---
name: cyber-incident
description: "Reagiert auf Cyber-Incidents (Ransomware, Datenleck, APT) – DSGVO-Meldepflichten, forensische Sicherung, Behördenstrategie, Strafverfolgung im Internal Investigations Praxis."
---

# Cyber-Incident-Response und forensische Untersuchung

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Rechtlicher Rahmen

Cyber-Incidents lösen eine Vielzahl von Rechtspflichten aus: DSGVO Art. 33 (Meldung binnen 72 Stunden bei Datenpanne, [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679)), NIS2-Richtlinie (Meldepflicht für kritische Infrastrukturen und wichtige Einrichtungen, RL (EU) 2022/2555), BSI-Gesetz (§§ 8a, 8b BSIG) und ggf. sektorspezifische Pflichten (§ 25a KWG für Banken, [bafin.de](https://www.bafin.de/)). Strafbarkeit der Täter nach §§ 202a ff. StGB; Ansprüche des Unternehmens aus §§ 823, 826 BGB.

## Ziel dieses Skills

Strukturiert die unmittelbare Incident-Response, die forensische Beweissicherung und alle Meldepflichten bei einem Cyber-Incident.

## Arbeitsprogramm

### 1. Incident-Klassifizierung
- **Ransomware**: Verschlüsselung von Systemen; Erpressung; oft mit Datenexfiltration kombiniert.
- **APT (Advanced Persistent Threat)**: staatlich gesponserter Angreifer; langfristiger Zugriff auf Systeme.
- **Insider-Threat**: Mitarbeiter oder ehem. Mitarbeiter mit Zugriff auf Systeme.
- **Phishing/BEC**: Business E-Mail Compromise; Überweisungsbetrug.
- **Data Leak**: unbeabsichtigte oder vorsätzliche Offenlegung personenbezogener Daten.

### 2. Sofortmaßnahmen (Incident-Response)
- Netzwerktrennung kompromittierter Systeme (Containment); keine vollständige Abschaltung, wenn forensische Spuren auf flüchtigen Daten (RAM) verloren gehen würden.
- Incident-Response-Team aktivieren (IT-Security, CISO, Anwalt, Kommunikation, Management).
- BSI informieren (§ 8b Abs. 4 BSIG) bei kritischer Infrastruktur oder erheblichem Incident.
- Logs sichern: alle relevanten Event-Logs, Netzwerk-Logs, Firewall-Logs mit Hash-Wert sichern.
- Kein Löschen von Systemen vor forensischer Sicherung.

### 3. Forensische Untersuchung
- Memory-Forensik: RAM-Dump vor Systemabschaltung; flüchtige Daten gehen bei Ausschalten verloren.
- Disk-Forensik: Forensic Imaging aller betroffenen Systeme (vgl. inv-015-forensic-imaging).
- Netzwerkanalyse: Firewall-Logs, DNS-Logs, Proxy-Logs; welche IPs kommuniziert, welche Daten exfiltriert?
- Malware-Analyse: Reverse Engineering der Schadsoftware; Command-and-Control-Server identifizieren.
- Timeline-Rekonstruktion: wann hat der Angreifer erstmals Zugriff erlangt?

### 4. DSGVO-Meldepflichten (Art. 33/34)
- 72-Stunden-Frist: Meldung bei der Aufsichtsbehörde, auch wenn noch nicht alle Fakten bekannt sind; Updates möglich.
- Inhalt der Meldung: Art der Verletzung, Kategorien und Anzahl betroffener Personen, Folgen, Maßnahmen.
- Art. 34: Information der Betroffenen, wenn hohes Risiko für Rechte und Freiheiten.
- DSB einbinden (Art. 37–39 DSGVO).

### 5. Sektorspezifische Meldepflichten
- **Banken/Finanzdienstleister**: § 25a KWG, BaFin-Rundschreiben IT-Sicherheit, EZB-Meldung bei signifikanten IT-Vorfällen.
- **Kritische Infrastruktur**: NIS2-Richtlinie (RL (EU) 2022/2555, [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555)); Meldung innerhalb von 24 Stunden (Early Warning).
- **Energiesektor, Gesundheitssektor**: eigene Meldepflichten nach Sektorrecht.

### 6. Strafverfolgung und behördliche Zusammenarbeit
- Strafanzeige: §§ 202a, 202c, 303a, 303b StGB; ZAC (Zentrale Ansprechstelle Cybercrime der LKAs).
- BKA: bei erheblichen Angriffen auf kritische Infrastruktur.
- Europol/FBI: bei transnationalen Angreifern.
- Beweise sichern für Strafverfolgung: Chain of Custody, Hash-Werte.
- Lösegeld zahlen? Rechtliche Risiken: Sanktionsrisiko (OFAC), Geldwäscherisiko; keine Garantie der Entschlüsselung.

### 7. Remediation und Kommunikation
- Systeme bereinigen und neu aufbauen (clean-room recovery).
- Schwachstellen schließen, die den Incident ermöglicht haben.
- Mitarbeiterkommunikation: was ist passiert, was tut das Unternehmen?
- Kundenkommunikation: falls Kundendaten betroffen.
- Pressekommunikation (vgl. inv-051-press-strategy): kontrollierte Information, keine Spekulation.

## Normenregister

| Norm | Inhalt | Quelle |
|---|---|---|
| Art. 33 DSGVO | Datenpannen-Meldung | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) |
| §§ 8a, 8b BSIG | BSI-Meldepflichten | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/bsig_2009/) |
| §§ 202a ff. StGB | Computerstrafrecht | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/stgb/__202a.html) |
| RL (EU) 2022/2555 | NIS2-Richtlinie | [eur-lex.europa.eu](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555) |
| § 25a KWG | IT-Sicherheit Banken | [gesetze-im-internet.de](https://www.gesetze-im-internet.de/kredwg/__25a.html) |

## Ausgabeformate

- **Incident-Response-Checkliste** (Containment, Forensik, Meldung)
- **DSGVO-Meldungsvorlage** Art. 33 (72-Stunden)
- **Forensik-Beauftragungstemplate** für Cyber-IR
- **Behördenmeldungs-Matrix** (BSI, BaFin, LKA, DSGVO-Behörde)
- **Kommunikationsplan** (intern, Kunden, Presse)

Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.
