IT-Sicherheitsverantwortliche stehen vor der Herausforderung, wirksame Strategien zur Bewältigung von Sicherheitsvorfällen zu entwickeln. Incident Response (IR) ist entscheidend, um Schäden bei Vorfällen schnell und effizient zu minimieren. Trotz Planung treten häufig Fehler auf, die den Erfolg der Incident Response beeinträchtigen. Wir zeigen die fünf häufigsten Fehler bei Vorbereitung und Durchführung von IR-Prozessen und geben praktische Empfehlungen.
Eine Notfallplanung darf nicht nur auf dem Papier gut aussehen, denn auch gut durchdachte Pläne können scheitern, wenn wichtige Grundprinzipien nicht beachtet werden.
(Bild: .shock - stock.adobe.com)
Trend Micro ist vom BSI als qualifizierter APT-Response-Dienstleister gelistet und steht Unternehmen und Behörden regelmäßig mit seinen dedizierten Incident-Response-Teams bei der Vorfallsbekämpfung zur Seite. Basierend auf den praktischen Erfahrungen aus hunderten realer Vorfälle haben wir die häufigsten Fehler bei der Vorbereitung und Durchführung von Incidet-Response-Prozessen gesammelt und analysiert und Lehren daraus gezogen. Damit wollen wir IT-Sicherheitsverantwortlichen helfen, ihre Strategien zur Vorfallsreaktion zu verbessern. Von unzureichenden Notfallplänen über uninformierte Krisenstäbe bis hin zu fehlenden technischen Datenbasen – die Herausforderungen sind vielfältig und oft komplex.
Mit der fortlaufenden Entwicklung von Bedrohungslandschaften ist es unerlässlich, dass Unternehmen ihre Incident-Response-Pläne regelmäßig überprüfen und anpassen. Durch eine klare Strukturierung, regelmäßige Tests und umfassende Schulungen aller Beteiligten können viele der häufigsten Fehler vermieden werden.
Problem: Ein weit verbreiteter Fehler in der Notfallplanung ist das Fehlen einer klaren Kategorisierung von Vorfällen und der daraus resultierenden Zusammensetzung von Krisenteams und Maßnahmen. Viele Notfallpläne sind zu umfangreich und komplex, um ständig auf dem neuesten Stand gehalten zu werden oder im Notfall verständlich zu sein.
Praxisbeispiel: Bei einem Zwischenfall in einem mittelständischen Unternehmen fanden wir einen Notfallplan vor, der mehr als 200 Seiten umfasste. Das gesamte Team verbrachte weit über eine Stunde damit, den Plan durchzuarbeiten, um geeignete Maßnahmen zu finden. Am Ende entschied man sich für improvisierte Maßnahmen, da der Plan zu unübersichtlich und vor allem an vielen Stellen nicht mehr aktuell war.
Lektion: Ein wirksamer Notfallplan sollte präzise und klar sein. Er muss die verschiedenen Arten von Vorfällen klar kategorisieren und die entsprechenden Maßnahmen und Krisenteams definieren. Zu oft sehen wir Pläne, die überladen und schwer verständlich sind, was im Notfall zu Verzögerungen und Verwirrung führt. Notfallplanung ist kein Business Continuity Management (BCM)! Ein IR-Plan muss speziell auf IT-Sicherheitsvorfälle zugeschnitten sein und darf sich nicht in allgemeinen Kontinuitätsstrategien verlieren.
Problem: Ein weiteres häufiges Problem ist, dass die Mitglieder der Krisenteams, insbesondere diejenigen außerhalb der IT-Abteilung, oft nicht wissen, dass sie Teil dieser Teams sind oder welche Aufgaben sie im Notfall haben.
Praxisbeispiel: In einem Fall war ein Marketingleiter Mitglied des Krisenteams, da seine Abteilung für die externe Kommunikation zuständig war. Als ein Datenleck entdeckt wurde, befand sich der Marketingleiter im Urlaub, und sein Stellvertreter wusste nichts von seiner Rolle im Krisenteam. Dies führte zu einem Kommunikationschaos und verzögerte die Veröffentlichung einer Pressemitteilung um mehr als zwei Tage. Der Reputationsverlust war enorm.
Lektion: Effektive Kommunikation und regelmäßige Schulungen sind von entscheidender Bedeutung. Alle Beteiligten müssen ihre Rollen und Verantwortlichkeiten kennen und verstehen. Es reicht nicht aus, Namen in einen Plan zu schreiben; diese Personen müssen auch aktiv in Schulungen und Übungen einbezogen werden, damit sie im Notfall handlungsfähig sind.
Problem: Ein Notfallplan ist nur so gut wie seine Tests. Viele Unternehmen versäumen es, ihre Notfallpläne regelmäßig und realitätsnah zu testen, was dazu führt, dass erst im Ernstfall Schwachstellen aufgedeckt werden, die vorher unentdeckt blieben.
Praxisbeispiel: Während eines geplanten Tests sollte eine Firewall vom Netz genommen werden, um die Trennung des Netzes während eines Angriffs zu simulieren. Der für die Verwaltung der Firewall zuständige Managed Service Provider war nicht erreichbar. Das interne IT-Team verfügte weder über die Berechtigung noch über Anweisungen zur manuellen Abschaltung, was zum Scheitern des Tests führte und die Schwäche des Plans offenbarte.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Lektion: Regelmäßige und realistische Tests der Notfallplanung sind unerlässlich. Dazu gehören nicht nur technische Tests, sondern auch die Simulation organisatorischer Abläufe. Jede Komponente des Plans muss unter realistischen Bedingungen getestet werden, um sicherzustellen, dass sie im Notfall funktioniert.
Problem: Häufig fehlen klare Zuständigkeiten innerhalb der Krisenteams. Dies führt zu Verzögerungen und Unsicherheiten, da die Teammitglieder nicht wissen, wer befugt ist, bestimmte Entscheidungen zu treffen.
Praxisbeispiel: In der Infrastruktur eines Online-Händlers wurden verschiedene Hinweise wie Beacons auf einen bevorstehenden Ransomware-Angriff entdeckt. Das IT-Team wusste, dass große Teile der Umgebung einschließlich des Webshops offline genommen werden mussten, um den Schaden zu minimieren. Da es keine klaren Richtlinien gab, ob und wann solche Entscheidungen ohne das Management getroffen werden durften, ging wertvolle Zeit verloren, während auf die Erreichbarkeit des Managements gewartet wurde. Später stellte sich heraus, dass der Geschäftsführer erwartet hatte, dass das IT-Team eigenständig handeln würde.
Lektion: Entscheidungsbefugnisse müssen klar definiert und kommuniziert werden. In Krisensituationen muss Klarheit darüber bestehen, wer welche Entscheidungen treffen darf. Darüber hinaus sollten Eskalationswege und Vertretungsregelungen festgelegt werden, damit auch bei Abwesenheit von Schlüsselpersonen schnelle Entscheidungen getroffen werden können.
Problem: Forensische Untersuchungen erfordern umfassende und qualitativ hochwertige Daten. Ohne zentrale und gut aufbereitete Daten ist eine zeitnahe Reaktion und Ursachenforschung nahezu unmöglich. Dazu gehören insbesondere Endpunkt-Telemetriedaten, aber auch andere Daten, zum Beispiel über Authentifizierungsvorgänge oder netzwerkbasierte Daten.
Praxisbeispiel: Bei einem schwerwiegenden Vorfall, bei dem Malware große Teile des Netzwerks kompromittierte, stellte sich heraus, dass die notwendigen Log-Daten nicht zentral gespeichert und teilweise überschrieben worden waren. Das Fehlen einer vollständigen und zentralen Datenbasis und die damit verbundene kleinteilige Arbeit verhinderte eine schnelle Analyse und führte zu längeren Ausfallzeiten. Auch die Tatsache, dass nur auf eine Historie der an der Firewall blockierten Verbindungen zugegriffen werden konnte, behinderte die weitere Ursachenforschung massiv.
Lektion: Unternehmen müssen sicherstellen, dass sie über die notwendigen technischen Ressourcen verfügen, um relevante Daten zu sammeln und auszuwerten. Dazu gehört nicht nur die Implementierung entsprechender Tools, sondern auch die Sicherstellung der kontinuierlichen Verfügbarkeit und Integrität der Daten. Eine zentrale Datenbasis ist entscheidend, um im Ereignisfall schnell reagieren und die Ursachen effizient ermitteln zu können.
„Je schwieriger die Lage, desto einfacher müssen die Schritte sein!“
In einer Situation mit extrem hoher Stressbelastung benötigen IT-Teams einfache und klare Handlungsanweisungen. Die oben genannten Punkte zeigen, dass die effektivste Notfallplanung nicht nur auf dem Papier gut aussehen darf. Der Plan muss in der Praxis funktionieren. Die Verantwortlichen müssen geschult und informiert werden und die notwendigen technischen Ressourcen müssen vorhanden und einsatzbereit sein.
Unsere Erfahrungen haben gezeigt, dass auch gut durchdachte Pläne scheitern können, wenn diese Grundprinzipien nicht beachtet werden. Daher ist es wichtig, kontinuierlich aus Vorfällen zu lernen und die eigenen Pläne und Prozesse regelmäßig zu überprüfen und anzupassen.
Durch eine klare Strukturierung, regelmäßige Tests und eine umfassende Schulung aller Beteiligten können viele der häufigsten Fehler vermieden werden. Letztendlich führt dies zu einer effizienteren und effektiveren Bewältigung von Sicherheitsvorfällen, was den Schaden für das Unternehmen minimiert und die Sicherheit erhöht.
Über den Autor: Robert Wortmann ist Principal Security Strategist bei Trend Micro.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/42/a9/42a9e6ab8f26e608799fc59ee7eb6eaa/0112150345.jpeg "Dieser Podcast eskaliert! Vom sukzessiv minimierten Restrisiko nähern wir uns schließlich doch noch dem verheerenden Katastrophenfall an. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/46/00/4600faaa82d1b6bb87caf5c2e0522b4b/0122188301v2.jpeg "Erleidet ein Unternehmen einen Datenschutzvorfall, gilt es alle Stakeholder zeitnah und transparent zu informieren. (©insta_photos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/6d/936d36d69a0e3ce8b6c68424d78e415a/0120103379v2.jpeg "2023 verursachten Cyberangriffe einen Gesamtschaden von über 200 Milliarden Euro. Für das Jahr 2024 wird der Schaden auf 265 Milliarden Euro geschätzt. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/85/a0853cfaa188082528bf368526d0a7e5/0123564156v2.jpeg "In Augsburg eröffnet Orange Cyberdefense das Cyber Experience Center, das für Unternehmen die Auswirkungen von Ransomware erlebbar machen soll. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/09/5f/095f2b5648373d8fb05aa36a06b33da8/0118951777v2.jpeg "Ein effektiver Krisenstab ist unerlässlich, um Unternehmen vor Cyber-Angriffen zu schützen und gestärkt aus Krisen hervorzugehen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/1c/f71c0b3cb4c06e6b75b79abdb33b2542/0107094326.jpeg "Nachholbedarf haben die Unternehmen nicht nur bei der Notfallplanung für Cyberattacken, sondern auch bei der Sensibilisierung der Belegschaft rund um Cybersecurity. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/17/de17fc3ed6f81b4697b9ed46aa18220d/0128108116v1.jpeg "Im Ernstfall müssen Expertenteams Vorfälle erkennen, betroffene Systeme isolieren und Geschäftsprozesse so schnell wie möglich stabilisieren. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/93/d393d09c84bf9ef0a8ed3e6931f2d061/0126633306v2.jpeg "Der Ransomware-Angriff auf Hoya zeigt exemplarisch, wie Angreifer Produktionssysteme lahmlegen und warum Unternehmen mehr als formale Krisenpläne brauchen. (Bild: © Shutter2U - stock.adobe.com)")