Bildquelle: Pexels / Foto-ID 3184292 / https://www.pexels.com/photo/3184292/
Bei einem Sicherheitsvorfall denken Teams schnell an das Formular für die Meldung. Im Ernstfall entscheidet aber früher etwas anderes: Weiß der Betrieb, wer den Vorfall bewertet, wer die Uhr im Blick behält und welche Nachweise sofort gebraucht werden?
Regelwerke wie die NIS2-Richtlinie der Europäischen Union und der Digital Operational Resilience Act, kurz DORA, schaffen verbindlichere Anforderungen an Sicherheit, Steuerung und Vorfallmeldungen. NIS2 zielt auf ein höheres gemeinsames Cybersicherheitsniveau in wichtigen und wesentlichen Einrichtungen. DORA richtet sich an den Finanzsektor und verlangt unter anderem robuste Abläufe für digitale Betriebsstörungen. Für ITSM-Generalisten ist daran wichtig: Aus einer technischen Störung kann sehr schnell eine Governance-Aufgabe mit Fristen, Zuständigkeiten und Dokumentationspflichten werden.
Das Formular ist nicht der Anfang der Meldung
Ein Meldeformular wirkt wie ein klarer Startpunkt. In der Praxis beginnt der kritische Teil aber vorher. Zuerst muss jemand erkennen, ob eine Störung nur ein interner Betriebsfall ist oder ob sie als Sicherheitsvorfall, erheblicher Vorfall oder meldepflichtiges Ereignis bewertet werden muss. Diese Bewertung kann nicht erst dann improvisiert werden, wenn Fachbereich, IT-Betrieb, Security, Datenschutz, Rechtsbereich und Management gleichzeitig nach Antworten fragen.
Deshalb braucht der Betrieb eine Meldekette, die in Alltagssprache beschrieben ist. Wer nimmt die erste Einschätzung vor? Wer darf eine Eskalation auslösen? Wer entscheidet, ob externe Stellen, Kunden oder Dienstleister informiert werden müssen? Wer hält fest, welche Fakten gesichert sind und welche nur Verdacht bleiben? Ohne diese Rollen wird aus dem Formular ein spätes Sammelbecken für Unsicherheit.
Fristen brauchen eine betriebliche Uhr
Regulatorische Vorgaben arbeiten oft mit Zeitfenstern. Für den Betrieb reicht es aber nicht, eine Frist in einer Richtlinie zu kennen. Entscheidend ist, ab welchem Moment intern gezählt wird. Beginnt die Uhr beim ersten Alarm, bei der Bestätigung durch Security, bei der Managementinformation oder erst bei der formalen Einstufung? Wenn dieser Punkt unklar bleibt, verliert das Team gerade in der hektischen Anfangsphase wertvolle Zeit.
Ein praxistauglicher Ablauf trennt deshalb drei Dinge: technische Erstreaktion, fachliche Einstufung und formale Meldung. Der Service Desk darf weiter stabilisieren, Logdaten sichern und betroffene Nutzer unterstützen. Parallel muss aber ein klar benannter Vorfallverantwortlicher prüfen, ob die Meldepflicht berührt ist. Diese Trennung verhindert, dass alle auf das perfekte Lagebild warten, obwohl für die erste Meldung oft ein belastbarer Zwischenstand genügt.
Nachweise müssen während des Vorfalls entstehen
Nach dem Vorfall ist es zu spät, die wichtigsten Entscheidungen aus dem Gedächtnis zusammenzusuchen. Wer wann was wusste, welche Systeme betroffen waren, welche Maßnahmen gestartet wurden und warum eine Meldung erfolgt oder zunächst nicht erfolgt ist, muss laufend dokumentiert werden. Das ist keine Bürokratie am Rand, sondern ein Schutz für den Betrieb.
Eine gute Vorfalldokumentation enthält Zeitpunkte, Quellen, beteiligte Rollen, erste Auswirkungen, getroffene Maßnahmen, offene Annahmen und nächste Prüfschritte. Sie unterscheidet zwischen gesicherten Fakten und Vermutungen. Genau diese Unterscheidung hilft später bei Behördenkontakt, Kundenkommunikation, Managementbericht und interner Nachbereitung. Sie verhindert auch, dass eine frühe Fehleinschätzung unbemerkt zur offiziellen Wahrheit wird.
Dienstleister gehören in die Meldekette
Sicherheitsvorfälle enden selten an der eigenen Organisationsgrenze. Cloud-Plattformen, Managed Services, Softwareanbieter, Rechenzentren und externe Supportteams können Daten, Logquellen oder Wiederherstellungsmaßnahmen kontrollieren, die für die Einstufung entscheidend sind. Wenn diese Abhängigkeiten erst im Vorfall gesucht werden, wird die Meldung unnötig langsam und ungenau.
ITSM-Teams sollten deshalb schon im Normalbetrieb wissen, welche Dienstleister bei welchen Services eine Vorfallrolle haben. Dazu gehören Kontaktwege, Eskalationszeiten, verfügbare Protokolle, Informationspflichten und die Frage, wer Aussagen gegenüber Dritten koordiniert. Ein Vertrag allein reicht nicht. Der operative Meldeweg muss so greifbar sein, dass Bereitschaft, Service Desk und Security ihn im Stress nutzen können.
Übungen zeigen Lücken besser als Richtlinien
Eine Richtlinie kann sauber formuliert sein und trotzdem im ersten echten Vorfall scheitern. Deshalb sollte der Meldeweg regelmäßig geübt werden. Dafür braucht es nicht immer ein großes Krisenspiel. Schon ein kurzer Tabletop-Test mit einem realistischen Szenario zeigt, ob Rollen, Fristen, Kontakte, Vorlagen und Nachweise verstanden sind.
Wichtig ist, die Übung nicht nur technisch zu bewerten. Die zentrale Frage lautet: Kommt der Betrieb schnell genug zu einer belastbaren ersten Einschätzung und zu einer dokumentierten Entscheidung über die Meldepflicht? Wenn die Antwort unscharf bleibt, fehlt nicht nur ein Formularfeld. Dann fehlt ein betrieblicher Ablauf, der technische Reaktion, Governance und Kommunikation miteinander verbindet.
Der Service Desk braucht einfache Entscheidungsfragen
Der Service Desk muss aus einem Sicherheitsvorfall kein Rechtsgutachten machen. Er braucht aber klare Fragen, die früh die richtige Richtung öffnen. Sind sensible Daten betroffen? Ist ein kritischer Service gestört? Gibt es Hinweise auf unbefugten Zugriff? Ist ein Dienstleister beteiligt? Sind Kunden, Bürger oder interne Kernprozesse betroffen? Welche Uhrzeit gilt als erster belastbarer Hinweis?
Solche Fragen helfen, den Fall nicht zu klein und nicht zu groß einzuordnen. Sie geben dem Betrieb eine gemeinsame Sprache, bevor Spezialisten die Details prüfen. Genau darin liegt der Wert eines guten Meldewegs: Er macht aus dem ersten Chaos eine steuerbare Lage, ohne falsche Sicherheit zu versprechen.
Quellen und Einordnung: NIS2-Richtlinie der Europäischen Union, Europäische Kommission zur NIS2-Richtlinie, DORA-Verordnung der Europäischen Union, EIOPA zu DORA, EBA zu DORA. Stand der Quellenprüfung: 15.07.2026. Bildquelle: Pexels, Foto-ID 3184292.
