Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

IT-Notfallplan: Vorbereitung auf Cyberangriffe

Ein IT-Notfallplan legt fest, welche Schritte ein Unternehmen nach einem Cyberangriff einleiten muss, um schnell in den Regelbetrieb zurückzukehren. Dieser Artikel erklärt die Bestandteile eines Cyber Incident Response Plans, die Erstellung Schritt für Schritt, Notfallübungen und den BSI-Standard 200-4.

Inhaltsverzeichnis (6 Abschnitte)

Ein IT-Notfallplan (englisch: Cyber Incident Response Plan oder kurz IRP) ist ein dokumentiertes Regelwerk, das festlegt, welche konkreten Schritte ein Unternehmen im Fall eines Cyberangriffs oder eines schwerwiegenden IT-Sicherheitsvorfalls einleiten muss. Er definiert Zuständigkeiten, Eskalationswege, Kommunikationspläne und technische Sofortmaßnahmen - und damit alles, was nötig ist, um nach einem Angriff schnell und geordnet in den Regelbetrieb zurückzukehren.

Der Notfallplan ist keine theoretische Absicherung, sondern ein operatives Werkzeug. Im Ernstfall - wenn Systeme verschlüsselt sind, Kommunikationswege versagen oder Mitarbeiter unter erheblichem Druck stehen - ist ein erprobter Plan der Unterschied zwischen einer kontrollierten Reaktion und chaotischem Aktionismus.

Warum jedes Unternehmen einen Notfallplan braucht

Die Bedrohungslage

Cyberangriffe treffen Unternehmen jeder Größe. Der wirtschaftsstarke deutsche Mittelstand ist dabei ein bevorzugtes Ziel: Klein genug, um keine umfassende Sicherheitsinfrastruktur zu betreiben, aber groß genug, um bei einem Ransomware-Angriff ein substanzielles Lösegeld zahlen zu können. Laut dem Verizon Data Breach Investigations Report sind rund 70 Prozent aller Angriffe auf Unternehmen finanziell motiviert.

Laut einer Studie des Branchenverbands Bitkom verfügt nur jedes zweite Unternehmen in Deutschland überhaupt über einen Notfallplan für Cyberangriffe. Das bedeutet: Die Hälfte der deutschen Unternehmen würde im Ernstfall improvisieren.

Der Kostenfaktor

Die Kosten eines Cyberangriffs hängen maßgeblich davon ab, wie schnell ein Unternehmen reagiert. Laut einer Studie von Accenture reduzieren schnellere Detektions- und Reaktionsmechanismen die Gesamtkosten eines erfolgreichen Angriffs um bis zu 65 Prozent. Der Notfallplan ist eine präventive Investition: Im Schadensfall zahlt er sich durch kürzere Ausfallzeiten und geringere Folgekosten unmittelbar aus.

Hinzu kommen regulatorische Anforderungen: Die NIS2-Richtlinie verpflichtet Betreiber kritischer und wichtiger Einrichtungen zur Einführung von Incident-Response-Prozessen. Wer keinen Notfallplan hat, riskiert im Ernstfall nicht nur den Schaden durch den Angriff selbst, sondern auch Bußgelder durch die Aufsichtsbehörden.

Bestandteile eines IT-Notfallplans

Ein vollständiger Notfallplan besteht aus mehreren Kernbestandteilen. Je nach Unternehmensgröße und Branche variiert der Umfang - das Grundgerüst ist jedoch für alle Organisationen gleich.

Notfallkontaktliste

Die Kontaktliste ist das wichtigste Dokument im Notfallplan und muss offline verfügbar sein - sie nützt nichts, wenn sie nur im verschlüsselten System liegt.

Interne Kontakte: IT-Leiter/CISO (Name, Mobilnummer, alternative E-Mail), Geschäftsführung (Erreichbarkeit außerhalb Geschäftszeiten), Datenschutzbeauftragter (für DSGVO-Meldepflicht mit 72-Stunden-Frist), Betriebsrat (bei Mitarbeiterdaten-Betroffenheit) sowie alle IT-Team-Mitglieder mit Backup-Kontakten.

Externe Kontakte: Managed Security Provider oder SOC-Dienstleister, Cyber-Versicherung (Schadennummer, 24/7-Hotline), externe Forensiker und Incident-Response-Dienstleister, zuständige Datenschutzbehörde (z.B. LDI NRW, BayLDA), BSI-Meldestelle (Telefon: 0228 99 9582-444) sowie Strafverfolgung (LKA Cybercrime, ggf. Staatsschutz).

Kommunikationskontakte: PR-Agentur oder interne Kommunikationsverantwortliche, Schlüsselkunden mit laufenden Projekten sowie Lieferanten und Partner, die ggf. betroffen sind.

Eskalationsstufen

Ein guter Notfallplan unterscheidet zwischen unterschiedlichen Schweregraden eines Vorfalls und definiert klare Eskalationsstufen. Nicht jeder Sicherheitsalarm erfordert eine vollständige Notfallreaktion.

Stufe 1 - Incident (Standard-Vorfall): Einzelne verdächtige Aktivität ohne bestätigten Schaden. Das IT-Team bewertet und dokumentiert; der IT-Leiter wird informiert. Zeitrahmen: Analyse binnen 4 Stunden.

Stufe 2 - Significant Incident: Bestätigter Angriff mit begrenzter Auswirkung. Sofortmaßnahmen werden eingeleitet und Systeme isoliert. CISO und Geschäftsführung werden informiert. Zeitrahmen: Eskalation binnen 1 Stunde.

Stufe 3 - Critical Incident: Kritische Systeme betroffen, Betrieb beeinträchtigt. Der Notfallplan wird vollständig aktiviert, externe Unterstützung hinzugezogen und alle Stakeholder informiert - ggf. auch Kunden. Zeitrahmen: sofortige Eskalation.

Stufe 4 - Crisis: Vollständiger Betriebsausfall, Datenverlust, Ransomware. Krisenstab wird aktiviert, Strafanzeige erstattet, BSI-Meldung abgesetzt und externe Kommunikation aufgenommen. Zeitrahmen: sofortige Eskalation.

Sofortmaßnahmen

Sofortmaßnahmen sind die konkreten technischen und organisatorischen Schritte, die unmittelbar nach der Erkennung eines Vorfalls eingeleitet werden - bevor noch vollständig klar ist, was passiert ist.

Sofortige Isolation: Betroffene Systeme vom Netzwerk trennen (Netzwerkkabel ziehen oder WLAN deaktivieren). Systeme nicht ausschalten - der Speicher enthält forensisch wertvolle Daten. Ausnahme: bei laufender Verschlüsselung durch Ransomware sofort ausschalten.

Dokumentation: Zeitstempel des Entdeckungszeitpunkts notieren, Screenshot oder Foto des Bildschirmzustands anfertigen, alle beobachteten Anomalien festhalten.

Beweise sichern: Log-Dateien sichern (werden oft vom Angreifer gelöscht), wenn möglich einen Memory Dump erstellen. Keine Antivirenscans auf dem betroffenen System starten.

Kommunikation: Interne Meldung an IT-Leiter/CISO, Mitarbeiter informieren (keine verdächtigen E-Mails öffnen). Externe Kommunikation nur durch befugte Personen.

Passwörter: Admin-Passwörter sofort von einem sauberen System ändern, MFA-Tokens überprüfen und verdächtige Konten deaktivieren.

Kommunikationsplan

Der Kommunikationsplan regelt, wer wann was an wen kommuniziert. Unkontrollierte Kommunikation - zum Beispiel durch besorgte Mitarbeiter in sozialen Medien - kann die Situation verschlimmern und Angreifern Hinweise auf den Stand der Reaktion geben.

Der Plan sollte folgende Punkte regeln: interne Kommunikationskette, Sprachregelungen für Kundenkommunikation, Umgang mit Medienanfragen und die gesetzlich vorgeschriebene Kommunikation an Behörden. Die DSGVO schreibt eine Meldung an die zuständige Datenschutzbehörde binnen 72 Stunden vor, wenn personenbezogene Daten betroffen sind.

Erstellung Schritt für Schritt

Schritt 1: Bestandsaufnahme der kritischen Assets

Bevor ein sinnvoller Notfallplan erstellt werden kann, muss bekannt sein, welche Systeme, Daten und Prozesse für den Betrieb unverzichtbar sind. Diese Analyse wird als Business-Impact-Analyse (BIA) bezeichnet.

Fragen zur BIA:

  • Welche Systeme müssen innerhalb von Stunden wieder verfügbar sein?
  • Welche Daten sind besonders schutzbedürftig?
  • Welche Prozesse können manuell überbrückt werden?
  • Was ist der maximale tolerierbare Ausfall (RTO - Recovery Time Objective)?

Schritt 2: Bedrohungsszenarien definieren

Der Notfallplan sollte konkrete Szenarien abdecken, nicht generische Formulierungen. Typische Szenarien:

  • Ransomware-Angriff: Verschlüsselung von Dateiservern und Backups
  • CEO-Fraud / Business Email Compromise: Überweisung an Angreifer durch gefälschte E-Mail
  • Datenpanne mit DSGVO-Meldepflicht: Unberechtigter Zugriff auf Kundendaten
  • DDoS-Angriff: Ausfall der öffentlichen Webseite oder des Kundenportals
  • Insider-Bedrohung: Datenexfiltration durch Mitarbeiter

Für jedes Szenario werden spezifische Reaktionsschritte, Zuständigkeiten und Kommunikationspfade definiert.

Schritt 3: Zuständigkeiten zuweisen

Der Plan muss namentlich benennen, wer welche Aufgaben übernimmt. Rollen statt Personen zu benennen ist unzureichend, wenn im Ernstfall unklar ist, wer gerade in dieser Rolle tätig ist. Für jede Schlüsselrolle sollte eine Vertretung benannt sein.

Schritt 4: Backups und Wiederherstellung

Der Notfallplan muss auf ein funktionierendes Backup-Konzept aufbauen. Dabei gilt die 3-2-1-Regel: 3 Kopien der Daten, auf 2 verschiedenen Medientypen, 1 Kopie extern oder offline (air-gapped).

Offline-Backups - also Backups die nicht über das Netzwerk erreichbar sind - sind der einzige verlässliche Schutz gegen Ransomware, die gezielt Backup-Systeme verschlüsselt.

Schritt 5: Dokumentation und Zugänglichkeit

Der fertige Notfallplan muss in gedruckter Form vorliegen - nicht nur als digitale Datei. Bei einem Ransomware-Angriff, der alle Systeme verschlüsselt, muss der Plan trotzdem verfügbar sein. Empfehlung: Druckexemplar im Tresor, weiteres Exemplar beim Geschäftsführer zu Hause.

Notfallübungen

Ein Notfallplan der nie geübt wurde, ist ein Dokument ohne Praxiswert. Regelmäßige Übungen decken Lücken auf, bevor ein echter Angriff es tut.

Tabletop-Übungen

Eine Tabletop-Übung ist eine Diskussionsrunde, bei der ein moderiertes Szenario durchgespielt wird - ohne echte Systeme zu berühren. Teilnehmer aus IT, Management und anderen relevanten Abteilungen diskutieren, welche Schritte sie in einem bestimmten Szenario einleiten würden.

Tabletop-Übungen sind ressourcenschonend und eignen sich besonders, um:

  • Den Notfallplan erstmals auf Plausibilität zu prüfen
  • Kommunikationswege und Zuständigkeiten zu testen
  • Management-Bewusstsein für Cyberrisiken zu schärfen
  • Lücken in der Dokumentation zu identifizieren

Simulationsübungen

Eine technische Simulation geht weiter: Hier werden echte Systeme in einer isolierten Umgebung kompromittiert und das Incident-Response-Team reagiert unter realistischen Bedingungen. Cyber-Ranges - spezialisierte Trainingsumgebungen - ermöglichen das Üben von Szenarien wie Ransomware-Ausbrüchen oder Netzwerk-Kompromittierungen, ohne echte Produktionssysteme zu gefährden.

Empfehlung: Tabletop-Übungen mindestens jährlich, technische Simulationen alle zwei bis drei Jahre oder nach wesentlichen Änderungen der IT-Infrastruktur.

BSI-Standard 200-4: Notfallmanagement

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Standard 200-4 ein umfassendes Framework für das IT-Notfallmanagement veröffentlicht. Der Standard ersetzt den früheren BSI-Standard 100-4 und ist eng mit dem IT-Grundschutz verzahnt.

BSI 200-4 definiert drei Reifestufen für das Notfallmanagement:

Reifestufe 1 - Reaktiv: Das Unternehmen reagiert auf Vorfälle ohne vordefinierte Prozesse. Kein strukturierter Plan vorhanden.

Reifestufe 2 - Aufbauend: Grundlegende Notfallprozesse sind dokumentiert. Erste Übungen wurden durchgeführt.

Reifestufe 3 - Standardisiert: Vollständiges Notfallmanagementsystem gemäß BSI 200-4. Regelmäßige Übungen, kontinuierliche Verbesserung.

Der BSI bietet zusätzlich einen IT-Notfallkatalog als kostenlosen Leitfaden für KMU an, der die wichtigsten Schritte zur Erstellung eines Notfallplans kompakt zusammenfasst.

Notfallplan vs. Business Continuity Plan

Die Begriffe werden oft synonym verwendet, bezeichnen jedoch unterschiedliche Konzepte mit unterschiedlichem Fokus.

Der IT-Notfallplan / Incident Response Plan fokussiert auf die Reaktion auf einen spezifischen Sicherheitsvorfall mit dem Ziel, den Schaden einzudämmen und Systeme wiederherzustellen. Zeitrahmen: Stunden bis Tage. Leitfrage: "Was tun wir jetzt, in diesem Moment?"

Der Business Continuity Plan (BCP) zielt auf die Aufrechterhaltung des Geschäftsbetriebs während eines Ausfalls ab. Er beantwortet die Frage: "Wie halten wir das Unternehmen am Laufen?" Zeitrahmen: Tage bis Wochen.

Der Disaster Recovery Plan (DRP) beschreibt die vollständige Wiederherstellung der IT-Infrastruktur nach einem Totalausfall. Leitfrage: "Wie stellen wir alles wieder her?" Zeitrahmen: Tage bis Monate.

In der Praxis bauen diese Dokumente aufeinander auf: Der Notfallplan greift als erstes, dann der BCP um den Betrieb während der Wiederherstellung aufrechtzuerhalten, und schließlich der DRP für die vollständige Systemwiederherstellung. Für KMU empfiehlt sich zunächst ein integriertes Dokument, das alle drei Aspekte abdeckt.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de