Vorher abschließenIncident-Datennicht im Katalog
Symptome, relevante Zeiten, Logs, Alerts oder Beobachtungen liegen in Rohform vor.
Ohne: Ohne klaren Scope sammelt das Team Material, kann aber keine belastbare Struktur oder Entscheidung ableiten.
Run SheetDevOpsIncident Review
Incident Timeline Analysis
KomplexitätMedium
Zeit60-180 min
Teilnehmende3-10
FormatBoth
MaturityEstablished
01
Vorbedingung
Was vorher fertig sein muss
02
Vorbereitung
Was vor Start vorliegen muss
Materialien
Arbeitsboard oder Dokument für Incident Timeline; vorhandene Notizen, Daten, Entscheidungen und Annahmen; Marker für Unsicherheit, Owner und nächste Schritte.
Personen / Rollen
Facilitator; fachliche Experten aus dem betroffenen Bereich; ein Owner für Ergebnis und Nachverfolgung; bei Entscheidungen ein benannter Decider.
Vorabinfos
Scope, Anlass, bekannte Fakten, relevante Constraints, bisherige Optionen oder Ereignisse und gewünschtes Ergebnis des Termins.
Zeitbedarf
60-180 min
Setup
Leere Vorlage für Incident Timeline vorbereiten. Scope und Arbeitsfrage oben sichtbar machen. Jede Annahme als Annahme markieren, nicht als Fakt.
03
Kernfrage
Die eine Frage, die diese Methode beantwortet
Was ist wann passiert, welche Signale und Entscheidungen prägten den Incident, und wo liegen Lernpunkte?
04
Ablauf
Marker: Phase
| Schritt | Dauer | Aktion | Hinweis |
|---|---|---|---|
1Scope fixieren | 10-20 min | Anlass, Ziel und Grenzen der Betrachtung festlegen. Nicht passende Themen auf einem Parkplatz sammeln. | Ein enger Scope erzeugt bessere Ergebnisse als ein vollständiger, aber diffuser Rundumschlag. |
2Rohmaterial sammeln | 20-40 min | Fakten, Ereignisse, Optionen, Constraints oder Annahmen zusammentragen und sichtbar machen. | Fakten und Interpretationen getrennt halten. Unsichere Punkte markieren, statt sie glattzuziehen. |
3Struktur aufbauen | 30-60 min | Incident Timeline Schritt für Schritt ausfüllen, Beziehungen zwischen Elementen klären und Widersprüche sichtbar machen. | Nicht zu früh bewerten. Erst Struktur stabilisieren, dann Schlussfolgerungen ziehen. |
4Prüfen und verdichten | 20-40 min | Lücken, schwache Annahmen, Gegenbeispiele und kritische Pfade markieren. Ergebnis auf Verständlichkeit prüfen. | Wenn niemand die Logik in zwei Minuten erklären kann, ist das Artefakt noch nicht fertig. |
5Nächste Schritte festlegen | 15-20 min | Entscheidung, Experiment, Test, Maßnahme oder Follow-up mit Owner und Termin dokumentieren. | Ein gutes Artefakt ohne nächste Handlung bleibt Wissensarbeit ohne Wirkung. |
05
Artefakt
Was am Ende rauskommt
Form
Incident Timeline mit Anlass, Scope, zentralen Elementen, Annahmen, markierten Lücken, Ergebnisinterpretation und nächstem Schritt mit Owner und Datum.
Tool-Alternativen
- Miro oder FigJam
- Lucidchart oder draw.io
- Confluence oder Notion
- Google Docs oder Sheets
- Markdown im Repository
Versionierung / Ownership
Artefakt mit Datum, Scope und Beteiligten speichern. Bei neuer Evidenz eine neue Version oder Änderungsnotiz anlegen, damit Entscheidungslogik nachvollziehbar bleibt.
markdown
Incident Timeline
Chronologische Vorlage für Incident-Rekonstruktion mit Quellen und Unsicherheiten.
# Incident Timeline
**Incident:** ...
**Zeitraum:** ...
**Quellen:** Logs, Alerts, Chat, Tickets
| Zeit | Ereignis | Quelle | Sicherheit | Notiz |
|---|---|---|---|---|
| HH:MM | | | hoch/mittel/niedrig | |
## Beobachtete Verzögerungen
- ...
## Offene Lücken
- ...
## Lernpunkte
- ...06
Beispielausgabe
Konkret gefülltes Szenario
incident-timeline-analysis-beispiel.md
markdown## Incident Timeline Analysis - API-Ausfall 12.05.2026
**Scope:** Ein konkreter Projektbereich wird betrachtet, nicht das gesamte Unternehmen.
**Arbeitsfrage:** Was ist wann passiert, welche Signale und Entscheidungen prägten den Incident, und wo liegen Lernpunkte?
**Auszug aus dem Artefakt:**
- Fakt 1: Aktuelle Beobachtung ist dokumentiert und mit Quelle versehen.
- Annahme 1: Der wichtigste Wirkzusammenhang ist plausibel, aber noch nicht bewiesen.
- Kritischer Punkt: Eine offene Bedingung entscheidet, ob die bevorzugte Richtung tragfähig ist.
**Ergebnis:** Das Team wählt einen fokussierten nächsten Schritt mit Owner und Datum.
**Signal:** Von verstreuten Logs zu belastbarem Lernen.07
Stolperfallen
Symptome erkennen, gegensteuern
Falle
Scope driftet
Symptom
Immer neue Themen werden aufgenommen und das Artefakt verliert Fokus.
Was tun
Scope sichtbar halten und neue Themen auf den Parkplatz legen.
Falle
Annahmen werden Fakten
Symptom
Diskussion klingt sicher, obwohl Evidenz fehlt.
Was tun
Jede unsichere Aussage markieren und einen Prüfpunkt festlegen.
Falle
Zu frühe Lösung
Symptom
Team springt nach wenigen Minuten in Maßnahmen.
Was tun
Erst Struktur vollständig machen, dann Optionen oder Maßnahmen ableiten.
Falle
Keine Gegenprüfung
Symptom
Artefakt bestätigt nur die Lieblingshypothese.
Was tun
Explizit nach Gegenbeispielen, negativen Zweigen oder ausgeschlossenen Optionen fragen.
Falle
Kein Owner
Symptom
Ergebnis ist nachvollziehbar, aber niemand verfolgt es weiter.
Was tun
Nächsten Schritt immer mit Owner, Datum und Erfolgssignal dokumentieren.
08
Abbruchkriterien
Done-Signale, in unter einer Minute prüfbar
Anlass oder Scope ist nicht klar.
Es gibt kein Rohmaterial oder keine Beteiligten mit Kontextwissen.
Die Methode wird genutzt, um eine bereits gefallene Entscheidung zu legitimieren.
Wichtige Annahmen dürfen nicht offen diskutiert werden.
Kein Owner für Ergebnis oder Follow-up verfügbar.
Run Sheet durchgearbeitet?
Zum Steckbrief für Zweck, ähnliche Methoden und Quellen — oder direkt zur nächsten Methode im Katalog.