SEC-001: Security Incident Response Runbook

Status: Active
Owner: CTO + Development
Review Cycle: Quarterly
Last Updated: 2026-07-03


Overview

Dieses Runbook definiert das Vorgehen bei Sicherheitsvorfällen bei Cartly. Es deckt Data Breaches, unbefugten Zugriff, Systemkompromittierung und andere sicherheitsrelevante Vorfälle ab.

Kritische Fristen (gesetzlich):


1. Incident Classification

Severity Levels

Level Beschreibung Reaktionszeit Beispiel
SEV-1 Datenbreach, aktive Kompromittierung Sofort (24/7) User-DB gestohlen, API gehackt
SEV-2 Verdacht auf Zugriff, Partial Breach Innerhalb 4h (business hours) Unbefugter Login-Versuch, Phishing
SEV-3 Schwachstellen-Entdeckung, kein aktiver Angriff Innerhalb 24h Security Researcher meldet Bug

Incident Categories


2. Incident Response Workflow

┌─────────────────────────────────────────────────────────┐
│  1. DETECT & REPORT                                     │
│  → Wer hat den Vorfall entdeckt?                        │
│  → Wann wurde er entdeckt?                              │
│  → Welche Systeme sind betroffen?                       │
│  → Sofort: Incident-Kategorie und SEV festlegen          │
└─────────────────────────────────────────────────────────┘
                           ↓
┌─────────────────────────────────────────────────────────┐
│  2. CONTAIN                                             │
│  → Betroffene Systeme isolieren (Netzwerk, API-Keys)     │
│  → Passwörter / Sessions invalidieren                   │
│  → Logs sichern (forensische Beweise)                   │
│  → SEV-1: Sofort CPTO + CTO informieren                 │
└─────────────────────────────────────────────────────────┘
                           ↓
┌─────────────────────────────────────────────────────────┐
│  3. ASSESS                                             │
│  → Was wurde abgegriffen? (personenbezogene Daten?)      │
│  → Wie viele Personen sind betroffen?                     │
│  → Welche Datenkategorien? (Name, Adresse, Zahlungsdaten)│
│  → RIA (Risiko-Impact-Assessment) durchführen           │
└─────────────────────────────────────────────────────────┘
                           ↓
┌─────────────────────────────────────────────────────────┐
│  4. REMEDIATE                                           │
│  → Schwachstelle schließen                               │
│  → Systeme patchen / neu aufsetzen                      │
│  → Betroffene Credentials ersetzen                      │
│  → Temporary Workarounds bis Fix                        │
└─────────────────────────────────────────────────────────┘
                           ↓
┌─────────────────────────────────────────────────────────┐
│  5. NOTIFY (gesetzliche Pflichten)                      │
│  → Dauer: 72h ab Kenntnisnahme (DSGVO Art. 33)          │
│  → Aufsichtsbehörde (BNetzA / Landes-DSBE) benachrichtigen│
│  → Betroffene Personen informieren (falls Art. 34 zutrifft)│
│  → ggf. BSI melden (kritische Infrastruktur)            │
└─────────────────────────────────────────────────────────┘
                           ↓
┌─────────────────────────────────────────────────────────┐
│  6. POST-INCIDENT REVIEW                                │
│  → Root Cause Analysis (RCA)                            │
│  → Lessons Learned dokumentieren                        │
│  → Preventative Measures implementieren                 │
│  → Dieses Runbook bei Bedarf aktualisieren              │
└─────────────────────────────────────────────────────────┘

3. Kontakte & Eskalation

Interne Eskalationsmatrix

SEV Primary Secondary External
SEV-1 CTO (b999c0b2) DEV (9f66dba7)
SEV-2 DEV (9f66dba7) CTO (b999c0b2)
SEV-3 DEV (9f66dba7)

Externe Kontakte

Situation Kontakt 备注
DSGVO Meldepflicht (Art. 33) BNetzA: https://www.bundesdatenschutzbeauftragter.de/ 72h Frist
Datenschutzbeauftragter [Firmen-DSB — tbd] Bei Breach immer informieren
Bundesamt für Sicherheit BSI: https://www.bsi.bund.de/ Bei kritischer Infrastruktur
Law Enforcement Polizei / LKA Cybercrime Bei Verdacht auf Straftat

4. Evidence Collection (Forensik)

Sofort nach Detection sichern:

# 1. Logs exportieren (alle betroffenen Systeme)
cp /var/log/auth.log /secure-backup/auth.log.$(date +%Y%m%d)
cp /var/log/nginx/access.log /secure-backup/nginx-access.log.$(date +%Y%m%d)

# 2. Database Audit-Logs sichern
pg_dump --schema-only cartly > /secure-backup/schema.$(date +%Y%m%d).sql

# 3. Aktuelle User-Sessions / Tokens invalidieren
# (Befehle in Containment-Step)

# 4. Netzwerk-Flows sichern (falls zutreffend)
# Cloud Provider Console → VPC Flow Logs

# 5. Screenshot aller verdächtigen Aktivitäten
# (API-Logs, Dashboard-Zugriffe, etc.)

Preservation Chain


5. Melde-Templates

Template: Meldung an Aufsichtsbehörde (Art. 33 DSGVO)

An: [Aufsichtsbehörde]
Betreff: DSGVO Art. 33 Meldung — Datenschutzvorfall

1. Beschreibung des Vorfalls
   [Wann, was, wie entdeckt]

2. Art der personenbezogenen Daten
   [z.B. Name, Adresse, Email, Zahlungsdaten]

3. Kategorien und Anzahl betroffener Personen
   [Wie viele Personen sind betroffen?]

4. Kontaktdaten des Verantwortlichen
   Cartly — [Adresse]

5. Wahrscheinliche Folgen
   [Beschreibung der Risiken für Betroffene]

6. Ergriffene / geplante Maßnahmen
   [Was wurde unternommen zur Schadensbegrenzung]

Template: Benachrichtigung Betroffene (Art. 34 DSGVO)

Betreff: [Cartly] Wichtige Information zum Schutz Ihrer Daten

Sehr geehrte/r [Name],

wir informieren Sie gemäß DSGVO Art. 34 über einen Datenschutzvorfall:

1. Was ist passiert?
   [Kurze Beschreibung]

2. Welche Ihrer Daten sind betroffen?
   [Auflistung der Datenkategorien]

3. Was haben wir unternommen?
   [Maßnahmen zur Schadensbegrenzung]

4. Was können Sie tun?
   [Empfehlungen an die betroffene Person]

5. Kontakt für Rückfragen
   [DPO / Datenschutz-Kontakt]

Diese Benachrichtigung erfolgt, weil wir das Risiko für Ihre Rechte und Freiheiten 
als "wahrscheinlich hoch" einschätzen.

6. Incident Timeline Template

# Security Incident — [INC-YYYY-MM-DD-NNN]

## Basic Info
- **Incident ID:** INC-2026-XX-NNN
- **Severity:** [SEV-1/2/3]
- **Category:** [D1-D6]
- **Discovered:** YYYY-MM-DD HH:MM
- **Resolved:** YYYY-MM-DD HH:MM
- **Total Duration:** Xh Ym
- **Reported to Authority:** YYYY-MM-DD HH:MM (within 72h: YES/NO)
- **Affected Persons:** NNN

## Detection
- Wie wurde der Vorfall entdeckt?
- Wer hat ihn entdeckt?

## Containment Actions
- [ ] Action 1
- [ ] Action 2

## Impact Assessment
- Datenkategorien:
- Anzahl betroffener Personen:
- Geografische Reichweite:

## Root Cause
[TBD nach Investigation]

## Resolution
[TBD]

## Lessons Learned
1. [TBD]
2. [TBD]

## Action Items
- [ ] ACTION-1 (Owner: ?, Due: YYYY-MM-DD)
- [ ] ACTION-2 (Owner: ?, Due: YYYY-MM-DD)

7. Prevention Measures (Cartly-spezifisch)

Access Control

Monitoring

Data Protection


8. Erste-Hilfe-Checkliste bei SEV-1

□ 1. Ruhe bewahren — keine voreiligen Aktionen
□ 2. Sofort CTO + DEV informieren (Anruf, nicht nur Chat)
□ 3. Betroffene Systeme vom Netzwerk trennen (VPN / Firewall)
□ 4. Alle Sessions und API-Keys invalidieren
□ 5. Logs sichern (forensische Beweise)
□ 6. Timeline beginnen (wann wurde was entdeckt)
□ 7. 72h-Uhr starten — WANN wurde der Vorfall bekannt?
□ 8. NICHT systeme zurücksetzen bis forensik abgeschlossen
□ 9. Externe Hilfe (BSI, Anwalt) nur nach Rücksprache mit CTO
□ 10. Keine Informationen an Medien / Social Media ohne CEO-Freigabe

9. Post-Incident Review Checklist

Nach Abschluss jedes SEV-1/2:


Referenzen


Erstellt: 2026-07-03 von Documentation Agent (a66674bf)
Review: Quartalsweise durch CTO
Nächste Review: 2026-10-03