Incident Response

Incident-Response-Plan: Aufbau, Phasen und Test

Von SecDrills-Redaktion
Ein Incident-Response-Plan wirkt nur, wenn Rollen, Eskalation und Meldewege geübt und dokumentiert sind. Dieser Leitfaden zeigt, wie ein wirksamer Plan aufgebaut ist, welche Phasen er umfasst – und warum er regelmäßig geübt werden muss.
Kostenlose Vorlage · ohne Anmeldung

Incident-Response-Plan-Vorlage

Anpassbare Vorlage nach NIST SP 800-61: Rollen & Verantwortlichkeiten, Schweregrad-Stufen, Melde- & Eskalationskette (mit NIS2- und DSGVO-Fristen), Phasen-Checklisten, Playbook-Skelett und After-Action-Review. Öffnen und direkt als PDF speichern.

Vorlage öffnen & als PDF speichern

Was ist ein Incident-Response-Plan?

Ein Incident-Response-Plan (IR-Plan) ist der dokumentierte Handlungsrahmen für den Umgang mit Sicherheitsvorfällen. Er stellt sicher, dass im Ernstfall nicht improvisiert wird, sondern jeder weiß, was zu tun ist – schnell, koordiniert und nachvollziehbar.

Die Phasen nach NIST

Das verbreitete NIST-Modell (NIST SP 800-61 Rev. 3) gliedert die Incident Response in vier Phasen:

1. Vorbereitung

Rollen, Playbooks, Tools, Kontakte und Meldewege festlegen – sowie das Team durch Übungen vorbereiten.

2. Erkennung & Analyse

Vorfälle erkennen, einordnen und ihre Tragweite bewerten (Scope, betroffene Systeme, Schweregrad).

3. Eindämmung, Beseitigung & Wiederherstellung

Ausbreitung stoppen, Ursache beseitigen und Systeme kontrolliert wieder in Betrieb nehmen.

4. Nachbereitung

Lessons Learned dokumentieren, Maßnahmen ableiten und den Plan verbessern.

Pflichtbestandteile eines wirksamen Plans

  • Rollen & Verantwortlichkeiten – wer entscheidet, wer eskaliert, wer kommuniziert.
  • Eskalationswege – klare Schwellen und Ansprechpartner rund um die Uhr.
  • Kommunikationsplan – intern, an Kunden, Öffentlichkeit und Behörden.
  • Meldepflichten – u. a. NIS2 Art. 23 (24/72 Stunden) und DSGVO Art. 33 (72 Stunden).
  • Playbooks – szenariospezifische Abläufe (Ransomware, Datenleck, Supply-Chain).

Häufige Schwachstellen

Typische Probleme: veraltete Kontaktdaten, unklare Zuständigkeiten, eine nicht eingeübte Meldekette und Pläne, die nur in der Schublade existieren. Genau solche Lücken treten in einer Übung zutage – nicht erst im echten Vorfall.

Den Plan testen

Ein IR-Plan ist nur so gut wie seine letzte Übung. In einer Tabletop-Übung durchläuft Ihr Team ein realistisches Szenario, trifft Entscheidungen unter Zeitdruck und übt die Meldekette. Mehr zur Team-Perspektive unter SecDrills für IR-Teams.

Häufige Fragen

Was ist ein Incident-Response-Plan?

Ein Incident-Response-Plan ist ein dokumentierter Handlungsrahmen, der festlegt, wie eine Organisation Sicherheitsvorfälle erkennt, eindämmt, beseitigt und nachbereitet – inklusive Rollen, Eskalation, Kommunikation und Meldepflichten.

Welche Phasen hat ein Incident-Response-Plan?

Nach dem NIST-Modell (SP 800-61) gibt es vier Phasen: Vorbereitung; Erkennung & Analyse; Eindämmung, Beseitigung & Wiederherstellung; sowie die Nachbereitung mit Lessons Learned.

Wie oft sollte man den Incident-Response-Plan testen?

Mindestens jährlich, besser halb- bis vierteljährlich sowie nach größeren Änderungen. Tabletop-Übungen sind dafür die effizienteste Methode und liefern zugleich den Nachweis für NIS2 und DORA.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Plan testen, bevor es zählt

Erproben Sie Ihren Incident-Response-Plan in einer realistischen Tabletop-Übung – inklusive Meldekette.

Übungsreife-Check starten