Stand: 2026-01-26

Vorfall melden

Was Sie vorbereiten sollten

  • Kurze Beschreibung des Vorfalls
  • Betroffene Systeme/Accounts (soweit bekannt)
  • Aktuelle Massnahmen
  • Zugang zu Logs/SIEM (falls vorhanden)
  • Ansprechpartner mit Entscheidungsbefugnis

Incident Response

Incident Response

Technische Reaktion auf Sicherheitsvorfälle — von Eindämmung bis Wiederherstellung

Incident Response unterstützt Sie bei Analyse, Eindämmung und Wiederherstellung nach Sicherheitsvorfällen — von den ersten Kompromittierungsanzeichen bis zur strukturierten Behebung.

Ziel: Laterale Ausbreitung stoppen, Einstiegspunkt identifizieren, Datenexposition bewerten und den Betrieb kontrolliert wiederherstellen.

Vorfall melden

Services ansehen

Schnelle Eindämmung

Aktive Ausbreitung stoppen und betroffene Systeme stabilisieren.

Forensik zuerst

Einstiegspunkt, Timeline und Beweise — nicht nur Aufräumen.

Klare Remediation

Konkrete Wiederherstellungs- und Härtungsschritte für Ihre Teams.

Sofortmaßnahmen (Beweise sichern)

  • Keine Systeme neu aufsetzen oder Daten löschen (Beweise erhalten)
  • Netzwerke isolieren statt ausschalten (außer bei akuter Gefahr)
  • Admin-Zugangsdaten sichern und MFA erzwingen
  • Alerts und Logs sichern (EDR, SIEM, Cloud, M365)
  • Incident Lead + Entscheider benennen
  • Vorfall melden, bevor unkoordinierte Aktionen starten

Wann ist Incident Response relevant?

Typische Auslöser
  • Verdacht auf kompromittierte Accounts, Server oder Cloud
  • Ransomware- oder Malware-Erkennung
  • Auffällige Logins oder möglicher Datenabfluss
  • Sicherheitsalarme aus EDR / SIEM / MDR
  • Regulatorischer Druck (DSGVO / NIS2)
Häufige Realitäten
  • Ursache unklar
  • Nur teilweise Sichtbarkeit
  • Operativer Druck
  • Zu viele Alerts, zu wenig Gewissheit

Prozessübersicht

1) Triage

Stabilisieren

2) Eindämmung

Ausbreitung stoppen

3) Forensik

Root Cause

4) Recovery

Sicher wiederherstellen

5) Lessons

Wiederholung vermeiden

Typischer technischer Umfang

Telemetry & Logs
  • EDR (Defender, CrowdStrike, SentinelOne)
  • M365 / Entra ID Logins, Unified Audit Log
  • AWS CloudTrail / GuardDuty
  • Azure Activity Logs
  • Firewall / VPN / Proxy-Logs
  • Active Directory Security Events
  • Kubernetes Audit Logs (falls relevant)
Untersuchung & Reaktion
  • Endpoint- und Server-Forensik
  • IAM-Analyse & Zugriffspfade
  • Persistenzmechanismen
  • Risikoabschätzung Datenabfluss
  • Remediation-Empfehlungen
  • Dokumentation für Management & Datenschutz

Was Sie vorbereiten sollten

Wenn möglich sofort

  • Alert-Screenshots / Exporte
  • Kurze Timeline („seit wann / was beobachtet“)
  • Bekannte betroffene Systeme oder Accounts
  • Bereits getroffene Maßnahmen (Passwort-Resets, Regeländerungen)

Falls verfügbar

  • SIEM / EDR / Cloud-Zugriff
  • Asset-Inventar / Netzwerkübersicht
  • Datenschutz / juristische Ansprechpartner
  • Entscheidungsbefugte Person

Deliverables

Executive Summary

Risikoübersicht für das Management.

Technische Timeline

Was wann passiert ist.

Forensische Ergebnisse

Einstiegspunkt, Persistenz.

Maßnahmenplan

Konkrete Recovery-Schritte.

Typische Kosten

Triage

ab €2k

Aktiver Vorfall

ab €8k

Forensik

ab €5k

Kostentreiber
  • Anzahl Systeme
  • Log-Qualität
  • Cloud-/Hybrid-Komplexität
  • Nacht- / Wochenend-Einsatz
  • Retests / Verifikation

Anbieter-Scorecard

Seriöse Anbieter
  • Forensik-zuerst-Ansatz
  • Tägliche Kommunikation
  • Dedizierter Incident Lead
  • Beweisführung / Chain of Custody
  • Abschlussbericht + Maßnahmenplan
  • DSGVO / NIS2 Verständnis
Red Flags
  • Sofortiger Neuaufbau
  • Keine Beweissicherung
  • Nur AV-Scans
  • Keine formalen Rules of Engagement
  • Unklare Verantwortlichkeiten

Häufige Incident-Fehler

  • Systeme zu früh neu aufsetzen
  • Passwort-Resets ohne Root Cause
  • Keine klare Verantwortlichkeit
  • Fehlende Dokumentation
  • Verzögerte Kommunikation

Recht & Datenschutz

Wir unterstützen bei technischer Dokumentation für Management und Datenschutz, Beweissicherung sowie der Aufbereitung relevanter Fakten für Meldeentscheidungen.

(Keine Rechtsberatung — nur technische Grundlagen.)

FAQ

Sollten wir Passwörter sofort zurücksetzen?

Ja — aber koordiniert. Unkontrollierte Änderungen können Indikatoren zerstören.

Sollten wir Systeme ausschalten?

Meist besser Netzwerke isolieren. Ausschalten nur bei akuter Gefahr.

Wie schnell könnt ihr starten?

In der Regel innerhalb von 1–2 Werktagen, je nach Verfügbarkeit.

Müssen Behörden informiert werden (DSGVO/NIS2)?

Möglicherweise. Wir liefern die technischen Fakten zur Entscheidungsfindung.

Könnt ihr mit unserem MDR / IT-Dienstleister zusammenarbeiten?

Ja — Zusammenarbeit ist üblich und empfohlen.

Erhalten wir einen Abschlussbericht?

Ja — inklusive Executive Summary und technischen Details.

Verwandt

Incident Response anfragen

Wenn Sie unsicher sind, ob es sich um einen echten Vorfall handelt: Beschreiben Sie kurz Ihre Situation — wir helfen bei der Einschätzung.

Vorfall melden

Wenn es akut ist, melden Sie sich so frueh wie moeglich.

Vorfall melden