Projekt Hibiskus

StartMaßnahmenNotfallmanagement

Organisatorische Maßnahme

Notfallmanagement & Incident Response

Priorität: Hoch IRP · BCM · Meldepflichten · Kommunikation
Wann, nicht ob
Nicht ob ein Sicherheitsvorfall eintritt, sondern wann – das ist die realistische Einschätzung. Unternehmen, die einen Incident Response Plan haben, erholen sich deutlich schneller und erleiden geringere Schäden als jene, die im Chaos reagieren.

Die vier Phasen der Incident Response

Phase 1

Erkennung & Meldung

Vorfall wird identifiziert (durch Mitarbeiter, System-Alert oder externen Hinweis). Sofortige Meldung an den IT-Sicherheitsbeauftragten.

Phase 2

Eindämmung

Betroffene Systeme isolieren, Angreifer ausperren. Keine Daten löschen – Beweise sichern. Parallel: Verantwortliche informieren.

Phase 3

Beseitigung & Wiederherstellung

Einfallstor schließen, Schadcode entfernen, Systeme aus sauberem Backup wiederherstellen. Verifizierten Betrieb schrittweise wieder aufnehmen.

Phase 4

Nachbereitung

Was ist passiert? Wie konnte es passieren? Was wird geändert? Lessons Learned dokumentieren, Plan und Maßnahmen anpassen.

Incident Response Plan – Mindestinhalt

Der Plan muss schriftlich vorliegen und offline verfügbar sein (ausgedruckt oder auf USB). Im Ernstfall sind Systeme möglicherweise nicht erreichbar.

  • Kontaktliste aller Verantwortlichen (inkl. Privatnummern für Notfälle)
  • Kontakt des IT-Dienstleisters / Incident Response Provider
  • Schritt-für-Schritt-Anleitung für häufige Szenarien (Ransomware, Datenpanne)
  • Entscheidungsbaum: Wann wird die Polizei eingeschaltet?
  • Kommunikationsplan: Was wird wem wann mitgeteilt?
  • Backup-Wiederherstellungsverfahren (getestet!)

Meldepflichten

DSGVO

Datenpanne: 72 Stunden

Sind personenbezogene Daten betroffen, muss die zuständige Datenschutzbehörde binnen 72 Stunden nach Bekanntwerden informiert werden. Bei hohem Risiko auch die betroffenen Personen.

NIS2

Signifikante Vorfälle: 24h

Betroffene KRITIS/NIS2-Unternehmen müssen signifikante Vorfälle innerhalb von 24 Stunden beim BSI melden. Vollständiger Bericht innerhalb 72 Stunden.

Strafrecht

Anzeige bei der Polizei

Bei Ransomware, Erpressung oder Datendiebstahl: Anzeige bei der Polizei erstatten. Die ZAC (Zentralstelle Cybercrime) der Landeskriminalämter ist spezialisiert.

Business Continuity Management (BCM)

BCM geht über IT-Sicherheit hinaus: Wie kann das Unternehmen auch im Krisenfall zumindest eingeschränkt weiterarbeiten?

  • Recovery Time Objective (RTO) – wie schnell müssen Systeme wieder verfügbar sein?
  • Recovery Point Objective (RPO) – wie viel Datenverlust ist tolerierbar (Backup-Frequenz)?
  • Notfallarbeitsplätze – können Mitarbeiter von zuhause oder einem anderen Ort arbeiten?
  • Manuelle Prozesse – welche kritischen Aufgaben können auch ohne IT erledigt werden?
  • Notfallkommunikation – Telefonnummern, alternative E-Mail-Konten, Signal-Gruppe

Kommunikation im Ernstfall

Schlechte Kommunikation schadet oft mehr als der Vorfall selbst. Kunden und Partner wollen Ehrlichkeit, nicht Ausreden.

  • Intern: Mitarbeiter sofort informieren, was sie tun und lassen sollen
  • Extern: Kunden nur informieren, wenn ihre Daten betroffen sind
  • Keine Spekulation: nur bestätigte Fakten kommunizieren
  • Zuständigen Anwalt frühzeitig einschalten (Haftungsfragen)

Checkliste: Notfallmanagement