Wie schnell seid ihr im Ernstfall vor Ort oder remote einsatzbereit?

Nach Ihrem Anruf erreichen Sie innerhalb von fünfzehn Minuten einen qualifizierten Incident Responder, der sofort Sofortmaßnahmen mit Ihnen abstimmt. Ein Remote-Zugriff für die technische Triage ist in der Regel innerhalb einer Stunde aktiv; ein Vor-Ort-Einsatz in NRW, Rheinland und Ruhrgebiet startet je nach Uhrzeit innerhalb von vier bis acht Stunden.

Was kostet ein Incident-Response-Einsatz?

Der Erstanruf inklusive erster Lageeinschätzung ist kostenfrei. Danach arbeiten wir nach Tagessätzen mit transparentem Zeitbudget. Für KMU empfehlen wir unseren Incident-Response-Retainer: ein monatlich kleiner Fixbetrag sichert garantierte Reaktionszeiten und stellt bereits vorab vertragliche und organisatorische Grundlagen her.

Sollen wir das Lösegeld bei Ransomware zahlen?

Wir raten grundsätzlich dazu, zunächst alle Alternativen zu prüfen: Backups, Entschlüsselungswerkzeuge (z. B. via NoMoreRansom.org), Rechtsberatung, Versicherungsanforderungen. Eine Zahlung garantiert weder Wiederherstellung noch Verschwiegenheit des Angreifers und kann sanktions- oder steuerrechtlich heikel sein. Wir bewerten die Situation strukturiert mit Ihnen.

Wie dokumentiert ihr den Vorfall rechtssicher?

Alle forensischen Schritte werden protokolliert, Beweismittel nach anerkannten Standards (BSI-Leitfaden, NIST SP 800-86) gesichert und via Hashes und Chain-of-Custody dokumentiert. Der Abschlussbericht ist so aufgebaut, dass er gegenüber Aufsichtsbehörden, Versicherungen und ggf. in Strafverfahren verwendbar ist.

Helft ihr auch bei der Kommunikation mit Kunden, Mitarbeitenden und Behörden?

Ja. Wir stellen Ihnen gemeinsam mit unserem Netzwerk aus Datenschutzbeauftragten und Fachanwälten Vorlagen und fachliche Expertise bereit: DSGVO-Meldung, KRITIS-/NIS2-Meldung, Kundenkommunikation, interne Mitarbeitenden-Information, Pressestatement. Sie entscheiden, wir begleiten Sie inhaltlich.

Was passiert nach der akuten Phase?

Nach der Eindämmung und Wiederherstellung übergeben wir Ihnen einen strukturierten Bericht inklusive Ursachenanalyse, konkreter Härtungsempfehlungen und einer priorisierten Maßnahmenliste. Auf Wunsch begleiten wir die Umsetzung, etablieren ein SOC/SIEM oder richten einen Incident-Response-Plan ein, damit Sie beim nächsten Vorfall deutlich besser vorbereitet sind.

Arbeitet ihr mit Cyber-Versicherungen zusammen?

Ja. Wir sind mit den Abläufen gängiger Cyber-Versicherungen (u. a. Hiscox, Allianz, AIG, Chubb) vertraut, halten die Beweissicherungs- und Dokumentationsanforderungen ein und stimmen unser Vorgehen bei Bedarf direkt mit Ihrem Versicherer oder dessen Panel-Forensiker ab.

Incident Response Notfallhilfe

Sofortmaßnahmen bei einem Sicherheitsvorfall

Folgen Sie diesen Schritten, während Sie auf unser Team warten.

1

Ruhe bewahren

Panik führt zu Fehlern. Atmen Sie durch und handeln Sie systematisch.

2

Systeme isolieren

Trennen Sie betroffene Systeme vom Netzwerk, aber schalten Sie sie NICHT aus.

3

Beweise sichern

Verändern Sie nichts an den betroffenen Systemen. Dokumentieren Sie alles mit Fotos und Notizen.

4

Uns kontaktieren

Rufen Sie uns sofort an. Unser Incident Response Team übernimmt ab hier.

Unser Incident Response Prozess

Identifikation & Analyse

Wir analysieren den Vorfall, identifizieren den Angriffsvektor und bestimmen das Ausmaß der Kompromittierung.

Eindämmung

Sofortige Maßnahmen zur Eindämmung des Angriffs und Verhinderung weiterer Schäden an Ihren Systemen.

Bereinigung & Beseitigung

Entfernung von Malware, Schließung von Sicherheitslücken und Bereinigung aller kompromittierten Systeme.

Wiederherstellung

Sichere Wiederherstellung Ihrer Systeme und Daten. Verifizierung, dass alle Bedrohungen beseitigt sind.

Dokumentation & Lessons Learned

Detaillierter Bericht über den Vorfall, getroffene Maßnahmen und Empfehlungen zur Verhinderung zukünftiger Angriffe.

Typische Szenarien, die wir täglich sehen

Je präziser wir einschätzen können, welche Art von Vorfall vorliegt, desto schneller läuft die Reaktion. Die folgenden Szenarien bilden über 80 % der Notfall-Anrufe ab, die uns in Branchen wie produzierendes Gewerbe, Handwerk, Gesundheitswesen, Kommunen, Energieversorgung, Logistik und Finanzdienstleistungen erreichen.

Ransomware & verschlüsselte Fileserver

Vom Bauunternehmen bis zur Arztpraxis: typische Angriffsvektoren sind öffentlich exponierte RDP-Dienste, kompromittierte VPN-Zugänge und geöffnete Phishing-Anhänge. Wir isolieren, sichern forensische Artefakte, bewerten die Zahlungsfrage mit Ihnen und stellen Geschäftsfähigkeit priorisiert wieder her.

Business Email Compromise (BEC) & Rechnungsbetrug

Kompromittierte Microsoft-365-Postfächer, manipulierte SMTP-Regeln, CEO-Fraud-Masche, betrügerische Zahlungsaufforderungen. Wir revidieren MFA-Konfigurationen, prüfen Audit- und Unified-Audit-Logs, identifizieren Mailflow-Regeln und begleiten Sie bei der Kommunikation gegenüber Bank und Versicherung.

Datenabfluss (Data Exfiltration) & DSGVO-Meldung

Exfiltration über Cloud-Speicher, USB-Medien oder API-Missbrauch. Wir bewerten Art, Umfang und Sensibilität der betroffenen Daten, unterstützen bei der 72-Stunden-Meldung an die Aufsichtsbehörde und bei der strukturierten Benachrichtigung der Betroffenen.

Kompromittierte Cloud- und SaaS-Konten

AWS-, Azure- oder Google-Cloud-Root-Accounts, mit OAuth-Apps infiltrierte Tenants, Token-Theft via Info-Stealer. Wir kappen Sessions, rotieren Keys, prüfen IAM-Policies und analysieren CloudTrail/Entra-ID-Logs nach Angreiferspuren.

Insider-Vorfälle & Sabotage

Dienstende mit konsequentem Daten-Abzug, unzufriedene Admin-Accounts, bewusste Sabotage. Diskrete Forensik, rechtsverwertbare Dokumentation (mit Bezug auf Arbeitsrecht, StGB und DSGVO), koordinierte Kommunikation mit HR, Datenschutz und Rechtsabteilung.

KRITIS-/NIS2-meldepflichtige Vorfälle

Bei Meldepflicht nach KRITIS, NIS2, EnWG oder BSIG begleiten wir sämtliche Fristen (24-Stunden-Frühwarnung, 72-Stunden-Incident-Meldung, 30-Tage-Abschlussbericht) inklusive der technischen Dokumentation gegenüber dem BSI und den Aufsichtsbehörden.

Häufige Fragen zur Incident Response

Die Fragen, die uns im Ernstfall am häufigsten gestellt werden – kompakt und ehrlich beantwortet. Bei weiteren Fragen können Sie uns jederzeit unter der Notfall-Hotline erreichen.

Wie schnell seid ihr im Ernstfall vor Ort oder remote einsatzbereit?: Nach Ihrem Anruf erreichen Sie innerhalb von fünfzehn Minuten einen qualifizierten Incident Responder, der sofort Sofortmaßnahmen mit Ihnen abstimmt. Ein Remote-Zugriff für die technische Triage ist in der Regel innerhalb einer Stunde aktiv; ein Vor-Ort-Einsatz in NRW, Rheinland und Ruhrgebiet startet je nach Uhrzeit innerhalb von vier bis acht Stunden.
Was kostet ein Incident-Response-Einsatz?: Der Erstanruf inklusive erster Lageeinschätzung ist kostenfrei. Danach arbeiten wir nach Tagessätzen mit transparentem Zeitbudget. Für KMU empfehlen wir unseren Incident-Response-Retainer: ein monatlich kleiner Fixbetrag sichert garantierte Reaktionszeiten und stellt bereits vorab vertragliche und organisatorische Grundlagen her.
Sollen wir das Lösegeld bei Ransomware zahlen?: Wir raten grundsätzlich dazu, zunächst alle Alternativen zu prüfen: Backups, Entschlüsselungswerkzeuge (z. B. via NoMoreRansom.org), Rechtsberatung, Versicherungsanforderungen. Eine Zahlung garantiert weder Wiederherstellung noch Verschwiegenheit des Angreifers und kann sanktions- oder steuerrechtlich heikel sein. Wir bewerten die Situation strukturiert mit Ihnen.
Wie dokumentiert ihr den Vorfall rechtssicher?: Alle forensischen Schritte werden protokolliert, Beweismittel nach anerkannten Standards (BSI-Leitfaden, NIST SP 800-86) gesichert und via Hashes und Chain-of-Custody dokumentiert. Der Abschlussbericht ist so aufgebaut, dass er gegenüber Aufsichtsbehörden, Versicherungen und ggf. in Strafverfahren verwendbar ist.
Helft ihr auch bei der Kommunikation mit Kunden, Mitarbeitenden und Behörden?: Ja. Wir stellen Ihnen gemeinsam mit unserem Netzwerk aus Datenschutzbeauftragten und Fachanwälten Vorlagen und fachliche Expertise bereit: DSGVO-Meldung, KRITIS-/NIS2-Meldung, Kundenkommunikation, interne Mitarbeitenden-Information, Pressestatement. Sie entscheiden, wir begleiten Sie inhaltlich.
Was passiert nach der akuten Phase?: Nach der Eindämmung und Wiederherstellung übergeben wir Ihnen einen strukturierten Bericht inklusive Ursachenanalyse, konkreter Härtungsempfehlungen und einer priorisierten Maßnahmenliste. Auf Wunsch begleiten wir die Umsetzung, etablieren ein SOC/SIEM oder richten einen Incident-Response-Plan ein, damit Sie beim nächsten Vorfall deutlich besser vorbereitet sind.
Arbeitet ihr mit Cyber-Versicherungen zusammen?: Ja. Wir sind mit den Abläufen gängiger Cyber-Versicherungen (u. a. Hiscox, Allianz, AIG, Chubb) vertraut, halten die Beweissicherungs- und Dokumentationsanforderungen ein und stimmen unser Vorgehen bei Bedarf direkt mit Ihrem Versicherer oder dessen Panel-Forensiker ab.

Notfall-Hotline

Unser Incident Response Team ist rund um die Uhr erreichbar.

+49 (0) 2058 175 566 0

IT-Sicherheitsvorfall? Wir helfen sofort.