Appearance
Runbook: Endpoint Recovery (Windows-Clients und Mobile Geräte)
Dieses Runbook beschreibt die Wiederherstellungsschritte für Endgeräte (Windows-Clients und mobile Geräte) der CERTANIA Holding GmbH nach einem Ausfall, Verlust oder einer Kompromittierung.
1. Zweck und Geltungsbereich
Dieses Runbook gilt für die Wiederherstellung oder Neueinrichtung von:
- Windows-Clients (Notebooks, Desktop-PCs)
- Mobilen Geräten (Smartphones, Tablets – iOS/Android)
Abgedeckte Szenarien:
- Geräteverlust oder -diebstahl
- Defektes oder nicht startfähiges Gerät
- Kompromittierung eines Endgeräts (Malware, Ransomware)
- Massenausfall mehrerer Endgeräte
2. Verantwortliche Rolle(n)
| Rolle | Person |
|---|---|
| Primäre Ausführung | IT-Leitung (Alexander Schedler) |
| Eskalation | Disaster Recovery Manager (Tina Turner) |
| Externe Unterstützung | IT-Dienstleister für Endgeräte Digiphant GmbH |
3. Voraussetzungen und benötigte Zugänge
- Microsoft Intune Admin Center:
https://intune.microsoft.com - Microsoft Entra Admin Center:
https://entra.microsoft.com - Ersatzgeräte: ⚠️ PLATZHALTER – Anzahl und Ablageort der Vorräte
- Hornet Security Backup für Endpunkt-Daten: Zugriff auf Backup-Konsole
⚠️ PLATZHALTER – Endpunkt-Backup-Konfiguration muss durch Alexander Schedler (ITL) bis [30.09.2026] geprüft und dokumentiert werden.
4. Schritt-für-Schritt Wiederherstellungsanleitung
Szenario A: Geräteverlust oder -diebstahl
- Gerät sofort remote löschen: Intune Admin Center → Devices → Gerät auswählen → Wipe
- Entra ID: Alle aktiven Sessions des betroffenen Geräts und Nutzers widerrufen
- Passwort des betroffenen Nutzers zurücksetzen
- MFA-Token des Nutzers überprüfen und ggf. zurücksetzen
- Ersatzgerät aus Vorrat bereitstellen
- Neugerät über Windows Autopilot oder manuelle Einrichtung provisionieren:
- Gerät mit M365-Konto verbinden (Azure AD Join / Entra ID Join)
- Intune-Richtlinien werden automatisch angewendet
- Benutzer kann auf alle Cloud-Daten (OneDrive, SharePoint, E-Mail) zugreifen
- Polizeiliche Anzeige bei Diebstahl prüfen
Szenario B: Defektes / nicht startfähiges Gerät
- Ersatzgerät aus Vorrat bereitstellen
- Neugerät mit M365-Konto des Benutzers verbinden (Entra ID Join)
- Intune-Richtlinien werden automatisch synchronisiert
- Benutzer-Daten aus OneDrive (automatische Synchronisation) verfügbar
- Spezielle Applikationen ggf. manuell nachinstallieren
Szenario C: Kompromittiertes Endgerät (Malware / Ransomware)
- Sofortmaßnahme: Gerät vom Netzwerk trennen (WLAN deaktivieren, Netzwerkkabel ziehen)
- Gerät nicht weiterverwenden – vollständige Neuinstallation erforderlich
- Remote-Wipe über Intune initiieren: Intune → Devices → Wipe
- Entra ID: Alle Sessions des betroffenen Geräts und Benutzers sperren
- Schadensanalyse: Welche Daten könnten kompromittiert sein?
- Falls Ransomware: Runbook 07_07 – Ransomware / Clean Room hinzuziehen
- Neugerät bereitstellen und gemäß Szenario B provisionieren
5. Erfolgskriterien und Validierungsprüfungen
Die Wiederherstellung gilt als erfolgreich, wenn:
- [ ] Neugerät mit M365-Konto verbunden und Intune-konform
- [ ] E-Mail, Teams, SharePoint und OneDrive erreichbar
- [ ] Alle Compliance-Richtlinien durch Intune angewendet
- [ ] MFA aktiv auf dem neuen Gerät
- [ ] Benutzer kann produktiv arbeiten
6. Fallback bei gescheiterter Wiederherstellung
Falls kein Ersatzgerät verfügbar ist:
- Benutzer kann temporär auf einem anderen Gerät über Web-Browser auf M365 zugreifen
- Prioritätsliste für Gerätebeschaffung erstellen (kritische Rollen zuerst)
- Externer IT-Dienstleister für Notfall-Beschaffung kontaktieren: Digiphant GmbH
7. Geschätzte Wiederherstellungszeit (RTO)
| Szenario | Geschätzter RTO |
|---|---|
| Geräteverlust – Remote Wipe + Ersatzgerät | 4–8 Stunden |
| Defektes Gerät – Ersatz + Provisionierung | 4–8 Stunden |
| Kompromittiertes Gerät – Clean + Neuprovisionierung | 8–24 Stunden |
Ziel-RTO gemäß BIA: 24 Stunden
Änderungshistorie
| Version | Datum | Autor | Änderung |
|---|---|---|---|
| 0.1 | 2026-02-24 | Alexander Schedler | Initiale Erstellung |
Dokumentensteuerung
| Feld | Wert |
|---|---|
| Dokumentenname | 07_04_Runbook-Endpoint-Recovery.md |
| Version | 0.1 |
| Status | Entwurf |
| Erstellt von | Alexander Schedler |
| Freigegeben von | – |
| Datum | 2026-02-24 |
| Nächste Überprüfung | 2027-02-24 |