Incident Response
Erkennen. Eindämmen. Wiederherstellen. Ohne Panik.
Ops und SOC — alle die um 03:00 geweckt werden könnten.
03:17. Pager. Ein Kunde meldet unmögliche Charges. Logs zeigen eine unbekannte IP die 40 Minuten lang Prod-Daten liest. Du hast eine Stunde bis der CEO ein schriftliches Statement will. Dieser Track ist das 03:17-Reflex-Set.
Jeder Engineer denkt er kennt IR bis es passiert. Dann ist es Dread, Panik und drei Browser-Tabs mit veralteten Playbooks. Dieser Track installiert die Reflexe: triage ohne Evidence zu zerstören, contain ohne Produktion noch kaputter zu machen, kommunizieren ohne eine regulatorische Büchse der Pandora zu öffnen.
Auf die Warteliste
Wir shippen in Kohorten. Early-Access-Members bekommen Erstzugriff auf Missionen, Credentials und Sentinel-Mentor-Sessions.
Wöchentlicher Security-Report
Kritische CVEs, Fix-Anleitungen und Hardening-Tipps — kostenlos, jede Woche.
- ✦Direktzugang zu einem ehemaligen SOC-Analysten für 2 Stunden während der Beta
- ✦Vote welches Ransomware-Szenario zuerst shipped
- ✦Zugang zur privaten IR-Szenarien-Library vor Public-Release
- ✦Freie Tickets für den ersten ClawGuru Tabletop Day
Concrete outcomes. No lecture notes.
- 01Ein One-Page-IR-Playbook kalibriert zu deiner Teamgröße
- 02Ein Detection-Setup das echtes Signal von normalem Rauschen trennt
- 03Eine forensics-safe Containment-Prozedur (isoliere ohne Evidence zu kontaminieren)
- 04Eine Root-Cause-Methodik die das Post-Mortem überlebt
- 05DSGVO-+-NIS2-Meldefrist-Timing und -Templates
- 06Kunden- und interne Kommunikations-Templates bewertet von echter Comms-Profi
- 07Eine Tabletop-Übung die du wirklich zweimal pro Jahr durchführen wirst
- 08Eine Recovery-Prozedur getestet gegen ein simuliertes Ransomware-Event
- ▸On-Call-Engineers in jedem Prod-Team
- ▸Security-Team-of-One — kein SOC, trotzdem im Haken
- ▸CTOs von 5–50-Personen-Firmen
- ▸Alle die je das 'wir sollten einen IR-Plan haben' Gespräch hatten
NIS2 Artikel 23 mandatiert Meldung binnen 24h, 72h, und finalen Report binnen 1 Monat. DSGVO Artikel 33 mandatiert 72h. Track ship mit timing-konformen Meldetemplates plus Evidence-Chain die du für beide Regime brauchst.
Zwei Monate nach diesem Track hatten wir einen echten Incident. Der CEO fragte ob wir einen IR-Plan hätten. Ich hab das Doc aus Mission 1 geöffnet. Er sagte wörtlich 'das ist das Beste das du dieses Jahr gemacht hast'.
Defender III — Incident Response
10 Missionen + ein Live-Tabletop gegen einen simulierten Incident (Timer aktiviert, Multi-Stakeholder-Rollenspiel).
- ✓W3C Verifiable Credential — Incident Response
- ✓Template-Library: Playbooks, Runbooks, Comm-Templates, Meldebriefe
- ✓Early Access zum Runbook Generator (beschreibe Incident → bekomme fullgen Runbook)
- ✓Prioritätssitz in quartalsweisen Live-Tabletop-Discord-Events
Questions we already got.
Deckt das Ransomware spezifisch ab?+
Ja — dedizierte Mission inkl. Entscheidungsframework (zahlen vs nicht zahlen), Verhandlungs-Patterns und Recovery-Prozeduren.
Muss ich Security-Spezialist sein?+
Nein. Der Track nimmt an dass du ein Senior-Engineer bist der in IR gekippt wurde. Er lehrt die Reflexe, nicht die ganze Disziplin.
Welche Tools setzt das voraus?+
Tool-agnostisch. Die Playbooks funktionieren mit jeder Log-Pipeline (Loki, ELK, Datadog, CloudWatch, oder grep). Echte Beispiele pro Tool gezeigt.