Incident-Response-Richtlinie – KMU

Die Incident-Response-Richtlinie (P30S) ist speziell für kleine und mittelständische Unternehmen (KMU) entwickelt, die robuste, ISO/IEC 27001:2022-konforme Protokolle benötigen, ohne ein internes Security Operations Center (SOC) oder einen Vollzeit-CISO vorauszusetzen. Diese KMU-Richtlinie weist die Rechenschaftspflicht für die Vorfallsaufsicht sowie die rechtliche und regulatorische Eskalation ausdrücklich dem General Manager (GM) zu und bietet damit eine klare Struktur für Organisationen mit begrenzten dedizierten IT-Ressourcen. Das Dokument beschreibt Anforderungen, mit denen KMU Schäden minimieren, sensible Informationen schützen und kritische regulatorische Verpflichtungen erfüllen können, wie z. B. die 72-Stunden-Meldefrist der DSGVO bei einer Verletzung des Schutzes personenbezogener Daten. Der Geltungsbereich ist breit und umfasst sämtliches Personal (Mitarbeiter und Auftragnehmer sowie Drittdienstleister), alle technischen Assets (Websites, Cloud-Plattformen, E-Mail-Konten und mobile Geräte) sowie jede wesentliche Vorfallform (von unbefugtem Zugriff über Schadsoftware-Infektionen und Phishing-Angriffe bis hin zu Systemausfällen sowie Verlust/Diebstahl von Geräten). Die Richtlinie legt detaillierte Ziele fest: schnelle Erkennung, Audit-Protokollierung, Eskalation, rechtliche Benachrichtigung, wirksame Eindämmung, Datenwiederherstellung und präventive Maßnahmen auf Basis der Ursachenanalyse. Sie unterstützt KMU außerdem dabei, ISO/IEC 27001-Audits zu bestehen und gegenüber Kunden und Aufsichtsbehörden angemessene Befugnisse und Rechenschaftspflicht nachzuweisen. Spezifische Rollen und Verantwortlichkeiten sind für den KMU-Kontext vereinfacht: Der GM behält die Gesamtverantwortung, unterstützt durch interne oder ausgelagerte IT-Administration. Mitarbeiter und Auftragnehmer werden angewiesen, jeden Vorfall sofort zu melden, ohne unautorisierte Korrekturen zu versuchen. Externe Lieferanten sind verpflichtet, den GM zu benachrichtigen und Eindämmungsmaßnahmen gemäß ihren vertraglichen Anforderungen zu unterstützen, wobei dieselben Meldefristen wie für interne Vorfälle gelten. Die Richtlinie definiert strukturierte Vorfallsmeldungsverfahren, einschließlich klarer Kommunikationsmittel (dedizierte Vorfall-E-Mail oder mündliche Meldung), erforderlicher Angaben (Zeitpunkt der Entdeckung, Art, betroffene Systeme und beobachtbare Auswirkungen) sowie Kategorisierung innerhalb einer Stunde. Vorfallsprotokolle, die vom GM geführt werden, sind zentral für die Aufzeichnungen für Audits. Vierteljährliche Überprüfungen, Ursachenanalysen und Aktualisierungen nach der Vorfallsnachbereitung stellen sowohl die fortlaufende Wirksamkeit als auch die Reaktionsfähigkeit auf neue Bedrohungen sicher. Das Dokument beschreibt außerdem Anforderungen an Sensibilisierung und Schulung für sämtliches Personal, Onboarding, Auffrischungsschulungen und verpflichtende Meldeerwartungen. Durchsetzungsbestimmungen verlangen, dass alle Einheiten, einschließlich Drittparteien, vollständig konform handeln: Versäumnisse oder Protokollverstöße können zu Warnungen, Entzug von Zugriffsrechten, vertraglichen Sanktionen oder der Entfernung aus Lieferantenlisten führen. Alle forensischen Beweismittel und Protokolle müssen mindestens ein Jahr aufbewahrt und für Audits nach Bedarf bereitgestellt werden. Umfassende Überprüfungsmechanismen stellen sicher, dass die Richtlinie an sich entwickelnde Normen, regulatorische Änderungen und operative Veränderungen angepasst bleibt und für KMU relevant bleibt.