Mit der Entdeckung eines Vorfalls bzw dem Erhalt einer Verdachtsmeldung beginnt die Aufarbeitungs- und Reaktionsphase. Es geht darum, zu untersuchen, ob sich entdeckte/gemeldete Vorfälle tatsächlich ereignet haben, und abzuklären, ob weiterer Handlungsbedarf besteht. Als potenzielle Ermittlungsmaßnahmen kommen etwa das Durchsuchen und die Auswertung von E-Mails, die Nachverfolgung von Datei- und Systemzugriffen sowie die Befragung von Mitarbeitern oder anderen Zeugen infrage. Je nach Art des Vorfalles kann es notwendig oder im Interesse des Unternehmens sein, weitere Aktionen zu setzen, wie zB eine Data Breach Notification an die DSB bzw an Betroffene oder eine Anzeige bei der Staatsanwaltschaft zu erstatten.
