Incident Response

von | 18.Dez..2025

« Back to Glossary Index

Was tust du, wenn deine IT plötzlich nicht mehr reagiert?

Wenn ein IT-Vorfall passiert – sei es ein Virus, ein Angriff oder ein Datenleck – zählt jede Minute. Incident Response ist der Notfallplan, den du hoffentlich nie brauchst. Aber wenn doch, dann richtig.

Das Wichtigste in Kürze

  • Bedeutet übersetzt „Reaktion auf einen IT-Sicherheitsvorfall“

  • Ziel: schnell erkennen, eindämmen, beseitigen und aufklären

  • Grundlage für Krisenreaktion bei Cyberangriffen, Ausfällen oder Datenpannen

  • Muss geplant, dokumentiert und regelmäßig geübt werden

Einfach erklärt

Incident Response ist der strukturierte Ablauf, wie dein Unternehmen auf einen IT-Notfall reagiert. Zum Beispiel: Ein Mitarbeiter klickt auf einen Phishing-Link, ein Server fällt aus oder eure Daten werden verschlüsselt (Ransomware). Jetzt braucht es klare Schritte – keine Panik, kein Improvisieren.

Gute Incident-Response-Pläne enthalten Fragen wie:
Wer ist zuständig?
Was wird zuerst gemacht?
Wen muss man informieren (z. B. Datenschutzbeauftragte, Kunden, Behörden)?
Wie lassen sich Schäden begrenzen?

Für KMU bedeutet das konkret: Die IT muss vorbereitet sein. Idealerweise übernimmt ein externer IT-Dienstleister das Monitoring und führt im Ernstfall die ersten Maßnahmen automatisch durch – zum Beispiel Sperren eines betroffenen Kontos oder Isolieren eines infizierten Rechners.

Je schneller reagiert wird, desto geringer der Schaden. Und je klarer der Ablauf, desto sicherer fühlen sich auch deine Mitarbeitenden.

Technischer Hintergrund

Ein Incident Response Plan (IRP) besteht in der Regel aus mehreren Phasen:

1. Vorbereitung (Preparation)
Hier wird der Rahmen definiert: Zuständigkeiten, Tools, Ansprechpartner und Notfallpläne. Schulungen und Tests gehören ebenfalls dazu.

2. Erkennung und Analyse (Detection & Analysis)
Der Vorfall wird bemerkt – oft durch ein SIEM-System, Antivirus-Software oder Mitarbeitermeldungen. Dann wird geprüft, wie schwerwiegend er ist und welche Systeme betroffen sind.

3. Eindämmung (Containment)
Das Ziel ist, den Vorfall zu stoppen, bevor er sich ausbreitet. Dazu können Systeme vom Netz genommen oder Accounts gesperrt werden.

4. Beseitigung (Eradication)
Infizierte Dateien, Schadsoftware oder kompromittierte Konten werden entfernt oder zurückgesetzt. Patches werden eingespielt, Sicherheitslücken geschlossen.

5. Wiederherstellung (Recovery)
Systeme werden wieder in Betrieb genommen – möglichst ohne erneute Gefahr. Backups spielen hier eine zentrale Rolle.

6. Nachbereitung (Lessons Learned)
Nach dem Vorfall wird dokumentiert, was passiert ist. Was lief gut? Was muss verbessert werden? Diese Phase ist entscheidend für die langfristige Sicherheit.

Viele Vorfälle beginnen harmlos: ein E-Mail-Anhang, ein veralteter Server oder ein verloren gegangenes Gerät. Doch wenn sie nicht erkannt und gestoppt werden, kann daraus ein echter IT-Notfall entstehen – mit rechtlichen, finanziellen und geschäftlichen Folgen.

Moderne IT-Dienstleister bieten deshalb „Managed Detection & Response“ (MDR) an – also aktive Vorfallreaktion rund um die Uhr, oft in Verbindung mit SIEM und Monitoring.

« zurück zum Glossar