cyber-incident

star 872

Reagiert auf Cyber-Incidents (Ransomware, Datenleck, APT) – DSGVO-Meldepflichten, forensische Sicherung, Behördenstrategie, Strafverfolgung im Internal Investigations Praxis: prüft konkret die einschlägigen Tatbestandsmerkmale, Fristen, Belege und Rechtsprechung. Liefert priorisierten Output mit Norm-Pinpoints, Risikoampel und nächstem Arbeitsschritt.

Klotzkette By Klotzkette schedule Updated 6/6/2026
play_arrow Run Skill in Manus View GitHub

name: cyber-incident description: "Reagiert auf Cyber-Incidents (Ransomware, Datenleck, APT) – DSGVO-Meldepflichten, forensische Sicherung, Behördenstrategie, Strafverfolgung im Internal Investigations Praxis."

Cyber-Incident-Response und forensische Untersuchung

Arbeitsweg

  • Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
  • Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
  • Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
  • Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
  • Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

Rechtlicher Rahmen

Cyber-Incidents lösen eine Vielzahl von Rechtspflichten aus: DSGVO Art. 33 (Meldung binnen 72 Stunden bei Datenpanne, eur-lex.europa.eu), NIS2-Richtlinie (Meldepflicht für kritische Infrastrukturen und wichtige Einrichtungen, RL (EU) 2022/2555), BSI-Gesetz (§§ 8a, 8b BSIG) und ggf. sektorspezifische Pflichten (§ 25a KWG für Banken, bafin.de). Strafbarkeit der Täter nach §§ 202a ff. StGB; Ansprüche des Unternehmens aus §§ 823, 826 BGB.

Ziel dieses Skills

Strukturiert die unmittelbare Incident-Response, die forensische Beweissicherung und alle Meldepflichten bei einem Cyber-Incident.

Arbeitsprogramm

1. Incident-Klassifizierung

  • Ransomware: Verschlüsselung von Systemen; Erpressung; oft mit Datenexfiltration kombiniert.
  • APT (Advanced Persistent Threat): staatlich gesponserter Angreifer; langfristiger Zugriff auf Systeme.
  • Insider-Threat: Mitarbeiter oder ehem. Mitarbeiter mit Zugriff auf Systeme.
  • Phishing/BEC: Business E-Mail Compromise; Überweisungsbetrug.
  • Data Leak: unbeabsichtigte oder vorsätzliche Offenlegung personenbezogener Daten.

2. Sofortmaßnahmen (Incident-Response)

  • Netzwerktrennung kompromittierter Systeme (Containment); keine vollständige Abschaltung, wenn forensische Spuren auf flüchtigen Daten (RAM) verloren gehen würden.
  • Incident-Response-Team aktivieren (IT-Security, CISO, Anwalt, Kommunikation, Management).
  • BSI informieren (§ 8b Abs. 4 BSIG) bei kritischer Infrastruktur oder erheblichem Incident.
  • Logs sichern: alle relevanten Event-Logs, Netzwerk-Logs, Firewall-Logs mit Hash-Wert sichern.
  • Kein Löschen von Systemen vor forensischer Sicherung.

3. Forensische Untersuchung

  • Memory-Forensik: RAM-Dump vor Systemabschaltung; flüchtige Daten gehen bei Ausschalten verloren.
  • Disk-Forensik: Forensic Imaging aller betroffenen Systeme (vgl. inv-015-forensic-imaging).
  • Netzwerkanalyse: Firewall-Logs, DNS-Logs, Proxy-Logs; welche IPs kommuniziert, welche Daten exfiltriert?
  • Malware-Analyse: Reverse Engineering der Schadsoftware; Command-and-Control-Server identifizieren.
  • Timeline-Rekonstruktion: wann hat der Angreifer erstmals Zugriff erlangt?

4. DSGVO-Meldepflichten (Art. 33/34)

  • 72-Stunden-Frist: Meldung bei der Aufsichtsbehörde, auch wenn noch nicht alle Fakten bekannt sind; Updates möglich.
  • Inhalt der Meldung: Art der Verletzung, Kategorien und Anzahl betroffener Personen, Folgen, Maßnahmen.
  • Art. 34: Information der Betroffenen, wenn hohes Risiko für Rechte und Freiheiten.
  • DSB einbinden (Art. 37–39 DSGVO).

5. Sektorspezifische Meldepflichten

  • Banken/Finanzdienstleister: § 25a KWG, BaFin-Rundschreiben IT-Sicherheit, EZB-Meldung bei signifikanten IT-Vorfällen.
  • Kritische Infrastruktur: NIS2-Richtlinie (RL (EU) 2022/2555, eur-lex.europa.eu); Meldung innerhalb von 24 Stunden (Early Warning).
  • Energiesektor, Gesundheitssektor: eigene Meldepflichten nach Sektorrecht.

6. Strafverfolgung und behördliche Zusammenarbeit

  • Strafanzeige: §§ 202a, 202c, 303a, 303b StGB; ZAC (Zentrale Ansprechstelle Cybercrime der LKAs).
  • BKA: bei erheblichen Angriffen auf kritische Infrastruktur.
  • Europol/FBI: bei transnationalen Angreifern.
  • Beweise sichern für Strafverfolgung: Chain of Custody, Hash-Werte.
  • Lösegeld zahlen? Rechtliche Risiken: Sanktionsrisiko (OFAC), Geldwäscherisiko; keine Garantie der Entschlüsselung.

7. Remediation und Kommunikation

  • Systeme bereinigen und neu aufbauen (clean-room recovery).
  • Schwachstellen schließen, die den Incident ermöglicht haben.
  • Mitarbeiterkommunikation: was ist passiert, was tut das Unternehmen?
  • Kundenkommunikation: falls Kundendaten betroffen.
  • Pressekommunikation (vgl. inv-051-press-strategy): kontrollierte Information, keine Spekulation.

Normenregister

Norm Inhalt Quelle
Art. 33 DSGVO Datenpannen-Meldung eur-lex.europa.eu
§§ 8a, 8b BSIG BSI-Meldepflichten gesetze-im-internet.de
§§ 202a ff. StGB Computerstrafrecht gesetze-im-internet.de
RL (EU) 2022/2555 NIS2-Richtlinie eur-lex.europa.eu
§ 25a KWG IT-Sicherheit Banken gesetze-im-internet.de

Ausgabeformate

  • Incident-Response-Checkliste (Containment, Forensik, Meldung)
  • DSGVO-Meldungsvorlage Art. 33 (72-Stunden)
  • Forensik-Beauftragungstemplate für Cyber-IR
  • Behördenmeldungs-Matrix (BSI, BaFin, LKA, DSGVO-Behörde)
  • Kommunikationsplan (intern, Kunden, Presse)

Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.

Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill cyber-incident
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
More from Creator
Klotzkette
Klotzkette Explore all skills →