Incident-Response-Plan

Version 1.0 — Stand: Maerz 2026

Dieser Incident-Response-Plan (nachfolgend „IRP") legt verbindliche Verfahren fuer CONPORT Services GmbH, Alte Benninghofer Str. 24, 44263 Dortmund (Geschaeftsfuehrer: Benjamin Schowe) als Anbieterin der SaaS-Plattform „Aldric" fest. Er gilt fuer alle Mitarbeiterinnen und Mitarbeiter sowie beauftragten Dienstleister, die mit der Aldric- Infrastruktur oder Kundendaten in Beruehrung kommen.

§ 1 Zweck

Dieser Plan verfolgt drei zentrale Ziele:

Klare, einuebbare Verfahren fuer den Umgang mit Sicherheitsvorfaellen etablieren, sodass alle Beteiligten im Ernstfall ohne Abstimmungsaufwand handeln koennen.
Einhaltung der gesetzlichen Meldepflichten nach DSGVO Art. 33 (Meldung an die Aufsichtsbehoerde innerhalb von 72 Stunden) und Art. 34 (Benachrichtigung betroffener Personen) sicherstellen.
Schaden fuer Kunden, Sub-Mandanten und das Unternehmen durch schnelle Eindaemmung minimieren.

§ 2 Geltungsbereich

Der Plan gilt fuer alle Sicherheitsvorfaelle, die die Aldric-Plattform, die zugrundeliegende Infrastruktur oder Kundendaten betreffen. Dazu zaehlen insbesondere:

Unbefugter Zugriff auf personenbezogene Daten oder Mandantendaten
Datenverlust oder -korruption
Kompromittierung von Zugangsdaten oder Systemen
Vollstaendige oder teilweise Dienstunterbrechungen durch Angriffe
Erkannte Angriffs- oder Eindringversuche (auch erfolglose)
Verstoesse gegen interne Sicherheitsrichtlinien

Technische Stoerungen ohne Sicherheitsrelevanz (z. B. Infrastrukturausfaelle durch Hardwaredefekte) fallen unter das Service Level Agreement, nicht unter diesen Plan.

§ 3 Incident-Klassifizierung

Jeder Vorfall wird unmittelbar nach Ersterkennung einer Prioritaetsstufe zugeordnet. Die Einstufung bestimmt Reaktionszeit und Eskalationsweg.

Prioritaet	Beschreibung	Reaktionszeit	Eskalation
P1 — Kritisch	Datenpanne mit Wirkung auf mehrere Mandanten; vollstaendiger Systemausfall; aktive Ausnutzung einer Schwachstelle (laufender Angriff)	Sofort (24/7)	Incident Lead + GF sofort; Aufsichtsbehoerde innerhalb 72 h
P2 — Hoch	Datenpanne mit Wirkung auf einzelnen Mandanten; erhebliche Beeintraechtigung des Dienstes; vermuteter Einbruch (unbestaetigt)	Innerhalb 1 Stunde	Incident Lead innerhalb 1 h; GF innerhalb 2 h
P3 — Mittel	Geringfuegige Dienstunterbrechung mit Sicherheitsbezug; erkannter, gescheiterter Angriffsversuch; Richtlinienverstoß ohne Datenpanne	Innerhalb 4 Stunden	Incident Lead innerhalb 4 h; GF bei Bedarf
P4 — Niedrig	Informationell; erkannte Anomalie ohne unmittelbaren Schaden; Verbesserungsbedarf im Prozess identifiziert	Naechster Werktag	Incident Lead zur Kenntnis; Dokumentation

Die Einstufung kann jederzeit angehoben werden, wenn neue Informationen dies erfordern. Eine Herabstufung ist erst nach Bestaetigung der Eindaemmung zulaessig.

§ 4 Meldekette (72-Stunden-Frist nach DSGVO Art. 33)

Bei jedem Vorfall mit moeglicher Wirkung auf personenbezogene Daten laeuft ab dem Zeitpunkt der Ersterkennung eine 72-Stunden-Frist fuer die Meldung an die Aufsichtsbehoerde. Die folgende Zeitleiste ist verbindlich:

Zeitfenster	Massnahme
0 – 1 h	Ersterkennung und initiale Bewertung; Incident Lead benennen; Prioritaet festlegen; Incident-Kanal eroeffnen
1 – 4 h	Sofortmassnahmen zur Eindaemmung einleiten; initiale Schadensausmass-Abschaetzung; Betroffene Systeme und Datenkategorien vorlaeufig eingrenzen
4 – 24 h	Detaillierte Untersuchung; feststellen ob personenbezogene Daten betroffen sind und in welchem Umfang; forensische Sicherung
24 – 48 h	Meldung an die Aufsichtsbehoerde vorbereiten (Art. 33 DSGVO); Benachrichtigung betroffener Kunden vorbereiten
48 – 72 h	Meldung an LDI NRW einreichen (soweit personenbezogene Daten betroffen); betroffene Personen benachrichtigen, wenn hohes Risiko besteht (Art. 34 DSGVO)

Sicherheitsvorfaelle werden gemeldet an:
Landesbeauftragte fuer Datenschutz und Informationsfreiheit NRW (LDI NRW)
Online-Meldeportal: www.ldi.nrw.de

Interner Sicherheitskontakt: security@conport.services

§ 5 Provider-Kaskade (Provider Edition)

Die Aldric-Plattform wird auch als Provider Edition betrieben, bei der Kunden (Provider) ihrerseits Sub-Mandanten verwalten. Fuer diese Konstellation gilt folgende Kaskade:

CONPORT informiert den Provider-Kunden innerhalb von 24 Stunden nach Bestaetigung eines Vorfalls mit Wirkung auf dessen Mandantenumgebung — unabhaengig davon, ob die 72-Stunden-Frist noch laeuft.
Der Provider ist eigenverantwortlich fuer die Weiterleitung der Information an seine Sub-Mandanten gemaess seiner eigenen Datenschutzverpflichtungen.
CONPORT stellt dem Provider alle Informationen bereit, die fuer nachgelagerte Meldungen benoetigt werden: Zeitstempel, betroffene Datenkategorien, Betroffenenkreis (soweit ermittelbar), eingeleitete Massnahmen.
Provider-Kunden erhalten auf Anfrage Vorlagen fuer Betroffenenbenachrichtigungen (Art. 34 DSGVO), die an ihre Sub-Mandanten und deren Endnutzer angepasst werden koennen.

Die Verantwortlichkeiten zwischen CONPORT und dem Provider sind im Auftragsverarbeitungsvertrag (AVV) geregelt.

§ 6 Incident-Response-Team

Das Incident-Response-Team setzt sich aus folgenden Rollen zusammen. Fuer jede Rolle wird eine Vertretung benannt und im internen Verzeichnis gepflegt.

Rolle	Aufgabe
Incident Lead	Gesamtkoordination; Geschaeftsfuehrung oder benannte Vertretung; entscheidet ueber Eskalation und externe Meldung
Technical Lead	Technische Untersuchung und Eindaemmung; Entwickler oder Ops-Bereitschaft; forensische Sicherung
Legal / Compliance	Rechtliche Bewertung; Datenschutzbeauftragter (soweit bestellt); prueft Meldepflicht und formuliert Meldungen
Communications	Kundenkommunikation; Statusseite; interne Updates; koordiniert Presseaussagen falls erforderlich

§ 7 Eindaemmung und Behebung

7.1 Sofortmassnahmen (0 – 4 Stunden)

Betroffene Systeme oder Mandantenbereiche isolieren (Netzwerksegmentierung, Deaktivierung von Zugaengen)
Kompromittierte Zugangsdaten sofort sperren und rotieren
Systemzustand sichern (Snapshots, Logs) zur forensischen Nachvollziehbarkeit
Keine Loeschung von Logdaten bis zur Freigabe durch den Incident Lead

7.2 Kurzfristige Massnahmen (4 – 48 Stunden)

Schwachstelle schliessen (Patch, Konfigurationsaenderung, temporaere Abschaltung)
Wiederherstellung aus validiertem Backup, soweit Datenverlust eingetreten
Ueberwachung der betroffenen Systeme auf Folgeaktivitaet verstaerken
Betroffene Kunden ueber Statusseite und direkte E-Mail informieren

7.3 Langfristige Massnahmen (nach Eindaemmung)

Root-Cause-Analyse durchfuehren und dokumentieren
Dauerhafte Behebung implementieren und testen
Sicherheitsmassnahmen anpassen (siehe auch Sicherheitsrichtlinie)
Diesen Plan aktualisieren, falls Luecken identifiziert wurden

§ 8 Kommunikation

8.1 Intern

Sofort nach Klassifizierung: dedizierten Incident-Kanal eroeffnen (z. B. gesicherter Chat-Kanal)
Bei P1 und P2: Statusupdates alle 2 Stunden innerhalb des Incident-Teams
Vollstaendige Dokumentation aller Entscheidungen, Massnahmen und Zeitstempel

8.2 Kunden

Statusseite (status.aldric.app) wird unverzueglich aktualisiert
Direkte E-Mail-Benachrichtigung an betroffene Mandanten-Admins
Abschlussbenachrichtigung nach Behebung mit Zusammenfassung der Massnahmen

8.3 Aufsichtsbehoerde

Meldung an LDI NRW nach Art. 33 DSGVO, soweit personenbezogene Daten betroffen (Vorlage siehe § 9.1)
Ggf. Ergaenzungsmeldung, wenn nach der Erstmeldung neue Erkenntnisse vorliegen

8.4 Oeffentlichkeit

Oeffentliche Aussagen nur, wenn gesetzlich erforderlich oder nach Abwaegung kommunikativ geboten
Freigabe durch Incident Lead und rechtliche Pruefung vor Veroeffentlichung

§ 9 Template-Meldungen

9.1 Meldung an die Aufsichtsbehoerde (Art. 33 DSGVO)

An: Landesbeauftragte fuer Datenschutz und Informationsfreiheit NRW

Art der Verletzung: [Beschreibung, z. B. unbefugter Zugriff auf verschluesselte Kundendaten]
Zeitpunkt der Ersterkennung: [Datum, Uhrzeit]
Betroffene Datenkategorien: [z. B. E-Mail-Adressen, Vertragsdaten]
Betroffener Personenkreis (ca.): [Anzahl Betroffene / Mandanten]
Moegliche Folgen: [z. B. Identitaetsdiebstahl, Reputationsschaden]
Ergriffene Massnahmen: [z. B. Zugang gesperrt, Passwort-Reset, Patch eingespielt]
Ansprechpartner: CONPORT Services GmbH, Benjamin Schowe, security@conport.services

9.2 Benachrichtigung betroffener Personen (Art. 34 DSGVO)

Betreff: Wichtige Sicherheitsmitteilung zu Ihrem Aldric-Konto

Sehr geehrte Damen und Herren,

wir muessen Sie ueber einen Sicherheitsvorfall informieren, von dem auch Ihre Daten betroffen sein koennen.

Was ist passiert: [Kurze, verstaendliche Beschreibung]
Welche Daten betroffen sind: [Datenkategorien]
Was wir unternommen haben: [Massnahmen]
Was Sie tun sollten: [z. B. Passwort aendern, verdaechtige Aktivitaeten melden]

Bei Fragen erreichen Sie uns unter security@conport.services.

CONPORT Services GmbH, Alte Benninghofer Str. 24, 44263 Dortmund

§ 10 Nachbereitung

Jeder Vorfall ab Prioritaet P3 wird innerhalb von 5 Werktagen nach Abschluss in einem Post-Incident-Review aufgearbeitet. Das Review umfasst:

Vollstaendige Root-Cause-Analyse: Was hat den Vorfall ausgeloest?
Zeitleiste des Vorfalls und Bewertung der Reaktionsgeschwindigkeit
Lessons Learned: Was lief gut, was muss verbessert werden?
Massnahmenplan mit Verantwortlichen und Fristen
Aktualisierung der Sicherheitsrichtlinie und ggf. dieses Plans

Das Review-Dokument wird intern archiviert und ist auf Anfrage der Aufsichtsbehoerde vorzulegen (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht).

§ 11 Uebung und Tests

Ein ungetesteter Incident-Response-Plan ist kein Plan. CONPORT verpflichtet sich zu folgenden regelmaessigen Uebungen:

Jaehrliche Tabletop-Uebung: Simuliertes Szenario (z. B. Datenpanne P1) mit dem vollstaendigen Incident-Response-Team; Dauer ca. 2 Stunden; Ergebnisse werden dokumentiert und in Plan-Aktualisierungen eingearbeitet.
Halbjaehrlicher Test der Meldekette: Pruefung, ob alle Kontaktdaten aktuell sind und alle Teammitglieder erreichbar sind; Test der Kommunikationskanaele.
Jaehrliche Plan-Revision: Vollstaendige Ueberpruefung und ggf. Aktualisierung dieses Plans; Anpassung an geaenderte Infrastruktur, gesetzliche Anforderungen oder Erkenntnisse aus Vorfaellen.