Seite wählen

IT-Notfallhandbuch (BCM): Der Lebensretter nach einem Cyberangriff

von | März 6, 2026 | Allgemein | 0 Kommentare

Sicherheitsrisiken bei Billig-Phones mit mangelhafter Verschlüsselung

Es ist ein Freitagnachmittag. Ein Mitarbeiter klickt auf einen infizierten Anhang. Minuten später verschlüsselt ein Kryptotrojaner sämtliche Dateiserver, das ERP-System und die Backups. Die Bildschirme bleiben schwarz. Was passiert jetzt? Unternehmen, die diese Frage nicht sofort und strukturiert beantworten können, riskieren im Ernstfall ihre Existenz.

Mehr als nur IT-Wiederherstellung

Ein Cyberangriff ist längst kein reines IT-Problem mehr, sondern eine massive unternehmerische Krise. Wenn die Produktion stillsteht, Liefertermine platzen und Kundendaten im Darknet landen, steht das Überleben der Firma auf dem Spiel. Hier setzt das Business Continuity Management (BCM) an. BCM betrachtet die Geschäftskontinuität ganzheitlich – nicht nur die technische Wiederherstellung von Servern, sondern die Aufrechterhaltung aller kritischen Geschäftsprozesse während und nach einer Krise.

Was gehört ins IT-Notfallhandbuch? – Inhaltsverzeichnis

Ein professionelles IT-Notfallhandbuch ist weit mehr als eine lose Sammlung von Telefonnummern und Passwörtern. Es ist ein strukturiertes Dokument, das alle relevanten Informationen und Handlungsanweisungen für den Krisenfall enthält. Die folgende Gliederung orientiert sich am BSI-Standard 100-4 (Notfallmanagement):

  1. Einleitung und Geltungsbereich: Für welche Standorte, Systeme und Prozesse gilt das Handbuch?
  2. Notfallorganisation: Krisenstab, Rollen, Verantwortlichkeiten und Stellvertreterregelungen
  3. Alarmierungsplan: Wer wird wann und wie benachrichtigt? Eskalationsstufen definieren
  4. Kommunikationsplan: Interne und externe Kommunikation im Krisenfall
  5. Notfallszenarien: Beschreibung der wahrscheinlichsten Szenarien (Akira Ransomware, Stromausfall, Brand, etc.)
  6. Sofortmaßnahmen: Erste Schritte für jedes Szenario (Isolation, Abschaltung, Beweissicherung)
  7. Business Impact Analyse (BIA): Priorisierung der Geschäftsprozesse nach Kritikalität
  8. Wiederanlaufplanung: RTO und RPO für jedes kritische System
  9. Notbetriebsverfahren: Manuelle Workarounds für die Zeit ohne IT
  10. Wiederherstellungspläne: Technische Schritt-für-Schritt-Anleitungen
  11. Kontaktlisten: Alle relevanten internen und externen Ansprechpartner
  12. Anhänge: Netzwerkpläne, Systemdokumentation, Vertragsinformationen

Notfallorganisation: Krisenstab und Rollen

Im Krisenfall zählt jede Minute. Deshalb muss die Notfallorganisation bereits in Friedenszeiten klar definiert und geübt sein. Der Krisenstab ist das zentrale Entscheidungsgremium im Notfall.

Zusammensetzung des Krisenstabs

Ein effektiver Krisenstab besteht typischerweise aus:

  • Krisenstabsleiter: In der Regel ein Mitglied der Geschäftsführung. Trifft alle strategischen Entscheidungen (z. B. Netzwerk komplett herunterfahren, Produktion stoppen, Lösegeld zahlen oder nicht)
  • IT-Leiter / CISO: Koordiniert die technische Reaktion, bewertet den Schaden und steuert die Wiederherstellung
  • Kommunikationsverantwortlicher: Steuert die Kommunikation nach innen (Mitarbeiter) und außen (Kunden, Presse, Behörden)
  • Datenschutzbeauftragter: Bewertet, ob personenbezogene Daten betroffen sind und eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden erforderlich ist
  • Rechtsabteilung / externer Anwalt: Rechtliche Bewertung, Versicherungsmeldung, ggf. Strafanzeige
  • Personalverantwortlicher: Information der Mitarbeiter, Organisation von Notbesetzungen

Entscheidend ist, dass für jede Rolle ein Stellvertreter benannt ist. Im Krisenfall sind Schlüsselpersonen möglicherweise nicht erreichbar – etwa im Urlaub, krank oder selbst betroffen.

Alarmierungskette

Die Alarmierungskette definiert, wer wen in welcher Reihenfolge informiert. Wichtig: Die Kontaktdaten müssen offline verfügbar sein – auf ausgedruckten Listen, nicht nur im verschlüsselten E-Mail-System. Eine typische Alarmierungskette lautet:

  1. Erster Entdecker meldet an IT-Abteilung / Hotline
  2. IT bewertet die Lage und eskaliert bei Bedarf an den IT-Leiter
  3. IT-Leiter aktiviert den Krisenstab
  4. Krisenstab informiert Geschäftsführung, DSB und weitere Beteiligte

Wiederanlaufplanung: RTO und RPO

Die Wiederanlaufplanung ist das Herzstück des IT-Notfallhandbuchs. Sie definiert, welche Systeme in welcher Reihenfolge und in welchem Zeitrahmen wiederhergestellt werden müssen.

Recovery Time Objective (RTO)

Das RTO definiert die maximal tolerierbare Ausfallzeit eines Systems oder Geschäftsprozesses. Es beantwortet die Frage: Wie schnell muss dieses System wieder laufen, bevor der Schaden existenzbedrohend wird?

Beispiele:

  • E-Mail-System: RTO 4 Stunden – Kommunikation mit Kunden und Partnern muss zeitnah möglich sein
  • ERP-System: RTO 24 Stunden – Auftragsbearbeitung und Rechnungsstellung dürfen maximal einen Tag ausfallen
  • Webshop: RTO 2 Stunden – jeder Ausfall bedeutet direkten Umsatzverlust
  • Archivserver: RTO 72 Stunden – wichtig, aber kurzfristig verzichtbar

Recovery Point Objective (RPO)

Das RPO definiert den maximal tolerierbaren Datenverlust. Es beantwortet die Frage: Wie viele Stunden oder Tage an Daten dürfen im schlimmsten Fall verloren gehen?

  • RPO 0: Kein Datenverlust akzeptabel – erfordert synchrone Replikation oder Echtzeit-Backups
  • RPO 1 Stunde: Maximal eine Stunde Datenverlust – erfordert stündliche Backups
  • RPO 24 Stunden: Ein Arbeitstag Datenverlust akzeptabel – tägliche Backups ausreichend

RTO und RPO bestimmen direkt die erforderliche Backup-Strategie und die Kosten für die Notfallinfrastruktur. Je niedriger die Werte, desto höher die Investitionen – aber auch desto geringer das Risiko im Ernstfall.

Kommunikationsplan im Krisenfall

Mangelhafte Kommunikation verschlimmert jede Krise. Ein durchdachter Kommunikationsplan definiert vorab:

Interne Kommunikation

  • Mitarbeiterinformation: Wie werden Mitarbeiter informiert, wenn E-Mail und Intranet ausfallen? (Telefonkette, Messenger-Gruppen auf privaten Geräten, Aushänge)
  • Handlungsanweisungen: Was sollen Mitarbeiter tun und was nicht? (z. B. keine eigenen Wiederherstellungsversuche, keine USB-Sticks anschließen)
  • Regelmäßige Updates: Mitarbeiter brauchen regelmäßige Statusmeldungen, auch wenn es noch nichts Neues gibt

Externe Kommunikation

  • Kunden und Partner: Wer informiert Kunden über Lieferverzögerungen? Welche Informationen werden preisgegeben?
  • Behörden: Meldepflicht an die Datenschutzaufsichtsbehörde (72 Stunden nach DSGVO), ggf. BSI-Meldung nach NIS-2
  • Versicherung: Sofortige Schadensmeldung an die Cyber-Versicherung
  • Presse: Vorbereitete Sprachregelungen und ein benannter Pressesprecher verhindern unkontrollierte Berichterstattung
  • Polizei: Bei Cyberangriffen Strafanzeige erstatten – wichtig für Versicherungsansprüche und Ermittlungen

Notfallübungen: Den Ernstfall proben

Das beste Notfallhandbuch ist nutzlos, wenn es im Ernstfall niemand kennt oder anwenden kann. Regelmäßige Notfallübungen sind daher wichtig.

Tabletop-Übungen

Bei einer Tabletop-Übung durchspielt der Krisenstab ein fiktives Szenario am Konferenztisch. Beispiel: „Es ist Montagmorgen 8:00 Uhr. Der IT-Leiter meldet, dass alle Server verschlüsselt sind. Die Angreifer fordern 500.000 € in Bitcoin. Was tun Sie?“ Die Teilnehmer diskutieren ihre Entscheidungen und Maßnahmen Schritt für Schritt. Diese Übungen decken Schwachstellen in der Planung auf und verbessern die Reaktionsfähigkeit des Teams.

Technische Übungen

Parallel zu den strategischen Tabletop-Übungen sollte die IT-Abteilung regelmäßig technische Wiederherstellungen üben:

  • Backup-Restore-Tests: Mindestens vierteljährlich prüfen, ob Backups tatsächlich wiederherstellbar sind
  • Failover-Tests: Umschaltung auf Ersatzsysteme testen
  • Isolationsübungen: Netzwerksegmente isolieren, ohne den Gesamtbetrieb zu stören

Die Ergebnisse jeder Übung werden dokumentiert und fließen als Lessons Learned in die Aktualisierung des Notfallhandbuchs ein.

Vorlage und Gliederung: So strukturieren Sie Ihr IT-Notfallhandbuch

Als Orientierung für sächsische Unternehmen empfehlen wir folgende Gliederung, die sich an den Empfehlungen des BSI und der ISO 27001 (Annex A.17) orientiert:

  1. Deckblatt: Dokumentname, Version, Datum, Verantwortlicher, Verteilerliste, Vertraulichkeitsstufe
  2. Änderungshistorie: Alle Änderungen mit Datum, Autor und Beschreibung
  3. Notfallorganisation: Krisenstab, Rollen, Stellvertreter, Erreichbarkeiten (mit Mobilnummern)
  4. Alarmierungsplan: Eskalationsstufen, Alarmierungsketten, Entscheidungsbefugnisse
  5. Kommunikationsplan: Vorlagen für interne und externe Kommunikation
  6. Business Impact Analyse: Priorisierte Liste aller Geschäftsprozesse mit RTO und RPO
  7. Notfallszenarien und Sofortmaßnahmen: Handlungsanweisungen für jedes Szenario
  8. Wiederanlaufpläne: Technische Schritt-für-Schritt-Anleitungen je System
  9. Notbetriebsverfahren: Manuelle Prozesse für die Zeit ohne IT
  10. Kontaktlisten: Interne Ansprechpartner, externe Dienstleister, Behörden, Versicherung
  11. Technische Dokumentation: Netzwerkpläne, IP-Adressen, Lizenzschlüssel, Zugangsdaten (verschlüsselt)
  12. Übungsprotokoll: Dokumentation durchgeführter Übungen und Lessons Learned

Wichtig: Das Notfallhandbuch muss physisch ausgedruckt und an einem sicheren, bekannten Ort aufbewahrt werden. Ein digitales Handbuch auf dem verschlüsselten Server hilft im Ransomware-Fall nicht weiter. Zusätzlich empfehlen wir eine Kopie in einem verschlossenen Umschlag bei der Geschäftsführung zu Hause. Denken Sie auch daran, dass Angreifer gezielt nach Möglichkeiten suchen, die Festplattenverschlüsselung zu kompromittieren – wie etwa die bekannte BitLocker Sicherheitslücke in Windows 11, die ohne physischen Gerätezugriff ausgenutzt werden kann.

Rechtliche Anforderungen an das IT-Notfallmanagement

Die Erstellung eines IT-Notfallhandbuchs ist nicht nur eine organisatorische Best Practice, sondern wird durch verschiedene Regelwerke gefordert oder stark empfohlen:

  • NIS-2-Richtlinie: Fordert explizit Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement für betroffene Unternehmen
  • DSGVO (Art. 32): Verlangt die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem Zwischenfall rasch wiederherzustellen
  • ISO 27001 (Annex A.17): Definiert Anforderungen an die Informationssicherheitskontinuität als integralen Bestandteil des ISMS
  • BSI IT-Grundschutz: Widmet dem Notfallmanagement einen eigenen Baustein mit detaillierten Umsetzungsempfehlungen
  • TISAX: Fordert von Automobilzulieferern nachweisbare Business-Continuity-Pläne

Der ISB als Krisenmanager

Als Ihr externer Informationssicherheitsbeauftragter erarbeiten wir mit Ihnen diese kritischen Notfallpläne, dokumentieren sie physisch und üben den Ernstfall in Tabletop-Übungen mit der Geschäftsführung. Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen bei der Erstellung eines IT-Notfallmanagement-Konzepts, das den Anforderungen des BSI IT-Grundschutz und der ISO 27001 entspricht. Ergänzend erstellen wir Ihnen ein individuelles IT-Sicherheitskonzept, das präventiv wirkt und die Wahrscheinlichkeit eines Notfalls deutlich reduziert.

Häufig gestellte Fragen (FAQ)

Ist ein IT-Notfallhandbuch gesetzlich vorgeschrieben?

Ein IT-Notfallhandbuch ist nicht direkt als einzelnes Dokument vorgeschrieben. Allerdings fordern die NIS-2-Richtlinie, die DSGVO (Art. 32: Sicherheit der Verarbeitung) und branchenspezifische Regelungen (KRITIS, TISAX) nachweisbare Notfallpläne und Business-Continuity-Maßnahmen. In der Praxis ist ein IT-Notfallhandbuch daher für die meisten Unternehmen ein notwendiges Instrument zur Erfüllung dieser gesetzlichen Anforderungen.

Wie oft sollte das IT-Notfallhandbuch aktualisiert werden?

Das Notfallhandbuch sollte mindestens einmal jährlich überprüft und aktualisiert werden. Zusätzlich ist eine Aktualisierung erforderlich bei jeder wesentlichen Änderung der IT-Infrastruktur, nach jedem realen Sicherheitsvorfall und nach jeder Notfallübung. Veraltete Notfallpläne mit falschen Kontaktdaten oder überholten Systembeschreibungen sind im Ernstfall schlimmer als kein Plan – weil sie ein falsches Sicherheitsgefühl erzeugen.

Was kostet die Erstellung eines IT-Notfallhandbuchs?

Die Kosten hängen stark von der Unternehmensgröße und der Komplexität der IT-Infrastruktur ab. Für ein mittelständisches sächsisches Unternehmen mit 50–200 Mitarbeitern sollten Sie mit 5.000–15.000 € für die professionelle Erstellung durch einen externen Berater rechnen. Dieser Betrag umfasst die Business Impact Analyse, die Erstellung aller Dokumente und eine erste Tabletop-Übung. Gemessen am potenziellen Schaden eines unvorbereiteten Cyberangriffs – der schnell in die Hunderttausende gehen kann – ist diese Investition gering.

IT-Sicherheit für Ihr Unternehmen in Sachsen

Bedrohungen und Cyberangriffe zeigen täglich, wie wichtig ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) ist. Als zertifizierter externer Informationssicherheitsbeauftragter (ISB) und spezialisierter IT-Dienstleister in Dresden und ganz Sachsen unterstützt die DATUREX GmbH Sie bei der proaktiven Absicherung Ihrer Systeme. Wir bereiten Sie effizient auf Audits nach ISO 27001, TISAX und BSI IT-Grundschutz vor und helfen Ihnen bei der rechtssicheren Umsetzung der NIS-2-Richtlinie. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Die DATUREX GmbH vereint Datenschutzberatung, Informationssicherheit und KI-Lösungen unter einem Dach.

Neu: IT-Sicherheitskonzept | KRITIS-Beratung | Schwachstellenanalyse | IT-Notfallmanagement | IT-Sicherheitsaudit

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert