Nach einer Threat-Hunting-Mission ist man erschöpft. Die nächste Mission wartet bereits. Der Abschlussbericht muss fertig werden. In dieser Situation passiert meistens dasselbe: Die Nachbesprechung wird aufgeschoben, und findet nie statt. Das ist ein Fehler. Nicht weil sie eine formale Pflicht ist, sondern weil ohne sie nichts aus der Mission gelernt wird. Und weil das Wissen, das dabei verloren geht, beim nächsten Mal fehlt.
Was ist ein Hot Wash?
Ein Hot Wash ist eine strukturierte Nachbesprechung direkt nach einer Mission. Keine lange Sitzung, kein Management-Theater. Fünf Fragen, ehrlich beantwortet:
- Was war der Plan?
- Was ist tatsächlich passiert?
- Was hat funktioniert?
- Was hat nicht funktioniert?
- Was ändern wir beim nächsten Mal?
In der DHS-Studie beschreibt ein Team Lead den Prozess so: "We're constantly looking for how we can improve... So basically after every mission... we do a hot wash and we say: 'Okay, what could have gone better?'"
Das klingt selbstverständlich. In der Praxis passiert es selten.
Prozessänderungen gehören zwischen Missionen, nicht mittendrin
Ein Detail aus der Studie hat mich besonders angesprochen: Die befragten DHS-Teams führen Prozessänderungen bewusst nur zwischen Missionen ein, nie während einer laufenden Untersuchung. Der Grund ist direkt: "If you change the tactics too often, you are going to tire out your analysts... You're gonna get confused when you go to write the final report."
Das kenne ich aus eigener Erfahrung. Wenn mitten in einem Incident Response-Einsatz plötzlich die Dokumentationsstruktur wechselt oder neue Tools eingeführt werden, steigt der Fehleraufwand und die Kommunikation bricht zusammen. Der Bericht leidet darunter. Die Ergebnisse auch.
Der richtige Moment für Verbesserungen ist nach der Mission, und der Hot Wash ist der Mechanismus dafür.
Wer darf Änderungen vorschlagen?
In einem der untersuchten Teams kann jede Person mit Erfahrung Prozessänderungen einreichen: "everyone who had prior experiences... can submit edits." Das ist klug. Gute Erkenntnisse kommen nicht nur vom Team Lead. Sie kommen von der Person, die während der Mission gegen eine schlechte Toolkonfiguration gekämpft hat, oder von jemandem, der einen schnelleren Analyseweg gefunden hat.
Ein Hot Wash funktioniert nur, wenn er offen geführt wird. Keine Rechtfertigungen, keine Schuldzuweisungen. Nur: Was haben wir gelernt?
Das eigentliche Problem: Wissen sitzt in Köpfen, nicht in Prozessen
Die Studie nennt einen wichtigen Hintergrund: TH-Analysten beim DHS wechseln im Schnitt alle zwei Jahre die Position. Das ist keine Ausnahme, das ist der Normalzustand in der Branche. Jedes Mal, wenn jemand geht, verlässt ein Teil des operativen Wissens das Team mit ihnen.
Gute Prozesse mildern diesen Verlust. Der Hot Wash ist der Mechanismus, mit dem Wissen aus den Köpfen in die Dokumentation wandert. Was funktioniert hat, wird festgehalten. Was nicht funktioniert hat, wird geändert. Das neue Teammitglied in zwei Jahren hat damit eine realistischere Grundlage als ein generisches Handbuch.
Ich habe das in Incident-Response-Projekten direkt erlebt. After-Action-Reviews nach Ransomware-Vorfällen haben mehr operativen Wert als die meisten Sicherheitsschulungen, weil sie auf echten Ereignissen basieren. Das Prinzip ist dasselbe wie beim Hot Wash.
Warum kaum jemand es wirklich macht
Die Gründe sind immer die gleichen: zu wenig Zeit, die nächste Aufgabe wartet, der Bericht ist wichtiger. Das stimmt kurzfristig. Mittel- und langfristig zahlt ein Team, das keinen Hot Wash macht, einen anderen Preis: wiederholte Fehler, verlorenes Wissen, neue Mitarbeitende ohne brauchbare Orientierung.
Drei Fragen reichen als Minimum, wenn keine Zeit für alle fünf ist: Was hat funktioniert? Was nicht? Was ändern wir? Fünfzehn Minuten. Direkt nach der Mission, bevor die Erschöpfung die Erinnerung überschreibt.
Der Hot Wash ist kein administrativer Aufwand. Er ist der Mechanismus, mit dem ein Team besser wird.
Gregor Lyttek ist Security Architect & AI Strategist und Threat Hunter im Versicherungsumfeld.