Incident Response Plan erstellen -- Dein Notfallplan für Sicherheitsvorfälle
Es ist Freitagabend, 22:30 Uhr. Dein Handy klingelt. Ein Kunde meldet, dass seine Daten öffentlich einsehbar sind. Dein CTO ist im Urlaub. Dein DevOps-Lead hat gerade kein Netz. Was tust du jetzt?
Genau für solche Momente brauchst du einen Incident Response Plan (IRP). Nicht irgendwann. Jetzt. Denn wenn der Ernstfall eintritt, hast du keine Zeit, einen Plan zu entwickeln.
Bei Startup Burgenland sehen wir regelmässig, dass Startups erst nach dem ersten Vorfall über Incident Response nachdenken. Dieser Beitrag zeigt dir, wie du es besser machst.
Was ist ein Incident Response Plan?
Ein Incident Response Plan ist dein strukturierter Fahrplan für den Umgang mit Sicherheitsvorfällen. Er definiert:
- Wer ist wofür verantwortlich?
- Was wird in welcher Reihenfolge getan?
- Wie kommunizierst du intern und extern?
- Wann eskalierst du -- und an wen?
Warum gerade Startups einen IRP brauchen
Du denkst vielleicht: "Wir sind zu klein, uns greift niemand an." Die Realität sieht anders aus:
- 43% aller Cyberangriffe richten sich gegen KMU und Startups
- Die durchschnittlichen Kosten eines Datenlecks in Österreich liegen bei EUR 150.000
- Startups mit Kundendaten (SaaS, HealthTech, FinTech) sind besonders exponiert
- Die DSGVO verlangt Meldung innerhalb von 72 Stunden -- ohne Plan schaffst du das kaum
Die 6 Phasen deines Incident Response Plans
Phase 1 -- Vorbereitung
Das ist die Phase, in der du jetzt bist. Hier legst du das Fundament:
Team zusammenstellen:
| Rolle | Verantwortung | Typisch bei Startups |
|---|---|---|
| Incident Commander | Gesamtkoordination | CEO oder CTO |
| Technical Lead | Technische Analyse und Behebung | Lead Developer |
| Communications Lead | Interne und externe Kommunikation | Marketing oder CEO |
| Legal Contact | Rechtliche Bewertung, DSGVO-Meldung | Externer Anwalt |
Kontaktliste erstellen -- und zwar offline, ausgedruckt:
- Alle Teammitglieder mit Handynummer
- Dein Hosting-Provider (Notfall-Support)
- Externer IT-Security-Berater
- Rechtsanwalt mit DSGVO-Erfahrung
- Österreichische Datenschutzbehörde (DSB): +43 1 52152-0
Phase 2 -- Erkennung und Analyse
Wie merkst du überhaupt, dass etwas passiert ist?
Typische Warnsignale:
- Ungewöhnliche Login-Versuche oder -Orte
- Plötzlich hohe CPU- oder Netzwerk-Auslastung
- Kundenbeschwerden über seltsames Verhalten
- Unbekannte Dateien auf deinen Servern
- Alerts von deinem Monitoring-System
Schweregrad einschätzen:
| Stufe | Beschreibung | Beispiel | Reaktionszeit |
|---|---|---|---|
| Kritisch | Datenverlust, Systemausfall | Ransomware, Datenleck | Sofort |
| Hoch | Kompromittierung möglich | Unbefugter Admin-Zugriff | Unter 1 Stunde |
| Mittel | Verdächtiges Verhalten | Brute-Force-Versuche | Unter 4 Stunden |
| Niedrig | Anomalie ohne Schaden | Fehlkonfiguration entdeckt | Nächster Werktag |
Phase 3 -- Eindämmung
Ziel: Den Schaden begrenzen, ohne Beweise zu vernichten.
Kurzfristige Eindämmung:
- Betroffene Systeme vom Netzwerk isolieren (NICHT abschalten)
- Kompromittierte Accounts sperren
- Betroffene API-Keys und Tokens rotieren
- Temporäre Firewall-Regeln setzen
Langfristige Eindämmung:
- Saubere Systeme parallel aufsetzen
- Patches und Updates einspielen
- Neue Zugangsdaten verteilen
Phase 4 -- Beseitigung
Jetzt geht es an die Ursache:
- Root Cause Analysis durchführen
- Malware oder unautorisierten Code entfernen
- Alle betroffenen Systeme neu aufsetzen (nicht nur bereinigen)
- Sicherheitslücken schliessen
Phase 5 -- Wiederherstellung
- Systeme aus sauberen Backups wiederherstellen
- Schrittweise wieder in Produktion nehmen
- Erhöhtes Monitoring für die nächsten Wochen
- Kunden und Partner informieren
Phase 6 -- Nachbereitung
Die wichtigste Phase -- und die, die am häufigsten übersprungen wird:
- Post-Mortem-Meeting innerhalb von 48 Stunden
- Timeline dokumentieren: Was ist wann passiert?
- Was hat funktioniert? Was nicht?
- IRP aktualisieren basierend auf den Erkenntnissen
- Bericht für die Geschäftsführung erstellen
DSGVO-Meldepflichten in Österreich
Als österreichisches Startup musst du Datenschutzverletzungen melden:
An die Datenschutzbehörde (DSB):
- Innerhalb von 72 Stunden nach Bekanntwerden
- Formular auf dsb.gv.at
- Beschreibung des Vorfalls, betroffene Datenkategorien, Anzahl Betroffener, ergriffene Massnahmen
An die Betroffenen:
- Wenn voraussichtlich ein hohes Risiko für ihre Rechte besteht
- Klare, verständliche Sprache
- Empfehlungen, was sie selbst tun können (z.B. Passwort ändern)
IRP-Template für dein Startup
Hier ist ein Minimalplan, den du heute noch erstellen kannst:
INCIDENT RESPONSE PLAN -- [Firmenname]
Stand: [Datum]
1. KONTAKTLISTE
Incident Commander: [Name] -- [Handy]
Technical Lead: [Name] -- [Handy]
Externer Security: [Firma] -- [Tel]
Rechtsanwalt: [Name] -- [Tel]
DSB Hotline: +43 1 52152-0
2. ESKALATIONSSTUFEN
Kritisch: Sofort alle kontaktieren
Hoch: IC + Technical Lead innerhalb 1h
Mittel: IC innerhalb 4h
Niedrig: Naechster Werktag
3. ERSTE SCHRITTE BEI VORFALL
[ ] Schweregrad einschaetzen
[ ] IC informieren
[ ] Betroffene Systeme isolieren
[ ] Beweise sichern (Screenshots, Logs)
[ ] 72h-Timer fuer DSGVO-Meldung starten
4. KOMMUNIKATION
Intern: Slack-Channel #incident
Extern: Nur ueber IC/Communications Lead
Kunden: Template in [Ablageort]Testen -- der Plan ist nur so gut wie seine Übung
Ein Plan, der nie getestet wird, funktioniert im Ernstfall nicht. So testest du:
- Tabletop Exercise (quartalsweise): Durchspielt ein Szenario am Whiteboard
- Technischer Test (halbjährlich): Simuliert einen echten Vorfall
- Kontaktliste prüfen (monatlich): Sind alle Nummern aktuell?
Kosten und Ressourcen
| Massnahme | Kosten | Zeitaufwand |
|---|---|---|
| IRP-Dokument erstellen | EUR 0 (Eigenleistung) | 4-8 Stunden |
| Tabletop Exercise | EUR 0-500 | 2 Stunden |
| Externer Security-Berater | EUR 1.500-5.000 | Einmalig |
| Cyber-Versicherung | EUR 500-2.000/Jahr | -- |
Mehr zur Absicherung findest du in unserem Beitrag zur Cyber-Versicherung für Startups.
Dein Aktionsplan für diese Woche
- Heute: Kontaktliste erstellen (30 Minuten)
- Morgen: Eskalationsstufen definieren (1 Stunde)
- Diese Woche: Erste-Schritte-Checkliste schreiben (2 Stunden)
- Nächste Woche: Erstes Tabletop Exercise mit dem Team (2 Stunden)
- Diesen Monat: Externen Security-Berater für Review anfragen
Dieser Beitrag ist Teil der Serie "cybersecurity-für-startups" auf Startup Burgenland. Alle Beiträge findest du in unserem Blog.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.