Incident Response – Der Notfall-Leitfaden für Unternehmen

Inhalt in Kürze

• 39 % der deutschen Unternehmen haben keinen Notfallplan für Cyberangriffe. Das kostet im Ernstfall Zeit, Geld und Vertrauen.
• Die DSGVO verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Unter NIS2 sind es sogar nur 24 Stunden für die Erstmeldung.
• Unternehmen mit Incident-Response-Plan reduzieren ihre Schadenskosten um bis zu 60 % -- weil sie strukturiert statt panisch reagieren.
• Incident Response ist Chefsache. Seit dem NIS2-Umsetzungsgesetz haftet die Geschäftsführung persönlich, wenn keine angemessenen Sicherheitsmaßnahmen existieren.

Freitagabend, 18:30 Uhr. Ihre IT-Abteilung meldet: Die Server sind verschlüsselt. Ransomware. Auf dem Bildschirm steht eine Lösegeldforderung. Kunden können nicht mehr bestellen. Mitarbeiter kommen nicht an ihre Dateien.

Was tun Sie jetzt? Wen rufen Sie an? Wer entscheidet, ob gezahlt wird? Wer meldet den Vorfall an die Behörde?

Wenn Sie diese Fragen nicht in weniger als fünf Minuten beantworten können, haben Sie ein Problem. Genauer: Sie haben keinen Incident-Response-Plan.

Warum jedes Unternehmen einen Incident-Response-Plan braucht

Laut Bitkom-Studie Wirtschaftsschutz 2025 waren 84 % der deutschen Unternehmen im vergangenen Jahr von Cyberangriffen betroffen. Der Gesamtschaden: über 200 Milliarden Euro pro Jahr. Trotzdem haben 39 % der Unternehmen noch immer kein Notfallmanagement.

Das ist, als hätte ein Gebäude keinen Feuerlöscher und keinen Fluchtplan. Der Brand kommt -- die Frage ist nur wann.

Ein Incident-Response-Plan schafft Klarheit, bevor der Stress einsetzt. Er legt fest:

• Wer wird informiert und in welcher Reihenfolge?
• Welche Sofortmaßnahmen greifen?
• Wer kommuniziert mit Behörden, Kunden und Presse?
• Wie wird der Vorfall dokumentiert und aufgearbeitet?

Die 6 Phasen der Incident Response

1. Vorbereitung: Das Fundament. Erstellen Sie einen Notfallplan, benennen Sie ein Incident-Response-Team, schulen Sie Ihre Mitarbeiter. Definieren Sie Eskalationsstufen und halten Sie Kontaktdaten von Forensik-Dienstleistern, Anwälten und Ihrem Datenschutzbeauftragten griffbereit.
2. Erkennung und Analyse: Je schneller Sie einen Vorfall erkennen, desto geringer der Schaden. Monitoring-Systeme, Log-Analysen und aufmerksame Mitarbeiter sind Ihre Frühwarnsysteme. Klären Sie: Was ist passiert? Welche Systeme sind betroffen? Seit wann?
3. Eindämmung: Schaden begrenzen, ohne Beweise zu vernichten. Betroffene Systeme isolieren, Zugänge sperren, Netzwerksegmente trennen. Kurzfristige Eindämmung zuerst, dann langfristige Maßnahmen planen.
4. Beseitigung: Ursache finden und eliminieren. Malware entfernen, kompromittierte Konten sperren, Schwachstellen patchen. Erst wenn die Ursache beseitigt ist, dürfen Systeme wieder in Betrieb gehen.
5. Wiederherstellung: Systeme aus sauberen Backups wiederherstellen, schrittweise in Betrieb nehmen, engmaschig überwachen. Prüfen Sie, ob die Angreifer wirklich draußen sind -- Rückfälle sind häufig.
6. Nachbereitung: Der wichtigste Schritt, der am häufigsten übersprungen wird. Was lief gut? Was lief schlecht? Was ändern wir? Dokumentieren Sie alles und aktualisieren Sie Ihren Notfallplan.

Meldepflichten: DSGVO und NIS2

Zwei Regelwerke bestimmen, wie schnell Sie melden müssen:

Aus der Praxis

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner -- trotzdem war es ein Angriff.

Nils OehmichenDatenschutzberater bei frag.hugo

Genau solche Fälle zeigen: Es trifft nicht nur Konzerne. Angreifer nutzen kompromittierte Geschäftspartner-Konten, um authentisch wirkende E-Mails zu versenden. Ohne Incident-Response-Plan erkennen kleine Unternehmen den Angriff oft erst Wochen später -- und die Meldefrist ist längst verstrichen.

Incident-Response-Team: Wer muss an den Tisch?

Für KMU reicht ein schlankes Team mit klaren Rollen:

• Geschäftsführung: Trägt die Gesamtverantwortung, gibt Budget frei, entscheidet über externe Kommunikation. Unter NIS2 haftet sie persönlich.
• IT-Leitung: Koordiniert die technische Reaktion, führt Eindämmung und Wiederherstellung durch, sichert Beweise.
• Datenschutzbeauftragter: Bewertet Meldepflichten, bereitet die Meldung an die Aufsichtsbehörde vor, berät zur Benachrichtigung Betroffener.
• Kommunikation: Informiert Mitarbeiter, Kunden und ggf. Presse. Einheitliche Sprachregelung verhindert Gerüchte.
• Externe Partner: Forensik-Dienstleister, Rechtsanwalt, Versicherung (Cyber-Police). Kontaktdaten vorab klären -- nicht erst im Notfall suchen.

Geschäftsführer-Haftung: Warum Incident Response Chefsache ist

Seit dem NIS2-Umsetzungsgesetz haften Geschäftsführer persönlich, wenn keine angemessenen Sicherheitsmaßnahmen implementiert sind. Incident Response gehört zu den zehn Mindestmaßnahmen, die NIS2 fordert.

Auch außerhalb von NIS2 gilt: Wenn die Geschäftsführung nachweislich keinen Notfallplan hatte und dadurch der Schaden größer ausfällt, kann das eine Pflichtverletzung nach § 43 GmbHG darstellen. Gesellschafter und Versicherungen schauen da genau hin.

Häufige Fragen (FAQ)

Was ist ein Incident-Response-Plan?

Ein Incident-Response-Plan ist ein dokumentierter Prozess, der festlegt, wie ein Unternehmen auf IT-Sicherheitsvorfälle reagiert. Er definiert Rollen, Kommunikationswege, Sofortmaßnahmen und Meldepflichten -- damit im Ernstfall keine wertvolle Zeit verloren geht.

Welche Meldepflichten gelten bei einem Sicherheitsvorfall?

Nach Art. 33 DSGVO müssen Datenpannen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Unter NIS2 gelten noch kürzere Fristen: 24 Stunden für die Erstmeldung, 72 Stunden für den ausführlichen Bericht und 30 Tage für den Abschlussbericht an das BSI.

Wer ist im Unternehmen für Incident Response verantwortlich?

Die Geschäftsführung trägt die Gesamtverantwortung -- unter NIS2 sogar mit persönlicher Haftung. Operativ sollte ein Incident-Response-Team aus IT-Leitung, Datenschutzbeauftragtem, Geschäftsführung und ggf. externem Forensik-Dienstleister gebildet werden.

Was kostet ein Cyberangriff ein mittelständisches Unternehmen?

Laut Bitkom entsteht der deutschen Wirtschaft ein jährlicher Gesamtschaden von über 200 Milliarden Euro durch Cyberangriffe. Für einzelne KMU können die Kosten durch Betriebsunterbrechung, Wiederherstellung und Reputationsschaden schnell im sechsstelligen Bereich liegen.

Wie oft sollte der Incident-Response-Plan getestet werden?

Mindestens einmal jährlich sollte eine Notfallübung stattfinden. Zusätzlich sollte der Plan nach jedem realen Vorfall und bei wesentlichen Änderungen der IT-Infrastruktur aktualisiert werden.