Begriff

After-Action Review (AAR): Definition, Ablauf und Nutzen

Von SecDrills-Redaktion
Eine Übung ist erst dann wertvoll, wenn aus ihr gelernt wird. Genau das leistet das After-Action Review: Es macht Erkenntnisse messbar, dokumentiert sie auditfähig und übersetzt sie in Maßnahmen.
Kostenlose Vorlage · ohne Anmeldung

Leere After-Action-Review-Vorlage

Fertig strukturierte AAR-Vorlage: die vier Leitfragen, Beobachtungen (gut/verbesserungswürdig), RAG-Bewertung je Themenbereich, Maßnahmenplan und Freigabe. Öffnen, ausfüllen und direkt als PDF speichern.

Vorlage öffnen & als PDF speichern

Was ist ein After-Action Review?

Ein After-Action Review (AAR) ist eine strukturierte Nachbesprechung, die eine Übung oder einen realen Vorfall systematisch auswertet und in konkretes Lernen überführt. Die Methode stammt ursprünglich aus dem militärischen Kontext (US Army, TC 25-20) und ist heute in Krisenmanagement und Cybersicherheit Standard. Ihr Kern ist der ehrliche Vergleich von Soll und Ist: Was war geplant, was ist passiert, warum – und was ändern wir daraus? Anders als eine lockere Manöverkritik folgt ein AAR einem festen Ablauf, ist moderiert und endet mit dokumentierten, verantwortlich zugewiesenen Maßnahmen. In der IT-Notfallplanung ist es fest verankert: Die NIST SP 800-84 (Guide to Test, Training, and Exercise Programs) sieht die Auswertung mit Verbesserungsplan als festen Bestandteil jedes Übungsprogramms vor.

Welche Fragen beantwortet ein After-Action Review?

Ein AAR beantwortet vier Leitfragen – von der Erwartung über die Realität und ihre Ursachen bis zur konkreten Verbesserung:

  1. Was sollte passieren?
  2. Was ist tatsächlich passiert?
  3. Warum gab es Abweichungen?
  4. Was verbessern wir konkret – und wer ist verantwortlich?
LeitfrageZweckBeispiel-Ergebnis
Was sollte passieren?Soll-Zustand aus Plan, Playbook und MSELErwartete Meldung nach 30 Min. an die Behörde
Was ist tatsächlich passiert?Ist-Zustand ohne Bewertung dokumentierenMeldung erfolgte erst nach 2,5 Stunden
Warum gab es Abweichungen?Ursachen statt Symptome findenMeldeweg war nur einer Person bekannt
Was verbessern wir konkret?Maßnahme mit Verantwortlichem und FristMeldekette dokumentieren, Vertretung benennen

AAR oder Lessons Learned – wo ist der Unterschied?

Die Begriffe werden oft synonym benutzt, meinen aber zwei Dinge: Das AAR ist das strukturierte Ereignis direkt nach der Übung, Lessons Learned sind das aufbereitete Ergebnis daraus, das geteilt wird und in Prozesse einfließt.

DimensionAfter-Action ReviewLessons Learned
Zeitpunktunmittelbar nach Übung/Vorfallim Anschluss, aufbereitet
Formmoderierte Sitzung, 4 Leitfragendokumentierte Erkenntnisse & Maßnahmen
ErgebnisBeobachtungen & Maßnahmenplangeänderte Prozesse, Pläne, Schulungen
Adressatbeteiligtes TeamOrganisation & künftige Übungen

Wie läuft ein After-Action Review ab?

Bewährt hat sich ein zweistufiges Vorgehen: eine kurze Nachbesprechung direkt nach der Übung (Hot Wash), solange alle Eindrücke frisch sind, und ein formales AAR wenige Tage später. Eine neutrale Moderation führt durch die vier Leitfragen, hält Beobachtungen wertfrei fest und trennt Symptome von Ursachen. Nach einer Tabletop Exercise liefert die in der MSEL hinterlegte erwartete Reaktion den Soll-Maßstab, an dem die tatsächliche Reaktion auf jeden Inject gemessen wird. So werden Stärken und Lücken sichtbar statt nur gefühlt – und jede Erkenntnis mündet in eine Maßnahme mit Verantwortlichem und Frist.

AAR nach einem echten Vorfall

Auch nach einem realen Sicherheitsvorfall ist die Nachbereitung Pflicht, nicht Kür: Die NIST SP 800-61 Rev. 3 stellt die „Post-Incident"-Aktivität – Lessons Learned und Verbesserung – als eigene Phase des Incident-Response-Zyklus heraus. Das AAR nach einem Vorfall folgt denselben vier Leitfragen wie nach einer Übung und speist die Ergebnisse zurück in den Incident-Response-Plan, in Playbooks und in die nächste Übung.

Der Nutzen: messbar und auditfähig

SecDrills erzeugt den After-Action-Report automatisch – inklusive Scores pro Themenbereich, RAG-Statusübersicht, regulatorischem Mapping (NIS2, DORA) und priorisierten Maßnahmen. Über mehrere Übungen hinweg entsteht ein Trend, mit dem Sie Fortschritt gegenüber Geschäftsführung und Auditoren belegen können – ohne Ergebnisse manuell aus Notizen zusammenzusuchen.

Häufige Fragen

Was ist ein After-Action Review?

Ein After-Action Review (AAR) ist die strukturierte Auswertung nach einer Übung oder einem Vorfall. Es vergleicht Soll und Ist, identifiziert Ursachen und leitet konkrete Verbesserungsmaßnahmen ab – damit aus Erfahrung messbares Lernen wird.

Welche Fragen beantwortet ein After-Action Review?

Klassisch vier Leitfragen: Was sollte passieren? Was ist tatsächlich passiert? Warum gab es Abweichungen? Und was verbessern wir konkret? In SecDrills kommen Scores pro Themenbereich und ein regulatorisches Mapping hinzu.

Was ist der Unterschied zwischen AAR und Lessons Learned?

Das AAR ist das strukturierte Ereignis direkt nach Übung oder Vorfall, das die vier Leitfragen beantwortet. Lessons Learned sind das Ergebnis daraus: die aufbereiteten, geteilten Erkenntnisse und Maßnahmen, die in Prozesse und den nächsten Plan einfließen.

Wann sollte ein After-Action Review stattfinden?

So zeitnah wie möglich – idealerweise unmittelbar nach der Übung als kurze Nachbesprechung (Hot Wash) und zusätzlich als formales AAR innerhalb weniger Tage, solange die Details präsent sind und Maßnahmen noch mit Schwung umgesetzt werden.

After-Action-Report automatisch erhalten

Jede SecDrills-Übung endet mit einem auditfähigen Report – ganz ohne manuelles Zusammensuchen.

Kostenlos starten