Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Unternehmen

Incident-Response-Checkliste

Diese Checkliste hilft, im Ernstfall einen kühlen Kopf zu bewahren und keine wichtigen Schritte zu übersehen. Sie ist als Orientierung gedacht und ersetzt keinen unternehmensspezifischen Notfallplan und keine forensische Einzelfallberatung.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurzfassung

  • Neun Schritte von der Lageerfassung bis zu Lessons Learned.
  • Isolation und Beweissicherung gehen vor schneller Bereinigung.
  • Backups und Identitäten sind die entscheidenden Hebel des Wiederanlaufs.
  • Kommunikation und Meldewege werden bewusst gesteuert, nicht improvisiert.
  • Die Checkliste ergänzt den Notfallplan, ersetzt ihn aber nicht.

Zielgruppe

Krisenstab, IT-Einsatzleitung, Admins, Security- und Datenschutzverantwortliche, die im Ernstfall eine geordnete Reaktion sicherstellen müssen.

Wichtiger Hinweis

Diese Inhalte ersetzen keine rechtliche, forensische oder organisatorische Einzelfallberatung. Im Ernstfall sollten DFIR-Dienstleister, Polizei oder ZAC, gegebenenfalls das BSI und juristische Beratung eingebunden werden.

Typische Frühindikatoren

  • Erpressernotizen oder unbekannte Dateiendungen auf Servern
  • Auffällige Anmeldungen privilegierter Konten
  • Deaktivierung von EDR-, Antivirus- oder Backup-Agenten
  • Ungewöhnlicher ausgehender Datenverkehr
  • Backup-Jobs schlagen plötzlich fehl oder werden gelöscht

1. Lage erfassen

  • Wer hat was wann beobachtet? Kurz schriftlich festhalten
  • Welche Systeme, Standorte und Geschäftsprozesse sind betroffen?
  • Liegen Erpressernotizen, Lösegeldforderungen oder Hinweise auf Datenabfluss vor?
  • Erste Lageeinschätzung mit Zeitstempel an Krisenstab und Geschäftsführung
  • Out-of-band-Kommunikationskanal etablieren (Telefon, separate Messenger)

2. Systeme eingrenzen

  • Auffällige Endgeräte und Server identifizieren
  • Eintrittsvektor, betroffene Identitäten und Bewegungswege grob skizzieren
  • Kritische Systeme und Kronjuwelen priorisieren
  • Externe Schnittstellen, VPN und Fernwartungen einbeziehen

3. Ausbreitung stoppen

  • Betroffene Systeme vom Netz trennen, nicht herunterfahren
  • Netzwerksegmente isolieren, kritische Verbindungen blockieren
  • Privilegierte Konten sperren oder Passwörter rotieren
  • Externe Zugänge (VPN, RDP, Fernwartung) prüfen und ggf. abschalten
  • Backup-Systeme vom produktiven Netz isolieren

4. Beweise sichern

Saubere Beweissicherung ist die Voraussetzung für Forensik, Versicherung, Strafverfolgung und tragfähige Lessons Learned. Sie hat Vorrang vor schnellen Bereinigungen.

  • Speicherabbilder (RAM-Dumps) der betroffenen Systeme erstellen lassen
  • Logs aus Endpoints, Firewalls, Proxy, EDR und Identitätsdiensten exportieren
  • Erpressernotizen, Dateinamen, Pfade und Zeitstempel dokumentieren
  • Verschlüsselte Beispiel-Dateien und Originalformate aufbewahren
  • Konten als kompromittiert markieren, lieber deaktivieren als löschen

5. Verantwortlichkeiten klären

  • Krisenstab formal aktivieren und Besetzung dokumentieren
  • Einsatzleitung IT, Kommunikation, Recht und Datenschutz benennen
  • Externe Partner einbinden: DFIR, Rechtsbeistand, Cyberversicherung
  • Schichtplan für längeren Vorfall festlegen
  • Entscheidungs- und Eskalationswege schriftlich fixieren

6. Kommunikation steuern

  • Eine sprechende Stelle nach außen, abgestimmte interne Sprachregelung
  • Mitarbeitende sachlich und faktenbasiert informieren
  • Kunden und relevante Partner zeitnah und einheitlich informieren
  • Kommunikationsvorlagen aus dem Notfallplan nutzen und anpassen
  • Mögliche Melde- und Anzeigewege juristisch bewerten lassen

7. Backups prüfen

  • Integrität und Erreichbarkeit der Backup-Stände überprüfen
  • Backup-Identitäten und -Konsolen auf Kompromittierung prüfen
  • Backup-Stände vor dem mutmaßlichen Eintrittszeitpunkt bevorzugen
  • Restore zunächst in isolierter Umgebung testen
  • Immutable- und Offline-Kopien priorisieren

8. Wiederanlauf planen

  • Wiederanlauf-Reihenfolge nach Geschäftsprozessen, nicht nach Lautstärke
  • Saubere Wiederaufbauumgebung statt Bereinigung im laufenden Netz
  • Schwachstellen schließen und Persistenzen entfernen, bevor Systeme produktiv gehen
  • Identitäten breit zurücksetzen (Domain-Admins, Service-Accounts, KRBTGT)
  • Monitoring intensivieren, da Reinfektionen möglich sind

9. Lessons Learned durchführen

  • Vollständige Dokumentation des Vorfalls abschließen
  • Strukturiertes Review mit Krisenstab, IT und Fachbereichen
  • Notfallplan, Checkliste und technische Maßnahmen aktualisieren
  • Schulung und Awareness-Inhalte gezielt anpassen
  • Verbesserungen mit Verantwortlichen und Terminen versehen

Häufige Fragen

Sollten betroffene Systeme heruntergefahren werden?

Nein. Beim Herunterfahren gehen flüchtige Beweise im Arbeitsspeicher verloren. Besser ist es, das System vom Netzwerk zu trennen und eingeschaltet zu lassen, bis die Forensik die Beweissicherung übernimmt.

Wann sollte der Datenschutzbeauftragte eingebunden werden?

So früh wie möglich. Sobald personenbezogene Daten betroffen sein könnten, müssen datenschutzrechtliche Fristen geprüft werden. Die konkrete Bewertung gehört in die Hand juristischer Beratung.

Reicht diese Checkliste als Notfallplan?

Nein. Sie ist eine Orientierung für die Akutphase. Ein vollständiger Notfallplan enthält zusätzlich unternehmensspezifische Rollen, Erreichbarkeiten, Kommunikationsvorlagen und Wiederanlauf-Prioritäten.

Wer sollte die Checkliste im Ernstfall führen?

Eine benannte Person aus der IT-Einsatzleitung führt die Liste protokollarisch, mit Zeitstempeln und Verantwortlichen je Schritt. So entsteht gleichzeitig eine belastbare Dokumentation des Vorfalls.