Vorlage · Incident Response
Anpassbare Vorlage nach NIST SP 800-61. Ersetzen Sie die kursiv/grau markierten Platzhalter durch Ihre Organisationsdaten. Stand: 07/2026.
Dieser Plan legt fest, wie [Organisation] Sicherheitsvorfälle erkennt, meldet, eindämmt, beseitigt und nachbereitet. Er gilt für alle Mitarbeitenden, Dienstleister und Systeme im Geltungsbereich [z. B. gesamte IT / bestimmte Standorte / Produktivumgebung]. Ziel ist eine schnelle, koordinierte und nachweisbare Reaktion – auch als Nachweis für NIS2, DORA und ISO 27001.
| Rolle | Verantwortung | Name | Erreichbarkeit (24/7) | Vertretung |
|---|---|---|---|---|
| Incident Lead | Gesamtsteuerung, Entscheidungen, Eskalation | Name | Tel / E-Mail | Name |
| Technischer Analyst | Analyse, Eindämmung, Forensik | Name | Tel / E-Mail | Name |
| Kommunikation | Interne/externe Kommunikation, Presse | Name | Tel / E-Mail | Name |
| Recht & Compliance | Meldepflichten, Datenschutz, Verträge | Name | Tel / E-Mail | Name |
| Geschäftsführung | Freigabe kritischer Maßnahmen | Name | Tel / E-Mail | Name |
| Stufe | Kriterien (Beispiele) | Reaktionszeit | Eskalation an |
|---|---|---|---|
| SEV-1 – Kritisch | Produktionsausfall, aktive Ransomware, Datenabfluss | sofort | IR-Lead + GF |
| SEV-2 – Hoch | Kompromittiertes System, begrenzte Auswirkung | < 1 h | IR-Lead |
| SEV-3 – Mittel | Verdachtsfall, Einzelgerät, Phishing-Klick | < 4 h | Analyst |
| SEV-4 – Niedrig | Policy-Verstoß ohne akute Gefahr | < 1 Tag | Ticket |
Wer meldet an wen – und welche gesetzlichen Fristen laufen ab Kenntnis?
| Empfänger | Wann | Frist | Kontakt |
|---|---|---|---|
| Interne Eskalation (IR-Lead) | bei jedem SEV-1/2 | sofort | Tel |
| Aufsichtsbehörde (NIS2, § 32 BSIG) | erheblicher Vorfall | Frühwarnung 24 h · Meldung 72 h · Abschluss 1 Monat | BSI-Meldestelle |
| Datenschutzaufsicht (DSGVO Art. 33) | Risiko für personenbez. Daten | 72 h | zust. Behörde |
| DORA (Finanzsektor) | schwerwiegender IKT-Vorfall | gem. RTS-Fristen | zust. Behörde |
| Strafverfolgung / Cyberversicherung | nach Bewertung | — | Kontakt |
Fristen als Orientierung – im Einzelfall die geltenden Gesetzestexte (NIS2UmsuCG/BSIG, DSGVO, DORA) und Behörden-Vorgaben prüfen.
| Zielgruppe | Wer | Kanal | Kernbotschaft |
|---|---|---|---|
| Intern / Mitarbeitende | Kommunikation | z. B. Intranet | Was tun / nicht tun |
| Kunden / Partner | Kommunikation + GF | E-Mail / Status | Betroffenheit, Maßnahmen |
| Behörden | Recht & Compliance | Meldeportale | Sachverhalt, Fristen |
| Öffentlichkeit / Presse | GF / freigegeben | Statement | nur freigegebene Fakten |
Für jedes relevante Szenario ein kurzes Playbook: Erkennungssignale · Sofortmaßnahmen · Eindämmung · Wiederherstellung · Meldepflichten. Häufige Szenarien:
Vier Leitfragen als Grundgerüst:
| Frage | Ergebnis |
|---|---|
| Was war geplant / erwartet? | … |
| Was ist tatsächlich passiert? | … |
| Warum gab es Abweichungen? | … |
| Was ändern wir konkret (wer / bis wann)? | … |
| Version | Datum | Änderung | Autor |
|---|---|---|---|
| 1.0 | __ / __ / ____ | Ersterstellung aus Vorlage | Name |
| … | … | … | … |