Durchführung

Cyber-Krisenübung: den Ernstfall trainieren

Von SecDrills-Redaktion
Ob eine Cyberkrise beherrschbar bleibt, hängt an der geübten Reaktion – nicht am Zufall. Dieser Beitrag zeigt praxisnah, wie Sie eine Cyber-Krisenübung vorbereiten, durchführen und nachbereiten.

Was ist eine Cyber-Krisenübung?

Eine Cyber-Krisenübung ist eine Übung, in der ein Team die Bewältigung eines schweren Cybervorfalls trainiert. Sie verbindet die technische Sicht (Incident Response) mit der Führungssicht (Krisenmanagement) – denn eine Cyberkrise ist immer auch eine Unternehmenskrise. In der Praxis wird sie meist als diskussionsbasierte Tabletop Exercise durchgeführt, wie sie auch in Übungsprogrammen nach NIST SP 800-84 beschrieben ist.

Cyber-Krisenübung, Tabletop oder Krisensimulation?

Die Begriffe meinen meist dieselbe Methode aus anderem Blickwinkel: Die Cyber Tabletop Exercise beschreibt das Format, die Krisensimulation den Führungs- und Krisenkontext. Diese Seite konzentriert sich auf die praktische Durchführung.

Wie bereitet man eine Cyber-Krisenübung vor?

  • Übungsziele festlegen – z. B. Meldekette, Entscheidungsfindung, Kommunikation.
  • Szenario & Drehbuch (MSEL) wählen und die Injects vorbereiten.
  • Rollen besetzen – nach ECSF: Geschäftsführung, IT/Security, IR, Recht, Kommunikation.
  • Moderation bestimmen, die durch das Szenario führt und wertfrei protokolliert.

Wie läuft die Übung ab?

PhaseInhaltDauer
BriefingZiele, Regeln und Rollen klären; das Team ankommen lassen.10 Min.
Szenario & InjectsDer Vorfall entwickelt sich über eingespielte Ereignisse (Injects).40–60 Min.
Entscheidungen & MeldeketteTeam entscheidet unter Zeitdruck, eskaliert und übt die Meldung.laufend
HotwashKurze Sofort-Nachbesprechung, solange die Eindrücke frisch sind.10–15 Min.
After-Action-ReportAutomatische, auditierbare Auswertung mit Maßnahmen.im Anschluss

Wer nimmt teil?

Eine wirksame Cyber-Krisenübung bindet alle relevanten Rollen ein: Geschäftsführung, IT/Security, Incident Response, Recht/Datenschutz, Kommunikation und betroffene Fachbereiche. SecDrills weist die Rollen nach dem ECSF zu, damit jeder realitätsnah übt.

Wie oft sollte man üben?

NIS2 verlangt Krisenmanagement und die Aufrechterhaltung des Betriebs; DORA fordert die Erprobung der Reaktions- und Wiederherstellungspläne. Praktisch heißt das: mindestens jährlich üben, besser halb- bis vierteljährlich – jede Übung liefert zugleich den dokumentierten Nachweis. Die Auswertung übernimmt ein After-Action Review.

Welche Szenarien eignen sich?

Gute Szenarien sind realistisch und für die Organisation relevant: ein Ransomware-Ausfall der zentralen Systeme, ein Datenabfluss mit Meldepflicht, ein kompromittierter Dienstleister in der Lieferkette oder der Ausfall einer geschäftskritischen Anwendung. Entscheidend ist nicht die technische Tiefe, sondern dass Entscheidungen, Meldewege und Kommunikation unter echtem Zeitdruck geübt werden.

Nachbereitung: aus der Übung lernen

Der wichtigste Teil beginnt nach dem Szenario. Im After-Action Review vergleicht das Team Soll und Ist entlang vier Leitfragen: Was sollte passieren, was geschah tatsächlich, warum gab es Abweichungen und was verbessern wir konkret? Jede Erkenntnis wird zu einer Maßnahme mit Verantwortlichem und Frist – und fließt zurück in Playbooks, den Incident-Response-Plan und die nächste Übung. So wird aus einer einmaligen Übung ein kontinuierlicher Verbesserungszyklus statt eines folgenlosen Termins.

Typische Stolpersteine

  • Nur die IT übt – Führung, Recht und Kommunikation fehlen am Tisch, obwohl die Krise sie betrifft.
  • Das Szenario ist zu unrealistisch oder zu technisch für die beteiligten Rollen.
  • Es fehlt der Zeitdruck – ohne ihn bleiben Entscheidungswege ungetestet.
  • Erkenntnisse werden nicht in verbindliche, terminierte Maßnahmen übersetzt.
  • Die Übung bleibt einmalig statt regelmäßig – echte Krisenroutine entsteht so nie.

Häufige Fragen

Was ist eine Cyber-Krisenübung?

Eine Cyber-Krisenübung trainiert die Reaktion auf einen schweren Cybervorfall. Krisenstab, IT und Führung durchlaufen ein realistisches Szenario und üben Entscheidungsfindung, Eskalation und Kommunikation – meist als Tabletop-Übung.

Wer sollte an einer Cyber-Krisenübung teilnehmen?

Neben IT und Incident Response gehören Geschäftsführung, Recht, Kommunikation und betroffene Fachbereiche dazu. Eine Krise ist nie rein technisch – sie betrifft die gesamte Organisation.

Wie oft sollte man eine Cyber-Krisenübung durchführen?

Mindestens jährlich, besser halb- bis vierteljährlich sowie nach größeren Änderungen an Systemen, Team oder Plänen. Regelmäßigkeit hält Meldeketten und Zuständigkeiten belastbar und liefert fortlaufende NIS2-/DORA-Nachweise.

Cyber-Krisenübung starten

Üben Sie den Ernstfall mit Ihrem Krisenstab – realistisch, moderiert und auditfähig dokumentiert.

Kostenlos starten