Thought Leadership
Viele Unternehmen sichern sich gegen Cyberangriffe ab, indem sie sogenannte Incident-Response-Retainer (IR-Retainer) abschließen – also Verträge mit externen Sicherheitsdienstleistern, die im Ernstfall schnell reagieren sollen.
Laut dem aktuellen Trends Report 2025 von Arctic Wolf verfügen 88 Prozent der befragten Organisationen über einen solchen Retainer. Doch diese vorausschauende Maßnahme täuscht: Nur 35 Prozent der Unternehmen besitzen gleichzeitig einen aktuellen und erprobten Incident-Response-Plan.
Das bedeutet: Ein Großteil investiert in professionelle Hilfe, hat intern aber nicht die nötigen Strukturen geschaffen, um diese im Notfall effektiv zu nutzen. Eine Lücke, die teuer werden kann – denn im Krisenfall zählt jede Minute.
Cybervorfälle: Der neue Normalzustand
Der Bericht macht deutlich: Cyberangriffe sind längst kein Ausnahmefall mehr. 81 Prozent der Unternehmen mit Retainer mussten diesen im vergangenen Jahr tatsächlich aktivieren. Doch wer dann ohne klar geregelte Abläufe dasteht, verliert nicht nur Zeit, sondern auch Handlungssicherheit. Gerade in den ersten Stunden eines Vorfalls ist das Zusammenspiel zwischen internen Stellen und externen Spezialisten entscheidend – ein unvorbereiteter Betrieb wird dabei schnell zum Engpass.
Incident Response: Mehr als ein Dokument
Ein effektiver Incident-Response-Plan (IR-Plan) ist kein statisches PDF auf dem Fileserver, sondern ein lebendiger Prozess. Er legt fest, wer im Notfall welche Entscheidungen trifft, welche Eskalationsstufen gelten und welche internen und externen Schnittstellen eingebunden werden. Auch alternative Kommunikationskanäle bei einem Infrastrukturausfall sollten definiert sein. Wichtig ist, dass alle Beteiligten ihren Part kennen – ohne erst Rückfragen stellen zu müssen.
Trotz der offensichtlichen Bedeutung wird die Pflege bestehender IR-Pläne häufig vernachlässigt. Nur 59 Prozent der Unternehmen mit Plan haben laut Arctic Wolf im vergangenen Jahr ein Update oder Review vorgenommen – ein Rückgang im Vergleich zum Vorjahr. Dabei verändern sich Zuständigkeiten, IT-Systeme und Kontaktstrukturen fortlaufend. Ein nicht überprüfter Plan kann im Ernstfall nutzlos sein, wenn er auf veraltete Informationen verweist.
Technologie allein reicht nicht aus
Moderne IT-Sicherheitslösungen wie SIEM, EDR oder Forensik sind wichtige Komponenten einer Reaktionsstrategie – aber sie ersetzen keine klaren Prozesse. Besonders alarmierend: Mehr als die Hälfte der Unternehmen, die 2024 Opfer eines größeren Angriffs wurden, hatten keine funktionierende Multi-Faktor-Authentifizierung im Einsatz. Ohne grundlegende Schutzmaßnahmen können selbst modernste Tools ihre Wirkung nicht entfalten.
Ob ein Plan in der Praxis funktioniert, zeigt sich erst in der Übung. Simulierte Angriffe oder sogenannte Tabletop-Übungen decken schnell auf, wo Abläufe nicht greifen oder Verantwortlichkeiten unklar bleiben. Unternehmen, die regelmäßig solche Tests durchführen, sind nicht nur besser vorbereitet – sie wissen auch realistischer einzuschätzen, wann externe Hilfe erforderlich ist und wie diese optimal eingebunden wird.
Response muss ins Unternehmen integriert sein
Ein IR-Plan darf nicht isoliert stehen. Er muss mit bestehenden Geschäftsprozessen, Notfallkonzepten, Versicherungsbedingungen und Kommunikationsrichtlinien abgestimmt sein. Nur so entsteht ein tragfähiges Fundament für Krisenentscheidungen. Incident Response ist keine Sonderdisziplin, sondern Bestandteil des betrieblichen Risikomanagements.
Ein Retainer kann helfen, den Schaden eines Cybervorfalls zu begrenzen – doch nur, wenn die internen Voraussetzungen stimmen. Organisationen sollten nicht nur auf externe Hilfe setzen, sondern ihre eigenen Abläufe regelmäßig prüfen und proaktiv weiterentwickeln. Denn im Ernstfall macht nicht die Technik den Unterschied, sondern die Vorbereitung.
