Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
Security Operations & Threat Intel · Vorfälle

Sicherheitsvorfall behandeln

Aktualisiert am 3 Min. Pro-Abo-Stufe In Cenedril öffnen

Ziel Einen Informationssicherheitsvorfall melden, ihn strukturiert durch die Phasen Triage, Untersuchung, Eindämmung und Behebung führen und abschließend dokumentieren.

In Cenedril behandeln Sie einen Sicherheitsvorfall, indem Sie unter Dokumentation → Sicherheitsvorfälle auf Vorfall melden klicken, Titel, Typ und betroffene Schutzziele erfassen und den Vorfall anschließend in der Detailansicht durch die Incident-Response-Phasen führen. Jede Phase speichern Sie mit Speichern & Weiter, bei meldepflichtigen Vorfällen begleitet Cenedril die NIS-2-Fristen, und zum Schluss erzeugen Sie aus der Dokumentation einen Nachweis.

Vorfall melden

Sicherheitsvorfälle öffnen

Öffnen Sie in der Seitenleiste Dokumentation und wählen Sie Sicherheitsvorfälle. Die Seite Informationssicherheitsvorfalls-Management listet alle Vorfälle mit Status, Schweregrad und Fristen. Über die Reiter Alle Vorfälle, Aktiv und Geschlossen filtern Sie die Liste.

Die Vorfallsliste mit den Reitern „Alle Vorfälle“, „Aktiv“ und „Geschlossen“ sowie der Schaltfläche „Vorfall melden“.

Neuen Vorfall anlegen

Klicken Sie oben rechts auf Vorfall melden. Es öffnet sich das Formular Informationssicherheitsvorfall melden mit den Abschnitten Vorfallsdetails, Klassifizierung und Zeitlicher Ablauf.

Vorfall beschreiben

Tragen Sie unter Titel eine kurze Bezeichnung ein (zum Beispiel „Ransomware auf Dateiserver entdeckt“) und unter Beschreibung, was passiert ist, wie es entdeckt wurde und welche Systeme oder Daten betroffen sein könnten. Beide Felder sind Pflicht.

Typ und betroffene Schutzziele wählen

Wählen Sie unter Vorfallstyp die passende Kategorie, etwa Malware, Unbefugter Zugriff, Datenverlust, Phishing oder Denial of Service. Unter Was ist betroffen? kreuzen Sie die betroffenen Schutzziele an: Vertraulichkeit, Integrität und Verfügbarkeit.

Das Meldeformular mit Vorfallstyp und den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit.

Zeitpunkte erfassen und erstellen

Hinterlegen Sie unter Entdeckt am, wann der Vorfall erstmals erkannt wurde. Das Feld Gemeldet am steht automatisch auf jetzt und lässt sich anpassen. Klicken Sie auf Vorfall erstellen.

Ergebnis: Der Vorfall steht mit dem Status Gemeldet in der Liste, die Benachrichtigungskontakte sind informiert, und Sie gelangen in die Detailansicht zur weiteren Bearbeitung.

Den Vorfall durch die Phasen führen

In der Detailansicht zeigt eine Fortschrittsanzeige die Incident-Response-Phasen Meldung, Triage, Untersuchung, Eindämmung, Behebung und Abschluss. Sie arbeiten die Phasen der Reihe nach ab und speichern jede mit Speichern & Weiter.

Triage durchführen

In der Phase Triage bestätigen Sie den Schweregrad (Kritisch, Hoch, Mittel oder Niedrig) und setzen den Eindämmungsstatus. Im Einsatzteam ordnen Sie die verantwortlichen Personen zu. Stufen Sie den Vorfall als Kritisch oder Hoch ein und unterliegt Ihr Unternehmen der NIS-2-Richtlinie, erscheint zusätzlich die Bewertung Meldepflicht (NIS-2).

Die Triage-Phase mit Schweregrad-Bewertung, Eindämmungsstatus und, bei NIS-2, der Meldepflicht-Bewertung.

Ursache untersuchen und verknüpfen

In der Phase Untersuchung dokumentieren Sie die Ursachenanalyse und ordnen betroffene Werte (Assets), eine Risikoquelle und MITRE-ATT&CK-Techniken zu. Aus der erkannten Ursache erzeugen Sie bei Bedarf direkt einen Schwachstelleneintrag. Beweismaterial wie Screenshots oder Log-Exporte laden Sie hier hoch.

Eindämmung dokumentieren

In der Phase Eindämmung haken Sie die durchgeführten Eindämmungsmaßnahmen ab. Vor jeder externen Kommunikation prüft Cenedril über den Block Vor externer Kommunikation prüfen, ob Datenschutzbeauftragte, Betriebsrat und Rechtsberatung einbezogen wurden. Maßnahmen, die eine Systemänderung erfordern, lassen sich als Change Request anlegen.

Behebung abschließen

In der Phase Behebung dokumentieren Sie die Maßnahmen, die den Normalbetrieb wiederherstellen. Bei NIS-2-Meldepflicht erfassen Sie hier die Vorfallmeldung an die Behörde (72-Stunden-Frist) mit dem zugehörigen Aktenzeichen.

Vorfall abschließen

Erkenntnisse festhalten

In der Phase Abschluss dokumentieren Sie die Post-Mortem-Analyse (was gut lief, was verbessert werden sollte, Folgemaßnahmen), das durchgeführte Post-Incident-Review und vorbeugende Maßnahmen. Optional erfassen Sie die direkten und indirekten Kosten des Vorfalls.

Vorfall schließen und Nachweis erstellen

Prüfen Sie in der Zusammenfassung am Ende der Phase, ob Meldung, Triage, Untersuchung, Eindämmung und Behebung vollständig dokumentiert sind. Klicken Sie anschließend auf Vorfall schließen & Nachweis erstellen.

Die Abschlussphase mit der Vorfalldokumentation-Zusammenfassung und der Schaltfläche „Vorfall schließen & Nachweis erstellen“.

Ergebnis: Der Vorfall erhält den Status Geschlossen, die gesamte Dokumentation ist als Nachweis gesichert, und der Eintrag erscheint in der Liste unter dem Reiter Geschlossen.

Häufige Fragen

Was passiert nach dem Melden eines Vorfalls?

Cenedril legt den Vorfall mit dem Status „Gemeldet“ an und benachrichtigt die hinterlegten Benachrichtigungskontakte (ISMS-verantwortliche Person und das Incident-Response-Team) per E-Mail. Anschließend führt die Detailansicht durch die Phasen Triage, Untersuchung, Eindämmung, Behebung und Abschluss.

Wann ist eine NIS-2-Meldung an die Behörde nötig?

Wenn Ihr Unternehmen laut Organisationsprofil der NIS-2-Richtlinie unterliegt und Sie den Vorfall in der Triage als „Kritisch“ oder „Hoch“ einstufen, blendet Cenedril die Meldepflicht-Bewertung ein. Bei bestehender Meldepflicht führt die Ansicht durch die Fristen: Erstmeldung innerhalb von 24 Stunden, Vorfallmeldung innerhalb von 72 Stunden und den Abschlussbericht innerhalb von 30 Tagen.

Kann ich einen Vorfall mit anderen Einträgen verknüpfen?

Ja. In der Untersuchungsphase ordnen Sie betroffene Werte (Assets), eine Risikoquelle und MITRE-ATT&CK-Techniken zu und können aus der erkannten Ursache direkt einen Schwachstelleneintrag erzeugen. In Eindämmung und Behebung lassen sich Change Requests anlegen.

Was geschieht beim Schließen des Vorfalls?

Über „Vorfall schließen & Nachweis erstellen“ setzt Cenedril den Status auf „Geschlossen“ und erzeugt aus der gesammelten Dokumentation einen Nachweis. Die Zusammenfassung bündelt Meldung, Triage, Untersuchung, Eindämmung und Behebung an einer Stelle.

Muss ich alle Phasen ausfüllen?

Die Phasen führen Sie der Reihe nach durch und speichern jede mit „Speichern & Weiter“. Pflichtangaben sind je Phase markiert, etwa der Eindämmungsstatus in der Triage und die Ursachenanalyse in der Untersuchung. Optionale Felder unterstützen die Dokumentation, blockieren den Ablauf aber nicht.

Security Operations & Threat Intel

Einen Datenschutzvorfall (Breach) bearbeiten

So bearbeiten Sie einen gemeldeten Datenschutzvorfall in Cenedril Schritt für Schritt: einordnen, Risiko bewerten, Meldepflichten entscheiden, Meldungen versenden und den Fall abschließen.

Security Operations & Threat Intel

Schwachstellen-Behebung nachverfolgen

So verfolgen Sie in Cenedril den Behebungsfortschritt einer gemeldeten Schwachstelle entlang der Phasen Erkannt, Bewertung, Entscheidung und Auflösung bis zum Abschluss.