Verantwortet die Stabilisierung und Wiederherstellung von Servern, Storage, Netzwerk und Basisdiensten (z. B. AD, DNS, Mail) nach definierten Wiederanlaufplänen. Setzt technische Workarounds (z. B. Segmentierung, Ersatzsysteme) um, ohne eigenständig Sicherheitsprüfungen oder forensische Analysen durchzuführen.

Analysiert sicherheitsrelevante Ursachen und Auswirkungen des Vorfalls, leitet Sofortmaßnahmen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit ab. Stimmt sich eng mit CISO/ISB ab, ohne deren strategische Verantwortung zu übernehmen, und stellt sicher, dass Maßnahmen BSI-Grundschutz-konform sind.

Überwacht Systeme, Netze und Security-Events, erkennt Anomalien und liefert dem IT-Notfallteam eine laufend aktualisierte technische Lage. Erstellt und pflegt Alarmierungs- und Eskalationsmeldungen, ohne selbst Entscheidungen über Betriebsunterbrechungen oder Krisenkommunikation zu treffen.

Verantwortet Aufbau, Pflege und Aktivierung des IT-Notfallmanagements nach BSI‑Standard 200‑4 (Prozesse, Pläne, Übungen). Koordiniert die Gesamtbewältigung auf Prozessebene, achtet auf Einhaltung von RTO/RPO und Schnittstellen zum unternehmensweiten BCM, ohne selbst technische Maßnahmen zu steuern.

Protokolliert alle technischen Maßnahmen, Entscheidungen, Zeitpunkte und Abhängigkeiten während des IT-Notfalls. Sammelt Artefakte (Screenshots, Logs, Konfigurationen) geordnet und revisionssicher, ohne Bewertung der Inhalte, zur Nachbereitung, Lessons Learned und ggf. Audit/Forensik.

Stellt die Verfügbarkeit von Personal, Vertretungsregelungen und Betreuung der Mitarbeitenden sicher (z. B. Schichtplanung, Fürsorge, Zutrittsregelungen). Organisiert interne Ressourcen des Krisenstabs (Raum, Infrastruktur, Stabsdienst), ohne operative IT-Aufgaben zu übernehmen.

Erstellt und aktualisiert die übergreifende Lage (inkl. IT‑Lage, Geschäftsprozesse, Umfeld), konsolidiert Meldungen aus IT-Notfallteam, Fachbereichen und Externen. Bereitet Lagekarten, Lageberichte und Entscheidungsvorlagen auf, bewertet aber selbst keine Rechts- oder PR-Fragen.

Plant und steuert die operativen Maßnahmen zur Krisenbewältigung auf Organisationsebene (z. B. Priorisierung von Prozesswiederanläufen, alternative Verfahren). etzt Vorgaben des Krisenstabs in konkrete Aufträge an Linienorganisation und Notfallteams um, ohne technische Details selbst auszuführen.

Sichert materielle und organisatorische Ressourcen für Bewältigung und Aufrechterhaltung des Betriebs (z. B. Ersatz-Hardware, Räumlichkeiten, Catering, Transport). Koordiniert Beschaffung, Verträge und Lieferketten im Krisenfall, ohne Inhalte der IT- oder Kommunikationsarbeit zu bestimmen.

Verantwortet externe Kommunikation gegenüber Medien, Öffentlichkeit und ggf. Aufsichtsbehörden nach abgestimmter Kommunikationsstrategie. Formuliert Botschaften, Q&A und Statements, ohne eigenständig technische Details oder Schuldzuweisungen zu veröffentlichen.

Stellt Kommunikations- und Informationswege des Krisenstabs sicher (Telefon, Kollaborationstools, Ausweich-IKT) auch bei Ausfall der Primärsysteme. Betreibt und schützt die Krisenstabs-IKT, ohne zugleich operativ für die produktive IT-Infrastruktur verantwortlich zu sein.

Bewertet rechtliche Risiken, Meldepflichten (z. B. DSGVO, NIS, Aufsichtsbehörden) und Vertragsfolgen der Krise. Begleitet Entscheidungen zu externen Partnern, Ransomware-Verhandlungen und Beweissicherung, ohne operative Technik oder Kommunikation zu führen.

Trägt die Gesamtverantwortung für Informationssicherheit auf strategischer Ebene und berät Krisenstab und Management zu Sicherheitszielen und -risiken. Stellt sicher, dass Maßnahmen des Krisenstabs mit ISMS und BSI-Grundschutz vereinbar sind, greift aber nicht direkt in das Tagesgeschäft der IT-Administration ein.

Koordiniert operative Informationssicherheitsmaßnahmen, setzt Sicherheitsrichtlinien des CISO im Alltag um und ist zentraler Ansprechpartner für Sicherheitsvorfälle. Unterstützt bei Risikoanalysen, Bewertung von Sicherheitsmaßnahmen und Nachweis gegenüber Audits, ohne die Gesamtverantwortung des CISO zu übernehmen.

Überwacht Einhaltung datenschutzrechtlicher Vorgaben, bewertet Datenschutzverletzungen und begleitet Meldungen an Aufsichtsbehörden. Berät Krisenstab zu Betroffeneninformation, Datenminimierung und Dokumentation, ohne operative IT- oder Ermittlungsaufgaben zu übernehmen.

Protokolliert Sitzungen, Entscheidungen, Aufträge und Kommunikationsfreigaben des Krisenstabs formal und revisionssicher. Sammelt alle relevanten Unterlagen (Lageberichte, Pressemitteilungen, Entscheidungen), ohne deren Inhalte fachlich zu bewerten.

Koordiniert im Auftrag der Cyberversicherung die Incident-Response-Leistung, bündelt Kommunikation zwischen Versicherer, Kunde und externen Dienstleistern. Achtet auf richtlinienkonforme Maßnahmen und erforderliche Nachweise für Deckung und Regulierung, ohne die technische Einsatzleitung zu übernehmen.

Sichert und analysiert digitale Spuren beweissicher, rekonstruiert Tathergang und Angriffspfad, ohne Produktion oder Wiederanlauf zu priorisieren. Unterstützt Strafverfolgung und interne Aufklärung, arbeitet streng nach Forensik-Standards und getrennt von produktiven Wiederherstellungsaktivitäten.

Führt, sofern rechtlich zulässig und politisch gewollt, strukturierte Kommunikation mit Erpressenden, um Informationen, Fristen und ggf. Konditionen zu verhandeln. Handelt im engen Mandat von Management, Legal, CISO und ggf. Versicherer, entscheidet aber nicht eigenständig über Zahlung oder Nichtzahlung.

Organisiert im Ausnahmefall technische und regulatorische Abwicklung einer genehmigten Krypto-Zahlung (Wallets, KYC, Transfer, Nachweisführung). Stellt Nachvollziehbarkeit und Compliance-sichere Dokumentation der Transaktion sicher, ohne Verhandlungen zu führen oder die Entscheidung zur Zahlung zu treffen.

Prüft Systeme und Prozesse kontrolliert auf Schwachstellen, um aus Vorfällen abgeleitete Lessons Learned und Härtungsmaßnahmen zu verifizieren. Arbeitet außerhalb der akuten Notfallbewältigung mit klar definiertem Scope, ohne operative Incident-Response- oder Forensikaufgaben zu übernehmen.