## Warum das zählt

Das Beheben einer Schwachstelle schließt den Vorgang mit dem Forscher ab, beantwortet aber nicht die Frage, die Ihr Auditor (und Ihr eigenes Team) als Nächstes stellt: *Warum ist das passiert, und was haben wir geändert, damit es nicht wieder passieren kann?* Ein Postmortem ist genau diese Antwort — einmal festgehalten und fürs Protokoll bewahrt.

Jede Meldung erhält **ein** Postmortem — eine private, strukturierte Ursachenanalyse, die vollständig in der Hand Ihres Teams liegt.

> [!IMPORTANT]
> Ein Postmortem ist **ausschließlich intern**. Es wird dem externen Forscher nie angezeigt und nie in ein [Teilen mit Kollegen](/docs/sharing-reports-with-peers) aufgenommen. Schreiben Sie offen über Systeme, Fehler und Personen — nichts davon verlässt Ihr Team.

## Was hineingehört

Ein Postmortem kombiniert strukturierte Felder mit drei frei formulierten narrativen Abschnitten:

| Feld | Was es erfasst |
|------|----------------|
| Zusammenfassung | Einzeilige Beschreibung des Vorfalls |
| Schweregrad | Der Schweregrad des Vorfalls |
| Kategorie | Die Klasse der Ursache (z. B. Konfiguration, Code-Fehler, Prozesslücke) |
| Aufgetreten / Erkannt / Behoben | Zeitstempel dafür, wann das Problem begann, erkannt und behoben wurde |
| Zeit bis zur Behebung | Automatisch aus den Zeitstempeln für Auftreten und Behebung abgeleitet |
| Ursache | Was tatsächlich schiefging, unterhalb des Symptoms |
| Korrekturmaßnahmen | Was Sie geändert haben (oder ändern werden), um eine Wiederholung zu verhindern |
| Erkenntnisse | Was das Team mitnimmt — Prozesse, Werkzeuge, Verantwortlichkeiten |

Sie können außerdem **Nachweisdateien** anhängen — Screenshots, Logs, Links zum behebenden Commit oder Ticket.

Wenn Sie ein neues Postmortem öffnen, **füllt Kit es vorab** aus der Meldung: Schweregrad, der Behebungs-Zeitverlauf und eine Ausgangszusammenfassung sind bereits ausgefüllt, sodass Sie mit Kontext statt mit einem leeren Blatt beginnen.

## Wer es verfassen kann

Jedes Mitglied Ihres CSIRT-Teams kann das Postmortem einer Meldung erstellen oder bearbeiten — es gibt keine gesonderte Admin-Hürde. Es ist überall dort verfügbar, wo die CSIRT-Meldungsverwaltung verfügbar ist, sodass jedes aktive Programm mit Meldungszugriff es nutzen kann.

## Der Postmortem-Tab

Öffnen Sie eine Meldung und wählen Sie den **Postmortem**-Tab. Existiert noch keines, fordert Sie ein schloss-umrahmter Leerzustand auf, das erste zu verfassen. Erstellen und Bearbeiten erfolgen auf eigenen, seitenfüllenden Formularen, damit Sie genug Platz zum Schreiben haben.

## Das Prüfprotokoll

Jeder Speichervorgang schreibt eine **unveränderliche, einem Autor zugeordnete Revision** — wer was wann geändert hat. Revisionen werden nie überschrieben oder gelöscht, sodass das Postmortem seine eigene Änderungshistorie mitführt. Jede Revision erscheint zudem im **Zeitverlauf** der Meldung neben Statusübergängen und Bewertungen und liefert Ihnen ein einziges chronologisches Protokoll des gesamten Vorfalls.

## Das Dossier-PDF

Über den Postmortem-Tab können Sie ein **Dossier-PDF pro Meldung** herunterladen — die vollständige Meldung *und* ihr Postmortem in einer Datei. Das ist Ihr zeitpunktbezogenes Nachweisartefakt: legen Sie es in einen Audit-Ordner, hängen Sie es an ein Ticket oder reichen Sie es einem Auditor als vollständiges Protokoll eines einzelnen Vorfalls.

## Compliance

Eine Ursachenanalyse pro Meldung ist genau das, was mehrere Frameworks verlangen:

- **SOC 2** — erfüllt den Vanta-Nachweistest *„Incident report or root cause analysis“*. Siehe [Vanta-Integration](/docs/vanta-integration).
- **ISO 22301:2019** — unterstützt die Business-Continuity-Anforderungen aus §10.1.1, §10.1.2 und §10.1.3 (Nichtkonformität, Korrekturmaßnahmen und kontinuierliche Verbesserung).

> [!NOTE]
> Postmortem-Inhalte bleiben in Kit. Das Dossier-PDF wird bei Bedarf für Ihre Unterlagen erzeugt — nichts aus dem Postmortem wird an Vanta oder ein anderes verbundenes System übermittelt.

## Mit KI verwalten

Zwei MCP-Tools ermöglichen es einem KI-Assistenten, Postmortems zu lesen und zu pflegen:

- `csirt_get_postmortem` — liest das Postmortem einer Meldung, einschließlich der drei narrativen Abschnitte, `time_to_fix_seconds` und `revisions_count`.
- `csirt_set_postmortem` — erstellt oder aktualisiert ein Postmortem (Upsert). Nur die übergebenen Felder werden geändert; die übrigen bleiben unberührt.

Vollständige Parameter und Berechtigungen finden Sie in der [MCP-Tools-Referenz](/docs/mcp-tools-reference).

## Wie geht es weiter

- [Meldungen sichten](/docs/triaging-reports) — eine Meldung abschließen und dann ihr Postmortem festhalten
- [Metriken und Exporte](/docs/metrics-and-exports) — SOC-2-Sammelnachweispakete neben Dossiers pro Meldung
- [Vanta-Integration](/docs/vanta-integration) — gesichtete Schwachstellen in fortlaufende Compliance-Nachweise verwandeln