Incident-Response-Plan für KMU auf 2 DIN-A4-Seiten

Ein Incident-Response-Plan muss kein 50-seitiges Dokument sein. 2 DIN-A4-Seiten mit wer, was, wann — das reicht, solange alle damit vertraut sind.

Wenn etwas passiert — Ransomware, Datenpanne, verlorener Laptop mit Kundendaten — hast du 15 Minuten, um die richtigen Schritte einzuleiten. Ein Plan hilft.

Inhalt (2 DIN-A4-Seiten)

• Kontaktdaten (Seite 1):
  • Incident-Response-Verantwortliche/r (Name + Telefon + Vertretung).
  • Geschäftsführung / Inhaber.
  • Datenschutzbeauftragter (DSB), falls vorhanden.
  • Externe Parteien: Hosting, Steuerberater, Versicherung, ggf. externes Security-Unternehmen.
  • Kommunikationsverantwortliche/r nach außen (PR).
• Triage (Seite 2, obere Hälfte):
  1. Was ist passiert? (1 Satz)
  2. Eindämmung: Kann der Schaden jetzt begrenzt werden?
  3. Umfang: Welche Systeme? Welche Daten?
  4. Schweregrad: niedrig / mittel / hoch.
• Maßnahmenübersicht (Seite 2, untere Hälfte):
  1. Verantwortliche/n benennen (oder selbst übernehmen).
  2. Relevante technische Maßnahmen (Passwörter zurücksetzen, Systeme isolieren, Backups sichern).
  3. Interne Kommunikation: wer weiß was.
  4. Protokoll führen (Uhrzeit, Maßnahme, wer).
  5. Externe Parteien informieren: Kunden, Datenschutzbehörde (bei Datenpanne), Versicherung.
  6. Post-mortem innerhalb von 2 Wochen.

Üben

Einmal pro Jahr eine Tabletop-Übung. 1 Stunde. Szenario vorlesen, alle sagen, was sie tun würden. So findest du die Lücken in deinem Plan.

Dokumentation während des Vorfalls

Auf Papier (nicht im System, das möglicherweise kompromittiert ist). Chronologisch. Das erleichtert sowohl das Post-mortem als auch die Versicherungsmeldung erheblich.

Nach dem Vorfall

• Lessons learned im Plenum besprochen.
• Präventive Maßnahmen geplant.
• Eintrag im Risikoregister aktualisiert.
• Vorfall im Incident-Log erfasst.

Siehe auch: Security-Grundlagen, Datenpanne melden.