How fast do you intervene?

Operative Response innerhalb von 30 Minuten of the call, 24/7. Initiale Eindämmung typically in the first 1-4 hours depending on the perimeter and the access level granted to the team. For Fortgale MDR customers, containment is already part of the active service.

Do I need to be a customer to call?

No. The Emergency line is open to anyone with an incident in progress, even non-Fortgale customers. We operate on NDA + emergency engagement letter, with a transparent retainer rate communicated before intervention.

Do you help with NIS2 CSIRT notification?

Yes. We support den Kunden in preparing the early warning to the nationales CSIRT innerhalb von 24 Stunden and the full notification innerhalb von 72 Stunden required by NIS2. We prepare the technical timeline, IoCs and impact analysis.

What do you do in the first 60 minutes?

Live triage: incident scoping, identification of compromised systems, network isolation where possible, volatile evidence collection, containment plan definition. All actions are documented for subsequent forensics and regulatory notifications.

Do you handle ransomware with ransom demand?

Yes. We handle technical containment and negotiation (variant analysis, decryption assessment, recovery from backup). We do not handle payment, which remains a customer decision with their legal team and any cyber insurance. Our standard recommendation is not to pay, except in specific cases.

IR · Operative Hotline 24/7/365

Sind Sie unter Angriff?

Jetzt anrufen. Operative Response innerhalb von 30 Minuten, initiale Eindämmung innerhalb von 4 Stunden. Die ersten 60 Minuten entscheiden über den Unterschied zwischen einem eingedämmten Vorfall und einer Krise.

+39 02 3659 8955 jetzt verfügbar · 24/7 IR-E-Mail info@fortgale.com

30 Min.Operative Response

1–4 hInitiale Eindämmung

24 / 72 hNIS2-CSIRT-Meldung

365 Tageauch Feiertage und Nächte

Vor dem Anruf · während wir kommen

Was Sie in den ersten 60 Minuten tun, ändert das Ergebnis.

60 Sekunden, um die für den Anruf nützlichen Informationen vorzubereiten, dann acht Aktionen, die Beweise erhalten und Schaden begrenzen, während das Fortgale-IR-Team bereits aktiviert wird. Auch eine korrekt ausgeführte Aktion verändert den Ausgang des Vorfalls.

Vor dem Anruf · 60 Sekunden Diese Informationen vorbereiten

Wann Sie die Anomalie bemerkt haben (ungefähre Uhrzeit)
Was Sie gesehen haben (Popup, EDR-Alert, verdächtige E-Mail, nicht erreichbare Systeme)
Wie viele Benutzer / Endpoints betroffen sind
Ob Sie NIS2-wesentlich, -wichtig oder außerhalb des Geltungsbereichs sind
Ob eine aktive Cyber-Versicherungspolice besteht
Wer der erreichbare Entscheidungs-Ansprechpartner ist

Haben Sie nicht alles? Trotzdem anrufen. Das Bild rekonstruieren wir gemeinsam.

Während wir kommen · 60 Minuten Acht sofort durchzuführende Aktionen

Nicht ausschalten

Kompromittierte Systeme nicht herunterfahren: Der flüchtige Speicher (RAM) enthält wichtige Beweise (Verschlüsselungs-Keys, aktive Prozesse). Wenn möglich vom Netzwerk isolieren (Kabel ziehen oder Quarantäne).

Sofort anrufen

Telefon in der Hand: Live mit einem Analysten zu sprechen, beschleunigt die Triage um Stunden. Jede verlorene Minute erweitert die kompromittierte Oberfläche.

Dokumentieren

Erkennungszeit notieren, beobachtete Indikatoren (Ransom-Note-Popup, verdächtige Mail, EDR-Alert), Personen, die die Anomalie bemerkt haben. Auch ein Blatt Papier reicht.

Nicht kommunizieren

Keine Ankündigungen über kompromittierte Unternehmenskanäle (Teams, E-Mail): Der Angreifer kann mitlesen. Out-of-Band-Kanal nutzen (Telefon, CISO-WhatsApp, SMS).

Logs erhalten

Wenn möglich automatische Log-Löschung deaktivieren. EDR, Firewall, AD, Mail Gateway: alles zählt. Keine Passwörter zurücksetzen, ohne sie vorher zu sichern.

Legal alarmieren

Rechtsabteilung und DSB sofort einbinden. Bei NIS2-wesentlich oder -wichtig hat die Early-Warning-Frist an das nationale CSIRT (24 Stunden) bereits begonnen.

Versicherung melden

Falls eine Cyber-Police aktiv ist, sofort aktivieren: Manche Policen verlangen Meldung innerhalb enger Fristen, um IR-Kosten zu decken.

Geschlossener Kreis

Wer weiß was? Informationen auf CISO, IT-Lead, Geschäftsführung, Legal beschränken. Keine externe Kommunikation, bis das Bild klar ist.

Was wir tun · Timeline

Vom Anruf bis zur Recovery: 30 Tage.

Das operative Modell von Fortgale folgt dem Standard NIST SP 800-61r2, integriert mit den NIS2-Meldepflichten und unserer proprietären Cyber Threat Intelligence zu Akteuren, die europäische Organisationen ins Visier nehmen.

0–4 Stunden

Eindämmung

Isolation kompromittierter Systeme, Sperrung verdächtiger Zugangsdaten, C2-Abschneidung, Unterbrechung der Angreifer-Kill-Chain. Ziel: die Blutung stoppen.

4–24 Stunden

Forensische Triage

Rekonstruktion des Initialvektors, Mapping der Lateral Movements, Identifikation exfiltrierter Daten. Vorbereitung der CSIRT-Early-Warning (NIS2 · 24h).

1–7 Tage

Eradikation

Backdoor-Entfernung, Rebuild kompromittierter Systeme aus sauberen Quellen, Perimeter-Hardening. Vollständige Meldung an das nationale CSIRT innerhalb von 72 Stunden.

7–30 Tage

Recovery & Lessons Learned

Schrittweise Wiederherstellung des Betriebs, verstärktes Monitoring, Abschlussbericht für Vorstand und Regulator, dauerhafte Hardening-Empfehlungen.

Notfall-Formular · Telefon-Alternative

Kein Anruf möglich? Hier ausfüllen.

Das Telefon ist immer der schnellste Kanal. Aber falls Sie gerade nicht anrufen können (Krisenmeeting, kompromittierte Infrastruktur, Zeitzone), füllen Sie das Formular aus: Ein Analyst meldet sich innerhalb von 15 Minuten bei den von Ihnen angegebenen Kontaktdaten.

Keine Passwörter, Log-Dumps oder sensiblen Daten im Formular: Wir nutzen einen verschlüsselten Kanal nach dem ersten Kontakt.

Das Formular ist mit einem 24/7-SOC-Alarm verbunden: Es erreicht die Telefone des Bereitschaftsteams, es liegt nicht in einer Warteschleife.

NIS2 · Umsetzung

Meldepflichten · 24h Early Warning · 72h vollständige Meldung

Wenn Sie eine NIS2-wesentliche oder -wichtige Einrichtung sind, haben Sie strenge Meldepflichten gegenüber dem nationalen CSIRT. Fortgale bereitet das technische Meldungspaket vor (Timeline, IoCs, Impact-Analyse) und unterstützt den NIS2-Ansprechpartner des Unternehmens in der Interaktion mit der nationalen Behörde.

Alle Leistungen → MDR entdecken → CTI entdecken →

Auch außerhalb des Notfalls · aktive Außenstelle

Bauen Sie die Cyber-Defense-Außenstelle vor dem Vorfall auf.

Eindämmung in 11 Minuten ist kein Glück: Es ist das Ergebnis eines bereits aktiven intel-driven MDR. Sprechen Sie mit unseren Analysten über ein Threat Briefing zu Ihrem Sektor.