Vorfallmanagement und Incident Response
Strukturiertes Cyber-Incident-Response und Notfallmanagement für deutsche Unternehmen: Playbooks, 24/7-Bereitschaft, Meldewege nach § 32 BSIG und Art. 33 DSGVO, Business Continuity nach ISO 22301. Von der Vorbereitung bis zur operativen Krisenbewältigung.
Unsere Vorfallmanagement-Leistungen
Incident-Response-Playbooks und Prozesse
Entwicklung von Playbooks für die häufigsten Vorfallsszenarien (Ransomware, Datenabfluss, Social Engineering, Insider Threat, BEC) — mit klaren Rollen, Eskalationsstufen und Entscheidungsbäumen.
Meldewege nach NIS2, DSGVO und BaFin
Technische und organisatorische Einrichtung der gesetzlichen Meldekanäle: BSI-Meldeportal (NIS2), Aufsichtsbehörden-Kommunikation (DSGVO), MVP-Portal (DORA/BAIT) — inkl. Vorlagen und Escalation-Matrix.
24/7-Incident-Response als Retainer
Garantierte Bereitschaft für den Ernstfall: Eskalation innerhalb weniger Stunden, forensische Erst-Analyse, Krisenkommunikation, Behördenmeldungen — auch an Wochenenden und Feiertagen.
Business Continuity & ISO 22301
Aufbau eines BCM-Systems nach ISO 22301: Business Impact Analysis, Recovery-Strategien, Notfallpläne, regelmäßige Tests. Integration mit Cyber-IR und klassischen Notfallplänen.
Tabletop-Übungen und Red Teaming
Szenario-basierte Tabletop-Übungen für Executive-Teams und technische Teams. Red-Team-Simulationen mit Partnern, um die Erkennungs- und Reaktionsfähigkeit unter realistischen Bedingungen zu prüfen.
Post-Incident-Analyse und Lessons Learned
Strukturierte Nach-Analyse mit Root-Cause-Analyse, Dokumentation für die Aufsicht, Anpassung der Kontrollen und Umsetzung identifizierter Verbesserungsmaßnahmen.
Warum Vorbereitung entscheidend ist
Ein Vorfall in Deutschland kostet durchschnittlich 4,88 Mio. € (IBM 2024). Unternehmen mit ausgereiften IR-Prozessen reduzieren diese Kosten um bis zu 39 %.
Versäumte Meldefristen = Bußgeld
Wird die 72-Stunden-DSGVO-Frist oder die 24-Stunden-NIS2-Frühwarnung nicht eingehalten, drohen zusätzliche Bußgelder — unabhängig vom ursprünglichen Vorfall.
Persönliche Haftung der Geschäftsleitung
Nach § 38 NIS-2-UmsuCG, § 91 Abs. 2 AktG und § 43 GmbHG haftet die Geschäftsleitung für die Einrichtung eines wirksamen Risikomanagements — Incident Response ist zentraler Bestandteil.
Kritische Betriebsdauer nach Ransomware
Durchschnittlich 23 Tage bis zur vollständigen Wiederherstellung. Für produzierende Unternehmen oder Banken bedeutet das einen existenzbedrohenden Umsatzausfall, wenn BCM fehlt.
Vertrauensverlust bei Kunden und Aufsicht
Eine schlecht gemanagte Krise ist oft schlimmer als der Vorfall selbst. Unklare Kommunikation, verpasste Fristen und sichtbare Organisations-Mängel schaden langfristig.
Die vier Phasen wirksamer Incident Response
NIST SP 800-61 und ISO 27035 beschreiben einen strukturierten Lebenszyklus. Wir operationalisieren jede Phase mit konkreten Rollen, Artefakten und Technologien.
Vorbereitung und Prävention
- Incident-Response-Policy mit Geschäftsleitungs-Freigabe
- Rollenmatrix: IR-Team, Krisenstab, Kommunikation, Forensik
- Playbooks für die 5–7 häufigsten Szenarien
- Technische Kontaktdaten (Forensik-Partner, Rechtsanwälte, BSI, LfDI)
- Vorab-Verträge mit Incident-Response-Dienstleistern
- Regelmäßige Tabletop-Übungen und Lessons Learned
Erkennung, Analyse und Meldung
- SIEM- und EDR-Alerting mit definierten Use Cases
- Triage-Prozess und Schweregrad-Klassifizierung
- Forensische Erst-Analyse (Memory, Disk, Netzwerk-Logs)
- Bewertung der Meldepflicht (§ 32 BSIG, Art. 33 DSGVO, BaFin)
- Fristgerechte Behörden-Meldungen (24h Frühwarnung, 72h Details)
- Interne und externe Kommunikation (Kunden, Presse, Mitarbeitende)
Eindämmung, Bereinigung und Wiederherstellung
- Isolation kompromittierter Systeme
- Eradication: Entfernung Malware, kompromittierter Accounts, Persistenz
- Wiederherstellung aus Backups (nach Validierung)
- Hardening der wiederhergestellten Systeme
- Monitoring-Intensivierung nach Recovery
- Dokumentation aller Schritte für Aufsicht und Versicherung
So arbeiten wir im Vorfallmanagement
Vorbereitung: IR-Assessment und Playbook-Aufbau
Gap-Analyse Ihrer bestehenden IR-Kapazität, Szenario-Workshops, Entwicklung der Playbooks, Rolleneinweisung, technische Einrichtung der Meldewege.
Retainer-Setup und Tabletop
Abschluss des 24/7-Retainers, Verbindung mit Ihrer Sicherheits-Infrastruktur (SIEM, EDR, E-Mail-Security), erste Tabletop-Übung mit Geschäftsleitung und technischem Team.
Laufende Bereitschaft und Drills
Quartalsweise Playbook-Reviews, halbjährliche Tabletop-Übungen, jährliche Red-Team-Simulation, kontinuierliche Anpassung an Bedrohungslage und regulatorische Änderungen.
Im Vorfall: Aktivierung und Begleitung
Unmittelbare Erreichbarkeit bei Verdachtsfall, forensische Unterstützung, Behörden-Kommunikation, Krisenkommunikation, Wiederherstellungs-Koordination — Rund um die Uhr, mit vereinbarten SLAs.
Häufig gestellte Fragen zum Vorfallmanagement
Garantierte Reaktionszeit (typischerweise 30–60 Minuten außerhalb der Kernzeit), dedizierter IR-Manager als Single Point of Contact, forensische Erst-Analyse, Unterstützung bei der Behörden-Meldung, Krisenkommunikation, Koordination mit externen Partnern (Strafverteidiger, Versicherung, Presse). Je nach Vertrag zwischen 50 und 500 Stunden pro Jahr abrufbar.
Mehrere parallel zu prüfen: (1) DSGVO Art. 33 — 72h an die zuständige Datenschutz-Aufsichtsbehörde bei Datenpanne. (2) NIS-2-UmsuCG § 32 BSIG — 24h Frühwarnung, 72h Details, 1 Monat Abschlussbericht an das BSI bei erheblichen Sicherheitsvorfällen. (3) DORA — 4h an BaFin/Bundesbank bei schwerwiegenden ICT-Vorfällen. (4) TKG §§ 168–169 für TK-Anbieter. (5) sektorspezifisch: BaFin-Meldungen, Medizinproduktebetreiber. Wir haben für alle genannten Pflichten Vorlagen.
Mindestens jährlich für das gesamte Krisenteam. Für NIS2-wesentliche Einrichtungen und BaFin-regulierte Institute: halbjährlich empfohlen, oft vorgeschrieben. Ergänzend: quartalsweise kurze technische Drills (z. B. Backup-Restore-Test, Meldeweg-Dry-Run). Wir moderieren die Tabletops mit realistischen Szenarien aus Ihrer Branche.
Incident Response (IR) fokussiert auf die Bewältigung einzelner Sicherheitsvorfälle — von der Erkennung bis zur Wiederherstellung. Business Continuity Management (BCM, ISO 22301) ist das übergeordnete System zur Aufrechterhaltung kritischer Geschäftsfunktionen bei jeder Art von Störung (Cyber, Naturkatastrophe, Personalausfall, Lieferengpass). IR ist in BCM integriert. Für NIS2 und DORA werden beide verlangt.
Ja. Wir übernehmen nicht den operativen SOC-Betrieb, sondern die Incident-Response-Koordination — inklusive der regulatorischen und kommunikativen Dimension. Mit Ihrem MSSP / internen SOC stimmen wir Eskalations-Schnittstellen und Tooling ab. Partnerschaften bestehen u. a. mit mehreren führenden SOC-Anbietern.
Kleiner Retainer (bis 50 Stunden/Jahr, Standard-SLA): ab 24.000 €/Jahr. Erweitert (bis 200 Stunden, Premium-SLA 30-Minuten-Erstreaktion): ab 72.000 €/Jahr. Enterprise (dedizierter IR-Manager, 24/7): individuell. Zusätzlich ggf. Tabletop-Übungen (3.500–6.000 € pro Workshop) und Playbook-Erstellung.
Ja. Wir koordinieren die Meldungen an BSI, LfDI/BfDI, BaFin und weitere zuständige Stellen, formulieren gemeinsam mit Ihren internen Teams die Inhalte, wahren die Fristen und dokumentieren die Kommunikation revisionsfest. Bei Strafanzeigen arbeiten wir mit spezialisierten Strafverteidigern zusammen.
Gemeinsam mit unseren Forensik-Partnern (Chain of Custody): Akquise flüchtiger und persistenter Daten (Memory Dumps, Disk Images, Netzwerk-Logs, EDR-Telemetrie), Timeline-Analyse, Artefakt-Identifikation (Malware-Samples, IoCs, Persistenz), Ableitung Ursache und Wirkungsweise. Bericht für interne Nutzung, für Behörden und ggf. für gerichtliche Zwecke.
ISO 22301 (BCM) und ISO 27001 (ISMS) haben gemeinsame Strukturelemente (High Level Structure). Wenn Sie bereits ISO 27001 zertifiziert sind, ergänzen wir das ISMS um die BCM-spezifischen Elemente (Business Impact Analysis, Recovery Time Objectives, Notfallpläne). In vielen Fällen kann ein integriertes Managementsystem aufgebaut werden — effizienter in Umsetzung und Pflege.
Grundsätzlich: Geschäftsleitung haftet für wirksame Risikomanagement-Organisation (§§ 43 GmbHG, 93 AktG, 38 NIS-2-UmsuCG). Beschäftigte haften nur für grob fahrlässige oder vorsätzliche Handlungen. Externe Dienstleister haften gemäß Vertrag. Wir dokumentieren alle getroffenen Entscheidungen revisionsfest, um die Haftungssituation nachträglich sauber aufzubereiten.
Verwandte Leistungen
Branchen mit erhöhtem Incident-Risiko
Bereit für den Ernstfall?
Kostenloses Erstgespräch — 30 Minuten. Wir prüfen Ihre Incident-Response-Fähigkeit, identifizieren kritische Lücken und schlagen einen pragmatischen Readiness-Plan vor.