After-Action Review (AAR): Definition, Ablauf und Nutzen
Leere After-Action-Review-Vorlage
Fertig strukturierte AAR-Vorlage: die vier Leitfragen, Beobachtungen (gut/verbesserungswürdig), RAG-Bewertung je Themenbereich, Maßnahmenplan und Freigabe. Öffnen, ausfüllen und direkt als PDF speichern.
Vorlage öffnen & als PDF speichernWas ist ein After-Action Review?
Ein After-Action Review (AAR) ist eine strukturierte Nachbesprechung, die eine Übung oder einen realen Vorfall systematisch auswertet und in konkretes Lernen überführt. Die Methode stammt ursprünglich aus dem militärischen Kontext (US Army, TC 25-20) und ist heute in Krisenmanagement und Cybersicherheit Standard. Ihr Kern ist der ehrliche Vergleich von Soll und Ist: Was war geplant, was ist passiert, warum – und was ändern wir daraus? Anders als eine lockere Manöverkritik folgt ein AAR einem festen Ablauf, ist moderiert und endet mit dokumentierten, verantwortlich zugewiesenen Maßnahmen. In der IT-Notfallplanung ist es fest verankert: Die NIST SP 800-84 (Guide to Test, Training, and Exercise Programs) sieht die Auswertung mit Verbesserungsplan als festen Bestandteil jedes Übungsprogramms vor.
Welche Fragen beantwortet ein After-Action Review?
Ein AAR beantwortet vier Leitfragen – von der Erwartung über die Realität und ihre Ursachen bis zur konkreten Verbesserung:
- Was sollte passieren?
- Was ist tatsächlich passiert?
- Warum gab es Abweichungen?
- Was verbessern wir konkret – und wer ist verantwortlich?
| Leitfrage | Zweck | Beispiel-Ergebnis |
|---|---|---|
| Was sollte passieren? | Soll-Zustand aus Plan, Playbook und MSEL | Erwartete Meldung nach 30 Min. an die Behörde |
| Was ist tatsächlich passiert? | Ist-Zustand ohne Bewertung dokumentieren | Meldung erfolgte erst nach 2,5 Stunden |
| Warum gab es Abweichungen? | Ursachen statt Symptome finden | Meldeweg war nur einer Person bekannt |
| Was verbessern wir konkret? | Maßnahme mit Verantwortlichem und Frist | Meldekette dokumentieren, Vertretung benennen |
AAR oder Lessons Learned – wo ist der Unterschied?
Die Begriffe werden oft synonym benutzt, meinen aber zwei Dinge: Das AAR ist das strukturierte Ereignis direkt nach der Übung, Lessons Learned sind das aufbereitete Ergebnis daraus, das geteilt wird und in Prozesse einfließt.
| Dimension | After-Action Review | Lessons Learned |
|---|---|---|
| Zeitpunkt | unmittelbar nach Übung/Vorfall | im Anschluss, aufbereitet |
| Form | moderierte Sitzung, 4 Leitfragen | dokumentierte Erkenntnisse & Maßnahmen |
| Ergebnis | Beobachtungen & Maßnahmenplan | geänderte Prozesse, Pläne, Schulungen |
| Adressat | beteiligtes Team | Organisation & künftige Übungen |
Wie läuft ein After-Action Review ab?
Bewährt hat sich ein zweistufiges Vorgehen: eine kurze Nachbesprechung direkt nach der Übung (Hot Wash), solange alle Eindrücke frisch sind, und ein formales AAR wenige Tage später. Eine neutrale Moderation führt durch die vier Leitfragen, hält Beobachtungen wertfrei fest und trennt Symptome von Ursachen. Nach einer Tabletop Exercise liefert die in der MSEL hinterlegte erwartete Reaktion den Soll-Maßstab, an dem die tatsächliche Reaktion auf jeden Inject gemessen wird. So werden Stärken und Lücken sichtbar statt nur gefühlt – und jede Erkenntnis mündet in eine Maßnahme mit Verantwortlichem und Frist.
AAR nach einem echten Vorfall
Auch nach einem realen Sicherheitsvorfall ist die Nachbereitung Pflicht, nicht Kür: Die NIST SP 800-61 Rev. 3 stellt die „Post-Incident"-Aktivität – Lessons Learned und Verbesserung – als eigene Phase des Incident-Response-Zyklus heraus. Das AAR nach einem Vorfall folgt denselben vier Leitfragen wie nach einer Übung und speist die Ergebnisse zurück in den Incident-Response-Plan, in Playbooks und in die nächste Übung.
Der Nutzen: messbar und auditfähig
SecDrills erzeugt den After-Action-Report automatisch – inklusive Scores pro Themenbereich, RAG-Statusübersicht, regulatorischem Mapping (NIS2, DORA) und priorisierten Maßnahmen. Über mehrere Übungen hinweg entsteht ein Trend, mit dem Sie Fortschritt gegenüber Geschäftsführung und Auditoren belegen können – ohne Ergebnisse manuell aus Notizen zusammenzusuchen.
Häufige Fragen
Was ist ein After-Action Review?
Ein After-Action Review (AAR) ist die strukturierte Auswertung nach einer Übung oder einem Vorfall. Es vergleicht Soll und Ist, identifiziert Ursachen und leitet konkrete Verbesserungsmaßnahmen ab – damit aus Erfahrung messbares Lernen wird.
Welche Fragen beantwortet ein After-Action Review?
Klassisch vier Leitfragen: Was sollte passieren? Was ist tatsächlich passiert? Warum gab es Abweichungen? Und was verbessern wir konkret? In SecDrills kommen Scores pro Themenbereich und ein regulatorisches Mapping hinzu.
Was ist der Unterschied zwischen AAR und Lessons Learned?
Das AAR ist das strukturierte Ereignis direkt nach Übung oder Vorfall, das die vier Leitfragen beantwortet. Lessons Learned sind das Ergebnis daraus: die aufbereiteten, geteilten Erkenntnisse und Maßnahmen, die in Prozesse und den nächsten Plan einfließen.
Wann sollte ein After-Action Review stattfinden?
So zeitnah wie möglich – idealerweise unmittelbar nach der Übung als kurze Nachbesprechung (Hot Wash) und zusätzlich als formales AAR innerhalb weniger Tage, solange die Details präsent sind und Maßnahmen noch mit Schwung umgesetzt werden.