Incident Response
Der strukturierte Prozess zur Erkennung, Eindämmung und Aufarbeitung von Cybersicherheitsvorfällen.
Incident Response (IR) bezeichnet den geplanten und strukturierten Umgang mit Sicherheitsvorfällen. Ein gutes IR-Konzept definiert vorab: Wer macht was, wenn ein Angriff entdeckt wird? Wie wird kommuniziert? Wann werden Behörden informiert?
Die Phasen eines Incident-Response-Plans
Ein klassisches IR-Framework umfasst die Phasen: Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung (Lessons Learned). Gerade die Vorbereitung — also die Planung vor dem Vorfall — ist entscheidend. Im Ernstfall ist keine Zeit mehr für Ad-hoc-Entscheidungen.
NIS2 schreibt Incident-Response-Pläne vor und fordert eine Meldepflicht bei schwerwiegenden Vorfällen innerhalb von 24 Stunden. Wer keine dokumentierten IR-Prozesse hat, handelt im Ernstfall fahrlässig — und verletzt womöglich Meldepflichten.