Incident-Response-Plan: Aufbau, Phasen und Test
Incident-Response-Plan-Vorlage
Anpassbare Vorlage nach NIST SP 800-61: Rollen & Verantwortlichkeiten, Schweregrad-Stufen, Melde- & Eskalationskette (mit NIS2- und DSGVO-Fristen), Phasen-Checklisten, Playbook-Skelett und After-Action-Review. Öffnen und direkt als PDF speichern.
Vorlage öffnen & als PDF speichernWas ist ein Incident-Response-Plan?
Ein Incident-Response-Plan (IR-Plan) ist der dokumentierte Handlungsrahmen für den Umgang mit Sicherheitsvorfällen. Er stellt sicher, dass im Ernstfall nicht improvisiert wird, sondern jeder weiß, was zu tun ist – schnell, koordiniert und nachvollziehbar.
Die Phasen nach NIST
Das verbreitete NIST-Modell (NIST SP 800-61 Rev. 3) gliedert die Incident Response in vier Phasen:
1. Vorbereitung
Rollen, Playbooks, Tools, Kontakte und Meldewege festlegen – sowie das Team durch Übungen vorbereiten.
2. Erkennung & Analyse
Vorfälle erkennen, einordnen und ihre Tragweite bewerten (Scope, betroffene Systeme, Schweregrad).
3. Eindämmung, Beseitigung & Wiederherstellung
Ausbreitung stoppen, Ursache beseitigen und Systeme kontrolliert wieder in Betrieb nehmen.
4. Nachbereitung
Lessons Learned dokumentieren, Maßnahmen ableiten und den Plan verbessern.
Pflichtbestandteile eines wirksamen Plans
- Rollen & Verantwortlichkeiten – wer entscheidet, wer eskaliert, wer kommuniziert.
- Eskalationswege – klare Schwellen und Ansprechpartner rund um die Uhr.
- Kommunikationsplan – intern, an Kunden, Öffentlichkeit und Behörden.
- Meldepflichten – u. a. NIS2 Art. 23 (24/72 Stunden) und DSGVO Art. 33 (72 Stunden).
- Playbooks – szenariospezifische Abläufe (Ransomware, Datenleck, Supply-Chain).
Häufige Schwachstellen
Typische Probleme: veraltete Kontaktdaten, unklare Zuständigkeiten, eine nicht eingeübte Meldekette und Pläne, die nur in der Schublade existieren. Genau solche Lücken treten in einer Übung zutage – nicht erst im echten Vorfall.
Den Plan testen
Ein IR-Plan ist nur so gut wie seine letzte Übung. In einer Tabletop-Übung durchläuft Ihr Team ein realistisches Szenario, trifft Entscheidungen unter Zeitdruck und übt die Meldekette. Mehr zur Team-Perspektive unter SecDrills für IR-Teams.
Häufige Fragen
Was ist ein Incident-Response-Plan?
Ein Incident-Response-Plan ist ein dokumentierter Handlungsrahmen, der festlegt, wie eine Organisation Sicherheitsvorfälle erkennt, eindämmt, beseitigt und nachbereitet – inklusive Rollen, Eskalation, Kommunikation und Meldepflichten.
Welche Phasen hat ein Incident-Response-Plan?
Nach dem NIST-Modell (SP 800-61) gibt es vier Phasen: Vorbereitung; Erkennung & Analyse; Eindämmung, Beseitigung & Wiederherstellung; sowie die Nachbereitung mit Lessons Learned.
Wie oft sollte man den Incident-Response-Plan testen?
Mindestens jährlich, besser halb- bis vierteljährlich sowie nach größeren Änderungen. Tabletop-Übungen sind dafür die effizienteste Methode und liefern zugleich den Nachweis für NIS2 und DORA.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.