Vorlage · Incident Response

Incident-Response-Plan

Anpassbare Vorlage nach NIST SP 800-61. Ersetzen Sie die kursiv/grau markierten Platzhalter durch Ihre Organisationsdaten. Stand: 07/2026.

Organisation ______________________
Dokument-Version 1.0
Verantwortlich (IR-Lead) ______________________
Klassifizierung Vertraulich
Gültig ab __ / __ / ____
Nächste Überprüfung __ / __ / ____

1. Zweck & Geltungsbereich

Dieser Plan legt fest, wie [Organisation] Sicherheitsvorfälle erkennt, meldet, eindämmt, beseitigt und nachbereitet. Er gilt für alle Mitarbeitenden, Dienstleister und Systeme im Geltungsbereich [z. B. gesamte IT / bestimmte Standorte / Produktivumgebung]. Ziel ist eine schnelle, koordinierte und nachweisbare Reaktion – auch als Nachweis für NIS2, DORA und ISO 27001.

2. Rollen & Verantwortlichkeiten

RolleVerantwortungNameErreichbarkeit (24/7)Vertretung
Incident LeadGesamtsteuerung, Entscheidungen, EskalationNameTel / E-MailName
Technischer AnalystAnalyse, Eindämmung, ForensikNameTel / E-MailName
KommunikationInterne/externe Kommunikation, PresseNameTel / E-MailName
Recht & ComplianceMeldepflichten, Datenschutz, VerträgeNameTel / E-MailName
GeschäftsführungFreigabe kritischer MaßnahmenNameTel / E-MailName

3. Schweregrad-Klassifizierung

StufeKriterien (Beispiele)ReaktionszeitEskalation an
SEV-1 – KritischProduktionsausfall, aktive Ransomware, DatenabflusssofortIR-Lead + GF
SEV-2 – HochKompromittiertes System, begrenzte Auswirkung< 1 hIR-Lead
SEV-3 – MittelVerdachtsfall, Einzelgerät, Phishing-Klick< 4 hAnalyst
SEV-4 – NiedrigPolicy-Verstoß ohne akute Gefahr< 1 TagTicket

4. Melde- & Eskalationskette

Wer meldet an wen – und welche gesetzlichen Fristen laufen ab Kenntnis?

EmpfängerWannFristKontakt
Interne Eskalation (IR-Lead)bei jedem SEV-1/2sofortTel
Aufsichtsbehörde (NIS2, § 32 BSIG)erheblicher VorfallFrühwarnung 24 h · Meldung 72 h · Abschluss 1 MonatBSI-Meldestelle
Datenschutzaufsicht (DSGVO Art. 33)Risiko für personenbez. Daten72 hzust. Behörde
DORA (Finanzsektor)schwerwiegender IKT-Vorfallgem. RTS-Fristenzust. Behörde
Strafverfolgung / Cyberversicherungnach BewertungKontakt

Fristen als Orientierung – im Einzelfall die geltenden Gesetzestexte (NIS2UmsuCG/BSIG, DSGVO, DORA) und Behörden-Vorgaben prüfen.

5. Die vier Phasen (NIST SP 800-61)

Phase 1 – Vorbereitung

Phase 2 – Erkennung & Analyse

Phase 3 – Eindämmung, Beseitigung & Wiederherstellung

Phase 4 – Nachbereitung

6. Kommunikationsplan

ZielgruppeWerKanalKernbotschaft
Intern / MitarbeitendeKommunikationz. B. IntranetWas tun / nicht tun
Kunden / PartnerKommunikation + GFE-Mail / StatusBetroffenheit, Maßnahmen
BehördenRecht & ComplianceMeldeportaleSachverhalt, Fristen
Öffentlichkeit / PresseGF / freigegebenStatementnur freigegebene Fakten

7. Playbook-Skelett (je Szenario ausfüllen)

Für jedes relevante Szenario ein kurzes Playbook: Erkennungssignale · Sofortmaßnahmen · Eindämmung · Wiederherstellung · Meldepflichten. Häufige Szenarien:

8. Nachbereitung / After-Action-Review

Vier Leitfragen als Grundgerüst:

FrageErgebnis
Was war geplant / erwartet?
Was ist tatsächlich passiert?
Warum gab es Abweichungen?
Was ändern wir konkret (wer / bis wann)?

9. Änderungshistorie

VersionDatumÄnderungAutor
1.0__ / __ / ____Ersterstellung aus VorlageName
Diese Vorlage ist ein Ausgangspunkt, kein fertiger Plan. Ein Incident-Response-Plan wirkt erst, wenn er auf Ihre Organisation zugeschnitten und geübt ist. Testen Sie ihn in einer Tabletop-Übung, bevor es zählt: secdrills.com/check.
SecDrills · Cyber-Tabletop-Übungen & Krisensimulationen · secdrills.com Quellen: NIST SP 800-61 · BSI IT-Grundschutz · ENISA