- Bedeutung
- Strukturierter Umgang mit Vorfällen
- Phasen
- Erkennen, Eindämmen, Beseitigen, Wiederherstellen
- Werkzeug
- Incident Response Plan
- Verwandt
- Incident Response, CSIRT
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Incident Handling?
Incident Handling beschreibt den operativen Lebenszyklus, mit dem ein Sicherheitsvorfall von Anfang bis Ende bearbeitet wird. Typische Phasen sind: Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung der Ursache und schließlich die Wiederherstellung des Normalbetriebs samt Auswertung. Der Begriff legt den Schwerpunkt auf den durchgängigen, wiederholbaren Prozess – also darauf, dass jeder Incident in geordneten, nachvollziehbaren Schritten abgearbeitet wird, statt ad hoc und improvisiert.
Handling vs. Response
Die Begriffe überschneiden sich stark, haben aber eine feine Akzentverschiebung. „Incident Handling" betont den gesamten Bearbeitungs- und Workflow-Aspekt, „Incident Response" stärker die aktive, schnelle Reaktion und die strategische Fähigkeit dahinter. In der Praxis werden sie oft synonym verwendet; wer die Phasen sauber benennt, kommuniziert im Ernstfall jedoch klarer, welcher Schritt gerade läuft.
Wichtig: Dokumentation in jeder Phase
Jeder Schritt sollte mit Zeitstempel dokumentiert werden – wer was wann entschieden und getan hat. Diese saubere Beweiskette ist nicht nur Grundlage für die forensische Analyse, sondern auch für die NIS2-Meldungen (24 Std. Erstmeldung, 72 Std. Folgemeldung) und den Abschlussbericht nach einem Monat. Ohne durchgängige Aufzeichnung lassen sich diese Pflichten kaum belastbar erfüllen.
Incident Handling und NIS2
NIS2 (in Kraft seit 06.12.2025) verlangt von wesentlichen und wichtigen Einrichtungen Prozesse zur Behandlung von Vorfällen. Ein klar definiertes Incident Handling – oft getragen durch ein CSIRT – ist die Grundlage, um Meldefristen einzuhalten und Schäden zu begrenzen; bei wesentlichen Einrichtungen drohen sonst Bußgelder bis 10 Mio. EUR oder 2 % des Umsatzes. Etwa: Bei einem entdeckten Trojaner isoliert das Team zuerst den betroffenen Server (Eindämmung), entfernt anschließend die Schadsoftware und schließt die Einfallslücke (Beseitigung), spielt dann saubere Backups ein (Wiederherstellung) – und protokolliert jeden Schritt für die spätere Meldung.
Weiterführende Quelle: ENISA – EU-Agentur für Cybersicherheit (Incident Management)
Häufige Fragen
Was ist Incident Handling?
Incident Handling ist der strukturierte, durchgängige Umgang mit einem Sicherheitsvorfall über alle Phasen hinweg: von der Vorbereitung über Erkennung und Analyse, Eindämmung und Beseitigung der Ursache bis zur Wiederherstellung des Normalbetriebs und der abschließenden Auswertung. Der Begriff legt den Schwerpunkt auf einen wiederholbaren Prozess, bei dem jeder Incident in geordneten, nachvollziehbaren Schritten abgearbeitet wird, statt ad hoc und improvisiert. Das verkürzt die Reaktionszeit und sichert die Nachweise für NIS2.
Wie unterscheidet es sich von Incident Response?
Incident Handling betont den gesamten Bearbeitungs- und Workflow-Aspekt von der Erkennung bis zur Wiederherstellung, während Incident Response stärker die aktive, geplante und schnelle Reaktion sowie die Fähigkeit dahinter meint. In der Praxis werden beide Begriffe oft synonym verwendet und beschreiben denselben operativen Umgang mit Vorfällen. Wer die einzelnen Phasen jedoch sauber benennt, kommuniziert im Ernstfall klarer, welcher Schritt gerade läuft, und vermeidet Missverständnisse im Krisenteam.
Warum ist Dokumentation wichtig?
Eine lückenlose Dokumentation jedes Schritts mit Zeitstempel bildet die Beweiskette, wer was wann entschieden und getan hat. Sie ist Grundlage für die forensische Analyse sowie für die NIS2-Meldepflichten: Erstmeldung binnen 24 Stunden, Folgemeldung nach 72 Stunden und Abschlussbericht nach einem Monat. Ohne durchgängige Aufzeichnung lassen sich diese Fristen kaum belastbar erfüllen. Zudem ermöglicht die Dokumentation, aus dem Vorfall zu lernen und Schwachstellen für die Zukunft zu schließen.