Vorbereitet sein, wenn es darauf ankommt
Es ist Freitagabend, 22 Uhr. Dein Handy klingelt. Der IT-Administrator meldet sich mit zittriger Stimme: „Alle Dateien auf dem Fileserver sind verschlüsselt. Auf jedem Desktop liegt eine Lösegeldforderung." Was jetzt? Wenn du erst in diesem Moment anfängst, über Incident Response nachzudenken, hast du bereits wertvolle Zeit verloren. Sicherheitsvorfälle passieren nicht nach Terminkalender, und die ersten Stunden entscheiden oft darüber, ob aus einem Vorfall eine Katastrophe wird oder ob du die Situation beherrschen kannst. Diese Themenseite gibt dir alles an die Hand, was du für eine professionelle Vorfallbewältigung brauchst.
Warum jedes Unternehmen einen Incident Response Plan braucht
Die Frage ist nicht, ob dein Unternehmen von einem Sicherheitsvorfall betroffen sein wird, sondern wann. Das ist keine Panikmache, sondern eine statistische Realität. Laut BSI-Lagebericht werden täglich tausende Unternehmen in Deutschland angegriffen, und die Methoden der Angreifer werden immer raffinierter. Ein Incident Response Plan definiert vorab, wer im Ernstfall welche Aufgabe übernimmt, über welche Kanäle kommuniziert wird, welche externen Stellen einbezogen werden müssen und wie die technische Analyse abläuft.
Der Plan muss nicht 200 Seiten lang sein. Für mittelständische Unternehmen reicht oft ein pragmatisches Dokument mit klaren Eskalationsstufen, einer Kontaktliste, definierten Rollen und Schritt-für-Schritt-Anleitungen für die häufigsten Szenarien. Entscheidend ist, dass der Plan existiert, dass alle Beteiligten ihn kennen und dass er regelmäßig geübt wird.
Die vier Phasen der Vorfallbewältigung
Professionelles Incident Management folgt einem bewährten Vierphasenmodell. In der Vorbereitungsphase schaffst du die organisatorischen und technischen Voraussetzungen: Team zusammenstellen, Werkzeuge bereithalten, Kommunikationswege definieren. Die Erkennungs- und Analysephase startet, sobald Anomalien festgestellt werden, und hat das Ziel, den Vorfall zu bestätigen, seinen Umfang zu erfassen und die Ursache zu identifizieren. In der Eindämmungs- und Beseitigungsphase isolierst du betroffene Systeme, entfernst die Bedrohung und stellst den Normalbetrieb wieder her. Die Nachbereitungsphase ist oft die wertvollste: Hier analysierst du den Vorfall, dokumentierst Lessons Learned und verbesserst deine Prozesse für das nächste Mal.
Meldepflichten: NIS2 und DSGVO
Neben der technischen Bewältigung musst du bei vielen Vorfällen auch rechtliche Meldepflichten beachten. NIS2 verlangt bei erheblichen Sicherheitsvorfällen eine Erstmeldung an das BSI innerhalb von 24 Stunden und eine detaillierte Folgemeldung innerhalb von 72 Stunden. Die DSGVO schreibt bei Datenpannen, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, eine Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden vor. Beide Fristen laufen ab Kenntnis des Vorfalls, und sie können parallel gelten, wenn sowohl IT-Sicherheit als auch personenbezogene Daten betroffen sind.
Um diese Fristen einhalten zu können, brauchst du vorbereitete Meldeformulare, klar definierte Zuständigkeiten und etablierte Kommunikationswege zu den relevanten Behörden. Wer erst im Krisenfall nach der richtigen Telefonnummer sucht, verliert kostbare Zeit.
Lernen aus Szenarien
Theorie allein macht noch kein gutes Incident Response Team. Deshalb haben wir eine Reihe von Szenario-Artikeln erstellt, die reale Vorfalltypen durchspielen: von der Ransomware-Attacke am Freitagabend über CEO Fraud und Datenlecks im Darknet bis hin zu kompromittierten Administratorkonten und Lieferketten-Angriffen. Jedes Szenario beschreibt die typische Ausgangssituation, die notwendigen Sofortmaßnahmen und den Weg zurück zum Normalbetrieb. Diese Artikel eignen sich hervorragend als Grundlage für Tabletop-Übungen mit deinem Team.
Forensik und Beweissicherung
Ein häufiger Fehler bei der Vorfallbewältigung ist es, Beweise zu vernichten, bevor sie gesichert werden. Wenn du ein kompromittiertes System einfach neu installierst, sind alle Spuren des Angriffs verloren. Für eine spätere forensische Analyse, für Versicherungsansprüche oder für strafrechtliche Ermittlungen brauchst du gesicherte Beweise. Unser Artikel zur Cyber-Forensik erklärt dir die grundlegenden Prinzipien der Beweissicherung, die du auch ohne spezialisiertes Forensik-Team beachten kannst.
