Incident Response: Tabletop-Übungen für den Ernstfall
Tabletop-Übungen (TTX) testen Ihr Incident-Response-Team ohne echten Angriff: Szenarien für Ransomware, CEO-Fraud, Datenpanne (DSGVO 72h-Meldepflicht), Supply-Chain-Angriff. Ablauf, Rollen (CISO, IT, Legal, PR, Management), Moderationstipps, häufige Schwachstellen (Kommunikation, Eskalation, Externe Dienstleister) und Nachbereitung (After-Action-Review, Verbesserungsplan).
Oskar Braun Abteilungsleiter Information Security Consulting TL;DR
Tabletop-Übungen (TTX
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (6 Abschnitte)
Tabletop-Übungen zeigen Lücken im Incident-Response-Plan, bevor ein echter Angriff sie aufdeckt. Die häufigste Erkenntnis: “Wir haben keinen Plan, wer was entscheidet, wenn der CISO nicht erreichbar ist.”
Was sind Tabletop-Übungen?
Eine Tabletop Exercise (TTX) ist eine Diskussionsübung: Das Team sitzt zusammen, ein Moderator spielt ein Szenario durch. Es gibt keinen echten Code, keine echten Systeme sind betroffen. Der Fokus liegt auf Prozessen, Kommunikation und Entscheidungsfindung. Eine TTX dauert typischerweise 2-4 Stunden inklusive Nachbereitung.
Unterschied zu anderen Übungsformen
| Übungstyp | Charakter | Aufwand |
|---|---|---|
| Tabletop | Diskussion, keine technischen Aktionen | gering |
| Functional Exercise | Tatsächliche Aktionen simuliert (Playbook ausführen) | mittel |
| Full-Scale Exercise | Realer Einsatz | hoch |
| Red Team / Pentest | Echter Angriff (andere Zielsetzung) | sehr hoch |
Warum Tabletop?
Tabletop-Übungen sind günstig - kein Schaden an Produktivsystemen. Sie decken systematisch auf: Kommunikationslücken, unklare Zuständigkeiten, fehlende Eskalationspfade und fehlende Kontaktdaten. DSGVO, BSI und ISO 27001 akzeptieren TTXs als Nachweis der IR-Fähigkeit. Die BSI-Empfehlung lautet: mindestens 1x jährlich.
Beteiligte Rollen
Pflicht-Teilnehmer (Decision Makers)
- CISO / IT-Leiter: Technische Einschätzung und IR-Koordination
- Geschäftsführung: Entscheidung über Abschaltung und externe Kommunikation
- Legal / Datenschutz: DSGVO-Meldepflicht (72h!), Haftungsfragen
- PR / Kommunikation: Externe Kommunikation an Kunden, Medien und Behörden
- Krisenkommunikation: Internes Update an Mitarbeiter
Empfohlene Teilnehmer
- IT-Operations: Technische Analyse, erste Maßnahmen
- HR: Wenn Insider-Threat-Szenario behandelt wird
- Finanz: CEO-Fraud-Szenario, Zahlungsstopp
- Versicherungsmakler: Cyber-Versicherung auslösen - wann und wie?
Externe Teilnehmer (selektiv)
- IR-Dienstleister: AWARE7 oder externe Forensiker (Kontakte bekannt?)
- Rechtsanwalt: Bei Datenpanne oder strafrechtlicher Relevanz
Moderation
Der Moderator ist nicht gleichzeitig Teilnehmer. Er spielt das Szenario, stellt Fragen und dokumentiert. Wichtig: Techniker-Tiefe-Diskussionen aktiv unterbrechen mit “OK, angenommen das ist gelöst - was kommt als nächstes?”
Szenario 1: Ransomware-Angriff
T+00:00 - Entdeckung
Moderator: “Es ist Montag 06:00 Uhr. Euer IT-Monitoring-System zeigt 50 Alarme - Dateiverschlüsselung auf File-Servern FS01 und FS02. Der erste Mitarbeiter ruft an: ‘Meine Dateien haben alle .locked-Endung.’”
Diskussionsfragen:
- Wer ist der erste Ansprechpartner? (Help Desk, IT-Leiter, CISO?)
- Wie bestätigt ihr, dass es Ransomware und kein Fehler ist?
- Wann ruft ihr die Geschäftsführung an? Sofort oder erst nach Verifikation?
T+01:00 - Eindämmung
Moderator: “Ihr habt bestätigt: Ransomware. 5 Server betroffen. Der Angreifer hat eine Notiz hinterlassen: 500.000 EUR in 48h oder Daten werden veröffentlicht. Eure Backups liegen auf einem NAS, das ebenfalls verschlüsselt wurde.”
Diskussionsfragen:
- Netzwerk abschalten? Ganzes Netz oder gezielt?
- Backup-Strategie: gibt es Offline-Backups? Cloud-Backups?
- Zahlen oder nicht zahlen? Wer entscheidet das?
- Wann BSI und Polizei informieren?
T+04:00 - DSGVO-Meldepflicht
Moderator: “Es ist 10:00 Uhr. Ihr stellt fest: ein Server mit Kundendaten (Name, E-Mail, IBAN) war auch betroffen. 2.500 betroffene Personen.”
Diskussionsfragen:
- DSGVO Art. 33: Meldung an Behörde binnen 72h - wann startet die Uhr?
- Zuständige Aufsichtsbehörde: welche? (Bundesland beachten!)
- Art. 34: Betroffene informieren - wann, wie, welchen Inhalt?
- Dokumentationspflicht: was muss ins Verarbeitungsverzeichnis?
T+08:00 - Presseanfrage
Moderator: “Ein Journalist des Handelsblattes ruft an: ‘Wir haben Informationen über einen Ransomware-Angriff bei Ihnen. Möchten Sie kommentieren?’ Die Nachricht ist noch nicht öffentlich.”
Diskussionsfragen:
- Wer spricht mit der Presse? (Nur eine Person!)
- Was sagt man? Was sagt man nicht? (keine Details, Ermittlung läuft)
- Kunden informieren: wann und wie?
- Website: Status-Page? Social Media Statement?
Typische Schwachstellen die TTX aufdeckt
- Backup-Tapes im gleichen Raum wie Server (Ransomware läuft übers Netz)
- CISO im Urlaub: kein Vertreter definiert
- IT-Hotline-Nummer nicht öffentlich → Mitarbeiter googeln und rufen Fake-Support an
- Rechtsbeistand-Kontakt nicht im Notfallplan (Nummer unbekannt)
- Kommunikationskanal WhatsApp → auch kompromittiert bei breitem Angriff
Szenario 2: DSGVO-Datenpanne (Data Breach)
T+00:00 - Fehlversand
Moderator: “Ein Mitarbeiter aus der Buchhaltung ruft an: ‘Ich habe versehentlich eine Excel-Datei mit den Gehältern aller 450 Mitarbeiter an die allgemeine Firmen-E-Mail-Liste gesendet. Die E-Mail wurde von 120 Empfängern geöffnet.’ Es ist Freitag 15:45 Uhr.”
Diskussionsfragen:
- Wer ist der Datenschutzbeauftragte? Erreichbar am Freitagnachmittag?
- Ist das eine meldepflichtige Datenpanne nach Art. 33 DSGVO?
- Kann die E-Mail zurückgerufen werden? (Technisch: meistens nein)
- Was tun mit dem Mitarbeiter - Disziplinarverfahren ja oder nein?
T+02:00 - Eskalation
Moderator: “Es ist 18:00 Uhr. Ihr habt die Datenpanne dokumentiert. Ein Betriebsrat-Mitglied fragt nach dem Incident und ob der Mitarbeiter Konsequenzen bekommt.”
Diskussionsfragen:
- Betriebsrat informieren - Pflicht oder nicht?
- Uhr läuft: noch 70 Stunden bis zur 72h-Meldefrist
- Schwellenwert: müssen Betroffene (450 Mitarbeiter) informiert werden?
T+24:00 - Insider-Verdacht
Moderator: “Samstag 08:00 Uhr. Ein Mitarbeiter hat die Datei offensichtlich an seinen privaten Account weitergeleitet. Ihr wisst es durch E-Mail-DLP-Logs.”
Diskussionsfragen:
- Insider Threat oder Fehler? (Konsequenzen unterschiedlich)
- Darf man die privaten E-Mails des Mitarbeiters überprüfen?
- Wann Anwalt einschalten?
- Meldung an Behörde: wie formell, welche Angaben?
Szenario 3: CEO-Fraud / Business Email Compromise
T+00:00 - Die gefälschte Anweisung
Moderator: “Die Buchhalterin Frau Meier erhält eine E-Mail scheinbar vom CEO Herrn Schmitt (echter Absender!): ‘Ich bin gerade in Dubai in einer Akquisitions-Verhandlung. Überweisen Sie JETZT 180.000 EUR an: [Kontonummer Ausland]. Völlig vertraulich - kein Wort an andere! Bestätigung per E-Mail.’ Frau Meier tut wie geheißen. 2 Stunden später fragt sie Sie.”
Diskussionsfragen:
- Geld überwiesen: was sofort tun? (Bank anrufen - innerhalb von Stunden!)
- Wie wurde die E-Mail-Domain kompromittiert oder war es Spoofing?
- Strafanzeige: wer erstattet sie? Wann?
- Versicherung: greift die Cyber-Police? Welche Dokumentation braucht man?
T+04:00 - Das Geld ist weg
Moderator: “Die Bank sagt: Geld ist bereits weiterüberwiesen. Wahrscheinlich nicht rückholbar. Frau Meier ist in Tränen.”
Diskussionsfragen:
- Wie geht ihr mit der Mitarbeiterin um? (Sie trägt keine Prozessschuld)
- Welche Kontrollen hätten das verhindert?
- Kommunikation an andere Mitarbeiter: wie vermeidet man Panik?
- Wie dokumentiert ihr den Vorfall für Versicherung und Polizei?
Learnings aus echten Fällen
- Fehlendes Vier-Augen-Prinzip für Auslandsüberweisungen führt zu direktem Verlust
- Call-Back-Policy nicht klar kommuniziert: “Ich war unsicher, aber er klang so dringend” - menschlich verständlich, aber vermeidbar
- Fehlendes DMARC: Angreifer konnte die Domain spoofen
- CEO-Reiseplan auf LinkedIn sichtbar: Angriff war gezielt geplant
After-Action-Review (Nachbereitung)
Unmittelbar nach der Übung: Hot Wash
30 Minuten offene Diskussion im Raum: “Was lief gut? Was war unklar? Was fehlt im Plan?” Keine Schuldigen suchen - blame-free! Alle Beobachtungen sammeln (Moderator hat Protokoll).
After-Action-Report (innerhalb 1 Woche)
Der Report enthält:
- Übungsziele und ob sie erreicht wurden
- Was lief gut (Best Practices beibehalten)
- Verbesserungsbedarf (priorisiert)
- Konkrete Maßnahmen mit Verantwortlichkeit und Deadline
Typische Findings aus TTX
- IR-Kontaktliste veraltet (IT-Leiter hat neue Nummer)
- Keine Kommunikationsalternative bei Exchange-Ausfall (alle nutzen Outlook - wenn Exchange down: wie kommunizieren?)
- BSI-Meldung: niemand kennt den Prozess oder die Formulare
- Externe Forensiker: Vertrag nicht vorhanden (Einstundensatz unklar)
- Backup-Test: letzter Restore-Test vor 18 Monaten
Maßnahmenplan (SMART)
Ein wirksamer Maßnahmenplan folgt dem SMART-Prinzip:
- Specific: “Kontaktliste aktualisieren” → wer, welche Nummern genau?
- Measurable: 12 Einträge, alle mit Handy und E-Mail
- Achievable: realistisch in 2 Wochen umsetzbar
- Relevant: direkte Auswirkung auf IR-Fähigkeit
- Time-bound: bis zum 15. des Monats
Planung der nächsten Übung
- Unterschiedliche Szenarien wählen - nicht immer Ransomware
- Rotierende Szenarien: DDoS, Insider Threat, Supply-Chain
- Andere Personen einbeziehen (verpflichtende Teilnahme rotieren)
- Härtungstest: letztes Szenario wiederholen und Verbesserung messen
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
