Cyber-Incident-Response 72 Stunden
Kaltstart-Rückfragen
- Art des Vorfalls — Ransomware (Bildschirmsperre, Erpressungsmail), Datenleck (Exfiltration nach extern), DDoS (Nichterreichbarkeit), Insider-Threat (Mitarbeiter-Exfiltration)?
- Wann wurde der Vorfall entdeckt — seit wann läuft er vermutlich (Angriffszeitpunkt vs. Entdeckungszeitpunkt)?
- Welche Systeme und Datenkategorien sind betroffen — personenbezogene Daten (Kunden, Mitarbeiter, Patienten), Geschäftsgeheimnisse, Infrastruktur?
- Ist Mandant KRITIS-Betreiber oder fällt unter NIS2UmsuCG (§ 28 BSIG n. F. wichtige oder besonders wichtige Einrichtung)?
- Besteht eine Cyber-Versicherung — Deckungsumfang, Notfallhotline des Versicherers bekannt?
- Wurden bereits Maßnahmen ergriffen — Systeme abgeschaltet (Forensik-Problem!), Passwörter geändert, Backups überprüft?
- Liegt eine Erpressungsforderung vor — Betrag, Zahlungsanweisung, Frist?
- Ist eine betroffene Begleitperson oder Datenschutzbeauftragter vorhanden?
- Was will der Mandant wirklich erreichen? (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist fuer den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)
Rechtsgrundlagen
Datenschutz
- Art. 33 DSGVO — Meldepflicht bei Verletzung des Schutzes personenbezogener Daten: binnen 72 Stunden nach Kenntnis an zuständige Aufsichtsbehörde.
- Art. 34 DSGVO — Benachrichtigung Betroffener unverzüglich bei voraussichtlich hohem Risiko.
- Art. 32 DSGVO — Pflicht zu technischen und organisatorischen Maßnahmen; bei Verstoß Mitursache für Haftung.
- Art. 82 DSGVO — Schadensersatz Betroffener; Verantwortlicher haftet für Schäden aus Verletzung.
- Bußgeldrahmen Art. 83 Abs. 4 DSGVO — Verstoß gegen Art. 32: bis 10 Mio. EUR oder 2 % Jahresumsatz; Verstoß gegen Art. 33/34: bis 10 Mio. EUR oder 2 % Jahresumsatz.
NIS2 / BSIG
- NIS2UmsuCG (in Kraft seit 06.12.2025) — umsetzt NIS-2-Richtlinie (EU) 2022/2555.
- § 32 BSIG n. F. — Meldepflichten erheblicher Sicherheitsvorfälle für wichtige und besonders wichtige Einrichtungen.
- § 65 BSIG n. F. — Bußgeld bis 10 Mio. EUR oder 2 % weltweiten Jahresumsatzes bei wichtigen Einrichtungen; bis 20 Mio. EUR oder 4 % bei besonders wichtigen.
- Adressat: BSI (Bundesamt für Sicherheit in der Informationstechnik) über IT-Sicherheitsportal.
Strafrecht
- § 202a StGB — Ausspähen von Daten (Freiheitsstrafe bis 3 Jahre).
- § 202b StGB — Abfangen von Daten.
- § 202c StGB — Vorbereiten des Ausspähens (Hacker-Tools).
- § 202d StGB — Datenhehlerei.
- § 263a StGB — Computerbetrug.
- § 303a StGB — Datenveränderung; Qualifikation § 303b StGB Computersabotage (bis 5 Jahre).
- § 269 StGB — Fälschung beweiserheblicher Daten.
- § 261 StGB — Geldwäsche: Lösegeld kann bei sanktionierten Tätergruppen (Russland/Iran/NK) Sanktionsrecht verletzen.
Sektorales Recht
- § 75c SGB V — Krankenhäuser mit Pflicht zu IT-Sicherheit nach BSI-Standard.
- BSI-KritisV — Kritische Infrastrukturen (Energie, Wasser, Gesundheit, Finanzen, Transport).
- § 8a BSIG a. F. / § 30 BSIG n. F. — Sicherheitsanforderungen KRITIS.
Entscheidungen
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
- Rechtsprechung live prüfen: Keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über amtliche oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
Prüfschema / Zeitplan
| Zeit | Prüfschritt | Norm | Aktion |
|---|---|---|---|
| Stunde 0 | Vorfallbestätigung | intern | Krisenstab einberufen; Forensik bestellen |
| Stunde 1 | Eindämmung | Art. 32 DSGVO | Netzwerktrennung (kein Abschalten!); RAM-Dump; Log-Sicherung |
| Stunde 2-4 | Forensik-Auftrag | Art. 28 DSGVO | AVV mit Forensik-Dienstleister; Chain-of-Custody beginnt |
| Stunde 4-8 | Personenbezug prüfen | Art. 33 DSGVO | Welche Datenkategorien? Wie viele Betroffene? |
| Stunde 8-12 | DSGVO-Meldepflicht bewerten | Art. 33 DSGVO | Verletzung des Schutzes personenbezogener Daten? Risiko? |
| Stunde 12 | NIS2-Prüfung | § 32 BSIG n. F. | KRITIS / NIS2-Einrichtung? 24-Stunden-Frühwarnung? |
| Stunde 24 | NIS2-Frühwarnung | § 32 BSIG n. F. | Meldung BSI wenn NIS2 anwendbar |
| Stunde 48 | DSGVO-Meldung vorbereiten | Art. 33 DSGVO | Entwurf + Abstimmung |
| Stunde 72 | DSGVO-Meldung einreichen | Art. 33 DSGVO | Aufsichtsbehörde online; NIS2-Vorfallsmeldung BSI |
| Tag 4-7 | Betroffene informieren | Art. 34 DSGVO | Wenn hohes Risiko: unverzüglich |
| Tag 4-7 | Strafanzeige | §§ 202a 303b StGB | LKA Cybercrime; Forensik-Bericht beifügen |
| Tag 4-14 | Versicherer-Antrag | Cyber-Police | Unterlagen; Selbstbehalt; Forensik |
| Monat 1 | NIS2-Abschlussbericht | § 32 BSIG n. F. | Ursachenanalyse; Maßnahmen |
Strategische Optionen (vor dem Template entscheiden)
Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist eine moegliche Form — nicht die einzige.
| Konstellation | Empfohlener Weg |
|---|---|
| Standard — Cyber-Incident 72h DSGVO-Meldung | Incident-Response-Protokoll; Template unten |
| Variante A — Kein meldepflichtiger Vorfall | Interne Dokumentation ohne Meldung; Template vereinfacht |
| Variante B — Kritische Infrastruktur betroffen | BSI-Meldepflicht § 8b BSIG zusaetzlich zur DSGVO-Meldung |
| Variante C — Strafanzeige erwaegen | § 202a ff. StGB; parallel zu Aufsichtsbehoerde informieren |
Wenn die Mandantenkonstellation nicht ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.
Schriftsatzbausteine
DSGVO-Meldung Art. 33 (Vorlage)
An: [Zustaendige Datenschutz-Aufsichtsbehoerde]
Betreff: Meldung einer Verletzung des Schutzes personenbezogener
Daten gemaess Art. 33 DSGVO
Verantwortlicher: [Name, Anschrift, Datenschutzbeauftragter]
Datum/Uhrzeit Kenntnis: [...]
Meldenummer (falls Folgemeldung): [...]
A) Art der Verletzung
[Vertraulichkeitsverletzung / Integritaetsverletzung /
Verfuegbarkeitsverletzung] durch [Ransomware-Angriff / externen
Angreifer / Datenleck / Insider]
B) Betroffene Kategorien und Anzahl
Betroffene Personen: ca. [Anzahl] ([Kunden / Mitarbeiter /
Patienten])
Datenkategorien: [Name, Adresse, Kontonummer, Gesundheitsdaten,
besondere Kategorien Art. 9 DSGVO?]
C) Wahrscheinliche Folgen
[Identitaetsdiebstahl / Phishing / Reputationsschaden /
Diskriminierung]
D) Ergriffene Massnahmen
- [Netztrennung am Datum Uhrzeit]
- [Forensik beauftragt am Datum]
- [Passwortzuruecksetzung]
- [Backup-Wiederherstellung im Gange]
E) Kontakt
Datenschutzbeauftragter: [Name, Tel, E-Mail]
Hinweis: Diese Meldung erfolgt nach bestem aktuellem
Kenntnisstand. Wir behalten uns Nachreichung weiterer
Informationen gemaess Art. 33 Abs. 4 DSGVO vor.
[Unterschrift, Datum]
Forensik-Auftrag mit AVV-Klausel (Kurzform)
Auftrag zur digitalen Forensik und AVV gemaess Art. 28 DSGVO
Verantwortlicher: [Unternehmen]
Auftragsverarbeiter: [Forensik-Dienstleister]
1. Gegenstand: Sicherung und Analyse digitaler Beweismittel
im Zusammenhang mit Sicherheitsvorfall vom [Datum].
2. Weisungsgebundenheit: Dienstleister handelt ausschliesslich
nach Weisung des Verantwortlichen.
3. Vertraulichkeit: Alle im Rahmen des Auftrags erlangten
Informationen sind streng vertraulich zu behandeln.
4. Technische und organisatorische Massnahmen: Dienstleister
wendet mindestons die in Anlage 1 beschriebenen TOMs an.
5. Sub-Verarbeiter: Nur mit vorheriger schriftlicher Zustimmung.
6. Rueckgabe/Loeschung: Nach Abschluss des Auftrags werden
alle personenbezogenen Daten unverzueglich zurueckgegeben
oder geloescht, soweit keine gesetzliche Aufbewahrungspflicht
entgegensteh