Playbook
IKT-Vorfall-Triage
Erkennung eines sicherheitsrelevanten IKT-Vorfalls
Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.
← Zurück zu allen Playbooks
PB-TRIAGE-001
Trigger
Erkennung eines sicherheitsrelevanten IKT-Vorfalls
Rollen
Incident Manager (Lead)
IT-Security Analyst
Betroffener Service Owner
Kommunikation (optional, nach Triage)
Phasen & Aktionen
1. Ersterkennung (0-15 Min.)
- Vorfall verifizieren (False Positive ausschließen)
- Schweregrad bestimmen (Critical / High / Medium / Low)
- Betroffene Systeme und Dienste identifizieren
- Incident-Log eröffnen (Ticket-ID, Timestamp)
2. Eindämmung (15-60 Min.)
- Betroffene Systeme isolieren (Netzwerksegmentierung)
- Kompromittierte Zugänge sperren
- Forensische Sicherung veranlassen (Image, Logs)
- Eskalation an CISO / Management auslösen
3. Bewertung (60-120 Min.)
- Root Cause Analyse einleiten
- Auswirkung auf kritische Dienste bewerten
- Meldepflicht prüfen (DORA Art. 19, NIS2 Art. 23)
- Kommunikationsstrategie festlegen
4. Wiederherstellung & Abschluss
- Wiederherstellungsplan ausführen
- Post-Incident Review durchführen
- Lessons Learned dokumentieren
- Incident-Log schließen und archivieren
Entscheidungspunkte
- Ist der Vorfall bestätigt oder False Positive?
- Sind kritische Dienste betroffen? (→ Krisenstab)
- Besteht eine aufsichtliche Meldepflicht? (→ Legal Gate)
- Ist externe Kommunikation erforderlich? (→ Comms Gate)
Verknüpfte Nachweise
- Incident-Ticket
- Forensik-Image
- Meldeprotokoll
Adaptiert von KRKrisensicher/krisensicherOS (Apache-2.0).