Ein strukturierter Incident-Response-Prozess entscheidet im Mittelstand darüber, ob ein IT-Sicherheitsvorfall unter Kontrolle gebracht wird oder eskaliert. Viele Unternehmen entdecken im Ernstfall, dass sie weder klare Verantwortlichkeiten noch eine abgestimmte Vorgehensweise haben. Die Folge sind langwierige Ausfallzeiten, unkontrollierte Datenverluste und Meldepflichtverletzungen. Dieser Beitrag beschreibt, wie ein praxistauglicher Incident-Response-Prozess für mittelständische Unternehmen aufgebaut wird, welche Phasen er durchläuft und welche Minimalanforderungen auch ohne dediziertes Security-Team umsetzbar sind. Ergänzend werden typische Fehler in der Vorfallsbearbeitung sowie die rechtlichen Meldepflichten nach DSGVO Art. 33 und 34 behandelt.
Hinweis der Redaktion: Dieser Beitrag vermittelt allgemeines Fachwissen zu Sicherheitsprozessen. Er ersetzt keine individuelle rechtliche oder sicherheitstechnische Beratung.
Warum ein Incident-Response-Prozess keine Option, sondern eine Pflicht ist
Cyberangriffe, Ransomware-Infektionen, Datenpannen durch menschliches Versagen oder technische Fehler: IT-Sicherheitsvorfälle treffen Unternehmen aller Größenordnungen. Im Mittelstand fehlt häufig ein organisierter Reaktionsrahmen. Stattdessen läuft die Reaktion improvisiert ab, was zu suboptimalen Entscheidungen unter Zeitdruck führt.
Neben den operativen Schäden entstehen rechtliche Risiken. Die DSGVO verpflichtet zur Meldung von Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO) an die zuständige Aufsichtsbehörde. Unternehmen, die kritische Infrastruktur betreiben oder dem Anwendungsbereich des IT-Sicherheitsgesetzes unterliegen, haben weitergehende Meldepflichten gegenüber dem BSI. Ein Incident-Response-Prozess stellt sicher, dass diese Fristen eingehalten werden und die notwendigen Informationen zum Zeitpunkt der Meldung vorliegen.
Darüber hinaus beeinflusst die Qualität der Incident-Response die Schadenshöhe erheblich. Studien zur Schadensbegrenzung zeigen, dass Unternehmen mit dokumentierten Prozessen Vorfälle im Durchschnitt deutlich schneller eindämmen als solche ohne strukturierte Vorgehensweise. Jede Stunde unkontrollierter Ausbreitung einer Ransomware-Infektion vergrößert das betroffene Systemumfeld und erhöht den Wiederherstellungsaufwand.
Die sechs Phasen des Incident-Response-Prozesses
Ein vollständiger Incident-Response-Prozess umfasst sechs aufeinander aufbauende Phasen. Diese Struktur orientiert sich an international etablierten Frameworks wie dem NIST Cybersecurity Framework und dem SANS Incident Handler’s Handbook, wurde jedoch für die Verhältnisse mittelständischer Unternehmen ohne eigenes Security Operations Center (SOC) angepasst.
Phase 1: Vorbereitung
Die Vorbereitungsphase findet statt, bevor ein Vorfall eingetreten ist. Sie umfasst die Erstellung eines Incident-Response-Plans (IRP), die Benennung eines Incident-Response-Teams (IRT) mit klaren Rollen, die Einrichtung technischer Erkennungsmechanismen und regelmäßige Übungen. Ein IRP auf Papier, der nie getestet wurde, hat im Ernstfall wenig Wert. Unternehmen sollten mindestens einmal jährlich eine Tischübung (Tabletop Exercise) durchführen, bei der der Ablauf eines simulierten Vorfalls durchgespielt wird.
Phase 2: Erkennung und Analyse
Vorfälle werden erkannt durch automatische Alarme aus Sicherheitssystemen (Firewall, Endpoint Detection, SIEM-Logs), durch Meldungen von Mitarbeitenden oder durch externe Hinweise (etwa von Geschäftspartnern oder Behörden). Die Analyse klärt: Was genau ist passiert? Welche Systeme sind betroffen? Handelt es sich um einen echten Vorfall oder um einen False Positive?
In dieser Phase wird auch der initiale Schweregrad festgelegt. Eine bewährte Klassifikation unterscheidet drei Schweregrade: Schweregrad 1 (niedrig) betrifft isolierte Systeme ohne Datenverlustrisiko, Schweregrad 2 (mittel) umfasst mehrere Systeme oder personenbezogene Daten, Schweregrad 3 (kritisch) betrifft unternehmensweite Systeme, kritische Daten oder produktionsrelevante Infrastruktur. Der Schweregrad bestimmt, wer wann informiert wird und welche Eskalationsstufe aktiviert wird.
Phase 3: Eindämmung
Ziel der Eindämmungsphase ist es, die Ausbreitung des Vorfalls zu stoppen, ohne dabei Beweismaterial zu vernichten. Diese Phase erfordert schnelle Entscheidungen unter Unsicherheit. Typische Eindämmungsmaßnahmen sind Netzwerksegmentierung (Isolation betroffener Systeme), Sperrung kompromittierter Zugangsdaten, Deaktivierung betroffener Dienste sowie die Erhöhung des Monitoring-Niveaus auf benachbarten Systemen.
Wichtig: Vor jeder aktiven Eindämmungsmaßnahme sollten forensische Sicherungen (Memory Dumps, Logdaten, Netzwerktraces) erstellt werden. Wer ein infiziertes System sofort neu aufsetzt, verliert unter Umständen alle Informationen über Angriffspfad, Verweildauer des Angreifers und exfiltrierte Daten, die für die Schadenseingrenzung und die behördliche Meldung benötigt werden.
Phase 4: Analyse und Forensik
In der Forensikphase wird der Angriff rekonstruiert: Wie ist der Angreifer eingedrungen? Welche Systeme wurden kompromittiert? Welche Daten wurden möglicherweise abgezogen? Diese Analyse liefert die Grundlage für die Meldung an Aufsichtsbehörden und für die abschließende Ursachenbehebung. Im Mittelstand ist vollständige interne Forensik oft nicht möglich. In solchen Fällen sollte ein externer Forensik-Dienstleister im Vorfeld vertraglich gebunden werden, damit im Ernstfall keine Ausschreibungszeit verloren geht.
Phase 5: Beseitigung und Wiederherstellung
Beseitigung bedeutet, den Angreifer vollständig aus den Systemen zu entfernen, kompromittierte Software zu bereinigen oder neu aufzusetzen und Sicherheitslücken zu schließen. Erst nach einer verifizierten Beseitigung beginnt die Wiederherstellung. Der häufigste Fehler dieser Phase ist ein verfrühter Neustart des Betriebs, bevor die Kompromittierung vollständig beseitigt ist. Reinfektionen verlängern die Gesamtausfallzeit erheblich.
Die Wiederherstellung sollte priorisiert nach Kritikalität der Systeme erfolgen. Ein Wiederherstellungsplan, der Teil des Incident-Response-Plans ist, definiert in welcher Reihenfolge Systeme, Daten und Dienste wiederhergestellt werden. Backups müssen vor der Wiederherstellung auf Integrität und auf eine mögliche Kompromittierung geprüft werden.
Phase 6: Nachbereitung und Lessons Learned
Spätestens zwei Wochen nach Abschluss des Vorfalls findet eine strukturierte Nachbereitung statt. Ziel ist nicht die Schuldzuweisung, sondern die Ableitung konkreter Verbesserungsmaßnahmen. Leitfragen sind: Was hat gut funktioniert? Wo gab es Lücken in Erkennung, Kommunikation oder Reaktion? Welche technischen oder organisatorischen Maßnahmen verhindern künftige Vorfälle ähnlicher Art? Die Ergebnisse fließen in eine Überarbeitung des Incident-Response-Plans ein.
Meldepflichten einhalten: DSGVO Art. 33 und 34 in der Praxis
| Pflicht | Rechtsgrundlage | Frist | Empfänger |
|---|---|---|---|
| Meldung an Aufsichtsbehörde | DSGVO Art. 33 | 72 Stunden nach Bekanntwerden | Zuständige Datenschutzbehörde (Bundesland) |
| Benachrichtigung Betroffener | DSGVO Art. 34 | Unverzüglich (wenn hohes Risiko) | Betroffene natürliche Personen |
| Meldung KRITIS-Vorfall | IT-SiG 2.0, § 8b BSIG | Unverzüglich | BSI |
Die 72-Stunden-Frist nach Art. 33 DSGVO beginnt mit dem Zeitpunkt, zu dem ein Verantwortlicher Kenntnis von der Verletzung erlangt hat. Nicht erst, wenn alle Details feststehen. Die Meldung darf bei Unkenntnis einzelner Aspekte als vorläufige Meldung erfolgen und später ergänzt werden. Fehlende oder verspätete Meldungen können zu Bußgeldern nach Art. 83 Abs. 4 DSGVO führen.
„Organisationen, die im Ernstfall nach einer Liste suchen müssen, wer der Datenschutzbeauftragte ist oder wie die Notfallrufnummer des IT-Dienstleisters lautet, haben in der Vorbereitungsphase die entscheidende Hausaufgabe nicht gemacht.“
Kommunikation als kritischer Erfolgsfaktor im Ernstfall
Neben dem technischen Ablauf entscheidet die Kommunikation wesentlich darüber, wie ein Sicherheitsvorfall bewältigt wird und welche Reputationsschäden entstehen. Dabei sind zwei Kommunikationsstränge zu trennen: die interne Kommunikation innerhalb des Unternehmens und die externe Kommunikation gegenüber Kunden, Lieferanten, Behörden und der Öffentlichkeit.
Intern gilt das Prinzip der gezielten Information: Nur Personen, die unmittelbar in die Incident-Response eingebunden sind, erhalten vollständige Informationen. Zu breite interne Kommunikation erhöht die Gefahr, dass Angreifer, die noch Zugriff auf Systeme haben, von der Entdeckung erfahren und ihre Vorgehensweise anpassen. Die Belegschaft insgesamt wird über einen separaten Kanal informiert, wenn die unmittelbare Eindämmung abgeschlossen ist.
Extern ist Zurückhaltung in der akuten Phase sinnvoll. Öffentliche Stellungnahmen, die auf Basis unvollständiger Informationen abgegeben werden, müssen häufig korrigiert werden und verstärken die Verunsicherung. Kunden und Geschäftspartner sollten erst dann informiert werden, wenn gesicherte Fakten zum Ausmaß des Vorfalls vorliegen. Die DSGVO-Meldepflicht gegenüber der Aufsichtsbehörde ist davon unabhängig und muss fristgerecht erfolgen, auch wenn noch nicht alle Details bekannt sind.
Für beide Kommunikationsstränge gilt: Vorgefertigte Sprachregelungen und Textbausteine sparen im Ernstfall kritische Zeit und verhindern unabgestimmte Einzelkommunikation. Diese sollten Teil des Incident-Response-Plans sein und jährlich auf Aktualität geprüft werden.
Technische Voraussetzungen für eine effektive Incident-Response
Ein Incident-Response-Prozess ist nur so gut wie die technische Basis, auf der er operiert. Einige grundlegende technische Voraussetzungen müssen vorhanden sein, damit die Prozessschritte überhaupt greifen können:
- Zentrale Protokollierung (Logging): Systemlogs, Zugangslogs und Netzwerkprotokolle müssen zentral und revisionssicher gespeichert sein. Ohne ausreichende Protokollierung ist eine Forensik faktisch unmöglich. ISO 27001 empfiehlt eine Mindestaufbewahrungsdauer von einem Jahr für sicherheitsrelevante Logs.
- Segmentierte Netzwerkarchitektur: Flache Netzwerke, in denen sich ein Angreifer nach der Erstinfektion frei bewegen kann, erhöhen den Schaden exponentiell. Netzsegmentierung begrenzt den Radius einer Kompromittierung auf definierte Zonen.
- Getestete Backups: Backups, die nie auf Wiederherstellbarkeit getestet wurden, sind im Ernstfall keine verlässliche Grundlage. Regelmäßige Restore-Tests (mindestens quartalsweise für kritische Systeme) sind keine optionale Qualitätsmaßnahme, sondern Grundvoraussetzung für einen funktionsfähigen Wiederherstellungsprozess.
- Multi-Faktor-Authentifizierung: Kompromittierte Zugangsdaten sind der häufigste Einstiegspunkt für Angriffe. MFA reduziert das Risiko erheblich, dass ein entwendetes Passwort zur vollständigen Systemkompromittierung führt.
- Offline-Kopien des Incident-Response-Plans: Wenn die IT-Systeme betroffen sind, muss der IRP ohne Zugriff auf Server oder Cloud-Dienste verfügbar sein. Ein ausgedrucktes Exemplar und eine lokale Kopie auf einem nicht vernetzten Gerät sind keine Redundanz, sondern Notwendigkeit.
Minimalstruktur für Unternehmen ohne dediziertes Security-Team
Kleinere mittelständische Unternehmen ohne IT-Security-Spezialisten benötigen keine komplexen Prozesse. Ein Minimalrahmen umfasst vier Elemente, die auch mit begrenzten Ressourcen umsetzbar sind:
- Kontaktliste: Wer wird bei einem Vorfall sofort informiert (Geschäftsführung, IT-Dienstleister, Datenschutzbeauftragter, externe Forensik)? Mit Mobilnummern und alternativen Kanälen für den Fall, dass E-Mail-Systeme betroffen sind.
- Schweregrad-Klassifikation: Eine einfache Tabelle mit drei Klassen und klarer Eskalationslogik, wer was wann entscheidet.
- Erstkommunikation: Vorgefertigte Textbausteine für interne Kommunikation, Kundenkommunikation und Behördenmeldungen, die im Ernstfall nur noch mit Fakten befüllt werden müssen.
- Backup-Verifikation: Dokumentierter Prozess, wie im Ernstfall verifiziert wird, dass Backups intakt und nicht kompromittiert sind.
Checkliste: Incident-Response-Prozess aufbauen
- Incident-Response-Team benennen mit Rollen und Stellvertretungen.
- Incident-Response-Plan dokumentieren und intern zugänglich machen (auch offline verfügbar, falls Systeme ausfallen).
- Schweregrad-Klassifikation und Eskalationsmatrix festlegen.
- Externen Forensik-Dienstleister vorvertraglich binden.
- Kontaktdaten der Datenschutzbehörde und des BSI schriftlich hinterlegen.
- Kommunikationsvorlagen für Behördenmeldung, interne Kommunikation und Kundenkommunikation vorbereiten.
- Backupverfahren auf Wiederherstellbarkeit und Integrität testen (mindestens jährlich).
- Jährliche Tischübung (Tabletop Exercise) durchführen.
- Nach jedem Vorfall Lessons-Learned-Prozess einhalten und Plan überarbeiten.
FAQ
Ab welcher Unternehmensgröße ist ein formaler Incident-Response-Plan erforderlich?
Rechtlich gibt es keine explizite Untergrenze. Die DSGVO verpflichtet alle Unternehmen, geeignete technische und organisatorische Maßnahmen zu treffen (Art. 32 DSGVO), was implizit einen Umgang mit Sicherheitsvorfällen einschließt. Ab etwa 20 Mitarbeitenden, die personenbezogene Daten verarbeiten, sollte ein dokumentierter Minimalprozess vorhanden sein.
Was ist der Unterschied zwischen einem Incident-Response-Plan und einem Notfallplan?
Ein Notfallplan (Business Continuity Plan) regelt, wie der Geschäftsbetrieb bei schwerwiegenden Ausfällen aufrechterhalten wird. Ein Incident-Response-Plan ist spezifisch auf IT-Sicherheitsvorfälle ausgerichtet und umfasst Erkennung, Eindämmung, Forensik und Wiederherstellung. Beide Dokumente ergänzen sich und sollten aufeinander verweisen.
Muss bei jedem Cyberangriff eine Meldung an die Datenschutzbehörde erfolgen?
Nein. Eine Meldepflicht nach Art. 33 DSGVO besteht nur, wenn personenbezogene Daten betroffen sind und ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ein Angriff auf interne, nicht personenbezogene Systeme ohne Datenzugriff löst keine DSGVO-Meldepflicht aus, kann aber andere gesetzliche Meldepflichten begründen.
Was tun, wenn ein Mitarbeitender versehentlich eine Datenpanne verursacht?
Die gleichen Prozessschritte wie bei einem technischen Angriff gelten: Vorfall erfassen, Schweregrad bewerten, Datenverlust analysieren, Meldepflichten prüfen. Datenpannen durch menschliches Versagen unterliegen denselben Meldepflichten nach Art. 33 DSGVO wie technische Sicherheitsvorfälle.
Wie lange sollten Logs und Vorfallsdokumentationen aufbewahrt werden?
Es gibt keine einheitliche gesetzliche Regelung. Aus DSGVO-Sicht empfiehlt sich eine Aufbewahrungsdauer von mindestens drei Jahren für Vorfallsdokumentationen, da Bußgeldverfahren in diesem Zeitraum eingeleitet werden können. Logs mit sicherheitsrelevantem Inhalt sollten mindestens sechs bis zwölf Monate vorgehalten werden. In Branchen mit sektorspezifischer Regulierung (z.B. Finanzdienstleistungen, Gesundheitswesen) gelten strengere Anforderungen.
Verwandte Themen
Weiterführende Beiträge auf cyberschutzbetrieb.de:
- Notfallpläne und Business Continuity Management für den Mittelstand
- Datenschutz und DSGVO-Umsetzung im Unternehmen
- Compliance-Grundlagen: IT-Sicherheit als Organisationspflicht








