Cyberbedrohungen Incident Response: Fünf Schritte zur schnellen Reaktionsfähigkeit

Anbieter zum Thema

Arctic Wolf Networks Germany GmbH

CADFEM Germany GmbH

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Der neue Trends-Report von Arctic Wolf deckt eine gefährliche Schieflage auf: Viele Unternehmen verfügen zwar über einen Incident-Response-Retainer, aber nicht über einen IR-Plan für die nötige Reaktionsfähigkeit im Ernstfall. Was ein guter IR-Plan leisten muss.

88 Prozent der Unternehmen haben laut den neuen „Trends Report 2025“ von Arctic Wolf einen Incident-Response-Retainer abgeschlossen – doch nur 35 Prozent verfügen über einen aktuellen, getesteten Incident-Response-Plan. Die Mehrzahl investiert also in Reaktionsressourcen, ohne die organisatorische Grundlage dafür geschaffen zu haben. Ein Risiko, das im Ernstfall nicht nur Zeit kostet, sondern auch Kontrolle. Die Lücke zwischen Retainer und Readiness bei Incident Response ist dabei nicht nur eine Formalität, denn der Report zeigt: 81 Prozent der Unternehmen mit Retainer mussten diesen im vergangenen Jahr tatsächlich aktivieren.

Fehlt dann intern die nötige Vorbereitung, verlaufen gerade die ersten Stunden und Tage oft unstrukturiert und auch der externe Security-Dienstleister kann nicht sofort eingreifen, sondern ist zunächst auf Zuarbeit durch das betroffene Unternehmen angewiesen. Dabei sind Cybervorfälle längst kein Ausnahmefall mehr, sondern Teil des operativen Alltags. Umso wichtiger ist es, dass Prozesse, Verantwortlichkeiten und Entscheidungswege im Vorfeld definiert und geprobt sind. Was macht also einen wirksamen Incident-Response-Plan aus – und wie erkennt man, ob der eigene noch genügt?

1. Ein Plan ist kein „PDF“, sondern ein Prozess

Ein IR-Plan ist mehr als ein Dokument auf dem Server. Er definiert konkrete Rollen, Eskalationspfade und Entscheidungsbefugnisse. Er berücksichtigt externe Partner wie forensische Dienstleister, Versicherer, Behörden, interne Schnittstellen (legal, IT, Kommunikation) sowie Kommunikationskanäle – auch für den Fall eines Ausfalls der Infrastruktur. Entscheidend ist, dass Beteiligte ihren Part auch ohne Rückfrage kennen.

2. Incident Response: Aktualität ist entscheidend

Laut dem Report wurde nur bei 59 Prozent der vorhandenen IR-Pläne im letzten Jahr ein Review durchgeführt – ein deutlicher Rückgang gegenüber dem Vorjahr (83 Prozent). Doch Personalstrukturen, Verantwortlichkeiten und IT-Architekturen verändern sich kontinuierlich. Ein nicht geprüfter IR-Plan birgt das Risiko, im Ernstfall an falsche Zuständigkeiten, alte Kontaktlisten oder irrelevante Systeme anzuknüpfen.

3. Technologie ist Mittel, nicht Mittelpunkt

Maßnahmen wie EDR, SIEM oder Forensik sind wichtige Bausteine in der IR. Doch sie ersetzen keine vordefinierten Abläufe. Ein Beispiel: Laut Report hatten über die Hälfte der Unternehmen, die 2024 von einem signifikanten Angriff betroffen waren, kein funktionierendes Multi-Faktor-Authentifizierungsverfahren implementiert. Fehlende Grundschutzmaßnahmen verzögern nicht nur die Erkennung, sondern erschweren auch die Eindämmung.

4. Incident Response: Übungen offenbaren die Realität

Der effektivste Weg, die Einsatzfähigkeit eines Plans zu bewerten, sind realistische Übungen. Tabletop-Szenarien oder simulierte Phishing-Angriffe zeigen schnell, wo Prozesse abbrechen, Schnittstellen fehlen oder Verantwortlichkeiten unklar sind. Unternehmen, die solche Tests regelmäßig durchführen, sind nicht nur schneller – sie erkennen auch besser, wann externe Hilfe tatsächlich notwendig ist.

5. Incident Response: Integration ist der Schlüssel

Ein IR-Plan darf kein Fremdkörper im Unternehmen sein. Er muss zu bestehenden Business-Continuity-Plänen, Kommunikationsrichtlinien, Sicherheitsarchitekturen und Versicherungsverträgen passen. Wer Incident Response isoliert betrachtet, läuft Gefahr, Entscheidungen im Krisenfall auf unsicherem Fundament zu treffen.

Dr. Sebastian Schmerl, VP Security Services EMEA, kommentiert die Ergebnisse: „Ein Incident-Response-Plan ist kein Notnagel für den Ernstfall, sondern Teil des normalen Betriebsrisikomanagements. Organisationen, die sich allein auf einen Retainer verlassen, verlieren wertvolle Zeit – und im Zweifel ihre Handlungsfähigkeit. Deshalb unterstützen wir Unternehmen im Rahmen unserer Incident-Response--Retainer auch aktiv bei der Entwicklung und Pflege einsatzfähiger Response-Pläne.“

Zur Methodik der Studie: Der Report basiert auf einer weltweiten Umfrage, die Sapio Research im Auftrag von Arctic Wolf durchgeführt hat. Dabei wurden mehr als 1.200 leitende IT- und Cybersecurity-Entscheider aus Unternehmen mit mehr als 50 Mitarbeitenden in über fünfzehn Ländern (ANZ, Benelux, Canada, DACH, Nordics, Südafrika, Vereinigtes Königreich und Irland, USA) befragt.
Arctic Wolf ist Anbieter von Security Operation Services und liefert eine Cloud-native Security-Operations-Plattform mit dem Ziel, Cyberrisiken zu beenden. Basierend auf einer offenen XDR-Architektur, stellt die Aurora Platform Monitoring, Detection, Response und Risk Management 24/7 bereit.

Security Operations

Arctic Wolf baut Präsenz in der DACH-Region aus