Incident Response
Incident Response bezeichnet die systematische Reaktion auf IT-Sicherheitsvorfälle und Datenschutzverletzungen. Ein geplanter Ablauf hilft, Schäden schnell zu begrenzen, gesetzliche Meldepflichten einzuhalten und den Geschäftsbetrieb wiederherzustellen.
Ausführliche Erklärung
Incident Response umfasst alle organisatorischen und technischen Maßnahmen, die ein Unternehmen bei Sicherheitsvorfällen ergreift. Dazu gehören Cyberangriffe wie Ransomware oder Phishing ebenso wie Datenpannen durch menschliche Fehler oder technische Störungen. Ein strukturierter Incident-Response-Plan definiert Verantwortlichkeiten, Kommunikationswege und konkrete Handlungsschritte, damit im Ernstfall keine wertvolle Zeit verloren geht.
Für österreichische und deutsche Unternehmen ist Incident Response nicht nur eine technische, sondern auch eine rechtliche Anforderung. Die DSGVO verpflichtet Verantwortliche nach Artikel 33, Datenschutzverletzungen unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, sofern ein Risiko für betroffene Personen besteht. Bei hohem Risiko müssen auch die Betroffenen selbst informiert werden. Die neue NIS-2-Richtlinie verschärft für kritische Infrastrukturen die Meldepflichten auf 24 Stunden. Verstöße gegen diese Fristen können zu Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes führen.
Ein wirksamer Incident-Response-Prozess folgt typischerweise mehreren Phasen: Vorbereitung mit definierten Rollen und Eskalationswegen, Identifikation verdächtiger Aktivitäten, Eindämmung zur Schadensbegrenzung, Beseitigung der Ursache, Wiederherstellung des Normalbetriebs und abschließende Dokumentation inklusive Lessons Learned. Jeder Vorfall muss dokumentiert werden, selbst wenn keine Meldepflicht besteht. Diese Dokumentation dient dem Nachweis der Sorgfaltspflicht gegenüber Aufsichtsbehörden.
Gerade für KMU ist ein pragmatischer Ansatz entscheidend: Nicht jede Datenpanne erfordert ein großes IT-Forensik-Team. Wichtig sind klare Verantwortlichkeiten, aktuelle Kontaktlisten auch in Papierform, regelmäßige Backups und ein dokumentierter Eskalationsplan. Externe Dienstleister oder Datenschutzbeauftragte können bei der Bewertung und Meldung unterstützen. Regelmäßige Übungen helfen, die Wirksamkeit des Plans zu testen und Schwachstellen rechtzeitig zu erkennen.
Praxisbeispiel
Ein oberösterreichischer Steuerberater mit 12 Mitarbeitenden stellt am Freitagmorgen fest, dass ein Mitarbeiter auf eine Phishing-E-Mail hereingefallen ist und Zugangsdaten eingegeben hat. Der vorab definierte Incident-Response-Manager wird sofort informiert, sperrt den betroffenen Account, prüft die Log-Dateien und stellt fest, dass keine Daten abgeflossen sind. Innerhalb von 48 Stunden erfolgt die Risikobewertung mit dem Datenschutzbeauftragten. Da kein Datenzugriff nachweisbar ist, entfällt die Meldepflicht – der Vorfall wird dennoch vollständig dokumentiert.
Quellen
- Art. 33 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- BSI - #nis2know: Incident Response
- Incident Response-Planung: Schritt für Schritt zum Notfallplan - IKARUS Security
- NIS2 Incident Response: Meldepflicht in 72 Stunden | Kopexa
- Datenpanne melden: Pflichten und Fristen nach DSGVO