Incident-Response-Übung: IR-Prozesse unter Druck testen
Was ist eine Incident-Response-Übung?
Eine Incident-Response-Übung simuliert einen Sicherheitsvorfall, um die Reaktionsfähigkeit des Teams zu testen und zu schärfen. Anders als ein technischer Penetrationstest steht hier das Zusammenspiel von Menschen, Prozessen und Entscheidungen im Mittelpunkt. Methodisch gehört sie zu den Test-, Trainings- und Übungsprogrammen, wie sie NIST SP 800-84 beschreibt; die inhaltliche Messlatte liefern die Incident-Response-Empfehlungen der NIST SP 800-61 Rev. 3.
Was wird trainiert?
Entlang der Phasen eines Incident-Response-Plans:
- Erkennung & Analyse: Wie schnell wird der Vorfall richtig eingeordnet und als meldepflichtig erkannt?
- Eindämmung & Wiederherstellung: Greifen die Runbooks? Sind Entscheidungen und Freigaben klar?
- Kommunikation & Meldung: Werden Fristen (z. B. NIS2 Art. 23: 24 h/72 h, DSGVO Art. 33: 72 h) eingehalten?
- Eskalation: Funktioniert die Übergabe zwischen IR-Team, Führung und Fachbereichen?
Welche Szenarien eignen sich für IR-Übungen?
| Szenario | Ausgangslage | Trainierter Schwerpunkt |
|---|---|---|
| Ransomware | Verschlüsselung zentraler Systeme, Erpressung, Wiederanlauf aus Backups | Eindämmung, Priorisierung, Zahlungs-Entscheidung |
| Datenabfluss | Exfiltration von Kunden- oder Beschäftigtendaten | DSGVO-72h-Meldung, Betroffeneninformation, Forensik |
| Kompromittierter Dienstleister | Angriff über die Lieferkette (MSP, Software-Update) | Abhängigkeiten, Vertragspartner-Kommunikation, Isolation |
| Business E-Mail Compromise | übernommenes Postfach, betrügerische Zahlungsanweisungen | Erkennung, interne Alarmierung, Finanzprozesse |
Gute Szenarien holen das Team dort ab, wo es tatsächlich verwundbar ist – nicht dort, wo die Abwehr ohnehin stark ist. Deshalb lohnt es sich, Erkenntnisse aus früheren Vorfällen, Pentest-Ergebnissen und der Risikoanalyse in die Szenarioauswahl einfließen zu lassen.
Wie läuft die Übung ab?
Die Übung wird als Tabletop Exercise moderiert: ein realistisches Szenario entwickelt sich über Injects, das Team trifft Entscheidungen in seinen realen Rollen, und der Moderator protokolliert wertfrei. Zum Abschluss entsteht ein After-Action-Report mit konkreten Verbesserungsmaßnahmen. Der Aufwand bleibt bewusst klein: 60–90 Minuten Übung, kein Eingriff in produktive Systeme, keine wochenlange Vorbereitung. Die Team-Perspektive zeigt SecDrills für IR-Teams.
Woran erkennt man eine wirksame IR-Übung?
- Zeitdruck ist real: Injects kommen getaktet – wie im Ernstfall, nicht im Seminartempo.
- Entscheidungen werden festgehalten: Wer hat wann was entschieden? Ohne Protokoll keine Auswertung.
- Die Meldekette wird bis zum Ende gespielt: inklusive der Frage, wer die 24-Stunden-Frühwarnung tatsächlich absetzt.
- Erkenntnisse werden Maßnahmen: jede Lücke bekommt Verantwortlichen und Termin – und fließt zurück in Playbooks und den IR-Plan.
Wie misst man den Erfolg?
Eine Übung ohne Messung bleibt ein Gefühl. Aussagekräftig sind vor allem drei Größen: die Zeit bis zur richtigen Einordnung des Vorfalls (hätte die Meldefrist gehalten?), der Erfüllungsgrad je Inject (welche Entscheidungen wurden getroffen – und welche blieben liegen?) und der Vergleich zur letzten Übung (werden dieselben Lücken wieder sichtbar oder sind die Maßnahmen wirksam?). SecDrills bewertet jeden Inject nach der ENISA-Methodik und macht diese Entwicklung über Übungen hinweg sichtbar.
Der Nachweis
Regulierungen wie NIS2 und DORA verlangen nicht nur Pläne, sondern deren Erprobung und die Bewertung der Wirksamkeit. Der automatisch erzeugte After-Action-Report dokumentiert Szenario, Beteiligte, Entscheidungen und Maßnahmen mit Zeitstempeln – prüffähig für Audits und zugleich die Basis, um den Reifegrad des Teams über wiederholte Übungen messbar zu steigern.
Häufige Fragen
Was ist eine Incident-Response-Übung?
Eine Incident-Response-Übung trainiert die Reaktion eines IR- oder SOC-Teams auf einen Sicherheitsvorfall: Erkennung, Eindämmung, Wiederherstellung und Meldung – realistisch und unter Zeitdruck, ohne produktive Systeme zu gefährden.
Wie unterscheidet sich die Übung vom Incident-Response-Plan?
Der Incident-Response-Plan ist das Dokument; die Übung ist die Erprobung. Erst die Übung zeigt, ob der Plan im Ernstfall trägt – ob Rollen, Eskalation und Meldekette tatsächlich funktionieren.
Wie oft sollte ein IR-Team üben?
Bewährt hat sich ein fester Takt: mindestens ein bis zwei moderierte Übungen pro Jahr für das Gesamtteam, ergänzt um kurze szenariobasierte Drills nach jeder wesentlichen Änderung an Systemen, Playbooks oder Personal. Regulierungen wie NIS2 und DORA verlangen die regelmäßige Erprobung ohnehin.