Methode

Cyber Tabletop Exercise: Definition, Ablauf und Nutzen

Von SecDrills-Redaktion
Die Cyber Tabletop Exercise ist die effizienteste Methode, um die Reaktion auf einen Cybervorfall zu üben – ganz ohne technische Live-Tests. Hier erfahren Sie, was dahintersteckt, wie eine Übung abläuft und welchen Nutzen sie stiftet.

Was ist eine Cyber Tabletop Exercise?

Eine Cyber Tabletop Exercise (auch „Planübung" oder „Trockenübung") ist eine diskussionsbasierte Krisenübung. Die Teilnehmer reagieren in ihren realen Rollen – von der IT über die Geschäftsführung bis zur Kommunikation – auf ein simuliertes Szenario. Es werden keine produktiven Systeme angefasst; im Mittelpunkt stehen Entscheidungen, Prozesse und Zusammenarbeit. Die Methode ist als „Tabletop Exercise" fester Bestandteil anerkannter Test-, Trainings- und Übungsprogramme, etwa der NIST SP 800-84.

Tabletop, Krisensimulation oder Cyber-Krisenübung?

Die drei Begriffe werden oft synonym benutzt und meinen meist dieselbe diskussionsbasierte Methode – nur aus unterschiedlicher Perspektive. Diese Seite erklärt die Methode; die verwandten Blickwinkel behandeln eigene Beiträge:

BegriffSchwerpunkt
Cyber Tabletop Exercise Die Methode: Definition, Format und Ablauf der diskussionsbasierten Übung. (hier)
Krisensimulation Der Führungs- und Krisenstabs-Kontext – Business-Impact, Entscheidung, Reputation. → mehr
Cyber-Krisenübung Die praktische Durchführung: Vorbereitung, Rollen, Phasen und Kadenz. → mehr

Wie läuft eine Tabletop Exercise ab?

  1. Ein realistisches Szenario wird ausgewählt (z. B. Ransomware, Datenleck, Supply-Chain-Angriff).
  2. Die Teilnehmer übernehmen ihre realen Rollen (nach ECSF).
  3. Über Injects – situationsbezogene Ereignisse – entwickelt sich der Vorfall.
  4. Das Team trifft Entscheidungen unter Zeitdruck und dokumentiert sie.
  5. Zum Abschluss entsteht automatisch ein After-Action-Report.

Welche Szenarien eignen sich?

  • Ransomware – Verschlüsselung, Erpressung, Wiederanlauf aus Backups.
  • Datenabfluss – DSGVO-Meldung, Betroffeneninformation, Krisenkommunikation.
  • Supply-Chain-Angriff – kompromittierter Dienstleister, Abhängigkeiten.
  • Ausfall kritischer Systeme – Business-Continuity und Notbetrieb.

Welchen Nutzen bringt sie?

  • Deckt Lücken in Plänen, Rollen und Kommunikation auf – bevor der Ernstfall kommt.
  • Schult Team und Leitung praxisnah statt nur theoretisch.
  • Liefert auditfähige Nachweise für NIS2 (Art. 21), DORA und ISO 22301.
  • Geringer Aufwand: 60–90 Minuten, kein externer Berater nötig.

Tabletop Exercise mit SecDrills

SecDrills führt Sie durch den gesamten Ablauf – von der Szenarioauswahl über die moderierte Durchführung mit Injects bis zum fertigen After-Action-Report. Wollen Sie die Übung von der Führungsseite denken, lesen Sie die Krisensimulation; interessiert Sie die konkrete Durchführung, hilft die Cyber-Krisenübung weiter.

Tabletop Exercise oder technischer Test?

Eine Tabletop Exercise ersetzt keinen technischen Test – und umgekehrt. Ein Penetrationstest oder ein Red-Team-Angriff prüft die technische Widerstandsfähigkeit von Systemen; die Tabletop Exercise prüft die menschliche und organisatorische Seite: ob Rollen klar sind, Entscheidungen getroffen werden und die Meldekette funktioniert. Reife Übungsprogramme kombinieren beide Ebenen bewusst. Für die meisten Organisationen ist die diskussionsbasierte Übung der schnellste Einstieg: kein Systemrisiko, geringe Vorbereitung, sofort verwertbare Erkenntnisse – und der ideale erste Schritt, bevor aufwändigere Formate wie eine technische Live-Simulation folgen.

Wer nimmt an einer Tabletop Exercise teil?

Wirksam ist eine Tabletop Exercise nur mit den richtigen Rollen am Tisch: IT und Security, Incident Response, Geschäftsführung, Recht und Datenschutz sowie die Kommunikation. Denn ein Cybervorfall ist nie rein technisch – er verlangt Entscheidungen, rechtliche Bewertung und abgestimmte Kommunikation nach innen und außen. SecDrills weist die Rollen nach dem ECSF zu, sodass jeder in seiner realen Funktion übt und die Zusammenarbeit zwischen Technik und Führung genauso trainiert wird wie die Fachaufgabe selbst.

Häufige Fragen

Was ist eine Cyber Tabletop Exercise?

Eine Cyber Tabletop Exercise ist eine diskussionsbasierte Übung, bei der ein Team in seinen realen Rollen auf ein simuliertes Cyber-Szenario reagiert. Getestet werden nicht technische Systeme, sondern Entscheidungen, Kommunikation und Koordination im Krisenfall.

Wie lange dauert eine Tabletop Exercise?

Eine typische Cyber Tabletop Exercise dauert 60 bis 90 Minuten, das Setup durch den Moderator etwa 15 Minuten. Die Auswertung als After-Action-Report wird im Anschluss automatisch erzeugt.

Was ist der Unterschied zwischen Tabletop Exercise, Krisensimulation und Cyber-Krisenübung?

Es ist meist dieselbe diskussionsbasierte Methode aus unterschiedlicher Perspektive: Die Tabletop Exercise beschreibt das Format, die Krisensimulation betont den Führungs- und Krisenkontext, die Cyber-Krisenübung die praktische Durchführung.

Ihre erste Tabletop Exercise – kostenlos

Erste Übung ab 30 Minuten, mit automatischem auditierbarem After-Action-Report.

Kostenlos starten