Das Sicherheitsteam etabliert ein zentrales Portal, über das Mitarbeitende Vorfälle melden und Untersuchungen starten. Analysten nehmen Meldungen entgegen, klassifizieren sie und leiten standardisierte Reaktionsabläufe (Security-Orchestrierung und -Reaktion, SOAR) an. Sie binden Log-Quellen aus Systemen, Anwendungen und Cloud an, sammeln Beweise strukturiert und halten eine lückenlose Zeitachse je Fall. Forensiker exportieren Artefakte, sichern Hash-Werte und dokumentieren Entscheidungen für Prüfungen. Betriebsteams erhalten Aufgabenlisten und Rückmeldungen direkt im Portal. Nach Abschluss führen Verantwortliche eine Nachbesprechung durch und pflegen eine Wissensdatenbank mit Ursachen, Indikatoren und Gegenmaßnahmen. Das Portal nutzt verbreitete Ticket-, Log-Management- und Werkzeuge für Ablaufvorlagen; die Organisation definiert Rollen, Freigaben und Aufbewahrungsfristen. So verkürzen Teams die Reaktionszeit, vermeiden Doppelarbeit und schaffen Nachvollziehbarkeit über alle Schritte. Datenschutz und Rechtsabteilung legen Meldewege und Beweissicherung gemeinsam fest. Feste Kontaktpunkte zu Fachbereichen stellen sicher, dass Geschäftsprozesse geschützt bleiben und Kommunikation funktioniert. Pilot startet mit Phishing und Ransomware.