Postmortems & Ursachenanalyse
Fügen Sie jeder abgeschlossenen Meldung eine private, strukturierte Ursachenanalyse hinzu — Ihr internes Prüfprotokoll, herunterladbar als Dossier-PDF pro Meldung.
Warum das zählt
Das Beheben einer Schwachstelle schließt den Vorgang mit dem Forscher ab, beantwortet aber nicht die Frage, die Ihr Auditor (und Ihr eigenes Team) als Nächstes stellt: Warum ist das passiert, und was haben wir geändert, damit es nicht wieder passieren kann? Ein Postmortem ist genau diese Antwort — einmal festgehalten und fürs Protokoll bewahrt.
Jede Meldung erhält ein Postmortem — eine private, strukturierte Ursachenanalyse, die vollständig in der Hand Ihres Teams liegt.
Important
Ein Postmortem ist ausschließlich intern. Es wird dem externen Forscher nie angezeigt und nie in ein Teilen mit Kollegen aufgenommen. Schreiben Sie offen über Systeme, Fehler und Personen — nichts davon verlässt Ihr Team.
Was hineingehört
Ein Postmortem kombiniert strukturierte Felder mit drei frei formulierten narrativen Abschnitten:
| Feld | Was es erfasst |
|---|---|
| Zusammenfassung | Einzeilige Beschreibung des Vorfalls |
| Schweregrad | Der Schweregrad des Vorfalls |
| Kategorie | Die Klasse der Ursache (z. B. Konfiguration, Code-Fehler, Prozesslücke) |
| Aufgetreten / Erkannt / Behoben | Zeitstempel dafür, wann das Problem begann, erkannt und behoben wurde |
| Zeit bis zur Behebung | Automatisch aus den Zeitstempeln für Auftreten und Behebung abgeleitet |
| Ursache | Was tatsächlich schiefging, unterhalb des Symptoms |
| Korrekturmaßnahmen | Was Sie geändert haben (oder ändern werden), um eine Wiederholung zu verhindern |
| Erkenntnisse | Was das Team mitnimmt — Prozesse, Werkzeuge, Verantwortlichkeiten |
Sie können außerdem Nachweisdateien anhängen — Screenshots, Logs, Links zum behebenden Commit oder Ticket.
Wenn Sie ein neues Postmortem öffnen, füllt Kit es vorab aus der Meldung: Schweregrad, der Behebungs-Zeitverlauf und eine Ausgangszusammenfassung sind bereits ausgefüllt, sodass Sie mit Kontext statt mit einem leeren Blatt beginnen.
Wer es verfassen kann
Jedes Mitglied Ihres CSIRT-Teams kann das Postmortem einer Meldung erstellen oder bearbeiten — es gibt keine gesonderte Admin-Hürde. Es ist überall dort verfügbar, wo die CSIRT-Meldungsverwaltung verfügbar ist, sodass jedes aktive Programm mit Meldungszugriff es nutzen kann.
Der Postmortem-Tab
Öffnen Sie eine Meldung und wählen Sie den Postmortem-Tab. Existiert noch keines, fordert Sie ein schloss-umrahmter Leerzustand auf, das erste zu verfassen. Erstellen und Bearbeiten erfolgen auf eigenen, seitenfüllenden Formularen, damit Sie genug Platz zum Schreiben haben.
Das Prüfprotokoll
Jeder Speichervorgang schreibt eine unveränderliche, einem Autor zugeordnete Revision — wer was wann geändert hat. Revisionen werden nie überschrieben oder gelöscht, sodass das Postmortem seine eigene Änderungshistorie mitführt. Jede Revision erscheint zudem im Zeitverlauf der Meldung neben Statusübergängen und Bewertungen und liefert Ihnen ein einziges chronologisches Protokoll des gesamten Vorfalls.
Das Dossier-PDF
Über den Postmortem-Tab können Sie ein Dossier-PDF pro Meldung herunterladen — die vollständige Meldung und ihr Postmortem in einer Datei. Das ist Ihr zeitpunktbezogenes Nachweisartefakt: legen Sie es in einen Audit-Ordner, hängen Sie es an ein Ticket oder reichen Sie es einem Auditor als vollständiges Protokoll eines einzelnen Vorfalls.
Compliance
Eine Ursachenanalyse pro Meldung ist genau das, was mehrere Frameworks verlangen:
- SOC 2 — erfüllt den Vanta-Nachweistest „Incident report or root cause analysis“. Siehe Vanta-Integration.
- ISO 22301:2019 — unterstützt die Business-Continuity-Anforderungen aus §10.1.1, §10.1.2 und §10.1.3 (Nichtkonformität, Korrekturmaßnahmen und kontinuierliche Verbesserung).
Note
Postmortem-Inhalte bleiben in Kit. Das Dossier-PDF wird bei Bedarf für Ihre Unterlagen erzeugt — nichts aus dem Postmortem wird an Vanta oder ein anderes verbundenes System übermittelt.
Mit KI verwalten
Zwei MCP-Tools ermöglichen es einem KI-Assistenten, Postmortems zu lesen und zu pflegen:
-
csirt_get_postmortem— liest das Postmortem einer Meldung, einschließlich der drei narrativen Abschnitte,time_to_fix_secondsundrevisions_count. -
csirt_set_postmortem— erstellt oder aktualisiert ein Postmortem (Upsert). Nur die übergebenen Felder werden geändert; die übrigen bleiben unberührt.
Vollständige Parameter und Berechtigungen finden Sie in der MCP-Tools-Referenz.
Wie geht es weiter
- Meldungen sichten — eine Meldung abschließen und dann ihr Postmortem festhalten
- Metriken und Exporte — SOC-2-Sammelnachweispakete neben Dossiers pro Meldung
- Vanta-Integration — gesichtete Schwachstellen in fortlaufende Compliance-Nachweise verwandeln