Cyber-Security

Wie baue ich einen Cyber-Incident-Response-Plan auf?

Zuletzt aktualisiert:

Warum Plan + nicht improvisieren

Cyber-Attacken sind Stunden-kritisch. Wer in einer Krise erst Rollen + Pfade definiert, verliert Wochen + Reputation. Vorbereiteter Plan reduziert Schaden um 40-70 % (IBM Cost-of-Breach 2024).

Sechs NIST-Phasen

  1. Preparation: Plan + Team + Werkzeuge + Schulung.

  2. Detection + Analysis: Vorfall erkennen + bewerten.

  3. Containment: Schaden eindaemmen (Netz-Isolation).

  4. Eradication: Bedrohung entfernen.

  5. Recovery: Systeme wiederherstellen + überwachen.

  6. Lessons Learned: post-mortem + Plan-Updates.

Pflicht-Komponenten

  • Incident-Response-Team (IRT) mit 24/7-Bereitschaft.

  • Kontakt-Liste: CISO, Recht, PR, Top-Management, externe Hilfe.

  • Eskalations-Stufen + -Kriterien.

  • Kommunikations-Plan intern + extern.

  • Forensik-Tools + Back-Up-Strategie.

  • Vorfalls-Datenbank.

Detection + Analyse

  • SIEM (Splunk, Wazuh, Elastic) + EDR (CrowdStrike, SentinelOne).

  • Anomalie-Erkennung.

  • User-Reports (Phishing-Mailbox).

  • External Threat-Intelligence.

  • Schweregrad-Klassifikation (P1-P4).

Containment

  1. Netz-Isolation infizierter Systeme.

  2. Zugriffe sperren.

  3. Credentials rotieren.

  4. Backup-Integritaet prüfen.

  5. Forensische Daten sichern (Speicher-Image).

Meldepflichten

  • DSGVO Art. 33: 72 h an Aufsichts-Behörde bei personenbezogenen Daten.

  • DSGVO Art. 34: ohne unangemessene Verzögerung an Betroffene wenn hohes Risiko.

  • NIS-2 (KRITIS + bedeutende Einrichtungen): 24 h Früh-Warnung, 72 h Update, 1 Monat Abschluss.

  • Branchen-spezifisch: BaFin (Finance), BSI (KRITIS), Pharma-Behörden.

  • Vertragspartner: prüfen ob Mitteilungs-Pflicht aus Verträgen.

Externe Hilfe

  • Incident-Response-Dienstleister auf Retainer (24/7-Verfügbarkeit).

  • Rechts-Anwalt für IT-Recht / Datenschutz.

  • PR-Agentur für Krisen-Kommunikation.

  • BSI-Allianz für Cyber-Sicherheit (kostenfreie Hilfe).

  • Cyber-Versicherung - prüfen, ob Vorfall-Hilfe einschlaegt.

Tabletop-Übungen

  1. 2x pro Jahr Pflicht.

  2. Realistisches Szenario (Ransomware, Phishing-Erfolg, Insider).

  3. Team agiert 2-4 h.

  4. Externe Moderation.

  5. Lessons-Learned + Plan-Updates.

Lessons Learned

  • Post-Mortem innerhalb 2 Wochen.

  • Blameless-Format.

  • Root-Cause-Analyse.

  • Konkrete Aktionen mit Owner + Deadline.

  • Plan-Update + Schulung.

Anti-Patterns

  • Plan nie geübt - funktioniert im Ernstfall nicht.

  • Erst Plan bauen während Vorfall.

  • Meldepflichten ignoriert - Bussgeld + Reputations-Schaden.

  • Forensik gelöscht (Eile, Aufräumen) - Beweise weg.

  • Lessons-Learned ohne Folge.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.