Freitagabend, 18:47 Uhr. Die Buchhaltung meldet sich: „Alle Dateien haben eine seltsame Endung. Nichts lässt sich mehr öffnen." Innerhalb einer Stunde ist klar: Ransomware. Fileserver verschlüsselt. E-Mail tot. ERP-System nicht erreichbar. Auf jedem Bildschirm eine Lösegeldforderung.
Und jetzt? Wer ruft wen an? Wer entscheidet, ob Systeme heruntergefahren werden? Wer informiert Kunden, Lieferanten, die Datenschutzbehörde? Wer kontaktiert die Cyberversicherung? Und wer sagt der Belegschaft am Montagmorgen, wie es weitergeht?
Ohne Notfallplan beginnt an diesem Punkt das Chaos. Mit Notfallplan beginnt ein Prozess. Der Unterschied entscheidet über Tage oder Wochen Stillstand, über Zehntausende oder Hunderttausende Euro Schaden — und im schlimmsten Fall über die persönliche Haftung des Geschäftsführers.
Ein Cyber-Notfallplan ist kein Nice-to-have. § 30 Abs. 2 Nr. 6 BSIG (NIS2-Umsetzungsgesetz) verlangt von betroffenen Unternehmen ausdrücklich Maßnahmen zur Bewältigung von Sicherheitsvorfällen. Art. 32 DSGVO fordert die Fähigkeit, Verfügbarkeit und Zugang zu personenbezogenen Daten nach einem Zwischenfall rasch wiederherzustellen. Und Cyberversicherer prüfen zunehmend, ob ein dokumentierter Notfallplan existiert — ohne ihn kann der Versicherungsschutz im Schadenfall gefährdet sein.
Warum die meisten KMU im Ernstfall scheitern
Laut BSI-Lagebericht 2024 verfügen nur 22 % der kleinen und mittleren Unternehmen über einen dokumentierten IT-Notfallplan. Gleichzeitig trifft ein Cyberangriff im Schnitt alle 11 Sekunden ein deutsches Unternehmen. Die Diskrepanz ist alarmierend — und die Konsequenzen vorhersehbar:
- → Panik statt Prozess: Ohne klare Zuständigkeiten versuchen mehrere Personen gleichzeitig „etwas zu tun" — oft mit widersprüchlichen Maßnahmen. Systeme werden neu gestartet statt isoliert. Beweise werden vernichtet statt gesichert.
- → Meldepflichten werden verpasst: Die DSGVO gibt 72 Stunden für die Meldung an die Aufsichtsbehörde. NIS2 verlangt eine Erstmeldung innerhalb von 24 Stunden. Wer erst im Ernstfall nachschaut, welche Fristen gelten, verpasst sie.
- → Versicherer können Leistung kürzen: Ohne dokumentierte Sofortmaßnahmen und ohne Beweissicherung fehlt dem Versicherer die Grundlage für die Regulierung. Im schlimmsten Fall verweigert er die Leistung wegen Obliegenheitsverletzung.
- → Betriebsunterbrechung dauert länger: KMU ohne Notfallplan brauchen im Schnitt 23 Tage bis zur vollständigen Wiederherstellung — mit Plan sind es durchschnittlich 7 bis 10 Tage.
Schritt 1: Krisenstab definieren — wer entscheidet?
Ein Cyber-Notfall ist kein IT-Problem. Er ist ein Unternehmensproblem. Deshalb muss der Krisenstab mehr umfassen als nur die IT-Abteilung:
| Rolle | Person | Aufgabe im Ernstfall |
|---|---|---|
| Krisenleiter | Geschäftsführer oder Stellvertreter | Strategische Entscheidungen, Kommunikation nach außen |
| IT-Koordinator | IT-Leiter oder externer Dienstleister | Technische Eindämmung, Kontakt zu Forensik-Dienstleister |
| Datenschutz | Datenschutzbeauftragter (intern/extern) | DSGVO-Meldepflicht prüfen, Behördenmeldung vorbereiten |
| Kommunikation | Marketing/PR oder Geschäftsführer | Kunden, Lieferanten, Presse informieren |
| Recht | Hausjurist oder externe Kanzlei | Haftungsfragen, Meldepflichten, Vertragsrecht |
| Versicherung | Versicherungsmakler | Schadensmeldung, Assistance-Leistungen aktivieren |
Für jede Rolle mindestens eine Stellvertretung benennen. Cyberangriffe passieren bevorzugt am Wochenende oder im Urlaub — wenn die Erstbesetzung nicht erreichbar ist. Alle Kontaktdaten müssen offline verfügbar sein: ausgedruckt, nicht nur im E-Mail-System, das gerade verschlüsselt ist.
Schritt 2: Notfallkontakte zusammenstellen
Im Ernstfall muss sofort klar sein, wer angerufen wird. Diese Kontakte gehören auf eine laminierte Karte, die an jedem Arbeitsplatz hängt — nicht in einer Datei auf dem verschlüsselten Server:
- 📞 IT-Forensik-Dienstleister: Vor dem Ernstfall einen Rahmenvertrag schließen, damit die Reaktionszeit garantiert ist. Ohne Vertrag warten Sie im Angriffsfall hinter dutzenden anderen Betroffenen in der Warteschlange.
- 📞 Cyberversicherung — Schadenhotline: Die meisten Cyberversicherer bieten eine 24/7-Notfallhotline. Dort werden Forensiker, Krisenberater und IT-Spezialisten koordiniert. Die Nummer gehört auf jede Notfallkarte.
- 📞 Rechtsanwalt (IT-Recht / Datenschutz): Für Meldepflichten, Haftungsfragen und Kommunikation mit Behörden. Idealerweise ein Anwalt, der bereits mit Cybervorfällen vertraut ist.
- 📞 BSI — Meldestelle: Für NIS2-betroffene Unternehmen Pflicht (Erstmeldung innerhalb 24 Stunden). Aber auch für nicht-betroffene Unternehmen bietet das BSI Unterstützung.
- 📞 Zuständige Datenschutz-Aufsichtsbehörde: Für die DSGVO-Meldung innerhalb von 72 Stunden. Die zuständige Behörde richtet sich nach dem Bundesland des Unternehmenssitzes.
- 📞 Polizei — Zentrale Ansprechstelle Cybercrime (ZAC): Jedes Bundesland hat eine spezialisierte Stelle für Cyberkriminalität. Eine Anzeige kann für die Versicherungsregulierung relevant sein.
Schritt 3: Kritische Systeme identifizieren und priorisieren
Nicht jedes System muss gleichzeitig wiederhergestellt werden. Die Frage lautet: Was brauchen wir, um morgen früh wieder arbeiten zu können?
Erstellen Sie eine Prioritätenliste aller Systeme, geordnet nach Geschäftskritikalität:
| Priorität | System | Max. Ausfallzeit (RTO) | Beispiel |
|---|---|---|---|
| Kritisch | Systeme, ohne die kein Umsatz möglich ist | < 4 Stunden | ERP, Warenwirtschaft, Praxisverwaltung, Online-Shop |
| Hoch | Systeme für Kommunikation und Koordination | < 24 Stunden | E-Mail, Telefonie, VPN-Zugang, Kundendatenbank |
| Mittel | Systeme für interne Verwaltung | < 72 Stunden | Buchhaltung, HR-System, Intranet, Zeiterfassung |
| Niedrig | Systeme, die kurzfristig entbehrlich sind | < 1 Woche | Marketing-Tools, Archiv, Schulungsplattform |
Diese Priorisierung bestimmt auch die Backup-Strategie: Kritische Systeme brauchen tägliche Backups mit kurzer Wiederherstellungszeit. Systeme mit niedriger Priorität können weniger häufig gesichert werden.
Schritt 4: Kommunikationsplan erstellen
Die technische Bewältigung ist nur die halbe Arbeit. Was nach einem Cyberangriff mindestens genauso viel Schaden anrichten kann wie der Angriff selbst: eine chaotische, verspätete oder widersprüchliche Kommunikation.
Interne Kommunikation
- → Sofort-Info an alle Mitarbeiter: Was ist passiert? Was sollen sie tun (und was nicht)? Welche Systeme dürfen noch genutzt werden? Über einen Kanal, der nicht vom Angriff betroffen ist — z. B. Mobiltelefon, WhatsApp-Broadcast, SMS oder persönliche Ansprache.
- → Klare Anweisung: „Keine eigenen Rettungsversuche. Keine Geräte neu starten. Keine USB-Sticks anschließen. Keine Informationen nach außen geben, bevor der Krisenstab kommuniziert hat."
Externe Kommunikation
- → Kunden und Geschäftspartner: Proaktiv informieren, bevor Gerüchte entstehen. Sachlich, transparent, ohne technische Details. Eine vorbereitete E-Mail-Vorlage spart im Ernstfall wertvolle Stunden.
- → Behörden: Datenschutzbehörde (DSGVO), BSI (NIS2), Polizei — mit vorbereiteten Meldeformularen und klarer Zuständigkeit.
- → Presse: Nur über den Krisenleiter. Keine Stellungnahmen durch Mitarbeiter. Eine vorbereitete Sprachregelung verhindert widersprüchliche Aussagen.
Bereiten Sie drei Textvorlagen vor, die im Ernstfall nur noch angepasst werden müssen: (1) Interne Erstmeldung an Mitarbeiter, (2) externe Kundeninformation, (3) Pressemitteilung. Diese Vorlagen gehören — wie die Notfallkontakte — in den ausgedruckten Notfallordner.
Schritt 5: Backup- und Wiederherstellungsstrategie testen
Ein Backup, das nie getestet wurde, ist kein Backup — es ist eine Hoffnung. Die häufigsten Fehler, die im Ernstfall auffallen:
- ✗ Backups liegen im selben Netzwerk wie die Produktivsysteme — und werden mitverschlüsselt.
- ✗ Backup-Daten sind unvollständig: Datenbanken gesichert, aber nicht die Konfigurationen und Systemzustände.
- ✗ Wiederherstellung wurde nie getestet. Im Ernstfall dauert sie 5 Tage statt der angenommenen 4 Stunden.
- ✗ Kein Offline-Backup: Cloud-Backups können kompromittiert sein, wenn der Angreifer die Admin-Zugangsdaten hatte.
Die Mindestanforderung (und gleichzeitig Obliegenheit der meisten Cyberversicherer):
- ✓ 3-2-1-Regel: 3 Kopien der Daten, auf 2 verschiedenen Medien, davon 1 physisch getrennt (Offsite/Offline).
- ✓ Vierteljährlicher Restore-Test: Stellen Sie mindestens einmal pro Quartal ein komplettes System aus dem Backup wieder her. Dokumentieren Sie das Ergebnis — der Versicherer fragt danach.
- ✓ Immutable Backups: Unveränderliche Backups, die auch ein Angreifer mit Admin-Rechten nicht löschen oder verschlüsseln kann.
Schritt 6: Meldepflichten kennen — Fristen und Konsequenzen
Nach einem Cyberangriff laufen mehrere Fristen gleichzeitig. Wer sie verpasst, riskiert Bußgelder — zusätzlich zum ohnehin entstandenen Schaden:
| Meldepflicht | Frist | An wen? | Konsequenz bei Verstoß |
|---|---|---|---|
| NIS2 Erstmeldung | 24 Stunden | BSI | Bis 10 Mio. € oder 2 % Jahresumsatz |
| NIS2 Bestätigungsmeldung | 72 Stunden | BSI | Ergänzt die Erstmeldung mit Details |
| NIS2 Abschlussbericht | 1 Monat | BSI | Vollständige Analyse und Maßnahmen |
| DSGVO Art. 33 | 72 Stunden | Landes-Datenschutzbehörde | Bis 10 Mio. € oder 2 % Jahresumsatz |
| DSGVO Art. 34 | Unverzüglich | Betroffene Personen | Nur bei hohem Risiko für Rechte und Freiheiten |
| Cyberversicherung | Unverzüglich (i.d.R. 24–72h) | Versicherer / Schadenhotline | Leistungskürzung oder -verweigerung |
Praxistipp: Drucken Sie die Meldefristen zusammen mit den Kontaktdaten der zuständigen Stellen aus. Im Notfallordner sollte für jede Meldepflicht ein vorausgefülltes Formular liegen — Unternehmensname, Adresse, Ansprechpartner, Branche sind dann bereits eingetragen.
Schritt 7: Regelmäßig üben — Tabletop-Übungen
Ein Notfallplan, der in der Schublade liegt und nie geübt wurde, versagt im Ernstfall. Nicht weil der Plan schlecht ist — sondern weil die Menschen, die ihn umsetzen sollen, ihn nie durchgespielt haben.
Tabletop-Übungen sind die effizienteste Methode: Das Krisenteam setzt sich für 2 bis 3 Stunden zusammen und spielt ein realistisches Szenario durch — ohne tatsächlich Systeme herunterzufahren.
So läuft eine Tabletop-Übung ab
- 1 Szenario vorgeben: z. B. „Ransomware am Freitagabend — ERP und Fileserver verschlüsselt, Backups nicht sofort verfügbar, ein Mitarbeiter hat einen Phishing-Link geklickt."
- 2 Rollen zuweisen: Jeder Teilnehmer übernimmt seine reale Rolle im Krisenstab. Keine Zuschauer.
- 3 Zeitdruck simulieren: Entscheidungen müssen innerhalb von Minuten fallen — nicht in Ruhe diskutiert werden.
- 4 Eskalationen einbauen: „Jetzt ruft ein Journalist an." „Der Geschäftsführer ist im Urlaub." „Das Backup ist auch betroffen." „Ein Mitarbeiter hat auf LinkedIn gepostet."
- 5 Lessons Learned dokumentieren: Was hat funktioniert? Wo gab es Unsicherheiten? Welche Informationen fehlten? Der Notfallplan wird anschließend aktualisiert.
Planen Sie mindestens eine Übung pro Jahr. Ideal ist eine Kombination aus Tabletop-Übung (Prozesse und Kommunikation) und technischem Restore-Test (Backups und Systeme). Viele Cyberversicherer bieten Tabletop-Übungen als kostenlose Assistance-Leistung an — fragen Sie nach.
Checkliste: Ihr Cyber-Notfallplan auf einen Blick
Die folgende Übersicht fasst alle sieben Schritte zusammen — nutzen Sie sie als Arbeitsliste für die Erstellung Ihres eigenen Notfallplans:
| Schritt | Maßnahme | Verantwortlich | Erledigt? |
|---|---|---|---|
| 1 | Krisenstab mit klaren Rollen definiert | Geschäftsführung | ☐ |
| 2 | Notfallkontakte gesammelt, ausgedruckt, verteilt | IT / Geschäftsführung | ☐ |
| 3 | Kritische Systeme identifiziert und priorisiert (RTO) | IT | ☐ |
| 4 | Kommunikationsplan erstellt inkl. 3 Textvorlagen | GF / Marketing | ☐ |
| 5 | Backup-Strategie (3-2-1) umgesetzt, Restore getestet | IT | ☐ |
| 6 | Meldepflichten dokumentiert, Formulare vorbereitet | DSB / Recht | ☐ |
| 7 | Tabletop-Übung durchgeführt, Lessons Learned umgesetzt | Krisenstab | ☐ |
Wie gut Ihr Unternehmen aktuell auf einen Cyberangriff vorbereitet ist, können Sie mit unserem kostenlosen Cyber-Risikocheck in 2 Minuten prüfen — 8 Fragen, Sofortergebnis, anonym.
Ein Cyber-Notfallplan kostet einen Tag Arbeit. Kein Notfallplan kostet Wochen Stillstand, Hunderttausende Euro und möglicherweise die persönliche Haftung der Geschäftsführung. Die sieben Schritte — Krisenstab, Notfallkontakte, Systempriorisierung, Kommunikationsplan, Backup-Tests, Meldepflichten und regelmäßige Übungen — sind kein Hexenwerk. Sie sind Handwerk. Und sie sind der Unterschied zwischen einem Unternehmen, das einen Cyberangriff übersteht, und einem, das daran zerbricht.
Häufige Fragen zum Cyber-Notfallplan
Was gehört in einen Cyber-Notfallplan?
Ein Cyber-Notfallplan enthält mindestens: einen benannten Krisenstab mit klaren Rollen, eine Notfallkontaktliste (IT-Forensik, Rechtsanwalt, Cyberversicherer, BSI), eine Priorisierung der kritischen Systeme mit definierten Wiederherstellungszeiten (RTO), einen Kommunikationsplan für interne und externe Stakeholder, dokumentierte Backup- und Wiederherstellungsverfahren, eine Übersicht der gesetzlichen Meldepflichten (72 Stunden DSGVO, 24 Stunden NIS2) sowie einen Zeitplan für regelmäßige Übungen.
Wie oft sollte ein Cyber-Notfallplan getestet werden?
Mindestens einmal jährlich durch eine Tabletop-Übung, bei der das Krisenteam ein realistisches Angriffsszenario durchspielt. Technische Wiederherstellungstests der Backups sollten vierteljährlich erfolgen. Nach jedem realen Vorfall oder größeren IT-Änderungen (Systemwechsel, Umzug, neuer Dienstleister) muss der Plan überprüft und aktualisiert werden.
Ist ein Cyber-Notfallplan gesetzlich vorgeschrieben?
Für NIS2-betroffene Unternehmen ja: § 30 Abs. 2 Nr. 6 BSIG verlangt ausdrücklich Maßnahmen zur Bewältigung von Sicherheitsvorfällen. Die DSGVO fordert in Art. 32 die Fähigkeit, die Verfügbarkeit personenbezogener Daten rasch wiederherzustellen. Auch Cyberversicherer verlangen zunehmend einen dokumentierten Notfallplan als Obliegenheit — ohne ihn kann der Versicherungsschutz im Schadenfall gefährdet sein.
Was kostet ein Cyber-Notfallplan für ein KMU?
Die Erstellung eines grundlegenden Plans ist mit internen Ressourcen und öffentlich verfügbaren Vorlagen (z. B. BSI IT-Grundschutz, Allianz für Cybersicherheit) kostengünstig möglich. Professionelle externe Beratung kostet typischerweise 3.000 bis 10.000 EUR — deutlich weniger als ein einziger Tag Betriebsunterbrechung, der KMU im Schnitt 15.000 bis 50.000 EUR kostet. Viele Cyberversicherer bieten die Erstellung eines Notfallplans als inkludierte Assistance-Leistung an.