Incident Response Plan: Vorlage & Best Practices für den Ernstfall
Ein Incident Response Plan (IRP) ist der dokumentierte Prozess, nach dem ein Unternehmen auf Sicherheitsvorfälle reagiert. Er definiert Rollen, Eskalationswege, Kommunikationspläne und technische Maßnahmen für den Ernstfall. Ohne IRP wird aus einem beherrschbaren Vorfall schnell eine Krise — mit NIS2 und DORA ist er zudem regulatorische Pflicht.
Was ist ein Incident Response Plan?
Ein IRP ist ein vordefinierter Handlungsrahmen für den Umgang mit Cybersicherheitsvorfällen. Er beantwortet vier Fragen: Wer tut was? In welcher Reihenfolge? Wer wird wann informiert? Wie wird der Normalzustand wiederhergestellt? Der Plan wird vor dem Ernstfall erstellt, regelmäßig getestet und nach jedem Vorfall aktualisiert.
Die 6 Phasen des Incident Response (NIST SP 800-61)
- Vorbereitung: Aufbau des Incident Response Teams (CSIRT), Definition von Rollen und Verantwortlichkeiten, Bereitstellung von Tools und Ressourcen, Kommunikationskanäle und Eskalationswege definieren.
- Erkennung und Analyse: Monitoring-Systeme, SIEM-Alerts und Threat Intelligence zur Erkennung. Klassifizierung des Vorfalls nach Schwere (P1-P4). Erste Analyse: Was ist betroffen? Wie weit ist der Angreifer gekommen?
- Eindämmung: Kurzfristige Eindämmung (betroffenes System isolieren) und langfristige Eindämmung (Backup-Systeme aktivieren, Zugriff des Angreifers unterbinden). Ziel: Schaden begrenzen, ohne Beweise zu vernichten.
- Beseitigung: Ursache des Vorfalls identifizieren und vollständig entfernen. Malware beseitigen, kompromittierte Accounts deaktivieren, Schwachstellen patchen.
- Wiederherstellung: Betroffene Systeme aus Clean Backups wiederherstellen. Schrittweise Rückkehr zum Normalbetrieb. Verstärkte Überwachung der wiederhergestellten Systeme.
- Nachbereitung (Lessons Learned): Post-Incident-Review innerhalb von 2 Wochen. Dokumentation: Was lief gut, was nicht? Welche Prozesse müssen angepasst werden? IRP aktualisieren.
Meldepflichten: NIS2, DORA, DSGVO
NIS2: Frühwarnung innerhalb von 24 Stunden nach Erkennung eines erheblichen Vorfalls. Detaillierter Bericht innerhalb von 72 Stunden. Abschlussbericht innerhalb von 1 Monat. Meldung an das BSI.
DORA: Erstmeldung innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend. Zwischenbericht innerhalb von 72 Stunden. Abschlussbericht innerhalb von 1 Monat. Meldung an die BaFin.
DSGVO: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden, wenn personenbezogene Daten betroffen sind. Benachrichtigung der Betroffenen, wenn ein hohes Risiko für ihre Rechte besteht.
Incident Response Plan Vorlage: Checkliste
- ☐ CSIRT definiert: Rollen (Incident Commander, Techniker, Kommunikation, Legal, Management)
- ☐ Eskalationsstufen: P1 (kritisch, sofort), P2 (hoch, 4h), P3 (mittel, 24h), P4 (niedrig, 72h)
- ☐ Kommunikationsplan: Intern (wer informiert wen), extern (Kunden, Behörden, Presse)
- ☐ Meldepflichten dokumentiert: NIS2 (24h BSI), DORA (4h BaFin), DSGVO (72h Datenschutzbehörde)
- ☐ Technische Playbooks: Ransomware, Phishing, DDoS, Datenleck, Insider Threat
- ☐ Kontaktliste: CSIRT-Mitglieder, externe Forensiker, Rechtsanwalt, PR-Agentur, Versicherung
- ☐ Backup-Strategie: Offline-Backups, getestete Restore-Prozeduren, RTO/RPO definiert
- ☐ Übungsplan: Tabletop Exercise (quartalsweise), Full-Scale Simulation (jährlich)
Häufig gestellte Fragen zum Incident Response Plan
Was ist ein Incident Response Plan einfach erklärt?
Ein Incident Response Plan ist der Notfallplan für Cyberangriffe. Er legt fest, wer im Ernstfall was tut, in welcher Reihenfolge und wer informiert wird. Wie ein Feuerwehrplan für IT-Sicherheit — man erstellt ihn, bevor es brennt, nicht währenddessen.
Brauchen wir als KMU einen Incident Response Plan?
Ja. Cyberangriffe treffen zunehmend KMU — 46% aller Cyberangriffe richten sich gegen Unternehmen mit weniger als 1.000 Mitarbeitern. Unter NIS2 ist ein IRP für betroffene Unternehmen Pflicht. Aber auch ohne regulatorische Anforderung ist ein IRP die wichtigste Investition in die Reaktionsfähigkeit Ihres Unternehmens.
Wie oft sollte der Incident Response Plan getestet werden?
Tabletop Exercises (Planspiele am Tisch) quartalsweise. Full-Scale-Simulationen jährlich. Zusätzlich nach jedem realen Vorfall als Lessons-Learned-Überprüfung. DORA fordert regelmäßige Tests der IKT-Geschäftsfortführungspläne — der IRP ist ein zentraler Bestandteil davon.
Was kostet die Erstellung eines Incident Response Plans?
Für KMU mit externer Beratung: 10.000-30.000 Euro für die initiale Erstellung (Prozesse, Playbooks, Kontaktlisten, erste Übung). Für Großunternehmen: 30.000-80.000 Euro inklusive branchenspezifischer Playbooks und umfassender Simulation. Die laufenden Kosten beschränken sich auf regelmäßige Updates und Übungen.
Weitere relevante Beiträge
IT-Sicherheitskonzept erstellen: Vorlage & Anleitung für KMU
Ein IT-Sicherheitskonzept dokumentiert alle Maßnahmen, die Ihr Unternehmen zum Schutz seiner IT-Systeme und Daten ergreift. Dieser Leitfaden zeigt KMU, wie sie ein praxistaugliches Sicherheitskonzept erstellen — mit Vorlage, Gliederung und konkreten Inhalten.
Vulnerability Management: Schwachstellen finden, priorisieren, beheben
Vulnerability Management ist der systematische Prozess zur Identifikation, Bewertung und Behebung von Sicherheitslücken in IT-Systemen. Dieser Leitfaden erklärt den VM-Lebenszyklus, CVSS-Scoring, risikobasierte Priorisierung und die Integration in bestehende Sicherheitsprozesse.
CRA September 2026: Meldepflicht startet — der letzte Check für Hersteller
Am 11. September 2026 beginnt die CRA-Meldepflicht: Hersteller vernetzter Produkte müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden. Dieser Artikel ist der letzte Compliance-Check vor dem Stichtag.