Ein Post-Incident Review ist eine strukturierte Nachbetrachtung eines Vorfalls. Im Rahmen der Nachbetrachtung werden die Ursachen zum Beispiel eines Sicherheitsvorfalls oder eines Systemausfalls analysiert, um besser zu verstehen, was genau passiert ist. Ziel ist es, aus dem Incident zu lernen und ähnliche Vorfälle zukünftig zu verhindern oder schneller zu beheben.
Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern.
Der Begriff Post-Incident Review, abgekürzt PIR, lässt sich mit „Vorfallnachbetrachtung“ oder „Vorfallnachbereitung“ ins Deutsche übersetzen. Manchmal wird dafür auch der Begriff Post-Mortem-Analyse verwendet. Bei einem Post-Incident Review handelt es sich um eine strukturierte, systematische Nachbetrachtung eines Vorfalls. Typische Vorfälle, die im Rahmen eines Post-Incident Reviews nachbereitet werden, sind Sicherheitsvorfälle, System- oder Serviceausfälle, Softwareabstürze oder ähnliches. Diese Vorfälle werden nach ihrer Behebung analysiert, um besser zu verstehen, was genau passiert ist und was die Ursachen für das Problem waren. Daraus werden Lehren und Maßnahmen abgeleitet, um ähnliche Vorfälle in der Zukunft zu verhindern oder schneller zu beheben beziehungsweise zu beherrschen.
PIRs sind integraler Bestandteil des Incident-Managements und Grundlage für eine kontinuierliche Verbesserung der Sicherheit und der Resilienz der System- und Prozessabläufe in einem Unternehmen. Sie tragen auch zur Vertrauensbildung bei Geschäftspartnern und Kunden bei und zeigen die Bereitschaft zur Transparenz und Rechenschaftspflicht. PIRs sind zudem kritische Komponenten des Risikomanagements, der Governance und der Compliance. Die Durchführung eines Post-Incident Reviews erfordert die Zusammenarbeit verschiedener Teams und Personen wie Fachkräfte unterschiedlicher IT-Abteilungen, externe Partner, Dienstleister, Mitglieder der Führungsebene und andere. Die Durchführung eines Post-Incident Reviews wird häufig durch spezielle Softwarelösungen, kollaborative Plattformen, KI-basierte Analysetools oder Services externer Dienstleister unterstützt.
Was sind die Ziele eines Post-Incident Reviews?
Wichtigstes Ziel eines Post-Incident Reviews ist es, die IT-Infrastruktur und die darauf aufbauende Prozesslandschaft mit ihren Daten sicherer, widerstandsfähiger und verfügbarer zu machen, indem man aus vergangenen Vorfällen lernt. Ereignisse, die sich zunächst negativ auswirken, sollen durch eine systematische und strukturierte Nachbereitung in wertvolle Lernressourcen verwandelt werden. Im Einzelnen lassen sich folgende Ziele eines Post-Incident Reviews nennen:
Identifizierung wirksamer Maßnahmen zur Behebung oder Verhinderung von Incidents
Identifizierung von Schwachstellen in Prozessen, Systemen und Abläufen
Aufbau einer umfassenden Wissensbasis zur Behebung und Beherrschung von Vorfällen unterschiedlicher Art
Verbesserung der Incident-Response-Prozesse und der Krisenreaktionsstrategien
Vermeidung der Wiederholung gleicher Fehler und Verhinderung ähnlicher Vorfälle in der Zukunft
Förderung von Transparenz
Aufbau einer Kultur der kontinuierlichen Verbesserung
Aufbau von Vertrauen gegenüber Mitarbeitern, Kunden und Partnern
Förderung der Sicherheit, Resilienz und Verfügbarkeit der Infrastruktur, ihrer Prozesse und Daten
proaktive Reduzierung der Geschäftsrisiken
Wie ist der Ablauf eines Post-Incident Reviews?
Der Ablauf eines Post-Incident Reviews lässt sich in verschiedene Phasen oder Schritte unterteilen. Je nach zugrundeliegendem Konzept und der geplanten Ausführlichkeit oder genauen Zielsetzung des PIR können sich die Anzahl und die genauen inhaltlichen Ausprägungen der einzelnen Phasen unterscheiden. Folgende grundlegenden Phasen oder Schritte sollten aber in jedem Post-Incident Review durchlaufen werden.
1) Vorbereitung
Wichtigste Maßnahme im Rahmen der Vorbereitung ist die Zusammenstellung des Teams, das den Post-Incident Review durchführen soll. Die zu beteiligenden und für die Durchführung des PIR relevanten Personen oder Fachabteilungen sind zu identifizieren, zu benennen und einzubinden. Typische Beteiligte sind beispielsweise vom Incident betroffene Abteilungen, Fachkräfte der verschiedenen IT-Bereiche, externe Partner, Dienstleister und Mitglieder der Führungsebene. Die Mitglieder des PIR-Teams sollten so ausgewählt und zusammengestellt werden, dass ein möglichst umfassendes Bild entsteht und der Incident für eine gründliche Ursachenanalyse aus allen relevanten Perspektiven beleuchtet werden kann. Steht das Team, ist die Agenda festzulegen. Sie definiert, was im Rahmen des PIR genau behandelt werden soll und was die Zielsetzung ist.
2) Sammeln von Informationen
In dieser Phase werden von dem zusammengestellten PIR-Team alle für die Nachbetrachtung des Vorfalls relevanten Informationen und Daten gesammelt. Die Sammlung umfasst zum Beispiel detaillierte Informationen zum zeitlichen Ablauf des Vorfalls, Betriebs- und Überwachungsdaten der vom Vorfall betroffenen Systeme und Informationen über alle durchgeführten Abwehrmaßnahmen und Behebungsaktivitäten. Technisch kann es sich bei diesen Informationen um Screenshots, Logging-Daten, Fehlermeldungen, Programmcode, Konfigurationsdaten, Protokolldaten, Kommunikationsabläufe, Zeitstempel, Ticket-Protokolle und vieles mehr handeln. Die gesammelten Daten sollten so aufbereitet und bereitgestellt werden, dass sich der komplette Ablauf eines Vorfalls exakt darstellen und chronologisch nachverfolgen lässt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3) Analyse
Auf die Phase der Informationssammlung folgt die Analysephase. Die gesammelten Daten werden analysiert, um den Ablauf des Vorfalls genau nachzuvollziehen und die Ursachen für das Auftreten des Incidents zu identifizieren. Der zeitliche Ablauf des Vorfalls, vom Auftreten über die Erkennung bis zur Behebung, wird rekonstruiert, indem Schritt für Schritt durch die einzelnen Ereignisse, Kommunikationsabläufe, Entscheidungen, ergriffenen Maßnahmen und Aktivitäten gegangen wird. In diesem Zusammenhang wird beispielsweise nach Schwachstellen in den Sicherheitsmaßnahmen, Fehlern in Software oder Netzwerkinfrastrukturen, nach fehlerhaften Prozessabläufen und falschen oder unwirksamen Maßnahmen gesucht, die ursächlich für das Auftreten des Incidents sind oder die Erkennung verzögert beziehungsweise die Auswirkungen des Vorfalls verstärkt haben. Wichtig ist es, in dieser Phase klar zwischen Ursachen und Symptomen eines Vorfalls zu unterscheiden.
4) Verbesserungspotenziale identifizieren und Maßnahmen ableiten
Sind die Ursachen für den Vorfall gefunden, müssen Verbesserungspotenziale identifiziert und daraus Maßnahmen abgeleitet werden, damit ähnliche Vorfälle zukünftig nicht mehr auftreten oder schneller behoben werden können. Die Verbesserungspotenziale und Maßnahmen können sowohl technischer als auch organisatorischer Natur sein. Typisch sind beispielsweise die Behebung von Programmcodefehlern, die Stärkung der Netzwerkabwehr, das Schließen von Sicherheitslücken, die Verbesserung von Monitoring-Tools, die Optimierung der Prozesse der Vorfallerkennung und -behebung, die Definition klarer Verantwortlichkeiten in der Incident-Bearbeitung, die Schulung von Mitarbeitern, der Austausch von Dienstleistern oder die Einbeziehung von externer Expertise.
5) Erstellung eines Aktionsplans
Die in der vorigen Phase abgeleiteten Maßnahmen werden in dieser Phase genau beschrieben, entsprechend ihrer Wirksamkeit und Wichtigkeit priorisiert und koordiniert und in einem Aktionsplan mit klaren Verantwortlichkeiten und Bearbeitungsfristen dokumentiert. Der Aktionsplan wird dem PIR-Team aber auch anderen relevanten Bereichen der Organisation zur Verfügung gestellt.
6) Umsetzung des Aktionsplans und Prüfung seiner Wirksamkeit
In dieser Phase wird der Aktionsplan umgesetzt. Es stehen die Teammitglieder oder Abteilungen in der Pflicht, denen die verschiedenen Maßnahmen im Aktionsplan zugewiesen wurden. Die Umsetzung des Aktionsplans muss überwacht werden. In diesem Zusammenhang ist zu prüfen, ob die Maßnahmen tatsächlich den gewünschten Erfolg zeigen. Bei Bedarf ist der Aktionsplan mit seinen Maßnahmen entsprechend anzupassen und zu überarbeiten. Indem die Überprüfung der Effektivität des Aktionsplans als fortlaufender Prozess betrachtet wird, kann sich eine Kultur kontinuierlicher Verbesserungen etablieren.
Herausforderungen bei einem Post-Incident Review
Typische Herausforderungen, die bei einem Post-Incident Review auftreten können, sind:
unklare Zielsetzung des PIR
Datenprobleme wie eingeschränkter Zugriff auf die benötigten Informationen oder unvollständige, falsche oder unzuverlässige Daten
mangelndes Know-how zur Datenbeschaffung oder Fehleranalyse
Fehlen wichtiger Tools für umfassende Datensammlungen und Analysen
Zeitdruck bei der Durchführung des PIR
zu wenig Ressourcen bei der Durchführung des PIR
Fokussierung auf Symptome anstatt Ursachen
unstrukturierte Analysen
falsche Besetzung des PIR-Teams (wichtige Teilnehmer fehlen oder zu viele Teilnehmer)
fehlende Verbindlichkeit der Maßnahmen des Aktionsplans
fehlende Verantwortlichkeiten und Fristen im Aktionsplan
fehlende oder mangelhafte Nachverfolgung der Umsetzung des Aktionsplans
fehlende Wirksamkeitskontrollen der Maßnahmen
Kultur der Schuldzuweisung und fehlende Transparenz oder Offenheit
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/ba/7dbaa635d6a6c618f72199882f8b838f/0129755658v2.jpeg "Das Personal der BDH-Klinik in Greifswald habe nach einem Cyberangriff einige digitale Abläufe analog ausführen müssen, die Versorgung der Patienten sei jedoch sichergestellt gewesen. (©peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/89/1889ed31c2dce0a86bd0e07c2f125197/0129714473v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/70/8070dd073ca803c665eed95cc230a701/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/5f/1d/5f1d070630e02593c44d07f590a62330/0129718619v1.jpeg "„Viele Security-Teams sind heute im Dauerstress – nicht, weil sie zu wenig tun, sondern weil sie in einem reaktiven Paradigma gefangen sind: Vorfall erkennen, isolieren, analysieren, schließen.“ sagt Max Rahner, Senior Business Development Manager bei Tenable. (Bild: Tenable)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei IDMerit, einem kalifornischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/da/b0da219a083f51ec8d1a177ed2f734ed/0129623165v2.jpeg "Die RTL Group ist Europas größter kommerzieller Radio- und Fernsehanbieter und hat damit Zugang zu sensiblen Informationen und Quellen, die für ihre Berichterstattung und investigativen Recherchen von entscheidender Bedeutung sind. Somit ist die Gruppe ein besonders interessantes Ziel für Cyberkriminelle. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/f7/6af7e879055983e8e04b8342915cf5fd/0129654017v1.jpeg "Bahnchefin Evelyn Palla kündigte an, die freiwillige Ausstattung mit Bodycams noch in diesem Jahr auf alle Beschäftigte mit Kundenkontakt ausweiten zu wollen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/65/6665965cfd1e5ec1dcc76d98f91803ba/0129704585v1.jpeg "Souveränität als Spektrum: (v.l.) Agnes Heftberger (CEO Microsoft Deutschland & Österreich) und Brad Smith (Vice Chair und President, Microsoft) bei der Eröffnung des ersten „European Sovereignty & Digital Resilience Studios“ in München. (Bild: @alexschelbertphotography)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5b/d3/5bd3c9c31eab13525adb69bd1759f278/0126593157v1.jpeg "Initial Access Broker (IAB) sind die Türöffner der Cyberkriminalität. Sie beschaffen sich Zugangsdaten zu Netzwerken oder Systemen und verkaufen diese an andere Cyberkriminelle weiter. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/c7/c0c7c8f562d1dfb3091923f3b63a93a9/0124217623v2.jpeg "Eine Notfallplanung darf nicht nur auf dem Papier gut aussehen, denn auch gut durchdachte Pläne können scheitern, wenn wichtige Grundprinzipien nicht beachtet werden. (Bild: .shock - stock.adobe.com)")