Start
ÜbersichtOnline-KurseLive-Trainings & BootcampsISO 27001Penetration TestingSecurity AwarenessIT-Audit & Compliance
ÜbersichtSecurity-AuditsISO 27001Penetration TestingTeam-SchulungenBeratungReferenzen
ÜbersichtBlogGuidesGlossarRessourcenWebinare
ÜbersichtTeam & ExpertiseAkkreditierung & PartnerZertifizierungKarriere
Fortgeschritten · 14 Min. Lesezeit

Incident-Response-Plan erstellen — Schritt für Schritt

Ein erprobter Aufbau für einen Notfallplan, der im Ernstfall wirklich funktioniert. Von der Vorbereitung über die Eindämmung bis zur Nachbereitung.

Warum ein Plan vorab entscheidend ist

Im Moment eines Sicherheitsvorfalls fehlt die Zeit, Zuständigkeiten zu klären oder Entscheidungswege zu erfinden. Wer dann improvisiert, verliert wertvolle Minuten und trifft unter Druck schlechte Entscheidungen.

Ein Incident-Response-Plan legt vorab fest, wer was tut, in welcher Reihenfolge und mit welchen Mitteln. Er verwandelt Panik in geordnetes Handeln. Dieser Leitfaden orientiert sich an den etablierten Phasen der Vorfallsbearbeitung.

Phase 1: Vorbereitung

Die Vorbereitung ist die wichtigste und am häufigsten vernachlässigte Phase. Hier entscheidet sich, ob der Plan im Ernstfall trägt. Dazu gehören ein definiertes Team, klare Rollen und vorbereitete Werkzeuge.

  • Benennen Sie ein Incident-Response-Team mit klaren Rollen, etwa Einsatzleitung, technische Analyse und Kommunikation.
  • Hinterlegen Sie eine Kontaktliste mit Erreichbarkeiten ausserhalb der Geschäftszeiten, auch für externe Dienstleister.
  • Halten Sie Zugangsdaten, Netzwerkpläne und Systemdokumentation an einem auch offline erreichbaren Ort bereit.
  • Definieren Sie eine Klassifizierung von Vorfällen nach Schweregrad.

Phase 2: Erkennung und Analyse

Ein Vorfall muss zuerst bemerkt und richtig eingeschätzt werden. Je früher die Erkennung, desto kleiner der Schaden. Wichtig ist eine niederschwellige Meldemöglichkeit, damit Hinweise schnell den richtigen Personen erreichen.

In der Analyse geht es darum, Umfang und Art des Vorfalls zu bestimmen, ohne dabei vorschnell Spuren zu vernichten. Beweise sicher zu erfassen ist sowohl für die Aufklärung als auch für mögliche rechtliche Schritte wichtig.

  • Schaffen Sie einen klaren Meldeweg, über den Mitarbeitende Auffälligkeiten ohne Hürden melden können.
  • Dokumentieren Sie von Beginn an lückenlos: Zeitpunkte, Beobachtungen, Entscheidungen.
  • Sichern Sie relevante Protokolle und Datenträger, bevor Systeme verändert werden.

Phase 3: Eindämmung

Ziel der Eindämmung ist es, die Ausbreitung zu stoppen, ohne den Betrieb unnötig lahmzulegen. Unterschieden wird zwischen kurzfristiger Eindämmung, etwa dem Trennen betroffener Systeme vom Netzwerk, und längerfristigen Massnahmen.

In dieser Phase ist Abwägung gefragt. Ein zu hastiges Abschalten kann Beweise vernichten und Angreifern signalisieren, dass sie entdeckt wurden. Ein zu zögerliches Vorgehen lässt den Schaden wachsen.

  • Isolieren Sie betroffene Systeme, statt sie sofort auszuschalten, um flüchtige Spuren zu erhalten.
  • Sperren Sie kompromittierte Konten und setzen Sie deren Zugangsdaten zurück.
  • Prüfen Sie, ob die Angreifer weitere Zugänge eingerichtet haben, bevor Sie Entwarnung geben.

Phase 4: Beseitigung und Wiederherstellung

Nach der Eindämmung wird die Ursache beseitigt: Schadsoftware entfernt, ausgenutzte Schwachstellen geschlossen und betroffene Systeme bereinigt. Erst danach folgt die kontrollierte Wiederherstellung des Normalbetriebs.

Die Wiederherstellung erfolgt schrittweise und überwacht. Saubere Backups sind hier von unschätzbarem Wert. Beobachten Sie wiederhergestellte Systeme genau, um ein erneutes Aufflammen zu erkennen.

  • Setzen Sie betroffene Systeme aus vertrauenswürdigen, geprüften Backups neu auf.
  • Schliessen Sie die ausgenutzte Schwachstelle, bevor Systeme wieder ans Netz gehen.
  • Überwachen Sie wiederhergestellte Systeme verstärkt auf Anzeichen einer Rückkehr der Angreifer.

Phase 5: Nachbereitung

Nach dem Vorfall folgt die wichtigste Lerngelegenheit. In einer strukturierten Nachbesprechung wird ohne Schuldzuweisungen analysiert, was gut lief, was fehlte und welche Massnahmen künftige Vorfälle verhindern.

Vergessen Sie nicht die Pflichten zur Meldung. Je nach Art der betroffenen Daten können Meldefristen gegenüber Aufsichtsbehörden oder Betroffenen bestehen. Klären Sie diese Anforderungen vorab und nicht erst im Ernstfall.

  • Führen Sie eine Nachbesprechung durch und halten Sie konkrete Verbesserungsmassnahmen fest.
  • Aktualisieren Sie den Plan auf Basis der gewonnenen Erkenntnisse.
  • Prüfen Sie Melde- und Informationspflichten und dokumentieren Sie deren Einhaltung.

Setzen Sie dieses Wissen in die Praxis um

Unsere Kurse begleiten Sie Schritt für Schritt — mit Praxisübungen und verifizierbarem Zertifikat.

Zu den KursenWeitere Guides