Von Hakan Akcan · Reepa Solutions
Wenn ein IT-Sicherheits-Vorfall eintritt, entscheiden die ersten 24 Stunden über den Gesamtschaden. Mittelständische Unternehmen, die in dieser Zeit improvisieren müssen, verlieren in der Praxis durchschnittlich das Drei- bis Fünffache an direkten Folgekosten gegenüber Organisationen mit einem geübten Incident-Response-Plan. Dazu kommen DSGVO-Bußgelder bei verfehlten 72-Stunden-Meldefristen, NIS2-Sanktionen mit persönlicher Haftung der Geschäftsleitung und langfristiger Reputations-Schaden bei Kunden und Lieferanten. Diese Vorlage zeigt, welche Bausteine ein wirksamer IR-Plan enthält, welche gesetzlichen Meldepflichten in welcher Frist auslösen und mit welchen Retainer-Kosten Geschäftsführung und CFO planen sollten — pragmatisch geschrieben für Unternehmen mit 50 bis 2.000 Mitarbeitenden. Wie sich das Thema in die Gesamt-Sicherheits-Strategie einbettet, beschreibt ausführlich unser Cybersecurity-Guide für den Mittelstand.
Warum jeder Vorfall ohne IR-Plan teurer wird — DSGVO, NIS2 und Haftung
Der wirtschaftliche Schaden eines IT-Sicherheits-Vorfalls setzt sich aus mehreren Ebenen zusammen. Auf der direkten Seite stehen Betriebsunterbrechung, Wiederherstellungs-Kosten, externe Forensik, juristische Beratung und gegebenenfalls Lösegeld-Zahlungen. Bei Ransomware-Vorfällen in mittelständischen Unternehmen sind Gesamtschäden zwischen 200.000 und 4 Millionen Euro in den letzten Jahren regelmäßig dokumentiert. Diese Spanne hängt fast ausschließlich davon ab, wie schnell und geordnet das Unternehmen reagieren kann — nicht von der technischen Tiefe des Vorfalls.
Auf der regulatorischen Seite wirken drei Verstärker. Erstens die DSGVO mit Artikel 33: Sobald personenbezogene Daten betroffen sein können, läuft eine 72-Stunden-Frist zur Meldung an die zuständige Datenschutz-Aufsicht. Verfehlte Fristen werden in der Praxis als eigenständiger Verstoß sanktioniert — unabhängig vom eigentlichen Vorfall. Bußgelder im sechsstelligen Bereich allein für die verspätete Meldung sind bei deutschen Aufsichtsbehörden dokumentiert. Zweitens NIS2, das seit Oktober 2024 in Kraft ist und für besonders wichtige sowie wichtige Einrichtungen gestaffelte Meldepflichten einführt: 24 Stunden für die Frühwarnung, 72 Stunden für die formelle Meldung, ein Monat für den Abschlussbericht. Geschäftsleitungen haften persönlich für die Einhaltung — Versicherungs-Lösungen für diese persönliche Haftung sind teuer und keinesfalls Standard. Drittens sektor-spezifische Aufsichten: BaFin für Finanzdienstleister, BSI für Betreiber kritischer Infrastrukturen, Bundesnetzagentur für Telekommunikation und Energie. Diese Fristen laufen oft parallel zueinander.
Auf der dritten Ebene wirkt der Reputations-Schaden gegenüber Kunden, Lieferanten und Versicherern. Lieferanten-Audits zu Cyber-Sicherheit sind heute Standard in Industrie, Logistik, Gesundheit und Automotive — wer einen Vorfall ohne dokumentierten IR-Plan und ohne Meldung in fristgerechter Form aufarbeiten musste, verliert in Ausschreibungen Punkte oder ganze Aufträge. Cyber-Versicherer wiederum verlangen heute fast immer den Nachweis eines geübten IR-Plans als Voraussetzung der Police. Wer keinen vorweisen kann, zahlt höhere Prämien oder bekommt im Schadenfall reduzierte Leistung. Tiefer zur regulatorischen Seite siehe unseren Cluster NIS2-Richtlinie Mittelstand.
Die sechs Pflicht-Bausteine eines wirksamen IR-Plans
Ein IR-Plan ist nicht ein 200-seitiges Handbuch, das im Ernstfall niemand liest. Er ist eine kompakte Arbeits-Anleitung mit klar zugeordneten Verantwortlichkeiten. In der Praxis lassen sich sechs Bausteine identifizieren, die in einem mittelständischen Unternehmen unverzichtbar sind. Was die einzelnen Bausteine konkret enthalten müssen, klären wir im Folge-Schritt mit Ihrem Team oder einem Berater.
- Rollen-Matrix mit VertretungenWer ist Incident Commander, wer dokumentiert, wer kommuniziert nach außen, wer entscheidet über Geschäfts-Unterbrechungen? Jede Rolle braucht eine Hauptbesetzung und mindestens eine Vertretung — sonst fällt der Plan an einem Urlaub oder einem Krankheits-Fall aus.
- Kommunikations-Kette mit 24/7-ErreichbarkeitTelefonnummern, Notfall-E-Mail-Adressen, ein gesicherter Out-of-Band-Kanal außerhalb der eigenen Mail-Infrastruktur. Wenn die eigene Mail durch den Vorfall betroffen ist, darf die Kommunikation nicht zusammenbrechen. Externe Stakeholder — Datenschutz-Aufsicht, BSI-Kontakt, Cyber-Versicherer, IT-Forensiker, Anwaltskanzlei — müssen vorab erfasst sein.
- Eskalations-Workflow mit klaren SchwellwertenAb wann wird ein Vorfall zum Incident? Ab wann eskaliert es an die Geschäftsleitung? Ab wann an externe Behörden? Ohne klare Schwellwerte werden in der Praxis entweder zu viele Vorfälle eskaliert — und das Management stumpft ab — oder zu wenige, und kritische Fälle bleiben unter dem Radar.
- Meldepflichten-Block mit FristenEine Tabelle mit allen relevanten Aufsichten, ihren Fristen, den jeweiligen Meldewegen und den Vorlage-Texten für die Erstmeldung. Im Ernstfall ist keine Zeit, sich die richtigen Formulierungen erst auszudenken — vorformulierte Bausteine in der eigenen Kommunikation sparen Stunden.
- Wiederherstellungs-Konzept mit Recovery-ZielenRTO (Recovery Time Objective) und RPO (Recovery Point Objective) je Geschäftsprozess. Welche Systeme dürfen wie lange ausfallen, welcher Datenverlust ist tolerierbar? Diese Werte steuern die Reihenfolge der Wiederherstellung und werden von der Geschäftsleitung festgelegt, nicht von der IT.
- Übungs- und Review-RhythmusMindestens eine Tabletop-Übung pro Jahr, mindestens eine vollwertige technische Übung alle zwei Jahre, vierteljährliche Review-Runden zur Aktualisierung von Kontakten und Verantwortlichen. Ein nicht geübter Plan ist im Ernstfall fast immer wertlos.
Gesetzliche Meldepflichten im Überblick
Die folgende Tabelle fasst die wichtigsten Meldepflichten zusammen, die bei einem IT-Sicherheits-Vorfall in einem mittelständischen Unternehmen ausgelöst werden können. Sie ersetzt keine juristische Einzelfall-Prüfung, sondern dient als Einstieg für die Vorstands-Kommunikation und die Vorbereitung des Plans.
| Pflicht | Auslöser | Frist ab Kenntnis | Adressat |
|---|---|---|---|
| DSGVO Artikel 33 | Verletzung personenbezogener Daten | 72 Stunden | Zuständige Datenschutz-Aufsicht |
| DSGVO Artikel 34 | Hohes Risiko für Betroffene | unverzüglich | Betroffene Personen direkt |
| NIS2 Frühwarnung | Erheblicher Sicherheits-Vorfall | 24 Stunden | Zuständige nationale Stelle (BSI in DE) |
| NIS2 Meldung | Erheblicher Sicherheits-Vorfall | 72 Stunden | Zuständige nationale Stelle |
| NIS2 Abschlussbericht | Erheblicher Sicherheits-Vorfall | 1 Monat | Zuständige nationale Stelle |
| BSI-Gesetz §8b | KRITIS-Betreiber, erheblicher Vorfall | unverzüglich | BSI direkt |
| BaFin / MaRisk AT 7.2 | Finanzdienstleister, IT-Vorfall | unverzüglich, max. 4h | BaFin |
| Cyber-Versicherer | Versicherter Vorfall | i.d.R. 24-48h | Vertraglich vereinbart |
Mehrere Fristen laufen parallel — eine Ransomware-Verschlüsselung mit Daten-Abfluss in einem KRITIS-Unternehmen löst gleichzeitig DSGVO-Meldung (72h), NIS2-Frühwarnung (24h), NIS2-Meldung (72h), BSI-Meldung (unverzüglich) und Versicherer-Meldung (vertraglich) aus. Wer ohne vorbereitete Vorlage in einen solchen Mehrfach-Fall hineinläuft, verliert die ersten Stunden mit Verwaltungs-Arbeit, während die technische Eindämmung verzögert wird. Genau das verhindert ein vorbereiteter IR-Plan.
Eskalations-Workflow und Recovery-Stufen
Der Eskalations-Workflow ist das organisatorische Rückgrat des Plans. Er beschreibt, ab welchem Schweregrad welche Personen einbezogen werden — und vor allem, wer welche Entscheidungen treffen darf. In der Praxis hat sich ein dreistufiges Modell bewährt: Stufe 1 sind operative IT-Störungen ohne Sicherheits-Komponente, sie werden vom Service Desk bearbeitet. Stufe 2 sind sicherheits-relevante Ereignisse mit begrenztem Umfang — etwa ein einzelner Phishing-Klick mit verdächtiger Aktivität auf einem Arbeitsplatz. Hier übernimmt das IT-Sicherheits-Team mit definierten Eindämmungs-Maßnahmen. Stufe 3 sind echte Sicherheits-Vorfälle mit potenzieller Auswirkung auf personenbezogene Daten, Geschäfts-Kontinuität oder Compliance — hier wird die Geschäftsleitung einbezogen, der externe Forensik-Dienstleister zugeschaltet und der Meldepflichten-Block aktiviert.
Die Recovery-Stufen sind das Gegenstück auf der Wiederherstellungs-Seite. Welche Geschäfts-Prozesse müssen zuerst wieder laufen? In einem produzierenden Mittelständler ist das oft die Produktions-Steuerung mit Anbindung an Logistik und Versand, gefolgt von ERP und Kundenkommunikation, dann erst Stand-Office-Funktionen wie interne Kollaboration. Die Reihenfolge ergibt sich aus den RTO- und RPO-Werten je Prozess — die Geschäftsleitung legt diese Werte fest, nicht die IT. Eine eigene Beobachtung aus mehreren Reepa-Mandaten: in über der Hälfte der mittelständischen Unternehmen, die wir vor einem Vorfall beraten haben, war die Differenz zwischen den RTO-Wünschen der Fachabteilungen und der tatsächlich umgesetzten Backup-Strategie der größte Risiko-Befund — größer als jede einzelne technische Schwachstelle.
Kostenloser Quick-Check Ihres bestehenden IR-Plans
Sie haben bereits einen Incident-Response-Plan, sind sich aber unsicher, ob er im Ernstfall trägt? Wir bieten einen kostenlosen Quick-Check an: 30 bis 45 Minuten strukturiertes Gespräch entlang der sechs Pflicht-Bausteine, eine kompakte schriftliche Auswertung mit Ampel-System und einer klaren Empfehlung, an welchen Stellen eine Anpassung sinnvoll ist.
Kostenloser IR-Plan-Quick-Check
Ein kompakter Einstieg ohne Kosten und ohne Verpflichtung. Sie erhalten eine fundierte Außensicht auf Ihren bestehenden Plan und konkrete Empfehlungen, welche Bausteine Priorität haben.
Kostenlosen IR-Plan-Quick-Check anfordernTabletop-Übungen — was bringen sie wirklich
Eine Tabletop-Übung ist eine moderierte Simulation eines Vorfalls am Konferenz-Tisch — ohne technische Eingriffe, ohne reale Systeme, nur mit dem Plan, den Beteiligten und einem realistischen Szenario. Klingt wenig spektakulär, ist aber das wirksamste einzelne Instrument zur Plan-Verbesserung. In einer dreistündigen Übung werden in der Praxis durchschnittlich 12 bis 25 konkrete Schwachstellen aufgedeckt: fehlende Notfall-Nummern, unklare Entscheidungs-Befugnisse, widersprüchliche Verantwortlichkeiten zwischen IT und Datenschutz, falsche Annahmen über die Verfügbarkeit von Backups.
Typische Szenarien für mittelständische Unternehmen sind Ransomware mit Daten-Verschlüsselung in der Produktions-Umgebung, Daten-Abfluss durch einen kompromittierten Cloud-Zugangs-Schlüssel, gezielter CEO-Fraud mit gefälschten Zahlungs-Anweisungen, Lieferanten-Vorfall mit Auswirkungen auf die eigene Lieferkette. Bei NIS2-pflichtigen Unternehmen empfehlen wir mindestens zwei Übungen pro Jahr mit unterschiedlichen Szenarien — das deckt das Spektrum der Meldepflichten breiter ab. Die Geschäftsleitung sollte verbindlich teilnehmen, nicht delegieren — denn genau diese Personen treffen im Ernstfall die kritischen Entscheidungen.
IR-Retainer und Vendor-Landschaft
Im realen Vorfall braucht es Spezialisten, die schon viele Vorfälle gesehen haben. Eigene Teams in mittelständischen Unternehmen kommen sehr selten an diese Erfahrungsdichte heran — schlicht weil sie zu wenige Vorfälle bearbeiten. Ein IR-Retainer ist ein Rahmenvertrag mit einem externen Dienstleister, der eine garantierte Reaktionszeit, einen festgelegten Stundensatz und einen vereinbarten Eskalations-Prozess vorhält. Die Spannbreite der Modelle ist groß.
Die Marktteilnehmer lassen sich grob in drei Kategorien einordnen. Global agierende Big-Vier-nahe Anbieter wie Mandiant, CrowdStrike Falcon Complete und Palo Alto Unit 42 bieten breite Vorfall-Erfahrung, große Teams und 24/7-Bereitschaft — mit entsprechenden Jahresgrundgebühren ab 40.000 Euro für kleinere Mittelständler und sechs- bis siebenstelligen Volumina für Großkunden. Spezialisierte forensische Anbieter wie Kroll, Coveware und Arete sind besonders bei Erpressungs-Vorfällen gefragt, bringen Verhandlungs-Erfahrung und juristisch belastbare Forensik. Boutique-Anbieter und regionale Spezialisten — zu denen sich Reepa Solutions im DACH-Mittelstand zählt — fokussieren auf Unternehmen unter 2.000 Mitarbeitenden, bieten persönliche Betreuung und schlankere Verträge ab 12.000 bis 30.000 Euro Jahresgrundgebühr, dafür kleinere Teams und ein engeres geografisches Wirken.
Welcher Anbieter passt, hängt von Branche, Größe, Reife und Risiko-Appetit ab. Ein Versicherungs-Konzern oder ein KRITIS-Betreiber wählt einen Big-Vier-nahen Anbieter — hier ist die Tiefe entscheidend. Ein mittelständischer Maschinenbauer mit 400 Mitarbeitern fährt mit einem Boutique-Retainer deutlich besser, weil das Verhältnis von Aufwand zu Sichtbarkeit anders austariert ist. Wichtig ist, dass der Vertrag vor dem Vorfall abgeschlossen ist — Retainer-Verträge nach einem Vorfall sind teurer und langsamer in der Wirkung. Eine ergänzende Übersicht zu Audit-Formaten gibt der Cluster Red Team vs Pentest.
Was ein IR-Projekt im Mittelstand kostet
Die Kosten für den Aufbau und den Betrieb eines wirksamen IR-Programms hängen stark von der Ausgangslage ab. Die folgende Tabelle zeigt typische Spannen für mittelständische Unternehmen mit 50 bis 2.000 Mitarbeitenden. Sie ist als Orientierung gedacht — präzise Angebote brauchen einen kurzen Scope-Workshop.
| Maßnahmen-Block | Aufwand (PT) | Externer Berater (€) | Erwartung Inhouse |
|---|---|---|---|
| Erst-Aufnahme + Plan-Entwurf | 6–12 | ab 7.500 | 1-2 Workshops mit GF und IT-Leitung |
| Meldepflichten-Block + Vorlage-Texte | 3–6 | ab 3.500 | Eng mit Datenschutz und Anwalt |
| Eskalations-Workflow + Rollen-Matrix | 4–8 | ab 4.500 | Pro Standort 1 Tag |
| Wiederherstellungs-Konzept (RTO/RPO) | 5–10 | ab 5.500 | Mit Fachabteilungen pro Prozess |
| Erste Tabletop-Übung mit GF | 2–3 | ab 2.500 | Halber Tag GF-Zeit zwingend |
| Retainer-Vertrag (Jahresgrundgebühr) | — | 12.000 – 60.000 | Verhandelt mit IR-Dienstleister |
| Stundensatz im realen Vorfall | — | 250 – 600 €/h | Häufig 80-400 h pro Vorfall |
Hinzu kommen interne Personal-Kosten und laufende Werkzeug-Kosten — SIEM-Lizenzen, EDR-Plattformen, Backup-Infrastruktur. Diese gehören nicht in den IR-Plan im engeren Sinne, sondern in die Cybersecurity-Gesamt-Budgetierung. Gemessen am Schadenpotenzial eines Ransomware-Vorfalls — in der Reepa-Praxis regelmäßig im niedrigen sechsstelligen Bereich für 200-Mitarbeiter-Unternehmen — ist das gesamte IR-Programm ein moderater Posten. Eine Beobachtung aus mehreren Mandaten: Unternehmen, die nach dem ersten realen Vorfall ein vollwertiges IR-Programm aufgesetzt haben, haben durchschnittlich 60 bis 80 Prozent ihrer ersten Aufbau-Kosten direkt am nächsten Vorfall wieder hereingeholt — schlicht durch schnellere und geordnetere Bearbeitung.
Wann sollten Sie Ihren IR-Plan jetzt überarbeiten
Es gibt vier Situationen, in denen eine Überarbeitung des bestehenden Plans nicht warten sollte. Erstens nach einem realen Vorfall — auch wenn er glimpflich verlief. Die Erkenntnisse aus dem echten Einsatz sind die wertvollste Quelle für Plan-Verbesserungen. Zweitens nach jeder größeren Architektur-Änderung — Cloud-Migration, neue Standorte, größere M&A-Aktivitäten. Drittens nach personellen Wechseln in den Schlüssel-Rollen, weil die Rollen-Matrix sonst leer-läuft. Viertens spätestens 12 Monate nach dem letzten Review, auch wenn nichts Größeres passiert ist — Kontakte ändern sich, Anbieter wechseln, gesetzliche Rahmen werden präzisiert.
Pragmatisch gesehen: wer einen IR-Plan hat, ihn aber seit über zwei Jahren nicht geübt und seit über einem Jahr nicht angepasst hat, hat keinen funktionierenden Plan, sondern ein Dokument. Der Unterschied wird im Ernstfall sichtbar — leider zu spät.
Häufige Fragen
Was muss ein Incident-Response-Plan mindestens enthalten?
Sechs Bausteine sind in der Praxis unverzichtbar: erstens eine klar besetzte Rollen-Matrix mit Vertretungen, zweitens eine Kommunikations-Kette mit erreichbaren Telefonnummern für 24/7, drittens ein Eskalations-Workflow mit klaren Schwellwerten, viertens ein Meldepflichten-Block mit Fristen für DSGVO, NIS2 und gegebenenfalls BaFin oder BSI, fünftens ein Wiederherstellungs-Konzept mit definierten Recovery-Zielen, sechstens ein Übungs- und Review-Rhythmus. Ohne diese sechs Bestandteile ist ein IR-Plan im Ernstfall wirkungslos. Vorlagen vom BSI, ENISA oder SANS sind hilfreich, müssen aber an die eigene Organisations-Struktur angepasst werden.
Welche gesetzlichen Meldefristen gelten bei einem IT-Sicherheits-Vorfall?
Für personenbezogene Daten gilt die DSGVO mit Artikel 33: 72 Stunden ab Kenntnis des Vorfalls zur Meldung an die zuständige Datenschutz-Aufsicht. Für Betreiber kritischer und besonders wichtiger Einrichtungen nach NIS2 gelten gestaffelte Fristen: 24 Stunden für eine erste Frühwarnung, 72 Stunden für die formelle Meldung, ein Monat für den Abschlussbericht. Hinzu kommen sektor-spezifische Pflichten — Finanzwesen über BaFin und MaRisk, kritische Infrastrukturen über das BSI-Gesetz, Telekommunikation über die Bundesnetzagentur. Die Fristen laufen oft parallel und müssen im Plan explizit gespiegelt sein.
Was kostet ein Incident-Response-Retainer und lohnt sich der Aufwand?
Retainer-Modelle für mittelständische Unternehmen liegen typischerweise zwischen 12.000 und 60.000 Euro Jahresgrundgebühr, abhängig von der Größe der Umgebung und der zugesicherten Reaktionszeit. Im Vorfall kommen Stundensätze zwischen 250 und 600 Euro hinzu, mit einem typischen Aufwand zwischen 80 und 400 Stunden pro ernsthaftem Fall. Im Vergleich zu den Gesamtkosten eines unkontrollierten Ransomware-Vorfalls — in der Praxis oft sechs- bis siebenstellig — amortisiert sich ein Retainer schon im ersten realen Einsatz. Wer keinen Retainer hat, sucht im Vorfall mehrere Tage einen Dienstleister, während der Schaden weiter wächst.
Wie oft muss ein Incident-Response-Plan geübt werden?
Mindest-Standard für mittelständische Unternehmen ist eine Tabletop-Übung pro Jahr mit der Geschäftsführung und den IT-Verantwortlichen. Bei NIS2-Pflichtigen empfehlen wir zwei Übungen pro Jahr, jeweils mit unterschiedlichen Szenarien — etwa Ransomware mit Daten-Verschlüsselung und gesondert ein Daten-Abfluss-Szenario mit DSGVO-Meldepflicht. Eine vollwertige technische Übung mit Forensik-Team und Wiederherstellungs-Test sollte alle zwei Jahre stattfinden. Pläne, die nie geübt wurden, fallen im Ernstfall durch — das ist eine Erfahrung, die wir bei jeder ungeübten Organisation reproduzieren können.
Brauchen wir einen externen Incident-Response-Dienstleister oder reicht das eigene Team?
Mittelständische Unternehmen unter 500 Mitarbeitenden haben in den seltensten Fällen ein eigenes IR-Team mit forensischer Tiefe. Selbst Unternehmen mit dediziertem Security-Team brauchen im realen Vorfall oft externe Spezialisten — für Forensik, Verhandlungs-Unterstützung mit den Erpressern, juristische Begleitung der Meldepflichten und Versicherungs-Kommunikation. Die Faustregel: eigene Erst-Reaktion innerhalb der ersten zwei Stunden absichern, dann externes Team mit Retainer-Vertrag zuschalten. Ohne diese Kombination dauert die Bearbeitung erfahrungsgemäß ein Vielfaches und kostet entsprechend mehr.
Was unterscheidet einen Incident-Response-Plan von einem Notfall- oder BCM-Plan?
Ein Incident-Response-Plan beschreibt das spezifische Vorgehen bei IT-Sicherheits-Vorfällen: Erkennung, Eindämmung, Forensik, Meldepflichten, Wiederherstellung. Ein Notfall- oder Business-Continuity-Plan ist breiter angelegt und deckt alle Ereignisse ab, die den Geschäftsbetrieb gefährden — Brand, Stromausfall, Pandemie, Lieferketten-Ausfall. Beide Pläne müssen aufeinander abgestimmt sein, sind aber getrennte Dokumente mit unterschiedlichen Verantwortlichen. Der IR-Plan ist eine Komponente innerhalb des BCM und wird von der IT-Sicherheits-Verantwortlichen geführt, der BCM-Plan von der Geschäftsleitung oder dem Risk Manager.
Bereit, Ihren IR-Plan auf das nächste Level zu heben?
Sprechen wir 30 Minuten unverbindlich. Wir gehen mit Ihnen die sechs Pflicht-Bausteine durch, identifizieren die größten Lücken in Ihrem aktuellen Plan und liefern eine ehrliche Einschätzung — Inhouse oder mit externer Unterstützung — und einen realistischen Fahrplan. Tieferer Kontext im Cybersecurity-Guide.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über Cloud-Security, NIS2, DSGVO-Compliance und Incident-Response-Programme.
Geprüft am: 22. Mai 2026 · Mehr über Hakan