Status: Active
Owner: CTO + Development
Review Cycle: Quarterly
Last Updated: 2026-07-03
Dieses Runbook definiert das Vorgehen bei Sicherheitsvorfällen bei Cartly. Es deckt Data Breaches, unbefugten Zugriff, Systemkompromittierung und andere sicherheitsrelevante Vorfälle ab.
Kritische Fristen (gesetzlich):
| Level | Beschreibung | Reaktionszeit | Beispiel |
|---|---|---|---|
| SEV-1 | Datenbreach, aktive Kompromittierung | Sofort (24/7) | User-DB gestohlen, API gehackt |
| SEV-2 | Verdacht auf Zugriff, Partial Breach | Innerhalb 4h (business hours) | Unbefugter Login-Versuch, Phishing |
| SEV-3 | Schwachstellen-Entdeckung, kein aktiver Angriff | Innerhalb 24h | Security Researcher meldet Bug |
┌─────────────────────────────────────────────────────────┐
│ 1. DETECT & REPORT │
│ → Wer hat den Vorfall entdeckt? │
│ → Wann wurde er entdeckt? │
│ → Welche Systeme sind betroffen? │
│ → Sofort: Incident-Kategorie und SEV festlegen │
└─────────────────────────────────────────────────────────┘
↓
┌─────────────────────────────────────────────────────────┐
│ 2. CONTAIN │
│ → Betroffene Systeme isolieren (Netzwerk, API-Keys) │
│ → Passwörter / Sessions invalidieren │
│ → Logs sichern (forensische Beweise) │
│ → SEV-1: Sofort CPTO + CTO informieren │
└─────────────────────────────────────────────────────────┘
↓
┌─────────────────────────────────────────────────────────┐
│ 3. ASSESS │
│ → Was wurde abgegriffen? (personenbezogene Daten?) │
│ → Wie viele Personen sind betroffen? │
│ → Welche Datenkategorien? (Name, Adresse, Zahlungsdaten)│
│ → RIA (Risiko-Impact-Assessment) durchführen │
└─────────────────────────────────────────────────────────┘
↓
┌─────────────────────────────────────────────────────────┐
│ 4. REMEDIATE │
│ → Schwachstelle schließen │
│ → Systeme patchen / neu aufsetzen │
│ → Betroffene Credentials ersetzen │
│ → Temporary Workarounds bis Fix │
└─────────────────────────────────────────────────────────┘
↓
┌─────────────────────────────────────────────────────────┐
│ 5. NOTIFY (gesetzliche Pflichten) │
│ → Dauer: 72h ab Kenntnisnahme (DSGVO Art. 33) │
│ → Aufsichtsbehörde (BNetzA / Landes-DSBE) benachrichtigen│
│ → Betroffene Personen informieren (falls Art. 34 zutrifft)│
│ → ggf. BSI melden (kritische Infrastruktur) │
└─────────────────────────────────────────────────────────┘
↓
┌─────────────────────────────────────────────────────────┐
│ 6. POST-INCIDENT REVIEW │
│ → Root Cause Analysis (RCA) │
│ → Lessons Learned dokumentieren │
│ → Preventative Measures implementieren │
│ → Dieses Runbook bei Bedarf aktualisieren │
└─────────────────────────────────────────────────────────┘
| SEV | Primary | Secondary | External |
|---|---|---|---|
| SEV-1 | CTO (b999c0b2) | DEV (9f66dba7) | — |
| SEV-2 | DEV (9f66dba7) | CTO (b999c0b2) | — |
| SEV-3 | DEV (9f66dba7) | — | — |
| Situation | Kontakt | 备注 |
|---|---|---|
| DSGVO Meldepflicht (Art. 33) | BNetzA: https://www.bundesdatenschutzbeauftragter.de/ | 72h Frist |
| Datenschutzbeauftragter | [Firmen-DSB — tbd] | Bei Breach immer informieren |
| Bundesamt für Sicherheit | BSI: https://www.bsi.bund.de/ | Bei kritischer Infrastruktur |
| Law Enforcement | Polizei / LKA Cybercrime | Bei Verdacht auf Straftat |
# 1. Logs exportieren (alle betroffenen Systeme)
cp /var/log/auth.log /secure-backup/auth.log.$(date +%Y%m%d)
cp /var/log/nginx/access.log /secure-backup/nginx-access.log.$(date +%Y%m%d)
# 2. Database Audit-Logs sichern
pg_dump --schema-only cartly > /secure-backup/schema.$(date +%Y%m%d).sql
# 3. Aktuelle User-Sessions / Tokens invalidieren
# (Befehle in Containment-Step)
# 4. Netzwerk-Flows sichern (falls zutreffend)
# Cloud Provider Console → VPC Flow Logs
# 5. Screenshot aller verdächtigen Aktivitäten
# (API-Logs, Dashboard-Zugriffe, etc.)
An: [Aufsichtsbehörde]
Betreff: DSGVO Art. 33 Meldung — Datenschutzvorfall
1. Beschreibung des Vorfalls
[Wann, was, wie entdeckt]
2. Art der personenbezogenen Daten
[z.B. Name, Adresse, Email, Zahlungsdaten]
3. Kategorien und Anzahl betroffener Personen
[Wie viele Personen sind betroffen?]
4. Kontaktdaten des Verantwortlichen
Cartly — [Adresse]
5. Wahrscheinliche Folgen
[Beschreibung der Risiken für Betroffene]
6. Ergriffene / geplante Maßnahmen
[Was wurde unternommen zur Schadensbegrenzung]
Betreff: [Cartly] Wichtige Information zum Schutz Ihrer Daten
Sehr geehrte/r [Name],
wir informieren Sie gemäß DSGVO Art. 34 über einen Datenschutzvorfall:
1. Was ist passiert?
[Kurze Beschreibung]
2. Welche Ihrer Daten sind betroffen?
[Auflistung der Datenkategorien]
3. Was haben wir unternommen?
[Maßnahmen zur Schadensbegrenzung]
4. Was können Sie tun?
[Empfehlungen an die betroffene Person]
5. Kontakt für Rückfragen
[DPO / Datenschutz-Kontakt]
Diese Benachrichtigung erfolgt, weil wir das Risiko für Ihre Rechte und Freiheiten
als "wahrscheinlich hoch" einschätzen.
# Security Incident — [INC-YYYY-MM-DD-NNN]
## Basic Info
- **Incident ID:** INC-2026-XX-NNN
- **Severity:** [SEV-1/2/3]
- **Category:** [D1-D6]
- **Discovered:** YYYY-MM-DD HH:MM
- **Resolved:** YYYY-MM-DD HH:MM
- **Total Duration:** Xh Ym
- **Reported to Authority:** YYYY-MM-DD HH:MM (within 72h: YES/NO)
- **Affected Persons:** NNN
## Detection
- Wie wurde der Vorfall entdeckt?
- Wer hat ihn entdeckt?
## Containment Actions
- [ ] Action 1
- [ ] Action 2
## Impact Assessment
- Datenkategorien:
- Anzahl betroffener Personen:
- Geografische Reichweite:
## Root Cause
[TBD nach Investigation]
## Resolution
[TBD]
## Lessons Learned
1. [TBD]
2. [TBD]
## Action Items
- [ ] ACTION-1 (Owner: ?, Due: YYYY-MM-DD)
- [ ] ACTION-2 (Owner: ?, Due: YYYY-MM-DD)
□ 1. Ruhe bewahren — keine voreiligen Aktionen
□ 2. Sofort CTO + DEV informieren (Anruf, nicht nur Chat)
□ 3. Betroffene Systeme vom Netzwerk trennen (VPN / Firewall)
□ 4. Alle Sessions und API-Keys invalidieren
□ 5. Logs sichern (forensische Beweise)
□ 6. Timeline beginnen (wann wurde was entdeckt)
□ 7. 72h-Uhr starten — WANN wurde der Vorfall bekannt?
□ 8. NICHT systeme zurücksetzen bis forensik abgeschlossen
□ 9. Externe Hilfe (BSI, Anwalt) nur nach Rücksprache mit CTO
□ 10. Keine Informationen an Medien / Social Media ohne CEO-Freigabe
Nach Abschluss jedes SEV-1/2:
Erstellt: 2026-07-03 von Documentation Agent (a66674bf)
Review: Quartalsweise durch CTO
Nächste Review: 2026-10-03