Incident Response

Was Incident Response leistet

Incident Response ist der strukturierte Prozess, mit dem ein Unternehmen auf einen Sicherheitsvorfall reagiert. Er beginnt mit der Erkennung, führt über Analyse, Eindämmung und Beseitigung bis zur Wiederherstellung und schliesst mit einer Nachbereitung ab. Ziel ist nicht nur die technische Bewältigung, sondern auch die rechtskonforme Dokumentation, die Erfüllung von Meldepflichten und die Sicherung von Beweismitteln.

Internationale Standards wie der Lebenszyklus des NIST SP 800-61 oder ISO/IEC 27035 strukturieren den Prozess in klar definierte Phasen: Vorbereitung, Identifikation, Eindämmung, Beseitigung, Wiederherstellung und Lessons Learned. Der BSI-Standard 200-4 setzt einen ähnlichen Rahmen für das Notfallmanagement.

Die ersten 24 Stunden

Die ersten Stunden entscheiden über Schadenshöhe, Rechtsrisiken und Wiederanlaufzeit. Wichtig ist eine ruhige, dokumentierte Vorgehensweise. Zunächst wird ein Incident Manager benannt, der die Kommunikation steuert. Betroffene Systeme werden vom Netzwerk getrennt, nicht voreilig abgeschaltet, damit forensische Spuren erhalten bleiben.

Parallel wird das Krisenteam einberufen: IT-Leitung, Datenschutzbeauftragter, externer Forensikdienstleister, Rechtsbeistand, gegebenenfalls Versicherung und Vorstand. Eine klare Kommunikationskette nach innen und außen verhindert widersprüchliche Aussagen und vorzeitige öffentliche Stellungnahmen.

Innerhalb der ersten 24 Stunden ist je nach Sachverhalt eine NIS2-Erstmeldung an das BSI fällig, die DSGVO-Frist von 72 Stunden für Art. 33 beginnt mit Kenntnis. Strafanzeige und Polizeikontakt sind sinnvoll und rechtlich oft empfohlen.

Rollen und Verantwortlichkeiten

Ein belastbarer Incident-Response-Plan benennt vor dem Vorfall, wer im Ernstfall welche Rolle übernimmt. Die zentrale Position ist die des Incident Managers oder Krisenstabsleiters. Daneben gibt es technische Rollen wie Forensikteam und System-Wiederherstellung, juristische Rollen wie Datenschutz, Rechtsbeistand und Behördenkontakt sowie Kommunikationsrollen für interne Information, Kunden und Presse.

Wesentlich ist die Erreichbarkeit. Telefonlisten müssen offline verfügbar sein, da E-Mail- und Kollaborationssysteme im Vorfall ausfallen oder kompromittiert sein können. Ein Schattenkommunikationskanal, etwa ein vorbereiteter Messenger-Kanal auf privaten Geräten, ist Stand der Praxis.

Forensik und Beweissicherung

Forensische Beweissicherung beginnt vor jeder Bereinigung. Speicherinhalte, Logdateien, Netzwerkaufzeichnungen und Festplattenkopien werden gesichert, bevor Systeme neu aufgesetzt werden. Eine saubere Beweiskette ist Voraussetzung für strafrechtliche Ermittlungen, Versicherungsansprüche und die spätere Aufarbeitung in Aufsichtsverfahren.

In NIS2-pflichtigen Einrichtungen verlangt § 30 NIS2UmsuCG geeignete Maßnahmen zur Behandlung von Sicherheitsvorfällen. Dazu zählen ausdrücklich auch Verfahren zur Erkennung, Reaktion und Dokumentation.

Nach dem Vorfall

Lessons Learned ist keine Formalie. Innerhalb von zwei bis vier Wochen nach Vorfallabschluss sollte eine strukturierte Nachbereitung stattfinden, die Ursachen, Reaktionsqualität und Verbesserungspotenzial dokumentiert. Die Erkenntnisse fließen in den Notfallplan zurück und in technische und organisatorische Maßnahmen.