Vertragsmodell & Konditionen

Am Anfang steht das Vertragsmodell. Wir definieren eine Mindestvertragslaufzeit, üblich sind zwölf Monate mit Verlängerungsoption, den gewünschten Vertragsbeginn und ein Stundenguthaben, das zum Vertragsstart bereitsteht. Ein in der Praxis entscheidender Punkt ist die Frage, ob ungenutztes Kontingent verfällt oder in verwandte Leistungen wie Notfallübungen, Penetrationstests oder Härtungsberatung umgewandelt werden kann. Wir nehmen diese Umwandlungsoption als ausdrückliche Anforderung auf, damit ein vorfallfreies Jahr nicht zum reinen Kostenposten wird. Ebenso wird geregelt, welche Tochtergesellschaften oder Standorte der Retainer abdeckt.

Reaktion, SLA & Verfügbarkeit

Der Kern eines Retainers ist die garantierte Reaktion. Das Leistungsverzeichnis fordert eine durchgängige 24/7-Erreichbarkeit über eine dedizierte Notfall-Hotline, eine verbindliche Reaktionszeit bis zur qualifizierten Erstanalyse und, falls eine Remote-Analyse nicht ausreicht, eine garantierte Vor-Ort-Zeit im relevanten Raum. Servicesprachen Deutsch und Englisch sowie ein klar benannter Single Point of Contact sind verbindlich, nicht optional.

Wir unterscheiden außerdem zwischen einem Rahmenvertrag mit Service-Level und Bereitstellungspauschale und einem Modell ohne Fixkosten, damit Sie das zu Ihrem Schutzbedarf passende Modell ausschreiben können. Wie sich eine BSI-Qualifizierung als Eignungs- oder Wertungskriterium einsetzen lässt, erläutern wir im Leitfaden Incident-Response-Dienstleister auswählen.

Forensik- & Analyse-Services

Die forensische Tiefe entscheidet über die Qualität der Aufklärung. Das Leistungsverzeichnis listet Host-Forensik, Netzwerk-Forensik, Malware-Analyse und Cloud-Forensik, etwa für Microsoft 365, als nachzuweisende Kernkompetenzen, optional erweitert um Mobile- und OT-Forensik. Für jede Disziplin lässt sich die Zahl der zertifizierten Expertinnen und Experten abfragen. Besonders wichtig ist die gerichtsverwertbare Beweissicherung unter dokumentierter Chain of Custody.

Ebenso verankern wir die gesamte Spanne von Detection und Analyse über Eindämmung und Bereinigung bis zur Wiederherstellung sowie ein abschließendes Post-Incident-Review. Damit ist im Vertrag klar geregelt, dass der Dienstleister nicht nur analysiert, sondern bis zum Wiederanlauf des Normalbetriebs unterstützt.

Krisenmanagement & Spezialleistungen

Ein schwerer Vorfall ist immer auch eine Krise der Organisation. Wir nehmen daher Krisenkommunikation nach innen und außen, die Übernahme des Projektmanagements im Ernstfall sowie, bei Ransomware, die Begleitung von Verhandlung und gegebenenfalls Zahlungsabwicklung als gesonderte Leistungen auf. Optional lässt sich eine Krisenreaktionsübung ausschreiben, in der typische Szenarien wie Ransomware, Datenabfluss oder ein Produktionsstillstand nach einem Angriff auf die OT durchgespielt werden. Diese Trennung macht transparent, welche Fähigkeiten der Anbieter über die reine Forensik hinaus mitbringt.

Eignung, Nachweise & Referenzen

Für die Eignungsprüfung fragt das Leistungsverzeichnis die belastbaren Signale ab: die Qualifizierung als APT-Response-Dienstleister beim BSI nach § 3 BSIG, eine ISO/IEC-27001-Zertifizierung, Zertifizierungen und Größe des Incident-Response-Teams in der DACH-Region sowie Erfahrung mit vergleichbaren Branchen und mit KRITIS. Im deutschen Markt sind etwa secunet und die DCSO als BSI-qualifizierte Anbieter aktiv. Eine vollständige, fortlaufend gepflegte Marktübersicht aller Anbieter stellen wir als PDF zum Download bereit.

Eine BSI-Qualifizierung ist ein starkes, unabhängiges Qualitätssignal, ersetzt aber nicht die Prüfung der konkreten Verfügbarkeit im Ernstfall. Auch ein gelisteter Anbieter muss freie Kapazität, eine garantierte Reaktionszeit und Erfahrung mit Ihrem Vorfalltyp nachweisen.

Preisblatt: gestaffelte Stundensätze

Das Preisblatt bildet die Realität eines Incident-Response-Einsatzes ab. Statt eines pauschalen Tagessatzes trennen wir die Bereitstellungspauschale für die 24/7-Bereitschaft, das vorab vereinbarte Stundenguthaben und die Stundensätze im aktiven Vorfall, die sich nach Einsatzdauer staffeln lassen. Hinzu kommen Positionen für planbare Beratung außerhalb eines Vorfalls, für ein optionales Onboarding sowie für Reise- und Übernachtungskosten. Marktüblich liegen die Stundensätze qualifizierter Anbieter aktuell etwa zwischen 250 und 350 Euro. So werden Angebote über die reine Stundensatz-Zahl hinaus vergleichbar. Reale Vergabeunterlagen zu IT-Sicherheitsbeschaffungen finden Sie im Vergabe-Archiv.