A.5.24 — Planung des Vorfallmanagements

Sonntagmorgen, 3 Uhr: Die Ransomware-Meldung erscheint auf 200 Bildschirmen gleichzeitig. Der IT-Leiter ist im Urlaub. Niemand weiß, ob gezahlt werden darf. Die Geschäftsführung fragt, was kommuniziert werden soll. Der Datenschutzbeauftragte ist nicht erreichbar. A.5.24 sorgt dafür, dass diese Fragen vor dem Vorfall beantwortet sind — durch einen getesteten Incident-Response-Plan.

Was verlangt die Norm?

Incident-Response-Plan erstellen. Dokumentierte Prozesse für die Erkennung, Meldung, Bewertung, Reaktion und Nachbereitung von Vorfällen.
Rollen und Verantwortlichkeiten definieren. Wer leitet die Reaktion? Wer kommuniziert intern und extern? Wer trifft Entscheidungen? Wer dokumentiert?
Klassifizierungsschema definieren. Vorfälle werden nach Schweregrad eingestuft — die Einstufung bestimmt die Reaktionsintensität und Eskalation.
Schulung und Übung. Das Incident-Response-Team wird regelmäßig geschult. Der Plan wird durch Übungen getestet.
Externe Koordination vorbereiten. Kontakte zu Behörden (A.5.5), CERTs (A.5.6) und forensischen Dienstleistern sind vorab dokumentiert.

In der Praxis

Meldeweg für alle Beschäftigten definieren. Jede Person muss wissen, an wen sie einen Verdacht meldet — idealerweise eine einzige Anlaufstelle (E-Mail-Adresse, Telefonnummer). Der Meldeweg muss einfach und rund um die Uhr erreichbar sein.

Severity-Level-Schema einführen. Vier Stufen haben sich bewährt: Stufe 1 (Information) — keine Reaktion nötig. Stufe 2 (geringfügig) — Standardprozess. Stufe 3 (erheblich) — Incident-Response-Team wird aktiviert. Stufe 4 (kritisch) — Krisenmanagement mit Geschäftsführung.

Tabletop-Übungen durchführen. Setze das Incident-Response-Team an einen Tisch und spiele ein Szenario durch: „Es ist Freitagabend, Ransomware hat den Fileserver verschlüsselt, Backups laufen gerade.” Jede Person beschreibt ihre Handlung. Du wirst Lücken finden — das ist der Zweck der Übung.

Kommunikationsplan vorbereiten. Wer informiert die Geschäftsführung? Wer kommuniziert an Kunden? Wer an die Presse? Wer meldet an Behörden? Bereite Textvorlagen vor, die im Ernstfall angepasst werden können. Im Stress formuliert niemand gute Pressemitteilungen von Null.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.24 typischerweise diese Nachweise:

Incident-Response-Plan — das zentrale Dokument mit Prozessen, Rollen und Eskalation (→ Security Operations im Starter Kit)
Runbooks — Schritt-für-Schritt-Anleitungen für Standardszenarien (→ Runbooks im Starter Kit)
Übungsprotokolle — Nachweis der Durchführung und Ergebnisse von Tabletop-Übungen
Schulungsnachweise — Teilnahmebestätigungen des Incident-Response-Teams
Kontaktlisten — Behörden, CERTs, forensische Dienstleister, interne Eskalation

KPI

% der Incident-Response-Pläne, die in den letzten 12 Monaten getestet wurden

Ziel: 100%. Jeder Plan, der nicht innerhalb der letzten 12 Monate getestet wurde, ist potenziell veraltet. Ein Test kann eine Tabletop-Übung, eine technische Simulation oder die Nachbereitung eines echten Vorfalls sein.

Ergänzende KPIs:

Anzahl der durchgeführten Übungen pro Jahr
Mittlere Reaktionszeit vom Meldeeingang bis zur Erstbewertung
Anteil der Beschäftigten, die den Meldeweg kennen (Awareness-Befragung)

BSI IT-Grundschutz

A.5.24 mappt auf die zentralen BSI-Bausteine zum Vorfallmanagement:

DER.2.1 (Behandlung von Sicherheitsvorfällen) — umfassender Baustein mit Anforderungen an Erkennung, Meldung, Analyse, Reaktion und Nachbereitung. Verlangt explizit einen Incident-Response-Plan, definierte Rollen und regelmäßige Übungen.
DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — die technische Erkennungsfähigkeit als Voraussetzung für die Vorfallbehandlung.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.24 — Planung des Vorfallmanagements
ISO/IEC 27002:2022 Abschnitt 5.24 — Umsetzungshinweise
BSI IT-Grundschutz, DER.2.1 — Behandlung von Sicherheitsvorfällen

Häufig gestellte Fragen

Was gehört in einen Incident-Response-Plan?

Rollen und Verantwortlichkeiten (wer entscheidet, wer kommuniziert, wer technisch handelt), Klassifizierungsstufen für Vorfälle (Schweregrad 1–4), Eskalationswege, Kommunikationsplan (intern und extern), Meldepflichten an Behörden, Runbooks für häufige Szenarien (Ransomware, Datenleck, Phishing) und ein Prozess für die Nachbereitung.

Wie oft muss ich den Incident-Response-Plan testen?

Mindestens jährlich. Tabletop-Übungen (Durchsprechen eines Szenarios) sind der effizienteste Einstieg. Ergänze sie alle zwei Jahre durch eine technische Simulation. Teste nach jeder wesentlichen Änderung am Plan oder an der Infrastruktur.

Brauche ich ein eigenes Incident-Response-Team?

Ab mittlerer Unternehmensgröße ja. In kleinen Organisationen kann ein benanntes Team aus bestehenden Rollen gebildet werden (ISB, IT-Leitung, Geschäftsführung, HR, Rechtsberatung). Wichtig: Die Rollen müssen vor dem Vorfall definiert und geübt sein.

Responsible	ISB / (C)ISO
Accountable	ISB / (C)ISO
Consulted	DSB, Abteilungsleitung, HR, IT-Leitung, ISB, Rechtsberatung, Risikoverantwortliche, Lieferantenmanagement
Informed	Alle Beschäftigten, Abteilungsleitung, Incident-Response-Team, ISB, Rechtsberatung, Geschäftsführung