Incident Response Playbook: In 7 Schritten vom Angriff zur Wiederherstellung

Q: Soll ich bei Ransomware das Loesegeld zahlen?

BSI und Strafverfolgungsbehoerden raten ab -- Zahlung finanziert das Geschaeftsmodell und garantiert keine Entschluesselung. In der Praxis ist es eine Geschaeftsentscheidung unter extremem Zeitdruck. Strafverfolgung einschalten, forensische Beratung hinzuziehen, dann entscheiden.

2 Min. Lesezeit

Wenn der Sicherheitsvorfall eintritt, entscheiden die ersten vier Stunden ueber den Schaden. Unternehmen mit getesteten Incident-Response-Plaenen bewaeltigen Vorfaelle 74 Prozent schneller und mit 2,7 Millionen Dollar weniger Kosten. Dieses Playbook zeigt die sieben Schritte von der Erkennung bis zur Wiederherstellung.

Das Wichtigste in Kuerze

Zeitfaktor: Unternehmen mit IR-Plan sparen durchschnittlich 2,7 Mio. Dollar pro Vorfall (IBM Cost of a Data Breach 2024).
Vorbereitung: 80% der Incident-Response-Qualitaet wird vor dem Vorfall bestimmt — durch Planung, Uebung und Ressourcenbereitstellung.
Kommunikation: Interne und externe Kommunikation ist der am haeufigsten unterschaetzte Aspekt — und der schaedlichste bei Versagen.
Meldepflicht: NIS2 verlangt Erstmeldung innerhalb von 24 Stunden — ohne vorbereitete Prozesse kaum machbar.
Lernen: Post-Incident-Review ist keine Kuer, sondern Pflicht — jeder Vorfall macht die Organisation staerker oder wiederholt den Fehler.

Schritt 1-2: Vorbereitung und Erkennung

Schritt 1: Vorbereitung. Der wichtigste Schritt passiert vor dem Vorfall. IR-Team definieren (intern + extern: Forensik-Dienstleister, Rechtsanwalt, PR-Berater vorab beauftragen). Playbooks fuer die drei wahrscheinlichsten Szenarien erstellen (typisch: Ransomware, Datenleck, Business E-Mail Compromise). Quartalweise Tabletop Exercises durchfuehren.

Schritt 2: Erkennung und Analyse. Anomalie erkannt — jetzt zaehlt Geschwindigkeit und Praezision. Erste Einschaetzung: Welche Systeme sind betroffen? Welche Daten sind gefaehrdet? Ist der Angreifer noch aktiv? Triage in maximal 60 Minuten. SIEM-Logs, EDR-Alerts und Netzwerk-Traffic korrelieren. Severity-Einstufung nach vorab definierten Kriterien.

Schritt 3-4: Eindaemmung und Beseitigung

Schritt 3: Eindaemmung. Sofortmassnahmen, um die Ausbreitung zu stoppen — ohne Beweise zu zerstoeren. Kurzfristig: Betroffene Systeme vom Netzwerk isolieren, kompromittierte Accounts deaktivieren, externe Kommunikationskanaele sperren. Langfristig: Segmentierung verstaerken, Firewall-Regeln verschaerfen, zusaetzliches Monitoring aktivieren.

Schritt 4: Beseitigung. Die Ursache vollstaendig entfernen. Malware von allen Systemen eliminieren. Kompromittierte Credentials global rotieren. Schwachstelle, ueber die der Angreifer eingedrungen ist, schliessen. Laterale Bewegungspfade identifizieren und alle beruehrten Systeme bereinigen. Wichtig: Nicht nur die Symptome behandeln. Wenn der Angriffsvektor nicht geschlossen wird, kommt der Angreifer zurueck.

Schritt 5-6: Wiederherstellung und Kommunikation

Schritt 5: Wiederherstellung. Systeme schrittweise zurueck in Produktion bringen. Priorisierung nach Business-Impact: geschaeftskritische Systeme zuerst. Aus sauberen Backups wiederherstellen — nicht aus moeglicherweise kompromittierten Snapshots. Verstaerktes Monitoring fuer mindestens 30 Tage nach Wiederherstellung.

Schritt 6: Kommunikation. Der am haeufigsten unterschaetzte Schritt. Intern: Geschaeftsleitung, Mitarbeiter, Betriebsrat informieren. Klare, ehrliche Updates in regelmaessigem Rhythmus. Extern: Kunden, Partner, Aufsichtsbehoerden (NIS2: 24h!), gegebenenfalls Oeffentlichkeit. Vorbereitete Kommunikationsvorlagen beschleunigen den Prozess um Stunden. Rechtsanwalt einbeziehen vor jeder externen Kommunikation.

Schritt 7: Lessons Learned

Schritt 7: Post-Incident-Review. Innerhalb von zwei Wochen nach Abschluss. Blameless — es geht nicht um Schuld, sondern um Systemverbesserung.

Fuenf Kernfragen: Was ist passiert (Timeline)? Wie wurde es erkannt? Was hat gut funktioniert? Was hat nicht funktioniert? Welche konkreten Massnahmen verhindern eine Wiederholung?

Die Ergebnisse werden dokumentiert, priorisiert und in einen Massnahmenplan ueberführt. Der Massnahmenplan wird vom CISO nachverfolgt — nicht in einer Schublade vergessen. Jeder Vorfall, aus dem nicht gelernt wird, ist ein doppelter Schaden.

Key Facts auf einen Blick

Zeitersparnis mit IR-Plan: 74% schnellere Vorfallbewaeltigung (IBM)

Kostenersparnis: 2,7 Mio. Dollar weniger pro Vorfall (IBM Cost of a Data Breach 2024)

NIS2-Meldefrist: 24h Erstmeldung, 72h Detailbericht

Empfohlene Uebungsfrequenz: Quartalsweise Tabletop Exercises

Quelle: IBM, NIST SP 800-61, SANS Institute, BSI, 2024

Haeufige Fragen

Soll ich bei Ransomware das Loesegeld zahlen?

BSI und Strafverfolgungsbehoerden raten ab — Zahlung finanziert das Geschaeftsmodell und garantiert keine Entschluesselung. In der Praxis ist es eine Geschaeftsentscheidung unter extremem Zeitdruck. Strafverfolgung einschalten, forensische Beratung hinzuziehen, dann entscheiden.

Wie oft sollte ich den IR-Plan testen?

Quartalsweise Tabletop Exercises fuer das IR-Team, jaehrlich eine vollstaendige Simulation mit Geschaeftsleitungsbeteiligung.

Brauche ich einen externen IR-Dienstleister?

Fuer die meisten Mittelstaendler: ja. Einen Retainer-Vertrag mit einem spezialisierten Incident-Response-Dienstleister abschliessen. Kosten: 5.000-15.000 Euro jaehrlich fuer den Retainer, Einsatzkosten nach Aufwand.

Was mache ich in den ersten 15 Minuten?

IR-Team alarmieren, betroffene Systeme identifizieren (nicht abschalten!), Beweissicherung starten, Severity einschaetzen. Keine voreiligen Aktionen — Panik ist der groesste Feind guter Incident Response.

Wie erstelle ich ein Playbook?

NIST SP 800-61 als Framework nehmen, auf die drei wahrscheinlichsten Szenarien (Ransomware, Datenleck, BEC) zuschneiden, mit konkreten Kontaktdaten, Checklisten und Kommunikationsvorlagen anreichern. Dann testen.