-
Zweck und Geltungsbereich (1 Seite)
- Warum existiert dieser Plan
- Welche Systeme und Standorte sind abgedeckt
- Definition Sicherheitsvorfall
- Abgrenzung zu BCP, DRP und Krisenmanagementplan
-
Rollen und Verantwortlichkeiten (2-3 Seiten)
- Incident Manager (inkl. Befugnisse und Stellvertreter)
- Technisches Response-Team (inkl. Mindestbesetzung)
- Kommunikationsverantwortlicher
- Management-Liaison
- Externe Partner (IR-Dienstleister, Anwalt, Versicherung)
-
Schweregrad-Skala und Eskalationsstufen (2 Seiten)
- Schweregrad 1-10 mit Beispielen
- Stufe 1 Standard, Stufe 2 Erhöht, Stufe 3 Krise
- Aktivierte Rollen je Stufe
- Reaktionszeiten je Stufe
- Befugnisse je Stufe
-
Ablaufphasen (3-4 Seiten)
- Phase 1: Erkennung und Meldung
- Phase 2: Erstbewertung und Klassifizierung
- Phase 3: Eindämmung (kurzfristig und langfristig)
- Phase 4: Beseitigung
- Phase 5: Wiederherstellung
- Phase 6: Nachbereitung und Lessons Learned
- Je Phase: Checkliste mit konkreten Aufgaben
-
Kommunikationsplan (2-3 Seiten)
- Interne Kommunikationsmatrix
- Externe Kommunikationsmatrix
- Sprachregelungen (vorbereitet für Ransomware, Datenleck, DDoS)
- Freigabeprozess für externe Kommunikation
-
Meldepflichten (1-2 Seiten)
- NIS2: Fristen, Meldeportal, Inhalt
- DSGVO: Fristen, Meldeportal, Inhalt
- Entscheidungsbaum: Ist der Vorfall meldepflichtig?
-
Kontaktliste (1 Seite)
- Alle Rollen mit Telefonnummern (dienstlich + privat)
- Externe Dienstleister und Behörden
- Ausweich-Kommunikationskanal
-
Werkzeuge und Ressourcen (1 Seite)
- Technische Tools mit Zugangsinformationen
- Formulare und Vorlagen mit Speicherorten
- Ausweichsysteme und Offline-Ressourcen
-
Anhang (2-3 Seiten)
- Vorfallsdokumentations-Vorlage
- Checkliste Erstbewertung
- Checkliste Meldepflicht-Check
- Änderungshistorie
Den IRP testen: Übung macht den Unterschied
Ein IRP, der nie getestet wurde, gibt dir ein falsches Gefühl der Sicherheit. Du glaubst, vorbereitet zu sein, und entdeckst im Ernstfall, dass Telefonnummern veraltet sind, Befugnisse nicht geklärt sind und die Hälfte des Teams nicht weiß, wo der Plan liegt.
Testmethode 1: Tabletop-Übung
Die einfachste und effektivste Methode. Alle Beteiligten sitzen zusammen (oder im Videocall) und spielen ein Szenario durch, ohne tatsächlich Systeme anzufassen.
Ablauf einer Tabletop-Übung:
Vorbereitung (1 Stunde):
- Szenario auswählen und aufschreiben (Ransomware am Freitagabend ist ein Klassiker)
- Timeline mit Injections vorbereiten (neue Informationen, die im Lauf der Übung eingestreut werden)
- Beobachter benennen, der Notizen macht
Durchführung (2-3 Stunden):
- Moderator beschreibt die Ausgangssituation
- Teilnehmer erklären, was sie tun würden, basierend auf dem IRP
- Moderator streut neue Informationen ein (die Geschäftsführerin ist nicht erreichbar, der Backup-Server ist auch verschlüsselt, die Presse ruft an)
- Teilnehmer reagieren auf die neuen Entwicklungen
- Beobachter notiert Lücken, Verzögerungen und Unklarheiten
Auswertung (1 Stunde):
- Was hat funktioniert?
- Wo gab es Unklarheiten oder Stockungen?
- Welche Informationen fehlten?
- Welche Anpassungen am IRP sind notwendig?
Ein konkretes Tabletop-Szenario:
Donnerstag, 22:15 Uhr. Der Nachtschicht-Mitarbeiter im Lager bemerkt, dass das Warenwirtschaftssystem nicht mehr reagiert. Er ruft beim IT-Bereitschaftsdienst an.
Injection 1 (10 Minuten): Der IT-Mitarbeiter stellt fest, dass auf dem Server eine Ransomware-Note liegt. Die Angreifer fordern 200.000 Euro in Bitcoin. Drei weitere Server sind ebenfalls verschlüsselt.
Injection 2 (30 Minuten): Die Überprüfung zeigt, dass auch der Backup-Server betroffen ist. Die letzten sauberen Offline-Backups sind zwei Wochen alt. Das ERP-System mit allen Kundendaten ist verschlüsselt.
Injection 3 (60 Minuten): Ein Journalist einer Regionalzeitung ruft an und fragt nach dem Cyberangriff. Offenbar hat ein Mitarbeiter in sozialen Medien darüber geschrieben.
Injection 4 (90 Minuten): Die Angreifer posten Auszüge aus eurer Kundendatenbank im Darknet als Druckmittel. Name, Adresse und Bestellhistorie von 5.000 Kunden sind öffentlich sichtbar.
Dieses Szenario testet nahezu alle Aspekte des IRP: Erkennung außerhalb der Geschäftszeiten, Eskalation, Eindämmung, Kommunikation (intern, extern, Presse), Meldepflichten (NIS2 und DSGVO) und strategische Entscheidungen (Lösegeld ja oder nein). In ISMS Lite lassen sich solche Übungsszenarien dokumentieren und die daraus resultierenden Maßnahmen direkt als Tickets nachverfolgen.
Testmethode 2: Simulierter Vorfall
Einen Schritt weiter geht der simulierte Vorfall, bei dem tatsächlich Aktionen durchgeführt werden, allerdings in einer kontrollierten Umgebung:
- Ein simulierter Phishing-Angriff wird an das Unternehmen gesendet (vorher mit dem Management abgestimmt)
- Die Erkennung und Meldung durch Mitarbeiter wird beobachtet
- Der Incident-Response-Prozess wird durchlaufen, als wäre es ein echter Vorfall
- Erst nach Abschluss der Erstbewertung wird aufgelöst, dass es eine Übung war
Diese Methode ist aufwändiger, liefert aber realistischere Ergebnisse, weil die Beteiligten unter echtem Stress handeln.
Testfrequenz
| Testmethode | Häufigkeit | Aufwand |
|---|---|---|
| Tabletop-Übung | Halbjährlich | 4-5 Stunden, alle Rollenträger |
| Simulierter Vorfall | Jährlich | 1-2 Tage Vorbereitung, halber Tag Durchführung |
| IRP-Review (ohne Übung) | Jährlich + nach jedem Vorfall | 2-3 Stunden, ISB + IT-Leiter |
| Kontaktlisten-Check | Vierteljährlich | 30 Minuten, ISB |
Die fünf häufigsten Schwachstellen in Incident Response Plans
Aus der Praxis lassen sich typische Muster erkennen, an denen IRPs im Ernstfall scheitern:
Schwachstelle 1: Veraltete Kontaktdaten. Der häufigste und gleichzeitig vermeidbarste Fehler. Mitarbeiter wechseln die Abteilung, verlassen das Unternehmen, ändern ihre Telefonnummer. Wenn du im Ernstfall den Incident Manager anrufst und eine fremde Person drangeht, hast du ein Problem, das durch einen vierteljährlichen Kontaktlisten-Check vollständig vermeidbar gewesen wäre.
Schwachstelle 2: Unklare Befugnisse. Der IRP sagt, der Incident Manager entscheidet über die Eindämmung. Aber darf er das Netzwerk vom Internet trennen, wenn das die Produktion stoppt? Darf er ohne Rücksprache einen externen Dienstleister für 15.000 Euro beauftragen? Wenn Befugnisse nicht explizit dokumentiert und vom Management freigegeben sind, führen sie im Ernstfall zu Verzögerungen und Konflikten.
Schwachstelle 3: Kein Ausweich-Kommunikationskanal. Wenn die gesamte IT verschlüsselt ist, funktionieren auch E-Mail und Teams nicht mehr. Ohne einen vorab definierten alternativen Kanal, sei es eine Messenger-Gruppe, eine Telefonkette oder ein physisches Treffen, bricht die Koordination zusammen.
Schwachstelle 4: Fehlende Einbindung der Geschäftsführung. Wenn die Geschäftsführung den IRP nie gelesen hat und bei einer Krise zum ersten Mal von Meldepflichten und Eskalationsstufen hört, fehlt das Verständnis für die Dringlichkeit. Warum das Thema Awareness für Führungskräfte so wichtig ist, zeigt sich genau hier. Die Geschäftsführung muss den Plan kennen, die eigene Rolle verstanden haben und idealerweise mindestens einmal an einer Tabletop-Übung teilgenommen haben.
Schwachstelle 5: Der Plan liegt im verschlüsselten System. Eine Ironie, die häufiger vorkommt als man denkt: Der IRP ist nur als digitales Dokument auf dem Fileserver gespeichert, der bei einem Ransomware-Angriff nicht mehr zugänglich ist. Drucke den Plan aus, lege ihn an mehreren physischen Orten ab und stelle sicher, dass mindestens eine Person die Kontaktliste auch auf dem privaten Smartphone gespeichert hat.
Vom leeren Blatt zum fertigen IRP: Ein realistischer Zeitplan
Wenn du bei null anfängst und einen vollständigen IRP erstellen willst, ist das kein Monats-Projekt, aber auch keine Sache von einer Stunde. Hier ein realistischer Zeitplan für ein Unternehmen mit 50 bis 200 Mitarbeitern:
| Woche | Aktivität | Ergebnis |
|---|---|---|
| 1 | Rollen definieren, Personen zuordnen, Stellvertreter benennen | Rollenmatrix mit Namen und Kontaktdaten |
| 2 | Schweregrad-Skala und Eskalationsstufen erarbeiten | Klassifizierungsschema und Eskalationsmatrix |
| 3 | Ablaufphasen dokumentieren, Checklisten erstellen | Operativer Kern des IRP |
| 4 | Kommunikationsplan erarbeiten, Sprachregelungen entwerfen | Kommunikationsmatrix und vorbereitete Texte |
| 5 | Meldepflichten dokumentieren, Entscheidungsbaum erstellen | Meldepflicht-Kapitel mit Fristen und Portalen |
| 6 | Werkzeuge und Ressourcen auflisten, Lücken identifizieren | Ressourcenübersicht, Beschaffungsliste für fehlende Tools |
| 7 | Gesamtdokument zusammenführen, Review durch Geschäftsführung | IRP Version 1.0, freigegeben |
| 8 | Erste Tabletop-Übung | Getesteter Plan, Liste mit Verbesserungspunkten |
Nach acht Wochen hast du einen funktionsfähigen IRP. Er wird nicht perfekt sein, und das muss er auch nicht. Entscheidend ist, dass er existiert, dass die relevanten Personen ihn kennen und dass er regelmäßig getestet und verbessert wird.
Jede Tabletop-Übung wird Schwachstellen aufdecken, jeder tatsächliche Vorfall wird Anpassungen erfordern, und jedes Organisations-Update wird Aktualisierungen nötig machen. Das ist kein Zeichen von Unreife, sondern von einem lebendigen Prozess. Ein IRP, der sich nicht verändert, ist ein IRP, der nicht genutzt wird.
Weiterführende Artikel
- Sicherheitsvorfall erkennen, bewerten und melden – der komplette Ablauf
- Wiederanlaufplan erstellen: Anleitung mit Vorlage für den Mittelstand
- Notfallhandbuch für die IT: Aufbau, Inhalt und PDF-Vorlage
- Tabletop-Übung planen und durchführen: So testest du deinen Notfallplan
- NIS2-Meldefristen im Überblick: 24h, 72h, 1 Monat – was wann fällig ist
Der wichtigste Schritt ist der erste: Setz dich hin und schreib auf, wer bei einem Sicherheitsvorfall angerufen wird und was diese Person dann tun soll. Alles Weitere baut darauf auf.