Skip to content
NeuralSkills
Sicherheit

Incident-Response-Planer

Sicherheits-Incident-Response-Plaene entwerfen — Erkennung, Eindaemmung, Beseitigung, Wiederherstellung und Post-Mortem-Verfahren fuer das Team.

Experte Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Wenn ein Sicherheitsvorfall eintritt — und er wird eintreten — ist Chaos der Standard. Ohne vordefinierten Incident-Response-Plan verschwenden Teams kritische Stunden damit herauszufinden, wen man anruft, was man abschaltet und wie man kommuniziert. Beweise werden durch panisches Neustarten zerstoert. Angreifer behalten den Zugang, waehrend das Team ueber Prioritaeten diskutiert. Und regulatorische Meldefristen (72 Stunden unter der DSGVO) laufen ab, bevor jemand das Ausmass versteht. Die Zeit fuer die Incident-Planung ist vor dem Vorfall.

Der Prompt

Du bist ein Sicherheits-Incident-Response-Spezialist. Entwirf einen umfassenden Incident-Response-Plan fuer meine Organisation.

ORGANISATIONSKONTEXT:
- Teamgroesse: [z.B. 5 Entwickler, kein dediziertes Sicherheitsteam]
- Infrastruktur: [z.B. AWS, Vercel, Docker, Hetzner, Self-Hosted]
- Datensensitivitaet: [z.B. Nutzer-PII, Zahlungsdaten, Gesundheitsdaten]
- Regulatorische Anforderungen: [z.B. DSGVO, HIPAA, PCI-DSS, SOC 2]
- Aktuelles Monitoring: [z.B. Sentry, CloudWatch, keines]
- Kommunikationstools: [z.B. Slack, E-Mail, PagerDuty]

Einen Incident-Response-Plan erstellen:

1. **Vorbereitungsphase**:
   - Rollen und Verantwortlichkeiten des Incident-Response-Teams
   - Kontaktliste (intern, Rechtsabteilung, Hosting-Anbieter, Strafverfolgung)
   - Tool-Inventar fuer Forensik und Response
   - Vorab autorisierte Aktionen

2. **Erkennung und Analyse**:
   - Incident-Klassifizierung (P1-P4 Schweregrade)
   - Indicators-of-Compromise-Checkliste
   - Initiales Triage-Verfahren (erste 15 Minuten)
   - Beweissicherungsschritte

3. **Eindaemmung**:
   - Kurzfristige Eindaemmung (Blutung stoppen)
   - Langfristige Eindaemmung (Beseitigung vorbereiten)
   - Kommunikationsvorlagen (intern, Kunden, Aufsichtsbehoerde)

4. **Beseitigung und Wiederherstellung**:
   - Root-Cause-Analyse-Verfahren
   - Systemwiederherstellung aus sauberen Backups
   - Credential-Rotations-Checkliste
   - Verifizierung der Bedrohungsbeseitigung

5. **Nach dem Vorfall**:
   - Post-Mortem-Template (schuldlos)
   - Zeitleisten-Rekonstruktion
   - Erkenntnisse und Massnahmen
   - Planaktualisierungen basierend auf Befunden

Spezifische Runbooks fuer gaengige Vorfaelle bereitstellen:
- Kompromittierte Zugangsdaten
- Datenpanne / Datenexfiltration
- DDoS-Angriff
- Ransomware
- Kompromittierte Abhaengigkeit / Supply-Chain-Angriff

Beispielausgabe

## Incident-Response-Plan

### Schweregradklassifizierung
| Stufe | Beschreibung | Reaktionszeit | Beispiel |
|-------|-------------|---------------|---------|
| P1 Kritisch | Aktive Datenpanne, Systemkompromittierung | 15 Min | DB gedumpt, Admin-Konto kompromittiert |
| P2 Hoch | Verdacht auf Einbruch, Schwachstelle aktiv ausgenutzt | 1 Stunde | Ungewoehnliche Login-Muster |
| P3 Mittel | Schwachstelle gefunden, kein Exploitation-Nachweis | 24 Stunden | CVE in Produktionsabhaengigkeit |

### Erste 15 Minuten (P1 Kritisch):
1. Incident Commander ueber PagerDuty alarmieren
2. Server NICHT neustarten (bewahrt forensische Beweise)
3. Erfassen: aktuelle Verbindungen, laufende Prozesse, aktuelle Logs sichern
4. Isolieren: kompromittierte Zugangsdaten widerrufen, Angreifer-IP an Firewall blockieren
5. Bewahren: betroffene Server/Datenbanken vor Aenderungen snapshotten

Wann verwenden

Incident-Response-Plan vor jedem Vorfall erstellen — idealerweise beim initialen Infrastruktur-Setup. Quartalsweise, nach jedem Sicherheitsvorfall und bei Teamaenderungen ueberpruefen und aktualisieren. Jaehrlich Tabletop-Uebungen (simulierte Vorfaelle) durchfuehren. Unverzichtbar fuer jede Organisation, die Kundendaten verarbeitet.

Profi-Tipps

  • Tabletop-Uebungen durchfuehren — quartalsweise ein Einbruchsszenario mit dem Team simulieren. Den Plan Schritt fuer Schritt durchgehen, um Luecken zu finden.
  • Kritische Aktionen vorab autorisieren — JETZT entscheiden, wer alle API-Keys widerrufen, Server abschalten oder alle Nutzerpasswoerter zuruecksetzen darf, ohne auf Genehmigung zu warten.
  • Beweise zuerst sichern — der Instinkt “schnell reparieren” zerstoert forensische Beweise. Server snapshotten, Logs exportieren und aktuellen Zustand dokumentieren, bevor Aenderungen vorgenommen werden.
  • Kommunikationsvorlagen vorbereiten — Kundenbenachrichtigungen, interne Status-Updates und Meldungen an Aufsichtsbehoerden im Voraus formulieren.