---
name: cyber-incident-response-72h
description: Strukturierte Sofortmassnahmen bei aktivem Cyber-Vorfall — Hacker-Angriff Ransomware Datenexfiltration Insider-Threat. Phase 1 Sofort-Eindaemmung Netztrennung Forensik-Sicherung. Phase 2 DSGVO-Meldung Art. 33 72 Stunden bei Risiko Betroffenen-Information Art. 34 bei hohem Risiko NIS-2 24-Stunden-Fruehwarnung 72-Stunden-Vorfallsmeldung. Phase 3 Strafanzeige § 202a § 303a § 303b StGB Cybersecurity-Versicherer-Meldung Bestellung Forensik-Dienstleister. Phase 4 Kommunikation Kunden Mitarbeiter Aufsichtsbehoerde. Beweissicherung Chain-of-Custody Mitteilung in Klarsprache fuer Fuehrungsorgan.
---

# Cyber-Incident-Response 72 Stunden

## Zweck

Bei aktivem Cyber-Vorfall sind die ersten 72 Stunden entscheidend — DSGVO-Meldung NIS-2-Meldung Beweissicherung Versicherung Strafanzeige. Strukturierte Sofortmaßnahmen.

## Phase 0 — Erstkontakt

### Anruf vom Mandanten

- "Wir wurden gehackt" / "Ransomware-Forderung erhalten" / "Mitarbeiter hat Daten exfiltriert"
- **Telefon-Sofort** Termin festlegen
- Anwesenheit IT-Leitung und Geschäftsführer sicherstellen

### Erste Fragen am Telefon

- **Wann** entdeckt?
- **Was** wurde entdeckt? Ransomware-Bildschirm Erpresser-Mail ungewöhnliche Logs?
- **Wer** weiß schon davon?
- **Systeme noch im Betrieb** oder bereits abgeschaltet?
- **Backup-Verfügbarkeit** geprüft?

## Phase 1 — Eindämmung (erste Stunde)

### Sofortmaßnahmen IT

- **Betroffene Systeme** vom Netzwerk isolieren (Switch-Port abschalten oder Kabel ziehen) — nicht ausschalten (Speicher-Forensik!)
- **Veränderungen vermeiden** (Logs Festplatten Speicher Original behalten)
- **Forensik-Dienstleister** mit AVV-Vorlage kontaktieren
- **Forensische Sicherung** RAM-Dump Festplatten-Image Logs

### Vorsicht bei Ransomware

- **Lösegeld-Zahlung** prinzipiell **nicht** empfohlen — keine Garantie, möglicherweise sanctioned entity (Sanktionsrecht!)
- BSI rät davon ab
- Versicherer-Konditionen

### Krisenstab einberufen

- Geschäftsführer
- IT-Leitung
- Datenschutz-Beauftragter
- Anwalt
- Kommunikation
- Forensik-Dienstleister

## Phase 2 — DSGVO-Meldung (binnen 72 Stunden)

### Pflichtprüfung Art. 33 DSGVO

- **Datenschutz-Verletzung** vorliegt
- **Risiko für Rechte und Freiheiten betroffener Personen**
- Bei Bejahung Meldepflicht binnen 72 Stunden

### Inhalt Meldung

- Art der Verletzung (Vertraulichkeits- Integritäts- Verfügbarkeits-Verlust)
- Kategorien und Anzahl Betroffener
- Kategorien und Anzahl betroffener Datensätze
- Kontaktdaten DSB
- Wahrscheinliche Folgen
- Bereits ergriffene oder vorgeschlagene Maßnahmen

### Bei unvollständigen Informationen

- Vorläufige Meldung möglich
- Nachreichung unverzüglich

### Adressat

- **Zuständige Datenschutz-Aufsichtsbehörde** (Sitz oder Schwerpunkt-Niederlassung)
- Online-Meldeportal oder formloser Brief

### Bei hohem Risiko — Information Betroffener Art. 34 DSGVO

- **Unverzüglich** ohne Frist-Zahl
- Inhalt:
  - Beschreibung Vorfall
  - Mögliche Folgen
  - Maßnahmen zur Schadensbegrenzung
  - Empfehlung für Betroffene (Passwort ändern Konto-Beobachtung)

## Phase 3 — NIS-2-Meldung (bei KRITIS)

### Anwendbarkeit

- Wenn Mandant unter NIS-2-Anwendungsbereich fällt
- Besonders wichtige oder wichtige Einrichtung nach NIS2UmsuCG (in Kraft seit 06.12.2025) — Rechtsgrundlage § 32 BSIG n.F.

### Fristen § 32 BSIG n.F.

- **24 Stunden** Frühwarnung (unverzüglich nach Kenntnis — Verdacht böswillige Handlung, grenzüberschreitende Auswirkungen)
- **72 Stunden** Folgemeldung (Bewertung Schweregrad, Auswirkungen, Kompromittierungsindikatoren)
- **Ein Monat** Abschlussbericht (Ursachenanalyse, Maßnahmen)
- Zwischenmeldung auf Nachfrage des BSI

### Adressat

- BSI über Online-Portal
- Bei sektorspezifischer Aufsichtsbehörde dort

## Phase 4 — Strafanzeige

### Tatbestände

- **§ 202a StGB** Ausspähen von Daten
- **§ 202b StGB** Abfangen von Daten
- **§ 202c StGB** Vorbereiten Ausspähens
- **§ 202d StGB** Datenhehlerei
- **§ 263a StGB** Computer-Betrug
- **§ 303a StGB** Datenveränderung (Ransomware!)
- **§ 303b StGB** Computer-Sabotage
- **§ 269 StGB** Fälschung beweiserheblicher Daten

### Anzeige beim Polizeipräsidium oder StA

- **Zentralstelle Cybercrime** der Generalstaatsanwaltschaft
- Datenträger und Logs als Beweismittel beifügen (Kopien!)
- Mandant als Geschädigter

### Zeugnis-Verweigerungsrechte beachten

- IT-Mitarbeiter Aufklärungs-Pflicht?
- Geschäftsgeheimnisse / Datenschutz

## Phase 5 — Versicherer

### Cyber-Versicherung

- Vorhanden?
- Vertragspartner kontaktieren
- Selbstbehalt
- Notfallnummer
- Forensik-Dienstleister aus Versicherer-Liste

### Allgemeine Berufshaftpflicht

- D&O-Versicherung Geschäftsführer

## Phase 6 — Forensik

### Aufgabe Forensik-Dienstleister

- **Sicherung** Beweismittel
- **Analyse** Angriffsvektor
- **Schadensumfang** bestimmen
- **Restore-Hilfe**
- **Empfehlungen** für Schwachstellen-Beseitigung

### Chain-of-Custody

- Beweissicherungs-Protokoll
- Zeitstempel
- Hash-Werte
- Unterschriften aller Beteiligten

### AVV mit Forensik-Dienstleister

- Art. 28 DSGVO
- Bei Drittstaaten-Übermittlung Standard-Vertragsklauseln

## Phase 7 — Kommunikation

### Intern

- Mitarbeiter-Information (vorab und vollständig)
- Betriebsrat-Information § 87 BetrVG bei Mitarbeiter-Überwachung

### Extern

- Kunden-Information (bei Auswirkungen auf Kundendaten)
- Geschäftspartner
- Pressemitteilung (proaktive Strategie häufig besser als reaktive)

### Schweigen vs. Kommunikation

- Bei DSGVO-Pflicht — Kommunikation Pflicht
- Bei NIS-2-Pflicht — Behörden-Information Pflicht
- Bei reputationsbedrohlich — proaktive Kommunikation häufig empfohlen

## Phase 8 — Nachgang

### Lessons Learned

- Schwachstellen-Beseitigung
- Compliance-Anpassung
- Mitarbeiter-Schulung
- Penetrations-Test extern

### Dokumentation

- Vollständige Akte mit Zeit-Linie
- Beweissicherung für mögliche Schadensersatz-Verfahren
- Vorlage für Behörden / Versicherer / Gericht

## Schritt-Zeitplan im Eilmodus

| Zeit | Aktion |
|---|---|
| Stunde 0 | Telefon-Sofort Mandant — Eindämmungs-Empfehlung |
| Stunde 1 | Krisenstab einberufen — Forensik bestellt |
| Stunde 4 | Sicherung läuft Sachverhalts-Aufnahme |
| Stunde 12 | Erste Bewertung DSGVO-Pflicht / NIS-2 |
| Stunde 24 | NIS-2-Frühwarnung wenn anwendbar |
| Stunde 48 | DSGVO-Meldung vorbereitet — finale Abstimmung |
| Stunde 72 | DSGVO-Meldung versandt, NIS-2 Vorfallsmeldung |
| Tag 4–7 | Strafanzeige Kommunikations-Strategie Wiederherstellung |
| Tag 7+ | Forensik-Bericht Lessons Learned |

## Ausgabe

- `cyber-incident-{az}.md` mit Zeitachse
- Krisenstab-Liste
- DSGVO-Meldungs-Entwurf
- NIS-2-Meldungs-Entwurf wenn anwendbar
- Strafanzeige-Entwurf
- Forensik-Auftrag mit AVV-Klausel
- Kommunikations-Plan
- Lessons-Learned-Memo nach Abschluss

## Quellen

- DSGVO Art. 28 32 33 34
- StGB §§ 202a–202d 263a 269 303a 303b
- NIS2UmsuCG (in Kraft seit 06.12.2025) — Meldepflichten § 32 BSIG n.F. Sanktionen § 65 BSIG n.F.
- BetrVG § 87
- BSI-Empfehlungen
- DSK-Empfehlungen
- Marly Softwarerecht
- Schneider IT-Recht