It is 2 a.m. and the EDR system flags a ransomware detection. The on-call engineer has 15 minutes to make the right call. Without a runbook, everything depends on one tired person’s memory. The template below provides five battle-tested runbooks for the most common security incidents — with concrete steps, timelines and escalation paths.
ISO 27001 (A.5.24) requires a planned approach to security incidents, and A.5.26 requires organisations to learn from incidents. Runbooks operationalise both requirements. The structure follows the NIST SP 800-61 phase model: preparation, detection and analysis, containment, eradication, recovery, lessons learned.
What the template covers
Each runbook follows the same base structure so the team can find the right section immediately under stress:
Runbook 1 (Ransomware) is the most comprehensive. From immediately disconnecting the affected host through verifying backup integrity to rebuilding from clean images — every step has a timeline. Critically, the standing decision on ransom payment is pre-documented so the crisis team does not lose time debating the fundamental question.
Runbook 2 (Phishing and credential compromise) covers the full lifecycle: disable the account, end all sessions, revoke OAuth tokens, check the mailbox for forwarding rules, block the phishing URL organisation-wide, re-enable the account only after MFA re-enrolment.
Runbook 3 (Personal data breach) is tailored to GDPR requirements. The DPO is engaged immediately, the 72-hour clock starts at awareness, and the template walks through the documentation obligations — nature of the breach, categories affected, number of individuals, measures taken.
Runbook 4 (DDoS) distinguishes between volumetric, protocol and application-layer attacks and provides the appropriate countermeasures for each type.
Runbook 5 (Lost or stolen device) starts with remote wipe via MDM, checks encryption status and automatically escalates to the data breach runbook (Runbook 3) if unencrypted personal data may be involved.
Template: Incident Response Runbooks
Dokumentenkontrolle
Eigentümer: Informationssicherheitsbeauftragte
Genehmigt von: CEO
Version: 1.0
Gültig ab: 2026-03-01
Klassifizierung: Vertraulich — beschränkt auf SecOps, IT-Betrieb, DSB, CMT
Verwendung dieses Dokuments
Dieses Dokument enthält Runbooks für die häufigsten Informationssicherheitsvorfälle bei Nordwind Logistics GmbH. Jedes Runbook folgt derselben Struktur nach NIST SP 800-61 Rev. 2: Vorbereitung → Erkennung & Analyse → Eindämmung → Beseitigung → Wiederherstellung → Lessons Learned.
Runbooks ersetzen kein Urteilsvermögen. Sie sind ein Ausgangspunkt. Der Incident Response Plan (PROC-001) definiert den Gesamtprozess, die Rollen und die Schweregrad-Matrix.
Schweregrad-Skala:
- Niedrig: isoliert, eingedämmt, keine Geschäftsauswirkung, keine personenbezogenen Daten betroffen.
- Mittel: begrenzte Geschäftsauswirkung, keine bestätigte Datenpanne, mit internen Ressourcen handhabbar.
- Hoch: wesentliche Geschäftsauswirkung ODER bestätigte personenbezogene Datenpanne ODER mehr als ein kritisches System betroffen.
- Kritisch: organisationsweite Auswirkung ODER Ransomware ODER große regulatorische Exposition.
Häufig referenzierte Rollen:
- On-Call Engineer — Erstreaktion, 24/7 verfügbar
- ISB — Informationssicherheitsbeauftragte, verantwortet den Vorfall
- DSB — Datenschutzbeauftragte, verantwortet regulatorische Aspekte personenbezogener Datenpannen
- IT-Betriebsleitung — verantwortet technische Wiederherstellung
- CMT — Krisenmanagement-Team, aktiviert bei Hoch und Kritisch
- Kommunikationsleitung — verantwortet externe Kommunikation
Runbook 1 — Ransomware
Auslöser: Dateien mit unbekannter Endung umbenannt, Lösegeldnotiz gefunden, EDR-Ransomware-Erkennung, Massendatei-Änderungs-Alarm, mehrere Nutzer melden Unfähigkeit, Dateien zu öffnen.
Standard-Schweregrad: Kritisch
T+0 bis T+15 Minuten — Erkennung und sofortige Eindämmung
- On-Call Engineer bestätigt, dass kein Fehlalarm vorliegt: EDR-Konsole prüfen, nach Lösegeldnotiz suchen, eine betroffene Datei öffnen.
- Betroffenen Host sofort vom Netz trennen. Netzwerkkabel ziehen oder Netzwerkadapter via EDR deaktivieren. Nicht ausschalten (flüchtige Beweise könnten verloren gehen).
- ISB über die Krisen-Hotline informieren. Die ISB erklärt den Vorfall mit Schweregrad Kritisch.
- ISB aktiviert das CMT. War-Room-Kanal eröffnen.
- Alle Hosts mit denselben Indikatoren über EDR-Threat-Hunting identifizieren. Jeden Treffer isolieren.
- Kompromittierte/s Benutzerkonto/-konten deaktivieren und Zugangsdaten rotieren.
T+15 Minuten bis T+1 Stunde — Scope und Eindämmung
- Lateral-Movement-Pfade identifizieren: Authentifizierungslogs der letzten 7 Tage für das kompromittierte Konto auf anderen Systemen prüfen.
- Prüfen, ob die Backup-Infrastruktur betroffen ist. Falls ja, Backups bis zur Verifikation als nicht vertrauenswürdig behandeln.
- Entscheidung treffen, ob betroffene Fileshares offline genommen werden. Standard: ja.
- Bereitschafts-Rechtsbeistand und DSB informieren. Die DSB beginnt parallel eine Datenschutz-Folgenbewertung.
- Snapshots aller betroffenen Hosts für forensische Analyse erstellen (vollständiges Festplatten-Image wo möglich).
- CEO informieren. CEO genehmigt externe Incident-Response-Unterstützung bei Bedarf.
T+1 bis T+24 Stunden — Beseitigung und Wiederherstellungsentscheidung
- Kein Lösegeld zahlen. Dies ist eine stehende Entscheidung von Nordwind Logistics und im PROC-001 dokumentiert.
- Ransomware-Familie wenn möglich identifizieren (ID Ransomware, EDR-Anbieter-Advisories prüfen). Entsprechendes Beseitigungsverfahren anwenden.
- Entscheidung: Betroffene Systeme aus sauberen OS-Images neu aufbauen, dann Daten aus Offline-Backup wiederherstellen.
- Vor jeder Wiederherstellung verifizieren, dass das Offline-Backup nicht betroffen ist. Erst in eine isolierte Umgebung wiederherstellen und Datei-Integrität validieren.
- Behördenmeldungen:
- NIS2-Frühwarnung an BSI innerhalb von 24 Stunden nach Kenntnisnahme (Vorlage im Krisenkommunikations-Dokument).
- DSGVO Art. 33 Meldung an BfDI innerhalb 72 Stunden, falls personenbezogene Daten betroffen sind.
- Kundenbenachrichtigung: durch Kommunikationsleitung vorbereitet, von CEO genehmigt, gemäß Krisenkommunikations-Template versendet.
T+24 Stunden und danach — Wiederherstellung
- Betroffene Systeme aus sauberen Images mit gehärteten Baselines neu aufbauen.
- Daten aus verifiziertem Offline-Backup wiederherstellen.
- Alle Zugangsdaten in der kompromittierten Domäne zurücksetzen (oder vollständige AD-krbtgt-Rotation, falls Domain Controller betroffen waren).
- Monitoring-Sensitivität für 30 Tage nach dem Vorfall erhöhen.
- Bestätigen, dass Backups weiter funktionieren.
Lessons Learned
Innerhalb von 10 Arbeitstagen nach Vorfallschluss führt die ISB eine Post-Incident-Review durch. Output: Post-Incident-Report, CAPA-Einträge, aktualisiertes Runbook (falls nötig), Feedback in Bedrohungsregister.
Runbook 2 — Phishing und Zugangsdaten-Kompromittierung
Auslöser: Nutzer meldet verdächtige E-Mail und gibt an, Zugangsdaten eingegeben zu haben; Postfach mit Bounces überflutet; MFA-Prompt-Fatigue; EDR-Alarm zu Credential-Stealer-Browser-Erweiterung; SIEM-Alarm zu unmöglicher Reise (impossible travel).
Standard-Schweregrad: Mittel (Hoch bei Admin-Konto oder Finanzteam)
T+0 bis T+15 Minuten — Eindämmung
- On-Call Engineer deaktiviert sofort das betroffene Benutzerkonto (M365 + AD).
- Force-Sign-Out für alle Sessions des betroffenen Nutzers erzwingen.
- Aktive OAuth-Tokens und Refresh-Tokens widerrufen.
- Zugangsdaten rotieren. Temporäres Passwort ausgeben.
- Vorfallticket eröffnen und ISB informieren.
T+15 Minuten bis T+1 Stunde — Untersuchung
- Authentifizierungslogs für das betroffene Konto der letzten 14 Tage abrufen. Suchen nach:
- Anmeldungen aus unerwarteten Standorten oder IPs.
- Erstellten Mail-Weiterleitungsregeln.
- Postfach-Delegationsänderungen.
- Erteilten OAuth-Einwilligungen.
- Gesendete-Ordner mit internen Phishing- oder Betrugsversuchen.
- Falls Mail-Weiterleitungsregeln erstellt wurden — entfernen und als Beweis erfassen.
- Prüfen, ob der Nutzer Zugriff auf Finanz- oder HR-Systeme hat und ob in den letzten 24 Stunden sensible Transaktionen stattfanden.
- Im SIEM nach derselben Phishing-URL oder Indikatoren über alle Nutzer hinweg suchen. URL am Mail- und Web-Gateway blockieren.
T+1 Stunde bis T+24 Stunden — Eindämmung (organisationsweit)
- Phishing-Domain und alle beobachteten Indikatoren am Mailfilter, Webfilter, DNS und EDR blockieren.
- Gezielte Suche über alle Postfächer nach der ursprünglichen Phishing-E-Mail. In Quarantäne stellen oder löschen.
- Alle Mitarbeitenden über die Phishing-Welle mit konkreten Details informieren (Absender, Betreff, was tun bei Klick).
- Benutzerkonto erst nach MFA-Neuerfassung und Sicherheits-Briefing wieder aktivieren.
Wiederherstellung und Nachverfolgung
- Indikatoren in Bedrohungsregister aufnehmen.
- Innerhalb von 30 Tagen gezielte Phishing-Simulation gegen das betroffene Team durchführen.
- Falls das Phishing-Kit bestehende Kontrollen umging, CAPA für Verschärfung der Mailfilterung oder Beschleunigung des FIDO2-Rollouts eröffnen.
- Falls Finanz- oder Datenbetrug stattgefunden hat (z. B. CEO-Fraud), auf Hoch eskalieren und zusätzlich Runbook 3 anwenden.
Runbook 3 — Personenbezogene Datenpanne
Auslöser: E-Mail mit personenbezogenen Daten an falschen Empfänger, verlorenes Gerät mit personenbezogenen Daten, unbefugter Zugriff auf Datenbank mit personenbezogenen Daten, fehlkonfigurierter Cloud-Speicher mit offengelegten personenbezogenen Daten, öffentliche Offenlegung von Kundeninformationen.
Standard-Schweregrad: Hoch (immer — nach Bewertung neu beurteilen)
T+0 bis T+15 Minuten — Erstmaßnahme
- Wer die Panne entdeckt, informiert die DSB sofort.
- Die DSB erklärt den Vorfall und eröffnet ein Breach-Record. Die 72-Stunden-Frist nach DSGVO Art. 33 beginnt im Moment der Kenntnisnahme.
- Sofortmaßnahme zum Stoppen weiterer Offenlegung: E-Mail zurückrufen, System offline nehmen, Zugriff entziehen, Konfiguration ändern.
T+15 Minuten bis T+1 Stunde — Erstbewertung
- Die DSB dokumentiert:
- Art der Panne (Vertraulichkeit, Integrität, Verfügbarkeit).
- Kategorien der betroffenen Personen.
- Kategorien der betroffenen personenbezogenen Daten (besondere Kategorien gemäß DSGVO Art. 9?).
- Ungefähre Anzahl betroffener Personen und Datensätze.
- Wahrscheinliche Folgen für betroffene Personen.
- Getroffene oder geplante Maßnahmen.
- Die DSB informiert ISB, CEO und Kommunikationsleitung.
- Falls die Panne voraussichtlich zu einem hohen Risiko für betroffene Personen führt, beginnt die DSB den Entwurf einer Art. 34 Benachrichtigung.
T+1 Stunde bis T+24 Stunden — Untersuchung
- Ursache feststellen: menschlicher Fehler, technischer Defekt, böswillige Handlung, Lieferantenversagen?
- Feststellen, ob die Daten tatsächlich von einer unbefugten Partei abgerufen wurden (im Gegensatz zu nur offengelegt).
- Bestätigen, dass die Eindämmung vollständig ist. Falls nicht, eskalieren.
- Bei Unsicherheit über Meldepflichten externen Rechtsbeistand konsultieren.
Innerhalb 72 Stunden — Behördenmeldung
- Meldung an die zuständige Aufsichtsbehörde (BfDI) über das Online-Portal einreichen. Alle verfügbaren Fakten angeben. Bei unvollständigen Fakten das Bekannte einreichen und später ergänzen.
- Begründung im Breach-Record dokumentieren.
- Falls die Panne grenzüberschreitende Verarbeitung betrifft, federführende Aufsichtsbehörde identifizieren und Meldung entsprechend leiten.
Wenn erforderlich — Benachrichtigung der betroffenen Personen (Art. 34)
- Benachrichtigung mit dem Krisenkommunikations-Template entwerfen.
- DSB und CEO genehmigen den Wortlaut.
- Über den geeignetsten Kanal versenden (E-Mail, Brief oder öffentliche Bekanntmachung, falls individueller Kontakt nicht möglich ist).
Wiederherstellung und Nachverfolgung
- Korrekturmaßnahmen umsetzen, um Wiederholung zu verhindern (CAPA).
- Breach-Register aktualisieren.
- Im nächsten Management-Review berichten.
- Falls die Panne durch einen Lieferanten verursacht wurde, Lieferanten-Sicherheitsprüfung auslösen.
Runbook 4 — Distributed Denial of Service (DDoS)
Auslöser: Kundenseitiger Dienst nicht erreichbar, Monitoring-Alarme zu Antwortzeit, abnormale Traffic-Spitze, Web Application Firewall meldet volumetrischen Angriff.
Standard-Schweregrad: Mittel (Hoch bei Spitzenzeiten oder längerem Ausfall)
T+0 bis T+15 Minuten — Bestätigen und charakterisieren
- On-Call Engineer bestätigt, dass es sich um DDoS handelt und nicht um Backend-Versagen: WAF-Dashboard, Traffic-Graphen, Quell-IP-Verteilung prüfen.
- Angriffstyp identifizieren: volumetrisch (Netzwerk), Protokoll (TCP SYN, UDP) oder Anwendungsschicht (HTTP-Flood).
- ISB und IT-Betriebsleitung informieren. ISB erklärt den Vorfall.
T+15 Minuten bis T+1 Stunde — Mitigation
- Volumetrisch/Netzwerk: Upstream-DDoS-Schutz beim ISP oder CDN-Anbieter aktivieren. Rate Limiting und Geoblocking aktivieren, falls der Angriff geografisch konzentriert ist.
- Protokoll: Ressourcenlimits an Edge-Geräten erhöhen, SYN-Cookies aktivieren, Upstream-Anbieter kontaktieren.
- Anwendungsschicht: WAF-Challenge-Modus aktivieren, Rate Limits pro IP erhöhen, bekannte Bot-Signaturen blockieren, bei Cloud-Native-Anwendungen Instanzen skalieren.
- Mit Anbietern koordinieren. Bei SaaS-Anbietern (z. B. Logistikportal) sofort P1-Ticket eröffnen.
- Mit Kunden über Statusseite kommunizieren (Krisenkommunikations-Template).
T+1 Stunde bis T+24 Stunden — Anhaltende Mitigation
- Mitigationsregeln kontinuierlich überwachen und anpassen.
- Traffic-Samples für Post-Incident-Analyse erfassen (bereits gefiltert, um Log-Wachstum zu begrenzen).
- Falls Erpressung vorliegt (RDoS), nicht zahlen. ISB und CEO informieren. Als separaten Vorfall behandeln.
Wiederherstellung und Nachverfolgung
- Mitigation graduell zurückfahren, sobald der Angriff abklingt.
- Post-Incident-Review: War die WAF wirksam, hat das CDN den Angriff abgefangen, war die Kundenkommunikation rechtzeitig?
- Bedrohungsregister mit Angriffssignaturen aktualisieren.
- Vertragliche SLAs mit dem Upstream-Anbieter überprüfen.
Runbook 5 — Verlorenes oder gestohlenes Gerät
Auslöser: Mitarbeiter meldet verlorenes oder gestohlenes Firmen-Laptop, -Telefon oder Wechselmedium. Gerät kann vertrauliche Daten enthalten und Netzwerkzugang ermöglichen.
Standard-Schweregrad: Mittel (Hoch falls Gerät personenbezogene Kundendaten oder unverschlüsselte besondere Kategorien enthielt)
T+0 bis T+15 Minuten — Eindämmung
- On-Call Engineer oder IT-Helpdesk bestätigt die Meldung (wann, wo, welches Gerät).
- Remote Wipe via MDM auslösen (Intune für Windows/iOS, Jamf für macOS).
- Benutzerkonto temporär deaktivieren und Force-Sign-Out aus allen Sessions erzwingen.
- Gerätezertifikat aus Active Directory und IdP widerrufen.
- ISB informieren.
T+15 Minuten bis T+1 Stunde — Bewertung
- Feststellen, welche Daten auf dem Gerät waren:
- War Festplattenverschlüsselung aktiviert und aktiv? (BitLocker- / FileVault-Status aus MDM.)
- Hatte der Nutzer lokale Kopien von Kundendaten, personenbezogenen Daten oder Verträgen?
- An welchen Systemen war das Gerät authentifiziert?
- Falls Festplattenverschlüsselung als aktiv bestätigt war und das Gerät beim Verlust ausgeschaltet war, ist das Risiko deutlich reduziert.
- Falls das Gerät personenbezogene Daten enthielt und der Verschlüsselungsstatus unsicher ist, als potenzielle personenbezogene Datenpanne behandeln und DSB einbinden (Runbook 3).
- Erinnerung des Nutzers schriftlich erfassen.
T+1 Stunde bis T+24 Stunden — Untersuchung und Polizeibericht
- Der Nutzer erstattet Anzeige bei der Polizei und stellt das Aktenzeichen bereit.
- Versicherung wird informiert, falls zutreffend.
- Die ISB dokumentiert den Vorfall und verknüpft ihn mit dem Gerätedatensatz im Asset-Register.
- Falls das Gerät gezielt gestohlen wurde (verdächtige Umstände), auf Hoch eskalieren und prüfen, ob andere Mitarbeitende desselben Teams gefährdet sind.
Wiederherstellung und Nachverfolgung
- Ersatzgerät ausgeben, nachdem der Nutzer zur Gerätesicherheit nachgeschult wurde.
- Prüfen, ob die Daten auf dem Gerät notwendig oder übermäßig waren — gegebenenfalls minimieren.
- Prüfen, ob Geräte-Tracking und Remote-Wipe-Abdeckung in der gesamten Flotte bei 100 % liegen.
- Falls der Verlust eine Prozesslücke offenbart, CAPA eröffnen.
Nach jedem Vorfall — Abschluss und Verbesserung
Unabhängig davon, welches Runbook verwendet wurde, löst jeder geschlossene Vorfall aus:
- Post-Incident-Report innerhalb von 10 Arbeitstagen, geschrieben vom IR-Lead, geprüft durch die ISB.
- CAPA-Einträge für jede Ursache, die Korrekturmaßnahmen erfordert.
- Bedrohungsregister-Aktualisierung falls neue Indikatoren oder TTPs beobachtet wurden.
- Runbook-Aktualisierung falls der Vorfall Lücken in diesem Dokument offenbart hat.
- Management-Review-Input im nächsten Quartalsreview.
Diese Runbooks sind lebende Dokumente. Mindestens jährlich und nach jedem Vorfall überprüfen. Zuletzt überprüft: 2026-03-01.
Document control
Owner: Information Security Officer
Approved by: CEO
Version: 1.0
Effective date: 2026-03-01
Classification: Confidential — restricted to SecOps, IT Operations, DPO, CMT
How to use this document
This document contains a set of runbooks for the most common information security incidents at Nordwind Logistics GmbH. Each runbook follows the same structure based on NIST SP 800-61 Rev. 2: Preparation → Detection & Analysis → Containment → Eradication → Recovery → Lessons Learned.
Runbooks are not a substitute for judgement. They are a starting point. The Incident Response Plan (PROC-001) defines the overall process, roles and severity matrix.
Severity scale:
- Low: isolated, contained, no business impact, no personal data involved.
- Medium: limited business impact, no confirmed data breach, manageable with internal resources.
- High: material business impact OR confirmed personal data breach OR more than one critical system affected.
- Critical: organisation-wide impact OR ransomware OR major regulatory exposure.
Common roles referenced:
- On-Call Engineer — first responder, available 24/7
- ISO — Information Security Officer, owns the incident
- DPO — Data Protection Officer, owns regulatory aspects of personal data breaches
- IT Ops Lead — owns technical recovery
- CMT — Crisis Management Team, activated for High and Critical
- Communications Lead — owns external messaging
Runbook 1 — Ransomware
Triggers: Files renamed with unknown extension, ransom note found, EDR ransomware detection, mass file modification alert, multiple users reporting inability to open files.
Default severity: Critical
T+0 to T+15 minutes — Detection and immediate containment
- On-Call Engineer confirms the alert is not a false positive: check EDR console, look for ransom note file, attempt to open one affected file.
- Disconnect the affected host immediately. Pull the network cable or disable the network adapter via EDR. Do not power off (volatile evidence may be lost).
- Notify the ISO via the crisis hotline. The ISO declares the incident at severity Critical.
- ISO activates the CMT. Open a war room channel.
- Identify all hosts with the same indicators using EDR threat hunting. Isolate every match.
- Disable the compromised user account(s) and rotate their credentials.
T+15 minutes to T+1 hour — Scope and containment
- Identify lateral movement paths: check authentication logs for the past 7 days for the compromised account on other systems.
- Identify whether the backup infrastructure has been touched. If yes, treat backups as untrusted until verified.
- Decide whether to take the affected file shares offline. Default: yes.
- Notify the on-call legal counsel and DPO. The DPO begins a parallel personal data impact assessment.
- Snapshot all affected hosts for forensic analysis (full disk image where feasible).
- Notify CEO. CEO authorises external incident response support if needed.
T+1 to T+24 hours — Eradication and recovery decision
- Do not pay the ransom. This is a standing decision of Nordwind Logistics and is documented in PROC-001.
- Identify the ransomware family if possible (check ID Ransomware, EDR vendor advisories). Apply the corresponding eradication procedure.
- Decision: rebuild affected systems from clean OS images, then restore data from offline backup.
- Verify the offline backup is unaffected before any restore. Restore to an isolated environment first and validate file integrity.
- Regulatory notifications:
- NIS2 early warning to BSI within 24 hours of incident awareness (template in crisis communication document).
- GDPR Art. 33 notification to BfDI within 72 hours if personal data is affected.
- Customer notification: prepared by Communications Lead, approved by CEO, dispatched per the crisis communication template.
T+24 hours and beyond — Recovery
- Rebuild affected systems from clean images using hardened baselines.
- Restore data from verified offline backup.
- Reset all credentials in the compromised domain (or full AD krbtgt rotation if domain controllers were affected).
- Increase monitoring sensitivity for 30 days post-incident.
- Validate that backups continue to work.
Lessons learned
Within 10 working days of incident closure, the ISO holds a post-incident review. Output: post-incident report, CAPA entries, updated runbook (if needed), feedback to threat register.
Runbook 2 — Phishing and credential compromise
Triggers: User reports a suspicious email and indicates they entered credentials, mailbox flooded with bounces, MFA prompt fatigue, EDR alert on a credential-stealing browser extension, SIEM alert on impossible travel.
Default severity: Medium (High if admin account or finance team)
T+0 to T+15 minutes — Containment
- On-Call Engineer immediately disables the affected user account (M365 + AD).
- Force sign-out on all sessions for the affected user.
- Revoke active OAuth tokens and refresh tokens.
- Rotate the user's credentials. Issue a temporary password.
- Open an incident ticket and notify the ISO.
T+15 minutes to T+1 hour — Investigation
- Pull authentication logs for the affected account for the past 14 days. Look for:
- Logins from unexpected locations or IPs.
- Mail forwarding rules created.
- Mailbox delegation changes.
- OAuth consents granted.
- Sent items showing internal phishing or fraud attempts.
- If mail forwarding rules were created — remove them and capture them as evidence.
- Check whether the user has access to financial or HR systems and whether any sensitive transactions occurred in the past 24 hours.
- Search the SIEM for the same phishing URL or indicators across all users. Block the URL at the mail and web gateway.
T+1 hour to T+24 hours — Containment (organisation-wide)
- Block the phishing domain and all observed indicators at the mail filter, web filter, DNS, and EDR.
- Run a targeted search across all mailboxes for the original phishing email. Quarantine or delete.
- Notify all employees about the phishing wave with concrete details (sender, subject, what to do if they clicked).
- Re-enable the user account only after MFA re-enrollment and a security briefing.
Recovery and follow-up
- Add the indicators to the threat register.
- Run a targeted phishing simulation against the affected team within 30 days.
- If the phishing kit bypassed existing controls, raise a CAPA to harden mail filtering or accelerate FIDO2 rollout.
- If a financial or data fraud occurred (e.g. CEO fraud), escalate to High and follow Runbook 3 in addition.
Runbook 3 — Personal data breach
Triggers: Email sent to wrong recipient with personal data, lost device with personal data, unauthorised access to a database with personal data, misconfigured cloud storage with personal data exposed, public exposure of customer information.
Default severity: High (always — re-evaluate after assessment)
T+0 to T+15 minutes — Initial action
- Whoever discovers the breach notifies the DPO immediately.
- The DPO declares the incident and opens a breach record. The 72-hour clock for GDPR Art. 33 starts at the moment of awareness.
- Take immediate action to stop further exposure: recall the email, take the system offline, revoke access, change the configuration.
T+15 minutes to T+1 hour — Initial assessment
- The DPO documents:
- Nature of the breach (confidentiality, integrity, availability).
- Categories of data subjects affected.
- Categories of personal data affected (any special categories under GDPR Art. 9?).
- Approximate number of affected individuals and records.
- Likely consequences for data subjects.
- Measures taken or proposed.
- The DPO notifies the ISO, CEO, and Communications Lead.
- If the breach is likely to result in a high risk to data subjects, the DPO begins drafting an Art. 34 notification.
T+1 hour to T+24 hours — Investigation
- Determine root cause: human error, technical fault, malicious act, supplier failure?
- Determine whether the data has actually been accessed by an unauthorised party (vs. merely exposed).
- Confirm whether containment is complete. If not, escalate.
- Consult external legal counsel if uncertain about notification obligations.
Within 72 hours — Regulatory notification
- Submit notification to the competent supervisory authority (BfDI) via the online portal. Include all available facts. If facts are incomplete, submit what is known and supplement later.
- Document the rationale in the breach record.
- If the breach involves cross-border processing, identify the lead supervisory authority and route the notification accordingly.
When required — Notification to data subjects (Art. 34)
- Draft notification using the crisis communication template.
- DPO and CEO approve the wording.
- Dispatch via the most appropriate channel (email, letter, or public notice if individual contact is not feasible).
Recovery and follow-up
- Implement corrective measures to prevent recurrence (CAPA).
- Update the breach register.
- Brief the next management review.
- If the breach was caused by a supplier, trigger a supplier security review.
Runbook 4 — Distributed Denial of Service (DDoS)
Triggers: Customer-facing service unreachable, monitoring alerts on response time, abnormal traffic spike, web application firewall flagging volumetric attack.
Default severity: Medium (High if peak business hours or extended outage)
T+0 to T+15 minutes — Confirm and characterise
- On-Call Engineer confirms the issue is a DDoS, not a backend failure: check WAF dashboard, traffic graphs, source IP distribution.
- Identify attack type: volumetric (network), protocol (TCP SYN, UDP), or application-layer (HTTP flood).
- Notify the ISO and IT Ops Lead. ISO declares the incident.
T+15 minutes to T+1 hour — Mitigation
- Volumetric/network: activate upstream DDoS protection at the ISP or CDN provider. Enable rate limiting and geo-blocking if the attack is geographically concentrated.
- Protocol: increase resource limits on edge devices, enable SYN cookies, contact upstream provider.
- Application-layer: enable WAF challenge mode, increase rate limits per IP, block known bot signatures, scale out application instances if cloud-native.
- Coordinate with vendors. For SaaS providers (e.g. logistics portal), open a P1 ticket immediately.
- Communicate with customers via the status page (crisis communication template).
T+1 hour to T+24 hours — Sustained mitigation
- Continuously monitor and adjust mitigation rules.
- Capture traffic samples for post-incident analysis (already filtered to avoid log bloat).
- If extortion is involved (RDoS), do not pay. Notify ISO and CEO. Treat as a separate incident.
Recovery and follow-up
- Wind down mitigation gradually as attack subsides.
- Post-incident review: was the WAF effective, did the CDN absorb the attack, were customer communications timely?
- Update the threat register with attack signatures.
- Review contractual SLAs with the upstream provider.
Runbook 5 — Lost or stolen device
Triggers: Employee reports a lost or stolen company laptop, phone, or removable media. Device may contain confidential data and provide network access.
Default severity: Medium (High if device contained personal data of customers or unencrypted special categories)
T+0 to T+15 minutes — Containment
- On-Call Engineer or IT Helpdesk confirms the report (when, where, what device).
- Trigger remote wipe via MDM (Intune for Windows/iOS, Jamf for macOS).
- Disable the user's account temporarily and force sign-out from all sessions.
- Revoke the device's certificate from Active Directory and the IdP.
- Notify the ISO.
T+15 minutes to T+1 hour — Assessment
- Determine what data was on the device:
- Was full disk encryption enabled and active? (BitLocker / FileVault status from MDM.)
- Did the user have local copies of customer data, personal data, or contracts?
- What systems was the device authenticated to?
- If full disk encryption was confirmed active and the device was powered off when lost, the risk is significantly reduced.
- If the device contained personal data and encryption status is uncertain, treat as a potential personal data breach and engage the DPO (Runbook 3).
- Capture the user's recollection in writing.
T+1 hour to T+24 hours — Investigation and police report
- The user files a police report and provides the case number.
- Insurance is notified if applicable.
- The ISO documents the incident and links it to the device record in the asset register.
- If the device was stolen in a targeted manner (suspicious circumstances), escalate to High and consider whether other employees of the same team are at risk.
Recovery and follow-up
- Issue replacement device after the user has been re-trained on device security.
- Review whether the data on the device was necessary or excessive — minimise where appropriate.
- Review whether device-tracking and remote-wipe coverage is at 100% across the fleet.
- If the loss reveals a process gap, raise a CAPA.
After every incident — Closure and improvement
Regardless of which runbook was used, every closed incident triggers:
- Post-incident report within 10 working days, written by the IR lead, reviewed by the ISO.
- CAPA entries for each root cause that requires corrective action.
- Threat register update if new indicators or TTPs were observed.
- Runbook update if the incident revealed gaps in this document.
- Management review input at the next quarterly review.
These runbooks are living documents. Review at least annually and after every incident. Last reviewed: 2026-03-01.
Sources
- ISO/IEC 27001:2022 Annex A 5.24, A 5.26 — Incident management and learning from incidents
- NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide