Zum Hauptinhalt springen
Informationssicherheit / NIS2

Incident-Response

Incident-Response bezeichnet den strukturierten Prozess zur Erkennung, Reaktion auf und Eindämmung von Sicherheitsvorfällen, um Schäden zu begrenzen und den regulären Betrieb schnellstmöglich wiederherzustellen.

Incident-Response umfasst alle organisatorischen und technischen Maßnahmen, mit denen eine Einrichtung auf Sicherheitsvorfälle reagiert. Der Prozess folgt typischerweise einem etablierten Phasenmodell, etwa dem des NIST (Preparation, Detection and Analysis, Containment/Eradication and Recovery, Post-Incident Activity) oder dem äquivalenten Vorgehen nach BSI-Standard 200-4. Ziel ist es, einen Vorfall frühzeitig zu erkennen, korrekt zu bewerten, einzudämmen, zu beseitigen und daraus zu lernen, um die Wahrscheinlichkeit und Auswirkung künftiger Vorfälle zu reduzieren.

Kernbestandteil einer wirksamen Incident-Response ist ein dokumentierter Incident-Response-Plan mit klaren Rollen, Eskalationswegen, Meldeketten und Kommunikationsvorgaben. Häufig wird ein dediziertes Computer Security Incident Response Team (CSIRT bzw. SOC) eingerichtet, das Vorfälle klassifiziert, forensisch untersucht und die Eindämmung koordiniert. Eng verzahnt ist die Incident-Response mit dem Notfall- und Business-Continuity-Management sowie mit Disaster-Recovery-Verfahren, damit auch bei schwerwiegenden Vorfällen die Verfügbarkeit kritischer Prozesse gewährleistet bleibt.

Regulatorisch gewinnt Incident-Response durch die NIS2-Richtlinie und ihre nationale Umsetzung erheblich an Bedeutung. Besonders wichtige und wichtige Einrichtungen müssen geeignete Maßnahmen zur Behandlung von Sicherheitsvorfällen vorhalten und unterliegen gestuften Meldepflichten gegenüber dem BSI: eine Frühwarnung binnen 24 Stunden, eine Vorfallsmeldung binnen 72 Stunden und ein Abschlussbericht spätestens nach einem Monat. Die Geschäftsleitung trägt die Verantwortung für die Umsetzung und Wirksamkeit dieser Maßnahmen, weshalb Incident-Response ein zentraler Baustein eines Informationssicherheits-Managementsystems (ISMS) ist.

Rechtliche Grundlage

Art. 21 Abs. 2 lit. b und Art. 23 NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27035; BSI-Standard 200-4; ISO/IEC 27001 Anhang A (A.5.24 ff.)

Praxisbeispiel

Ein mittelständischer Maschinenbauer, der als wichtige Einrichtung unter NIS2 fällt, bemerkt über sein SIEM ungewöhnliche Verschlüsselungsaktivitäten auf einem Dateiserver. Das CSIRT aktiviert den Incident-Response-Plan, isoliert die betroffenen Systeme vom Netz (Containment), sichert forensische Beweise und identifiziert eine Ransomware-Infektion. Der Informationssicherheitsbeauftragte gibt binnen 24 Stunden eine Frühwarnung an das BSI ab, reicht innerhalb von 72 Stunden die formelle Vorfallsmeldung nach und stellt die Systeme aus geprüften Backups wieder her. In der abschließenden Nachbereitung werden Lessons Learned dokumentiert und das Patch-Management angepasst, um die ausgenutzte Schwachstelle dauerhaft zu schließen.

Häufige Fragen

Gängige Modelle gliedern den Prozess in Vorbereitung, Erkennung und Analyse, Eindämmung sowie Beseitigung und Wiederherstellung und schließlich die Nachbereitung. Das BSI beschreibt ein vergleichbares Vorgehen im Standard 200-4. Ziel ist es, Vorfälle schnell einzudämmen und aus jedem Vorfall zu lernen.
Betroffene Einrichtungen müssen einen erheblichen Sicherheitsvorfall binnen 24 Stunden als Frühwarnung, binnen 72 Stunden als vollständige Vorfallsmeldung und spätestens nach einem Monat als Abschlussbericht an das BSI melden. Die Geschäftsleitung haftet für die Einhaltung dieser Pflichten.
Incident-Response konzentriert sich auf die unmittelbare Erkennung, Eindämmung und Beseitigung eines konkreten Sicherheitsvorfalls. Das Business-Continuity-Management stellt darüber hinaus sicher, dass kritische Geschäftsprozesse während und nach einer Störung aufrechterhalten oder zeitnah wiederhergestellt werden. Beide Disziplinen greifen im Ernstfall eng ineinander.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Sicherheitsvorfall (Security Incident) Computer Security Incident Response Team Meldepflicht nach NIS2 IT-Forensik Business Continuity Management (BCM)
Zurück zum Glossar