Warum Krisenübungen unverzichtbar sind
Jede Organisation verfügt über einen Incident-Response-Plan. Nur sehr wenige haben ihn unter Druck getestet. Die Lücke zwischen dem Vorhandensein eines Plans und der Fähigkeit, ihn auszuführen, wenn Alarme ausgelöst werden, Telefone klingeln und der CEO Antworten fordert, ist enorm. Krisenübungen, häufig als Tabletop-Übungen bezeichnet, schließen diese Lücke.
In den vergangenen Jahren haben wir mehr als zehn Krisenübungen für Organisationen entwickelt und durchgeführt – von 20-Personen-Startups bis hin zu multinationalen Finanzinstitutionen. Das Folgende ist eine Destillation dessen, was funktioniert, was scheitert und was wir uns gewünscht hätten, dass uns jemand vor unserer ersten Übung gesagt hätte.
Grundprinzip: Der Zweck einer Krisenübung ist nicht zu testen, ob Ihr Plan perfekt ist. Es geht darum aufzudecken, wo Ihr Plan versagt, damit Sie es beheben können, bevor ein echter Vorfall die Schwachstellen für Sie offenbart.
Das Framework: Wie wir jede Übung strukturieren
Nach dem Ausprobieren verschiedener Ansätze haben wir uns auf ein Framework geeinigt, das konsistent sinnvolle Ergebnisse liefert. Es umfasst fünf Phasen:
Phase 1: Umfang und Ziele (2–4 Wochen vorher)
Hier entscheidet sich, ob Übungen gelingen oder scheitern – lange bevor jemand am Tisch sitzt. Sie müssen drei Fragen beantworten:
- Was testen wir? Seien Sie präzise. „Unseren Incident-Response testen" ist zu vage. „Unsere Fähigkeit zu testen, einen Ransomware-Vorfall innerhalb unseres 4-Stunden-SLA zu erkennen, eskalieren und kommunizieren" ist testbar.
- Wer muss teilnehmen? Der häufigste Fehler besteht darin, Übungen auf das IT-Team zu beschränken. Beziehen Sie Recht, Kommunikation, Geschäftsführung und HR ein. Bei einem echten Vorfall werden alle beteiligt sein.
- Welches Szenario ist für unsere Organisation realistisch? Das Szenario muss plausibel sein. Eine Übung über einen staatlich gesteuerten APT, der ein 30-köpfiges Buchhaltungsunternehmen angreift, wird keine nützlichen Erkenntnisse liefern. Ein Phishing-zu-Ransomware-Szenario dagegen schon.
Phase 2: Szenariodesign und Inject-Zeitplan (1–2 Wochen vorher)
Das Szenario ist das Rückgrat der Übung. Wir bauen es als eine Reihe von Injects auf: Informationsstücke, die den Teilnehmern zu bestimmten Zeitpunkten übermittelt werden, das Szenario vorantreiben und Entscheidungen erzwingen.
Ein gut gestalteter Inject-Zeitplan folgt einer realistischen Eskalationskurve. Hier ist ein vereinfachtes Beispiel für ein Ransomware-Szenario:
| Zeit |
Inject |
Zielgruppe |
Entscheidungspunkt |
| T+0 |
Der Helpdesk erhält drei Tickets über langsamen Dateizugriff auf gemeinsam genutzten Laufwerken |
IT-Support |
Eskalieren oder Fehlersuche? |
| T+15min |
SIEM-Alarm: ungewöhnliche PowerShell-Ausführung auf dem Domänen-Controller |
SOC / IT-Sicherheit |
Untersuchen oder als Vorfall eskalieren? |
| T+30min |
Lösegeldforderung erscheint auf 40 % der Endgeräte. Dateiendungen geändert. |
Alle Teilnehmer |
Vorfall ausrufen? Krisenstab aktivieren? |
| T+45min |
Ein Journalist ruft an und fragt nach „Ausfallberichten" Ihrer Kunden |
Kommunikation / Geschäftsführung |
Was sagen Sie? Wer genehmigt die Stellungnahme? |
| T+60min |
Angreifer kontaktiert Sie per E-Mail und fordert 15 BTC. Droht mit Datenleck. |
Geschäftsführung / Recht |
Verhandeln? Strafverfolgung einschalten? Zahlen? |
| T+75min |
CIRCL meldet sich: sie haben Geheimdienstinformationen über die Angreifergruppe |
IT-Sicherheit |
IOCs teilen? Unterstützung annehmen? |
| T+90min |
Kundendaten-Exfiltration bestätigt. DSGVO-72-Stunden-Uhr startet. |
Recht / DSB / Geschäftsführung |
CNPD-Meldung? Kundenbenachrichtigung? Zeitplan? |
| T+105min |
Integritätsprüfung der Sicherungen: 2 von 3 Backup-Sätzen sind verschlüsselt. Ein Offline-Backup ist 48 Stunden alt. |
IT-Betrieb |
Wiederherstellungsstrategie? Datenverlust akzeptieren? |
| T+120min |
Ein Vorstandsmitglied ruft an und fordert eine vollständige Lagebesprechung in 30 Minuten |
Geschäftsführung |
Was berichten Sie? Welche Entscheidungen sind erforderlich? |
Jeder Inject ist darauf ausgelegt, eine spezifische Kompetenz zu testen: Erkennung, Eskalation, Kommunikation, Entscheidungsfindung oder technische Reaktion. Das Szenario sollte herausfordernd, aber nicht unmöglich sein.
Phase 3: Logistik und Vorbereitung (1 Woche vorher)
- Veranstaltungsort: Ein dedizierter Raum, fernab von alltäglichen Ablenkungen. Wir haben Übungen erlebt, die davon sabotiert wurden, dass Teilnehmer E-Mails checkten oder Anrufe entgegennahmen.
- Materialien: Gedruckte Inject-Karten, Kopien relevanter Pläne und Verfahren, ein Whiteboard oder Flipchart zum Festhalten von Entscheidungen und Maßnahmen.
- Rollen: Sie benötigen einen Moderator (der die Übung leitet), einen Beobachter/Protokollführer (der alles dokumentiert) und optional eine „Simulationszelle", die externe Rollen übernimmt (Journalist, Angreifer, Aufsichtsbehörde).
- Grundregeln: Keine Telefone, kein Urteil, keine Schuldzuweisungen. Die Übung ist ein sicherer Raum, um Fehler zu machen.
Phase 4: Durchführung (2–3 Stunden)
Der Moderator ist die wichtigste Person im Raum. Seine Aufgabe ist es:
- Injects planmäßig zu liefern (oder das Timing je nach Fortschritt der Teilnehmer anzupassen)
- Diskussionen anzuregen, wenn Teilnehmer nicht weiterkommen: „Was würden Sie als Nächstes tun? Wen müssen Sie anrufen?"
- Zu verhindern, dass dominante Persönlichkeiten das Gespräch monopolisieren
- Die Übung am Laufen zu halten und gleichzeitig ausreichend Zeit für sinnvolle Diskussionen zu lassen
- Überraschungen einzuführen, wenn alles zu reibungslos läuft
Wir führen Übungen in der Regel über 2 bis 2,5 Stunden durch. Kürzer und Sie können nicht genug Druck aufbauen. Länger und die Teilnehmer verlieren den Fokus.
Phase 5: Nachbesprechung und Bericht (unmittelbar danach + 1 Woche)
Die Nachbesprechung ist der Ort, wo das eigentliche Lernen stattfindet. Unmittelbar nach der Übung, während alles noch frisch ist, führen Sie ein strukturiertes Hot Wash durch:
- Was lief gut? Beginnen Sie positiv. Würdigen Sie wirksame Maßnahmen und gute Entscheidungen.
- Was hat Sie überrascht? Diese Überraschungen sind der wertvollste Ertrag der Übung.
- Wo hatten wir Schwierigkeiten? Seien Sie präzise. War es eine Prozesslücke, ein Kommunikationsversagen, eine Wissenslücke oder eine Ressourcenbeschränkung?
- Was sind die drei wichtigsten Dinge, die wir beheben müssen? Beschränken Sie sich auf drei. Alles auf einmal beheben zu wollen, behebt nichts.
Folgen Sie innerhalb einer Woche mit einem schriftlichen Bericht, der Erkenntnisse dokumentiert, Verantwortliche für Abhilfemaßnahmen benennt und Fristen setzt.
Erkenntnisse aus 10+ Übungen: Was wir gelernt haben
Lektion 1: Kommunikation versagt vor der Technik
In jeder Übung, die wir moderiert haben, ist das erste Versagen niemals technischer Natur. Es ist immer die Kommunikation. Die Menschen wissen nicht, wen sie anrufen sollen. Eskalationswege sind unklar. Der Krisenkommunikationsplan existiert, aber niemand hat ihn gelesen. Die Mobilnummer des CEO steht nicht auf der Kontaktliste. Reparieren Sie Ihren Kommunikationsbaum, bevor Sie ein weiteres Sicherheitswerkzeug kaufen.
Lektion 2: Teilnehmer unterschätzen den Zeitdruck massiv
NIS2 verlangt eine Frühwarnung innerhalb von 24 Stunden und eine vollständige Meldung innerhalb von 72 Stunden. Die DSGVO verlangt eine Meldung an die CNPD innerhalb von 72 Stunden. Wenn Teilnehmer zum ersten Mal simulierten Zeitdruck erleben, trifft sie die Erkenntnis hart. Die meisten Teams stellen fest, dass sie keine qualitativ hochwertige Vorfallsmeldung innerhalb der vorgeschriebenen Frist erstellen können, weil sie es nie geübt haben.
Lektion 3: Das Rechts- und Compliance-Team ist nie vorbereitet
Technische Teams sind an den Druck von Vorfällen gewöhnt. Rechts-, Compliance- und Kommunikationsteams häufig nicht. Sie in Übungen einzubeziehen ist keine Option, sondern unerlässlich. In Luxemburg, mit seinem multi-regulatorischen Umfeld (CSSF, CNPD, ILR), ist das Wissen, wen man in welcher Reihenfolge und mit welchen Informationen benachrichtigen muss, eine komplexe Koordinationsherausforderung.
Lektion 4: Playbooks ohne Übung sind Fiktion
Wir haben wunderschön geschriebene Incident-Response-Playbooks gesehen, die innerhalb der ersten 15 Minuten einer Übung auseinanderfielen, weil niemand sie jemals durchgegangen war. Die Landkarte ist nicht das Terrain. Übungen enthüllen den Unterschied zwischen theoretischen Verfahren und operativer Realität.
Lektion 5: Die Beteiligung der Geschäftsführung verändert alles
Wenn der CEO oder ein Vorstandsmitglied an der Übung teilnimmt, steigen die Qualität der Diskussion und die Ernsthaftigkeit der Folgemaßnahmen dramatisch. Wenn die Geschäftsführung an ihre Teams delegiert, verschwinden die Übungsergebnisse oft in der Schublade. Drängen Sie nachdrücklich auf eine Beteiligung der Führungsebene.
Wie wir Scenarium für das Übungsmanagement einsetzen
Als die Übungen komplexer wurden, stellten wir fest, dass die Verwaltung von Injects, die Verfolgung von Entscheidungen und die Koordination zwischen Moderatoren mit Papier und Tabellenkalkulationen unhandlich wurde. Dies ist einer der Gründe, warum wir Scenarium entwickelt haben, unsere dedizierte Krisenübungsplattform.
Scenarium ermöglicht es uns, Szenario-Zeitpläne mit verzweigten Pfaden zu gestalten (wenn Teilnehmer Entscheidung A treffen, erhalten sie Inject-Set A; wenn sie B wählen, erhalten sie Inject-Set B), Multi-Team-Übungen zu verwalten, bei denen verschiedene Gruppen gleichzeitig unterschiedliche Informationen erhalten, und Echtzeit-Beobachtungen zu erfassen, die direkt in den Nach-Übungs-Bericht einfließen. Es ist eigens für die Art von Übungen entwickelt worden, die wir durchführen.
Das gesagt, benötigen Sie keine spezielle Software, um eine gute Übung durchzuführen. Ein gut vorbereiteter Moderator mit gedruckten Inject-Karten und einer Stoppuhr kann hervorragende Ergebnisse erzielen. Das Werkzeug ist weniger wichtig als die Qualität von Vorbereitung und Moderation.
Messung der Übungseffektivität
Was sich nicht messen lässt, lässt sich nicht verbessern. Hier sind die Kennzahlen, die wir über Übungen hinweg verfolgen:
- Zeit bis zur Erkennung: Wie lang dauert es vom ersten Indikator bis jemand erkennt, dass es ein Problem gibt?
- Zeit bis zur Eskalation: Wie lang dauert es von der Erkennung bis zur Aktivierung des Krisenstabs?
- Zeit bis zur ersten externen Meldung: Könnten Sie die NIS2-Frühwarnfrist von 24 Stunden einhalten?
- Entscheidungsqualität: Subjektive Bewertung durch Beobachter. Waren Entscheidungen fundiert, rechtzeitig und gut kommuniziert?
- Kommunikationseffektivität: Erreichte die richtige Information zur richtigen Zeit die richtigen Personen?
- Planeinhaltung: Haben die Teilnehmer dokumentierte Verfahren befolgt? Wo sind sie abgewichen, und warum?
- Teilnehmervertrauen: Umfrage vor und nach der Übung zur Selbsteinschätzung der Bereitschaft (Skala 1–10)
Verfolgen Sie diese Kennzahlen über mehrere Übungen hinweg, um Verbesserungen im Zeitverlauf nachzuweisen. Diese Daten sind auch wertvolle Nachweise für die regulatorische Compliance, insbesondere im Rahmen der NIS2-Anforderung, Verfahren zur Geschäftskontinuität und Incident Response zu testen.
Häufige Fehler, die Übungen ruinieren
- Das Szenario zu einfach machen: Wenn sich alle wohl fühlen, lernt niemand. Das Szenario sollte echte Dilemmata erzeugen.
- Das Einführungsbriefing überspringen: Die Teilnehmer müssen Format, Grundregeln und ihre Rollen verstehen, bevor die Übung beginnt.
- Geräte zulassen: In dem Moment, in dem jemand seinen Laptop öffnet, um E-Mails zu prüfen, ist er gedanklich aus der Übung heraus.
- Keinen dedizierten Protokollführer benennen: Ohne Dokumentation verflüchtigt sich der Wert der Übung innerhalb weniger Tage. Jede bedeutsame Beobachtung, Entscheidung und Maßnahme muss festgehalten werden.
- Kein Follow-up durchführen: Der Übungsbericht sollte Abhilfemaßnahmen mit Verantwortlichen und Fristen enthalten. Ohne Verantwortlichkeit ändert sich nichts.
- Dasselbe Szenario zweimal durchführen: Teilnehmer erinnern sich an die Antworten. Variieren Sie Ihre Szenarien, um verschiedene Kompetenzen zu testen und „Lernen auf die Prüfung" zu vermeiden.
Erste Schritte: Ihre erste Übung
Wenn Sie noch nie eine Krisenübung durchgeführt haben, fangen Sie einfach an. Eine 90-minütige Tabletop-Übung mit Ihrem IT-Team und einem oder zwei Mitgliedern der Geschäftsführung auf Basis eines Ransomware-Szenarios wird mehr über Ihre Bereitschaft enthüllen als jeder Prüfbericht. Sie benötigen für Ihre erste Übung keine externen Moderatoren, obwohl eine objektive externe Perspektive erheblichen Mehrwert bringt.
Das Wichtigste ist, anzufangen. Eine unvollkommene Übung, die stattfindet, ist unendlich wertvoller als eine perfekte Übung, die auf dem Planungswhiteboard verbleibt. Ihr Team wird lernen, Ihre Pläne werden sich verbessern, und wenn der echte Vorfall eintritt, werden Sie froh sein, geübt zu haben.
