Wir sind offiziell als qualifizierter APT-Response-Dienstleister nach §3 BSIG gelistet. Diese Anerkennung ist für uns nicht nur ein formaler Meilenstein, sondern bestätigt unseren Anspruch, Organisationen in den schwierigsten IT-Sicherheitslagen kompetent, strukturiert und verlässlich zu unterstützen.
Gezielte Angriffe sind keine theoretischen Szenarien. Wir sehen in unserer täglichen Arbeit, wie professionell Angreifer heutzutage vorgehen: verdeckt, mit validen Zugangsdaten und oft über lange Zeiträume hinweg. In solchen Situationen reicht kein Standard-Vorgehen. Es braucht Erfahrung, saubere Methodik und die Fähigkeit, auch unter Druck strukturiert zu arbeiten.
Für uns war immer klar: Incident Response ist kein Nebenprodukt eines Security-Portfolios, sondern ein Schwerpunkt. In den letzten Jahren haben wir viele Gespräche mit Organisationen geführt, die nach einem Sicherheitsvorfall nur eingeschränkt oder halbherzig von ihrem bisherigen Full-Service-Provider unterstützt wurden, oft mit improvisierten Prozessen, fehlender forensischer Methodik oder schlicht ohne die nötige fachliche Tiefe.
Gerade im Incident zählt jedoch nicht „ irgendwie reagieren“, sondern strukturiert, nachvollziehbar und technisch sauber zu arbeiten.
Fehler in der Incident Response können sehr teuer werden, nicht nur finanziell, sondern auch regulatorisch und reputativ. Wenn Systeme vorschnell neu aufgesetzt, Logs überschrieben oder Artefakte ungesichert gelöscht werden, gehen unter Umständen entscheidende Beweismittel verloren. Damit wird nicht nur die technische Aufklärung erschwert, sondern auch die rechtssichere Nachvollziehbarkeit. Die Verantwortung in dieser Phase ist enorm. Entscheidungen müssen unter Zeitdruck getroffen werden und trotzdem methodisch korrekt sein.
Unser Ansatz ist deshalb seit Anfang an schon, Incident Response als eine unserer Kernkompetenzen zu sehen. Mit eigenen Playbooks, erprobten Analyseverfahren, forensisch sauberem Vorgehen und einem klaren methodischen Rahmen. Genau dieser Fokus hat uns auch bei der Qualifikation als APT-Response-Dienstleister geholfen.
Aus unserer Sicht bedeutet APT-Response deutlich mehr als nur „den Angriff zu stoppen“ oder einen einzelnen Alarm abzuarbeiten. Entscheidend ist es den Vorfall im Zuge der Analyse vollständig zu verstehen. Nur wenn das Gesamtbild klar ist, lassen sich nachhaltige Schutzmaßnahmen ableiten.
Unser Ziel in der Incident Response ist deshalb immer die strukturierte Rekonstruktion des Angriffsverlaufs. Dabei beantworten wir unter anderem folgende Kernfragen:
Wir arbeiten dabei hypothesenbasiert und datengetrieben. Darunter versteht man, dass wir auf Basis erster Indikatoren Annahmen über den möglichen Angriffsweg bilden und diese anhand von Telemetrie, Logdaten, Systemartefakten und forensischen Spuren gezielt überprüfen. Diese neuen Erkenntnisse führen zu verfeinerten Hypothesen, bis sich ein belastbares Gesamtbild ergibt.
Dabei wird jeder Analyseschritt dokumentiert, jede Schlussfolgerung technisch begründet. Ergebnisse werden so aufbereitet, dass sie sowohl für technische Teams als auch für Management und Legal verständlich nutzbar sind.
Wenn wir in einen Sicherheitsvorfall gerufen werden, bringen wir Struktur in eine oft unübersichtliche Lage. Wir priorisieren, analysieren, sichern Spuren und leiten konkrete Maßnahmen ab. Unser Vorgehen ist dabei klar methodisch: Erst Lagebild, dann Hypothesen, dann gezielte technische Analyse und darauf aufbauend konkrete Handlungsempfehlungen.
Im Idealfall haben wir bereits im Vorfeld eine sogenannte Retainer-Vereinbarung getroffen. Dabei handelt es sich um ein vorab definiertes Stundenkontingent für Incident-Response-Leistungen. Ein solcher Retainer schafft nicht nur garantierte Reaktionszeiten, sondern auch organisatorische und rechtliche Klarheit. Gleichzeitig ermöglicht er vorbereitende Workshops, abgestimmte Kommunikationswege, definierte Eskalationspfade und einen gemeinsam festgelegten Response-Prozess. Im Ernstfall geht dadurch keine Zeit durch Vertrags- oder Freigabefragen verloren.
Es muss aber nicht immer ein „Major Incident“ sein. Wir sind nicht nur für den großen Krisenfall da. Viele Kunden nutzen uns auch bei kleineren Fragestellungen oder einzelnen Security-Events. Dazu gehören zum Beispiel:
Das ermöglicht es Kunden auch, die Zusammenarbeit mit uns zunächst im kleineren Rahmen zu testen, schnell und ohne große Einstiegshürde. Gerade diese frühen, kleineren Prüfungen helfen oft dabei, echte Vorfälle frühzeitig einzuordnen oder unnötige Eskalationen zu vermeiden.
Unabhängig davon, ob es sich um einen einzelnen Alert oder eine komplexe Angriffslage handelt, können Kunden von uns erwarten, dass wir strukturiert und transparent arbeiten. Dazu gehören:
Wir achten darauf, nicht nur technische Details zu liefern, sondern Entscheidungen zu ermöglichen. Wir übersetzen dafür Analyseergebnisse in klare Optionen mit Bewertung von Aufwand, Risiko und Wirkung.
Nach der akuten Phase endet unsere Arbeit in der Regel nicht. Wir unterstützen auch bei der Nachbereitung mit Root-Cause-Analysen, Verbesserungen der Detection-Regeln, Härtungsmaßnahmen und Lessons-Learned-Workshops. Ziel ist immer, dass der Kunde nach dem Vorfall messbar besser aufgestellt ist als zuvor.
Sprechen Sie mit uns über Ihre Incident Response Strategie. Wählen Sie dafür einen passenden Termin und buchen Sie ein kostenloses Erstgespräch direkt über unsere Website.
Termin auswählen
Vom Exploit bis zur Defense: Echte Security-Insights aus unserem SOC und Research-Lab
