Incident Response
Incident Response (IR) ist der strukturierte Prozess zur Erkennung, Eindämmung, Beseitigung und Nachbereitung von Cybersicherheitsvorfällen. Ein vorbereiteter IR-Prozess entscheidet über Ausmaß und Dauer eines Angriffschadens.
Inhaltsverzeichnis (3 Abschnitte)
Incident Response (IR) - auf Deutsch Vorfallsreaktion oder Notfallmanagement - bezeichnet alle Aktivitäten, die eine Organisation ausführt, wenn ein Cybersicherheitsvorfall erkannt oder vermutet wird. Der entscheidende Faktor zwischen einem glimpflich verlaufenden Vorfall und einer existenzbedrohenden Krise ist die Qualität der Vorbereitung.
Laut IBM Cost of a Data Breach Report 2024 haben Unternehmen mit ausgearbeitetem IR-Plan im Durchschnitt Schadenskosten von $2,66 Mio. pro Vorfall - verglichen mit $5,37 Mio. bei Unternehmen ohne IR-Plan. Das IR-Plan spart statistisch über $2,7 Mio. pro Vorfall.
Das PICERL-Modell
PICERL ist das am weitesten verbreitete IR-Lebenszyklusmodell (nach SANS) und umfasst sechs Phasen:
P - Preparation (Vorbereitung)
Die wichtigste Phase - sie findet vor dem Vorfall statt. Keine Vorbereitung bedeutet Chaos im Ernstfall.
Dokumentation & Planung:
- IR-Plan: Wer macht was, in welcher Reihenfolge, mit welchen Werkzeugen?
- Runbooks/Playbooks: Szenarienspezifische Schritt-für-Schritt-Anleitungen (Ransomware, Datenleck, Account-Kompromittierung)
- Kommunikationsmatrix: Interne Eskalationswege, externe Kontakte (BSI, BKA, Datenschutzbehörde, Strafverfolgung, Versicherung, Anwalt, PR)
- Krisenübungen: Tabletop Exercises und technische Simulationen
Technische Vorbereitung:
- SIEM mit dokumentierten Use Cases und Alert-Regeln
- Endpoint Detection & Response (EDR) auf allen Systemen
- Zentrales Logging (Aufbewahrung mindestens 12 Monate)
- Offline-Backups mit getesteten Wiederherstellungsverfahren
- Forensische Bereitschaft: Blocker, Write-Protektoren, forensische Imaging-Software
I - Identification (Identifikation)
Erkennung und Erstbewertung des Vorfalls. Häufige Erkennungsquellen:
- SIEM-Alerts und SOC-Monitoring
- EDR-Alerts (Verhaltensanomalien, Malware-Erkennung)
- Mitarbeitermeldungen (“mein Computer verhält sich seltsam”)
- Externe Hinweise (BSI CERT-Bund, ISAC-Partner, Kunden)
- Ransomware-Hinweis auf dem Bildschirm (leider häufig erst hier)
Kritische erste Fragen:
- Was ist genau passiert? Wann wurde es entdeckt?
- Welche Systeme, Benutzer und Daten sind betroffen?
- Wie ist der aktuelle Angriffsstatus? Läuft der Angriff noch?
- Handelt es sich um einen gezielten oder ungezielten Angriff?
Klassifizierung: Nicht jedes Sicherheitsereignis ist ein Incident. Eine klare Klassifizierungsmatrix (Schweregrad 1-4 oder P1-P4) verhindert Alarm-Fatigue und stellt sicher, dass kritische Vorfälle sofort die richtige Priorität bekommen.
C - Containment (Eindämmung)
Verhinderung der weiteren Ausbreitung. Zwei Strategien:
Short-Term Containment: Sofortmaßnahmen, die den Schaden begrenzen, aber den Betrieb so wenig wie möglich stören:
- Netzwerksegment isolieren (VLAN-Switch)
- Betroffene Konten sperren oder Passwörter zurücksetzen
- Betroffenen Dienst deaktivieren
- Nicht ausschalten - flüchtiger Speicher enthält forensische Beweise
Long-Term Containment: Stabilisierungsmaßnahmen, während die Bereinigung vorbereitet wird:
- Patches einspielen oder Workarounds aktivieren
- Erhöhtes Monitoring auf allen Systemen
- Hardening der exponierten Systeme
Kritischer Punkt: In dieser Phase werden häufig Fehler gemacht - zu frühe, zu weit reichende Abschaltungen vernichten forensische Beweise und können Geschäftsprozesse unnötig unterbrechen.
E - Eradication (Beseitigung)
Vollständige Entfernung des Angreifers und seiner Werkzeuge. Typische Maßnahmen:
- Vollständige forensische Analyse kompromittierter Systeme (Malware-Suche, IOC-Extraktion)
- Neuinstallation kompromittierter Systeme (Reimaging - Säuberung allein reicht bei APTs nicht)
- Schließen aller bekannten und wahrscheinlichen Einfallstore
- Zurücksetzen aller kompromittierten Zugangsdaten - und im Zweifel mehr
- Bei AD-Kompromittierung: KRBTGT zweimal zurücksetzen, forensische AD-Analyse
Häufiger Fehler: Zu frühe Eradication ohne vollständiges Verständnis des Angriffsumfangs - der Angreifer hat Backdoors, die nicht entfernt wurden, und kehrt zurück.
R - Recovery (Wiederherstellung)
Rückkehr zum Normalbetrieb - schrittweise, mit erhöhtem Monitoring.
Recovery-Kriterien definieren: Wann ist ein System als “sauber” zu bewerten? Nach welchen Kriterien wird ein System in die Produktion zurückgeführt?
Priorisierung: Kritische Geschäftsprozesse zuerst wiederherstellen. Wiederherstellungsreihenfolge vorab in Business-Impact-Analyse (BIA) festlegen.
Erhöhtes Monitoring: Mindestens 30-90 Tage nach einem größeren Vorfall erhöhte Wachsamkeit - Angreifer kehren häufig zu bekannten Zielen zurück.
L - Lessons Learned (Nachbereitung)
Die am häufigsten übersprungene, aber für die organisationale Weiterentwicklung wichtigste Phase.
Post-Incident Review (innerhalb von 2 Wochen nach Vorfallsbehebung):
- Was ist passiert? (Timeline)
- Wie wurde der Angreifer initialen Zugang? Wäre es vermeidbar gewesen?
- Was hat gut funktioniert? Was nicht?
- Welche Erkennungsregeln fehlen?
- Welche Playbooks müssen erstellt oder verbessert werden?
- Welche technischen Verbesserungen sind nötig?
Ergebnis: Aktualisierter IR-Plan, neue SIEM-Use-Cases, konkrete Hardening-Maßnahmen mit Verantwortlichen und Fristen.
Meldepflichten in Deutschland
Bei bestimmten Vorfällen bestehen gesetzliche Meldepflichten:
| Gesetz | Betroffene | Frist | Meldestelle |
|---|---|---|---|
| DSGVO | Alle Unternehmen bei personenbezogenen Daten | 72 Stunden | Landesdatenschutzbehörde |
| NIS2 / BSIG | KRITIS-Betreiber, wesentliche Einrichtungen | 24h Frühwarnung, 72h Meldung | BSI |
| DORA | Finanzunternehmen | 4h Erstmeldung, 72h Bericht | BaFin |
Internes Team vs. externer IR-Dienstleister
Interne IR-Kapazität (empfohlen ab ~200 MA):
- Vorteile: Kenntnis der Infrastruktur, schnelle Verfügbarkeit, Vertrautheit mit Geschäftsprozessen
- Nachteile: Hohe Kosten für 24/7-Bereitschaft, Expertise-Aufbau dauert Jahre
Externer IR-Retainer (empfohlen für KMU): Vorab abgeschlossener Vertrag mit einem IR-Dienstleister garantiert bevorzugte Verfügbarkeit im Ernstfall. Kosten: typisch €15.000-€40.000/Jahr für einen Retainer-Vertrag, der im Ernstfall sofort aktiviert werden kann - deutlich günstiger als ein ungeplantes Engagement im Akutfall (€2.000-€5.000/Tag).
Weiterführende Informationen: AWARE7 Incident Response Beratung
Quellen & Referenzen
- [1] NIST SP 800-61r2 - Computer Security Incident Handling Guide - National Institute of Standards and Technology
- [2] BSI - IT-Grundschutz Baustein DER.2.1 Incident Management - Bundesamt für Sicherheit in der Informationstechnik
- [3] SANS Incident Handler's Handbook - SANS Institute
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
6 Publikationen
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Evaluating the Usability and Security of Personal Password Stores (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Understanding User Perceptions of Security Indicators in Web Browsers (2024)
- A Systematic Analysis of NIS2 Compliance Challenges for SMEs (2024)
