Incident Response: Wenn der Alarm losgeht

Es gibt zwei Arten von Unternehmen: Die, die gehackt wurden. Und die, die es noch nicht wissen.

Wenn der Moment kommt (Ransomware-Screen, Datenbank gelöscht, Erpresser-Mail), regiert oft Chaos. Admins ziehen Stecker. Geschäftsführer schreien. PR-Abteilungen lügen ("Nur eine kleine Störung"). Das ist der Weg in den Untergang.

Ein Incident Response Plan (IRP) ist das Drehbuch für die Katastrophe. Er sorgt dafür, dass Sie rational handeln, wenn die Emotionen hochkochen. Der Unterschied zwischen einem blauen Auge und dem Knockout liegt in der Reaktionszeit und Professionalität.

Featured Snippet: Ein Incident Response Plan folgt international anerkannten Standards (z.B. NIST). Die Phasen sind: 1. Vorbereitung (Team & Tools bereitstellen), 2. Identifikation (Ist es ein Hack oder ein Bug?), 3. Eindämmung (Isolieren, damit es sich nicht ausbreitet), 4. Eradication (Entfernen der Schadsoftware), 5. Recovery (Wiederherstellung) und 6. Lessons Learned. Wichtig: Dokumentation für Forensik und DSGVO-Meldepflicht (72h Frist!).

---

The Cost of Inaction: Das 72-Stunden-Ultimatum

Die DSGVO (Art. 33) ist gnadenlos. Sie müssen Datenschutzverletzungen innerhalb von 72 Stunden der Behörde melden. Wenn Sie erst 2 Tage brauchen, um herauszufinden, was passiert ist, haben Sie nur noch 24 Stunden für den juristischen Teil. Ohne Plan ("Wen rufe ich an?") reißen Sie die Frist. Bußgelder steigen, wenn Sie Vertuschung versuchen oder zu spät melden.

---

Die 6 Phasen des NIST-Frameworks

Preparation (Vorbereitung)

Machen Sie das jetzt. Nicht, wenn es brennt.

• Team: Wer ist der "Incident Commander"? (Entscheider). Wer ist Tech-Lead? Wer macht PR?
• War Room: Ein sicherer Kommunikationskanal (z.B. Signal-Gruppe), denn Slack/Teams könnten gehackt sein.
• Access: Haben Admins Notfall-Zugänge (Break-Glass Accounts), falls das AD down ist?

Identification (Detektion)

Der Alarm schrillt.

• Ist es ein Fehlalarm?
• Sammeln Sie Logs. Sichern Sie Beweise (RAM-Abbilder, Disk-Images). Schalten Sie nichts aus (RAM-Verlust!), ziehen Sie nur das Netzwerkkabel.

Containment (Eindämmung)

Oberste Priorität: Blutung stoppen.

• Isolieren: Nehmen Sie betroffene Server vom Netz (Quarantäne-VLAN).
• Passwörter: Setzen Sie alle Admin-Passwörter und API-Keys zurück (sofort!).
• Ziel: Verhindern, dass der Hacker tiefer eindringt oder Daten exfiltriert.

Eradication (Eliminierung)

Säuberung.

• Finden Sie die Hintertür (Root Cause). Wie kam er rein? (Gepatchte Lücke? Phishing?).
• Entfernen Sie Malware.
• Oft ist es sicherer, Systeme komplett neu aufzusetzen (aus sauberen Backups oder Infrastructure as Code), statt sie zu "bereinigen". Man übersieht immer was.

Recovery (Wiederherstellung)

Fahren Sie Systeme langsam wieder hoch.

• Monitoren Sie diese extrem genau ("Ist er noch da?").
• Stellen Sie Daten aus (geprüften!) Backups wieder her.

Lessons Learned (Nachbereitung)

Zwei Wochen später. Der Rauch hat sich verzogen.

• Schreiben Sie einen "Post-Mortem Report".
• Blameless Culture: Nicht "Wer war schuld?", sondern "Warum hat unser Prozess versagt?".
• Verbessern Sie Phase 1 für das nächste Mal.

---

Myth-Busting: "Stecker ziehen rettet"

Jein. Netzwerkkabel ziehen: Ja. (Stoppt Datenabfluss). Stromstecker ziehen: Nein. (Löscht den RAM). Im RAM liegen oft die Entschlüsselungs-Keys der Ransomware oder Spuren des laufenden Prozesses. Forensiker brauchen den RAM. Fahren Sie den PC wenn möglich in den "Hibernate"-Modus oder lassen Sie ihn an (ohne Netz).

---

Unasked Question: "Wann zahle ich Lösegeld?"

Eine ethische und wirtschaftliche Frage. FBI/BSI sagen: Niemals zahlen. (Fördert Kriminalität. Keine Garantie für Entschlüsselung). Die Realität: Wenn die Existenz der Firma auf dem Spiel steht und Backups zerstört sind, zahlen viele. Klären Sie das vorher mit Ihrer Cyber-Versicherung und Geschäftsführung. Im Ernstfall unter Stress entscheiden Sie falsch.

---

FAQ: Incident Response