Incident ResponseCyberangriffNotfallplanNIS2KMU

Incident Response Plan: So reagieren Sie richtig auf einen Cyberangriff

Die meisten KMU haben keinen Incident Response Plan – ein gefährliches Versäumnis. Wir erklären die 6 Phasen und liefern eine Vorlage für Ihren Notfallplan.

Ein Cyberangriff trifft selten in dem Moment, in dem alle vorbereitet sind. Er kommt montags früh, freitagsnachmittags kurz vor Feierabend, oder während des Sommerfests — und er trifft Unternehmen, die im Stress keine klaren Entscheidungen treffen können.

Laut BSI-Lagebericht 2024 waren Ransomware-Angriffe erneut die häufigste und folgenreichste Bedrohung für deutsche Unternehmen. Laut Bitkom Studie 2024 entstand deutschen Unternehmen durch Cyberangriffe ein Schaden von über 266 Milliarden Euro — allein in einem Jahr. Besonders hart trifft es KMU: Sie haben oft weder die IT-Kapazitäten noch die etablierten Prozesse, um auf einen Vorfall strukturiert zu reagieren.

Genau hier setzt der Incident Response Plan (IRP) an.

Was ist ein Incident Response Plan?

Ein Incident Response Plan ist ein dokumentierter Prozess, der festlegt, wie ein Unternehmen auf einen Sicherheitsvorfall reagiert — von der Erkennung bis zur Wiederherstellung. Er beantwortet im Krisenfall die Fragen, die sonst Minuten oder Stunden kosten: Wer wird informiert? Was wird zuerst abgeschaltet? Wer entscheidet?

Für Unternehmen, die unter die NIS2-Richtlinie fallen (seit Oktober 2024 in deutsches Recht umgesetzt), ist ein IRP keine Option, sondern Pflicht. Aber auch außerhalb des NIS2-Geltungsbereichs ist er schlicht gute Praxis.

Phase 1: Vorbereitung (Preparation)

Der IRP beginnt lange vor dem ersten Angriff. In der Vorbereitungsphase werden die Strukturen geschaffen, die im Ernstfall greifen müssen.

Konkrete Maßnahmen:

  • Incident Response Team definieren: Wer ist im Krisenfall verantwortlich? IT-Leitung, Geschäftsführung, Datenschutzbeauftragter, ggf. externer IR-Dienstleister
  • Kontaktliste pflegen: Alle relevanten Ansprechpartner mit Privat- und Mobilnummer (Achtung: Kontaktliste darf nicht nur digital vorliegen — im Angriffsfall ist die Infrastruktur ggf. nicht nutzbar)
  • Externe Unterstützung vorvertraglich regeln: Ein Rahmenvertrag mit einem spezialisierten IR-Dienstleister spart im Ernstfall Stunden
  • Systeminventar aktuell halten: Was ist kritisch? Welche Systeme dürfen im Ernstfall abgeschaltet werden?
  • Backup-Strategie testen: Backups sind nur so gut wie die letzte erfolgreiche Wiederherstellungsübung
  • Kommunikationsplan: Wer informiert Kunden, Lieferanten, Behörden — und wann?

Phase 2: Identifikation (Identification)

In dieser Phase stellt das Team fest, ob tatsächlich ein Sicherheitsvorfall vorliegt, und sammelt erste Informationen.

Typische Indikatoren (Indicators of Compromise, IoC):

  • Ungewöhnlich hohe CPU- oder Netzwerkauslastung
  • Anmeldefehler-Häufungen im Active Directory
  • Unbekannte Prozesse oder Dateien auf Systemen
  • Ransom-Notes oder verschlüsselte Dateien
  • Meldungen von Mitarbeitern über seltsames Systemverhalten
  • Alerts aus Antivirus, EDR oder SIEM

Wichtig: Jede Handlung ab diesem Zeitpunkt sollte dokumentiert werden — mit Zeitstempel. Diese Aufzeichnungen sind für spätere forensische Analyse und für Behördenmeldungen unerlässlich.

Managed Security und Incident Response von Binary System Services

Phase 3: Eindämmung (Containment)

Ziel ist es, die Ausbreitung des Angriffs zu stoppen — nicht unbedingt, ihn sofort vollständig zu beseitigen.

Kurzfristige Eindämmung:

  • Betroffene Systeme vom Netzwerk isolieren (nicht unbedingt ausschalten — forensische Beweise gehen verloren)
  • Kompromittierte Benutzerkonten sperren
  • Verdächtige Netzwerkverbindungen blockieren (Firewall-Regeln)

Langfristige Eindämmung:

  • Saubere Systeme für den Weiterbetrieb bereitstellen
  • Temporäre Zugangsbeschränkungen implementieren
  • Überwachung auf betroffenen Systemen intensivieren

Keine voreiligen Entscheidungen: Das Löschen von Malware oder das Neuaufsetzen von Systemen kann forensische Spuren vernichten, die für die Ursachenanalyse notwendig sind. Im Zweifel zuerst Forensik-Snapshot, dann Bereinigung.

Phase 4: Beseitigung (Eradication)

Nachdem der Angriff eingedämmt ist, wird die eigentliche Ursache beseitigt: Malware entfernen, Schwachstellen schließen, kompromittierte Zugangsdaten zurücksetzen.

Schritte:

  • Schadsoftware auf allen betroffenen Systemen entfernen (oder Systeme neu aufsetzen)
  • Alle Passwörter zurücksetzen — insbesondere für privilegierte Konten (siehe: Passwort-Richtlinien 2026)
  • Einfallstor schließen (ungepatchte Schwachstelle, schwaches Passwort, offener RDP-Port)
  • Weitere kompromittierte Systeme ausschließen

Phase 5: Wiederherstellung (Recovery)

Systeme werden schrittweise wieder in den Produktionsbetrieb gebracht — zunächst unter erhöhter Beobachtung.

Vorgehen:

  • Systeme nur aus verifizierten, sauberen Backups wiederherstellen
  • Wiederhergestellte Systeme vor Produktivgang auf Anomalien monitoren
  • Zugänge schrittweise und kontrolliert öffnen
  • Benutzer über Verhaltensänderungen informieren (neue Passwörter, neue Prozesse)

Laut BSI dauert die vollständige Wiederherstellung nach einem schwerwiegenden Ransomware-Angriff im Schnitt mehrere Wochen. Ohne gute Backups und ohne getesteten Wiederherstellungsplan können es Monate sein.

Phase 6: Nachbereitung (Lessons Learned)

Die am häufigsten übersprungene Phase — und die wichtigste für die Zukunft.

Innerhalb von 2–4 Wochen nach dem Vorfall:

  • Incident-Review mit allen Beteiligten durchführen
  • Zeitlinie des Angriffs vollständig rekonstruieren
  • Fragen beantworten: Wie wurde eingedrungen? Wie lange unbemerkt? Was hat funktioniert, was nicht?
  • IRP auf Basis der Erkenntnisse aktualisieren
  • Präventivmaßnahmen ableiten und umsetzen

Behördliche Meldepflichten nicht vergessen: Bei Datenschutzverletzungen gilt eine 72-Stunden-Meldepflicht gegenüber der zuständigen Datenschutzbehörde (DSGVO, Art. 33). NIS2-Unternehmen haben zusätzliche Meldepflichten gegenüber dem BSI.

Minimalvorlage: IRP-Checkliste für KMU

Vorbereitung (jetzt, nicht im Ernstfall):

  • IR-Team mit Rollen und Verantwortlichkeiten definiert
  • Kontaktliste (analog + digital) gepflegt
  • Externer IR-Dienstleister identifiziert und kontaktiert
  • Systeminventar aktuell
  • Backup-Wiederherstellung getestet
  • Kommunikationsplan erstellt

Im Ernstfall:

  • Zeitstempel und Protokoll ab erster Meldung
  • IR-Team informieren
  • Betroffene Systeme isolieren (nicht löschen)
  • Forensik-Snapshot sichern
  • Externe Unterstützung hinzuziehen
  • Behörden informieren (72h-Frist DSGVO)
  • Kommunikation intern und extern koordinieren

Nach dem Vorfall:

  • Lessons-Learned-Session durchgeführt
  • IRP aktualisiert
  • Präventivmaßnahmen umgesetzt
  • Versicherung informiert (falls Cyberversicherung vorhanden)

Fazit

Kein Unternehmen ist zu klein für einen Cyberangriff — und kein Unternehmen ist zu klein für einen Incident Response Plan. Die sechs Phasen geben Struktur in einem Moment, in dem Panik und Zeitdruck die natürlichen Feinde guter Entscheidungen sind.

Wer NIS2-pflichtig ist, hat ohnehin keine Wahl. Aber auch alle anderen profitieren: Ein IRP reduziert Ausfallzeiten, begrenzt Schäden und zeigt Kunden und Partnern, dass Sicherheit ernst genommen wird.

Passend dazu: Windows Server absichern und VPN für Unternehmen — Prävention vor dem Notfallplan.

Mehr zu Managed Security