Phasenmodell im Cybervorfall

Warum ein Phasenmodell notwendig ist 

Ein Cybervorfall verläuft nicht linear.
Technische Erkenntnisse, geschäftliche Auswirkungen und rechtliche Anforderungen entwickeln sich parallel – oft mit widersprüchlichen Impulsen. Das Phasenmodell von Aponsi schafft Orientierung.
Es strukturiert den Umgang mit dem Vorfall entlang klar definierter Abschnitte und stellt sicher, dass Entscheidungen, Maßnahmen und Bewertungen zeitlich und inhaltlich sauber eingeordnet werden. 

Phase 1: Erstwahrnehmung & Einordnung 
Ziel: Handlungsfähigkeit herstellen – ohne vorschnelle Maßnahmen. 
In der ersten Phase geht es nicht um technische Tiefe, sondern um strukturierte Einordnung:
Was ist bekannt – und was nicht?
Welche Systeme, Prozesse oder Geschäftsbereiche könnten betroffen sein?
Gibt es Hinweise auf akute Risiken oder laufende Angriffe?
Aponsi unterstützt dabei, Informationen zu bündeln, Prioritäten festzulegen und ungeordnete Reaktionen zu vermeiden.  In dieser Phase wird noch nichts „repariert“ – sondern entschieden, wie weiter vorgegangen wird. 

Phase 2: Strukturierung & Führungsorganisation 
Ziel: Klare Steuerung und saubere Kommunikationswege etablieren. 
Jetzt wird die Führungs- und Rollenstruktur aktiv: 
Einrichtung der Executive Incident Steering-Struktur
Definition von Kommunikations- und Entscheidungswegen
Trennung von Steuerung, Analyse, Bewertung und Wiederherstellung
Aponsi sorgt dafür, dass Zuständigkeiten eindeutig sind und alle Beteiligten wissen, in welcher Rolle sie handeln. Führung entsteht nicht durch Aktion – sondern durch Struktur. 

Phase 3: Forensische Analyse & Sachverhaltsklärung 
Ziel: Belastbare Faktenbasis schaffen. 
In dieser Phase erfolgt die forensische Ursachenanalyse: 
Rekonstruktion des Angriffsgeschehens
Bewertung betroffener Systeme und Daten
Identifikation möglicher Datenabflüsse
Die Analyse erfolgt unabhängig von Wiederherstellungsinteressen, um Beweiswert und Nachvollziehbarkeit zu sichern. Aponsi koordiniert die Zusammenarbeit zwischen Forensik, Steuerung und ggf. Sachverständigen – ohne Rollen zu vermischen. 

Phase 4: Bewertung & Entscheidungsfindung 
Ziel: Entscheidungen auf Basis geprüfter Informationen treffen. 
Erkenntnisse aus Forensik und Analyse werden jetzt: strukturiert zusammengeführt
fachlich und formal bewertet
für Geschäftsleitung und Vorstand aufbereitet
Diese Phase ist entscheidend für: 
rechtliche Einordnung
Versicherungsfragen
Kommunikationsentscheidungen
weitere operative Maßnahmen
Nicht jede technische Möglichkeit ist eine verantwortbare Entscheidung. 

Phase 5: Stabilisierung & Wiederanlauf 
Ziel: Kontrollierter, stabiler Betrieb – nicht maximal schnelle Wiederherstellung. 
Die Wiederaufnahme von Services erfolgt: 
priorisiert nach Geschäftswirkung
schrittweise und kontrolliert
in enger Abstimmung mit Forensik und Steuerung
Stabilisierung geht vor Geschwindigkeit. Sekundär- und Folgeangriffe werden aktiv berücksichtigt. 

Phase 6: Abschluss, Dokumentation & Nachbereitung 
Ziel: Nachvollziehbarkeit, Lernfähigkeit und Absicherung. 
Zum Abschluss gehören: vollständige, konsistente Dokumentation
belastbare Berichte für interne und externe Stellen
strukturierte Nachbetrachtung (Lessons Learned)
Diese Phase stellt sicher, dass der Vorfall nicht nur beendet, sondern auch verarbeitet und organisatorisch eingeordnet wird.

Grundsatz des Phasenmodells 
Jede Phase hat:
einen klaren Zweck
definierte Verantwortlichkeiten
eigene Entscheidungsschwerpunkte
Phasen dürfen sich inhaltlich überlappen, aber nicht vermischen.  Nicht alles gleichzeitig – sondern das Richtige zur richtigen Zeit. 

Einordnung zu Aponsi 
Dieses Phasenmodell bildet die Grundlage für strukturierte, verantwortete Incident-Response-Leistungen über Aponsi.
Aponsi sorgt dafür, dass Übergänge zwischen den Phasen koordiniert, nachvollziehbar und führungsorientiert erfolgen.