Incident Response Retainer: Warum Unternehmen einen IR-Vertrag brauchen, bevor es knallt

1 Min. Lesezeit

Wenn der Ernstfall eintritt, ist keine Zeit für Vertragsverhandlungen. Ein Incident Response Retainer sichert Unternehmen garantierte Reaktionszeiten, vorab vereinbarte Stundensätze und ein Team, das die eigene Infrastruktur bereits kennt. Die Alternative – im Notfall einen Dienstleister suchen – kostet Zeit, Geld und oft den entscheidenden Vorsprung.

Das Wichtigste in Kürze

IR-Retainer garantieren Reaktionszeiten von 1-4 Stunden
Kosten: 30.000-80.000 EUR/Jahr für Mittelstand – ein Bruchteil eines Breach-Schadens
Ohne Retainer: Wartezeiten von 24-72 Stunden im Ernstfall
Viele Cyber-Versicherungen fordern mittlerweile einen IR-Retainer als Bedingung

Das Zeitproblem bei Sicherheitsvorfällen

Die ersten 60 Minuten nach einem Ransomware-Angriff entscheiden über das Ausmaß des Schadens. In dieser goldenen Stunde muss entschieden werden: Welche Systeme isolieren? Welche Backups sind sauber? Wie kommunizieren wir intern und extern?

Ohne vorbereitetes IR-Team werden diese Entscheidungen ad hoc getroffen – von Personen unter extremem Stress und ohne forensische Expertise. Das Ergebnis: Beweise werden vernichtet, Angreifer bemerken die Gegenmaßnahmen und eskalieren, die Recovery dauert Wochen statt Tage.

Was ein IR-Retainer konkret umfasst

Ein typischer Retainer beinhaltet: garantierte Reaktionszeit (SLA, meist 1-4 Stunden), ein definiertes Stundenkontingent für den Ernstfall, regelmäßige Readiness Assessments und Tabletop Exercises, vorab dokumentierte Eskalationswege und Kontaktdaten.

Der entscheidende Vorteil: Das IR-Team hat bereits ein Bild der Infrastruktur, kennt die kritischen Assets und hat Zugang zu den relevanten Systemen vorbereitet. Im Ernstfall entfällt das Onboarding.

Kosten-Nutzen: Die Mathematik spricht eindeutig

Ein IR-Retainer für ein mittelständisches Unternehmen kostet 30.000-80.000 EUR pro Jahr. Die durchschnittlichen Kosten eines Ransomware-Vorfalls liegen bei 1,85 Millionen EUR (Sophos 2022). Die Rechnung ist einfach.

Dazu kommt: Viele IR-Provider rechnen ungenutzte Retainer-Stunden auf andere Services an – Penetration Tests, Purple Teaming oder Security Assessments. Das Budget ist also nicht verloren, wenn kein Vorfall eintritt.

Worauf bei der Auswahl achten

Nicht jeder IR-Retainer ist gleich. Entscheidende Kriterien: 24/7-Erreichbarkeit (nicht nur Bürozeiten), Erfahrung mit der eigenen Branche, forensische Zertifizierungen (GIAC GCFA, EnCE), Kapazitätsgarantie (kein „Best Effort“), und die Fähigkeit, auch rechtliche und regulatorische Aspekte abzudecken.

Idealerweise kombiniert der Provider technische Forensik mit Krisenmanagement und rechtlicher Beratung – ein integrierter Ansatz, der im Ernstfall Reibungsverluste minimiert.

Key Facts

Reaktionszeit ohne Retainer: 24-72 Stunden durchschnittlich (SANS Institute)

Kostenvorteil: IR-Retainer-Kunden zahlen im Schnitt 40 Prozent weniger im Ernstfall

Markt: IR-Retainer-Markt wächst um 25 Prozent jährlich (Gartner)

Häufige Fragen

Ab welcher Unternehmensgröße lohnt sich ein IR-Retainer?

Ab circa 100 Mitarbeitern oder sobald die IT-Infrastruktur geschäftskritisch ist. Für kleinere Unternehmen gibt es auch Shared-Retainer-Modelle, bei denen sich mehrere Kunden ein Team teilen.

Kann ich den Retainer auch ohne Vorfall nutzen?

Ja, die meisten Provider bieten Flex-Modelle: Ungenutzte Stunden fließen in Penetration Tests, Tabletop Exercises oder Security Assessments. Einige Provider bieten auch eine jährliche Readiness-Bewertung als festen Bestandteil.

Ersetzt ein IR-Retainer ein internes SOC?

Nein, beides ergänzt sich. Das SOC überwacht kontinuierlich und erkennt Vorfälle. Der IR-Retainer liefert die Expertise für die Reaktion auf schwerwiegende Vorfälle, die das interne Team überfordern – insbesondere bei forensischer Analyse und Krisenmanagement.