Skip to main content
SLAs · Reaktionszeiten · Eskalation

BEKOM MANAGEDSecurity-Service-LevelsReaktionszeiten, Eskalation, Reporting

BEKOM definiert Security-SLAs nach Priorität – Reaktionszeiten für Sicherheitsvorfälle, Eskalationspfade und Inzidenz-Dokumentation im Service-Design-Dokument.

Vorgehensweise ansehen
Definierte Reaktionszeiten
Eskalationsstufen P1-P4
Inzidenz-Dokumentation
Security-Reporting
Security-SLAs im ÜberblickReaktionszeiten und EskalationReporting und TransparenzHäufige Fragen
Security-SLAs

Security-SLAs im Überblick

Sicherheitsvorfälle erfordern andere Service-Level-Vereinbarungen als klassische IT-Störungen. Während Infrastructure-SLAs Verfügbarkeitsziele und Reaktionszeiten für Server und Netzwerk regeln, adressieren Security-SLAs die spezifischen Anforderungen an Inzidenz-Response, Patch-Management und Eskalation bei sicherheitsrelevanten Ereignissen.

Sicherheitsvorfälle können geschäftskritische Prozesse wie Auftragsverarbeitung und Kundenbetreuung binnen Minuten beeinträchtigen, während unklare Eskalationswege bei Compliance-relevanten Ereignissen regulatorische Meldepflichten gefährden. Dokumentierte Security-SLAs schaffen die Betriebsvoraussetzung für auditfähige Incident-Response-Prozesse und standortübergreifende Sicherheitskoordination. → BEKOM MANAGED Security

BEKOM setzt Security-SLAs gemeinsam mit Ihrem Team um. Ausgangspunkt sind standardisierte Service-Level-Bausteine für Reaktionszeiten, Eskalationspfade, Patch-Fenster und Reporting. Im Security-Assessment werden diese Bausteine auf Ihre konkreten Anforderungen, Ihr Bedrohungsprofil und Ihre regulatorischen Vorgaben angepasst. Das Ergebnis ist eine individuelle Vereinbarung im Service-Design-Dokument, die in regelmäßigen Security-Reviews überprüft und weiterentwickelt wird.

Warum Security-SLAs sich von IT-SLAs unterscheiden

Sicherheitsvorfälle folgen einer anderen Dynamik als klassische IT-Störungen. Ein Angriff kann sich innerhalb kurzer Zeit ausweiten, Daten gefährden oder Geschäftsprozesse vollständig zum Stillstand bringen – unabhängig davon, ob die darunterliegende Infrastruktur technisch verfügbar ist.

Unterschiede zu Infrastructure-SLAs:

  • Priorität orientiert sich an der Bedrohungslage und dem potenziellen Schadensausmaß – nicht nur an der Anzahl betroffener Anwender
  • Eskalation erfolgt nach Security-spezifischen Kriterien: Art der Bedrohung, betroffene Datenklassifikation und regulatorische Meldepflichten
  • Patch-SLAs adressieren Schwachstellen nach Kritikalität – mit eigenem Zeitrahmen unabhängig vom regulären Change-Management
  • Dokumentation und Nachverfolgung unterliegen strengeren Anforderungen durch regulatorische Vorgaben und Audit-Pflichten

Ohne dedizierte Security-SLAs werden Sicherheitsvorfälle nach allgemeinen IT-Prioritäten behandelt – mit dem Risiko, dass kritische Bedrohungen nicht die erforderliche Aufmerksamkeit und Geschwindigkeit erhalten.

BEKOMs SLA-Struktur für Security-Services

BEKOM vereinbart Security-SLAs als eigenständigen Baustein innerhalb des Service-Design-Dokuments. Die Struktur umfasst drei Kernbereiche: Inzidenz-Reaktionszeiten nach Priorität, Patch-SLAs für Schwachstellen und Eskalationspfade mit definierten Kommunikationsregeln.

Kernbausteine:

  • Inzidenz-Prioritäten P1 bis P4 mit abgestuften Reaktionszeiten, die im Security-Assessment auf Ihre Umgebung abgestimmt werden
  • Patch-SLAs mit Zeitrahmen nach CVSS-Kritikalität – getrennt vom regulären Change-Management
  • Eskalationspfade mit definierten Kommunikationsintervallen und Ansprechpartnern pro Eskalationsstufe
  • Security-Reporting mit Inzidenz-Übersichten, Patch-Status und Compliance-Nachweisen

Die konkreten Zeitrahmen und Eskalationsstufen werden individuell im Security-Assessment ermittelt und im Service-Design-Dokument festgehalten.

Service-Levels

Reaktionszeiten und Eskalationsstufen

BEKOM definiert Reaktionszeiten für Sicherheitsvorfälle nach einem vierstufigen Prioritätsschema. Die Priorität richtet sich nach dem Schadensausmaß und der Bedrohungslage – nicht nach der Reihenfolge des Eingangs. Die konkreten Zeitrahmen pro Stufe werden im Security-Assessment ermittelt und im Service-Design-Dokument verbindlich festgelegt.

Inzidenz-Prioritäten und Reaktionszeiten

BEKOM klassifiziert Security-Inzidenzen nach vier Prioritätsstufen. Jede Stufe ist mit definierten Reaktionszeiten und Kommunikationsregeln verknüpft, die im Service-Design-Dokument dokumentiert werden.

Prioritätsstufen:

P1 – Kritisch: Aktiver Angriff, bestätigte Kompromittierung, Datenverlust oder unmittelbare Gefährdung geschäftskritischer Systeme. Höchste Reaktionspriorität mit sofortiger Eskalation

P2 – Hoch: Bestätigte Schwachstelle mit aktivem Exploit, verdächtige Aktivitäten mit hohem Schadenspotenzial oder Bedrohung regulatorisch sensibler Daten. Beschleunigte Reaktion mit zeitnaher Eskalation

P3 – Mittel: Sicherheitsrelevante Anomalien ohne bestätigte Kompromittierung, Schwachstellen mit mittlerem CVSS-Score oder Policy-Verstöße ohne unmittelbares Schadensrisiko

P4 – Niedrig: Informationelle Sicherheitsmeldungen, Konfigurationshinweise oder Compliance-Empfehlungen ohne akute Bedrohung

Die Reaktionszeit umfasst die qualifizierte Aufnahme des Inzidenzen durch einen Security-Spezialisten, die erste Bewertung und die Kommunikation der nächsten Schritte an Ihr Team.

Eskalationspfade und Kommunikation

Bei Sicherheitsvorfällen, deren Bearbeitung sich verzögert oder deren Auswirkung zunimmt, greifen definierte Eskalationsstufen. BEKOM dokumentiert im Service-Design-Dokument, welche Eskalationsstufe nach welchem Zeitintervall aktiviert wird.

Eskalationsstruktur:

Stufe 1 – Security-Analyst: Erste Bewertung, Triage und Einleitung von Sofortmaßnahmen. Kommunikation des aktuellen Stands an Ihr designiertes Ansprechteam

Stufe 2 – Security-Manager: Einbezug bei verzögerter Lösung, steigender Auswirkung oder Inzidenzen mit regulatorischer Relevanz. Koordination interner und externer Ressourcen

Stufe 3 – Delivery-Lead: Übergeordnete Koordination bei übergreifenden Inzidenzen, Abstimmung mit Ihrer Geschäftsleitung und Management der organisationsübergreifenden Kommunikation

Bei jeder Eskalationsstufe erhalten Sie ein strukturiertes Status-Update: aktueller Stand, durchgeführte Maßnahmen, Einschätzung der Bedrohungslage und geplanter nächster Schritt. Die Kommunikationsintervalle pro Prioritätsstufe werden im Service-Design festgelegt.

Patch-SLAs für Sicherheitslücken

Sicherheitsrelevante Patches folgen einem eigenen Zeitrahmen, der sich vom regulären Change-Management unterscheidet. BEKOM vereinbart Patch-SLAs nach der Kritikalität der Schwachstelle – bewertet anhand des CVSS-Scores und der konkreten Ausnutzbarkeit in Ihrer Umgebung.

Patch-Prioritäten:

Kritische Schwachstellen (CVSS 9.0+): Beschleunigte Behandlung nach definierten Zeitrahmen im Service-Design-Dokument, bei aktiv ausgenutzten Schwachstellen als Emergency Change

Hohe Schwachstellen (CVSS 7.0-8.9): Priorisierte Einplanung nach vereinbartem Zeitrahmen, koordiniert mit Ihrem Change-Management

Mittlere und niedrige Schwachstellen: Integration in den regulären Patch-Zyklus nach dokumentiertem Zeitplan

BEKOM dokumentiert den Patch-Status aller betriebenen Systeme im Security-Report. Der Report weist offene Schwachstellen, deren Kritikalität und den geplanten Patch-Zeitrahmen transparent aus.

Service-Levels

Reporting und Transparenz

Security-SLAs sind nur wirksam, wenn ihre Einhaltung regelmäßig gemessen, dokumentiert und gemeinsam bewertet wird. BEKOM integriert Security-Reporting als festen Bestandteil in den laufenden Betrieb.

Security-Reports und Kennzahlen

BEKOM stellt regelmäßige Security-Reports bereit, die den Status der vereinbarten Service-Levels transparent abbilden. Die Berichtsfrequenz und der Detailgrad werden im Service-Design-Dokument vereinbart.

Reporting-Umfang:

Inzidenz-Übersichten nach Priorität: Anzahl, Klassifikation und Reaktionszeiten pro Berichtszeitraum im Vergleich zum vereinbarten Ziel

Patch-Status: Offene Schwachstellen, durchgeführte Patches und ausstehende Maßnahmen nach Kritikalitätsstufe

Eskalationsübersicht: Anzahl und Verlauf eskalierter Inzidenzen mit dokumentierten Ergebnissen

SLA-Einhaltung: Zusammenfassung der vereinbarten Service-Levels und deren tatsächliche Einhaltung pro Kennzahl

Die Reports sind so aufgebaut, dass sie als Compliance-Nachweise für regulatorische Prüfungen und interne Audits verwendbar sind.

Inzidenz-Dokumentation und Nachverfolgung

Jeder Security-Inzidenz wird von BEKOM vollständig dokumentiert: Klassifikation, durchgeführte Maßnahmen, Ursachenanalyse und Empfehlungen zur Vermeidung künftiger Vorfälle. Die Dokumentation ist Bestandteil des Security-Reports und dient gleichzeitig als Audit-Trail.

Dokumentationsprozess:

Aufnahme und Klassifikation: Zeitpunkt, betroffene Systeme, Prioritätsstufe und erste Bewertung der Bedrohungslage

Maßnahmen-Protokoll: Chronologische Dokumentation aller durchgeführten Schritte von der Erkennung bis zum Abschluss

Ursachenanalyse: Identifikation der Schwachstelle oder des Angriffswegs, Bewertung der Wirksamkeit der Gegenmaßnahmen

Empfehlungen: Konkrete Maßnahmen zur Härtung der betroffenen Systeme und zur Vermeidung vergleichbarer Vorfälle

Bei Inzidenzen mit regulatorischer Relevanz dokumentiert BEKOM zusätzlich die Einhaltung von Meldepflichten und die Kommunikation mit zuständigen Aufsichtsbehörden.

Vertragliche Verankerung und Anpassung

Security-SLAs werden im Service-Design-Dokument als eigenständiger Abschnitt festgehalten und regelmäßig in Security-Reviews überprüft. Änderungen der Bedrohungslage, neue regulatorische Anforderungen oder Erweiterungen der betriebenen Security-Services können eine Anpassung der vereinbarten Service-Levels erfordern.

Vertragliche Regelungen:

Definierte Reaktionszeiten und Eskalationsstufen pro Priorität als verbindliche Leistungsziele

Service-Credits bei Unterschreitung der vereinbarten Ziele gemäß vertraglicher Regelung

Regelmäßige Security-Reviews zur gemeinsamen Bewertung der SLA-Einhaltung und Identifikation von Verbesserungspotenzialen

Formale Versionierung: Anpassungen werden dokumentiert, gemeinsam abgestimmt und im Service-Design versioniert

BEKOM behandelt Security-SLAs nicht als statische Vereinbarung, sondern als lebende Dokumente, die mit Ihrer Bedrohungslage und Ihren Anforderungen mitwachsen.

Häufige Fragen zu Security-SLAs

Was unterscheidet einen Security-SLA von einem Infrastructure-SLA?

Ein Infrastructure-SLA regelt Verfügbarkeitsziele und Reaktionszeiten für Server, Speicher und Netzwerk – die physische Betriebsgrundlage. Ein Security-SLA regelt Reaktionszeiten bei Sicherheitsvorfällen, Patch-Zeitrahmen für Schwachstellen und Eskalationspfade bei Bedrohungen. Die Unterscheidung ist relevant: Ein Server kann verfügbar sein, während eine kritische Schwachstelle die darauf betriebenen Systeme gefährdet. Security-SLAs adressieren diese sicherheitsrelevante Dimension ergänzend zu den bestehenden Infrastruktur- und Plattform-Vereinbarungen.

Wie werden Inzidenz-Prioritäten festgelegt?

BEKOM klassifiziert Security-Inzidenzen nach vier Prioritätsstufen (P1 bis P4), basierend auf dem Schadensausmaß und der Bedrohungslage. Die Bewertung berücksichtigt die Art der Bedrohung, die betroffene Datenklassifikation, die Anzahl gefährdeter Systeme und regulatorische Meldepflichten. Die konkreten Kriterien pro Prioritätsstufe werden im Security-Assessment ermittelt und im Service-Design-Dokument festgelegt. Bei Bedarf kann BEKOM die Priorität eines laufenden Inzidenzen anpassen, wenn sich die Bedrohungslage ändert.

Was kostet ein Security-SLA im Vergleich zum Eigenbetrieb?

Die Kostenstruktur eines Security-SLA hängt vom Umfang der betriebenen Security-Services, der Anzahl überwachter Systeme und den vereinbarten Reaktionszeiten ab. Der Eigenbetrieb erfordert laufende Investitionen in Security-Personal, Tooling und Prozesse – Fachkräfte für Inzidenz-Response und Vulnerability Management sind auf dem Arbeitsmarkt rar. BEKOM bietet Security-SLAs als Teil der Managed-Security-Services mit planbarer Monatspauschale. Im Security-Assessment erfasst BEKOM Ihre Anforderungen und erstellt ein Konzept mit transparenter Kostenstruktur.

Wie läuft die Eskalation bei einem kritischen Sicherheitsvorfall ab?

Bei einem P1-Inzidenz aktiviert BEKOM die höchste Eskalationsstufe nach den im Service-Design definierten Zeitintervallen. Der Security-Analyst nimmt die Inzidenz auf und leitet Sofortmaßnahmen ein. Bei Bedarf wird der Security-Manager hinzugezogen, der interne und externe Ressourcen koordiniert. Der Delivery-Lead übernimmt die übergeordnete Steuerung bei übergreifenden Inzidenzen. Ihr Team erhält bei jeder Stufe ein strukturiertes Update mit aktuellem Stand, Bedrohungseinschätzung und geplantem nächstem Schritt.

Welche Patch-Zeitrahmen gelten für kritische Schwachstellen?

BEKOM definiert Patch-SLAs nach der Kritikalität der Schwachstelle, bewertet anhand des CVSS-Scores und der konkreten Ausnutzbarkeit in Ihrer Umgebung. Kritische Schwachstellen (CVSS 9.0+) erhalten beschleunigte Behandlung nach dem im Service-Design festgelegten Zeitrahmen. Bei aktiv ausgenutzten Schwachstellen greift der Emergency-Change-Prozess. Die konkreten Zeitrahmen pro Kritikalitätsstufe werden individuell im Security-Assessment vereinbart und im Security-Report regelmäßig ausgewiesen.

Können Security-SLAs nachträglich angepasst werden?

Security-SLAs sind nicht statisch. Veränderte Bedrohungslagen, neue regulatorische Anforderungen oder eine Erweiterung der betriebenen Security-Services können eine Anpassung erfordern. BEKOM überprüft die vereinbarten Service-Levels in regelmäßigen Security-Reviews und schlägt bei Bedarf Anpassungen vor. Änderungen werden gemeinsam abgestimmt, formal im Service-Design-Dokument dokumentiert und versioniert, sodass beide Seiten die Vereinbarungshistorie nachvollziehen können.

Nächster Schritt: Security-Assessment anfragen

Der Einstieg beginnt mit der Analyse Ihrer Security-Anforderungen: Welche Systeme sind zu schützen, welche Reaktionszeiten sind erforderlich und welche regulatorischen Anforderungen bestehen.

Im Security-Assessment analysiert BEKOM Ihren aktuellen Ist-Zustand bei Reaktionszeiten und Eskalationsprozessen für sicherheitsrelevante Ereignisse. Sie erhalten eine konkrete Bestandsaufnahme Ihrer bestehenden Security-SLA-Struktur sowie eine Empfehlung für dokumentierte Service-Level-Vereinbarungen, die Ihre regulatorischen Anforderungen und Ihr spezifisches Bedrohungsprofil berücksichtigen. Das Ergebnis ist ein individuelles Service-Design für Security-SLAs mit klaren Reaktionszeiten, definierten Eskalationspfaden und strukturierten Reporting-Zyklen.

1

Assessment anfragen

Kontaktieren Sie BEKOM für ein unverbindliches Security-Assessment. Gemeinsam mit Ihrem Team erfasst BEKOM die zu schützende Umgebung, bestehende Security-Prozesse und Ihre Anforderungen an Reaktionszeiten, Eskalation und Reporting.

2

Security-SLA-Konzept erstellen

Auf Basis des Assessments entsteht ein dokumentiertes Security-SLA-Konzept: Reaktionszeiten nach Priorität, Patch-SLAs nach Kritikalität, Eskalationspfade und Reporting-Frequenz – abgestimmt auf die Bedrohungslage und die regulatorischen Anforderungen Ihrer Organisation.

3

Vereinbarung finalisieren

Nach Ihrer Freigabe des Konzepts entsteht die formale Security-SLA-Vereinbarung als Bestandteil des Service-Design-Dokuments: verbindliche Reaktionszeiten, definierte Eskalationsstufen und strukturiertes Security-Reporting – als Grundlage für den strukturierten Security-Betrieb durch BEKOM.