IT-Notfallplan erstellen: Anleitung in 6 Schritten
Das Wichtigste in Kürze
- Ein IT-Notfallplan legt vor dem Angriff fest, wer was in welcher Reihenfolge tut. Genau das entscheidet ueber Stunden oder Wochen Stillstand.
- Der Aufbau folgt sechs Schritten: Risiken erfassen, CIRT-Team benennen, Reaktionsprozesse definieren, Kommunikation regeln, testen, pflegen.
- Branchenuebergreifend wurden 81 Prozent der Unternehmen in Deutschland Opfer von Datendiebstahl, Spionage oder Sabotage (Bitkom, 2024).
- Drucken Sie den Plan aus und legen Sie ihn an mehreren Orten ab. Bei einem Angriff sind die digitalen Systeme oft gesperrt.
Einen IT-Notfallplan erstellen Sie in sechs Schritten: Risiken erfassen, Notfallteam benennen, Reaktionsprozesse je Vorfallstyp festlegen, die Kommunikation regeln, den Plan testen und ihn jaehrlich pflegen. Der Plan haelt vor dem Ernstfall schriftlich fest, wer was in welcher Reihenfolge tut. Diese Anleitung fuehrt Sie durch jeden Schritt und zeigt, welche Inhalte hineingehoeren.

Worum es hier nicht geht: Diese Seite erklaert die Erstellung des Plans, nicht die finanziellen Folgen eines IT-Ausfalls (dazu der Ratgeber zur Betriebsunterbrechung durch IT-Ausfall) und nicht die Compliance-Pflichten im Detail (dazu der Ratgeber zur NIS-2-Richtlinie). Hier steht die operative Umsetzung im Vordergrund.
Warum sich der Aufwand lohnt
- 81 Prozent der Unternehmen in Deutschland waren von Datendiebstahl, Spionage oder Sabotage betroffen (Bitkom, 2024).
- Wer im Ernstfall erst ueberlegt, wen er anruft, verliert genau die Zeit, in der sich Schaden begrenzen laesst.
- Ein eingespielter Prozess macht die NIS-2-Meldefristen (24 und 72 Stunden) ueberhaupt erst einhaltbar.
Welche Phasen umfasst ein IT-Notfallplan?
Ein IT-Notfallplan gliedert sich in sechs Phasen: Vorbereitung, Erkennung, Eindaemmung, Beseitigung, Wiederherstellung und Nachbereitung. Diese Struktur orientiert sich am Leitfaden des NIST (National Institute of Standards and Technology, der US-Normungsbehoerde), der die international gaengige Vorlage fuer die Incident-Behandlung liefert (NIST SP 800-61).
Die ersten beiden Phasen finden statt, bevor etwas passiert. Sie entscheiden, wie schnell Sie reagieren koennen. Die vier folgenden Phasen laufen waehrend und nach dem Vorfall ab.
Phase 1: Vorbereitung (Preparation)
Die Grundlage fuer effektive Incident Response wird vor dem Vorfall gelegt:
- Risikobewertung durchfuehren
- Notfallteam zusammenstellen und schulen
- Werkzeuge und Ressourcen bereitstellen
- Kommunikationswege etablieren
- Regelmaessige Uebungen planen
Phase 2: Erkennung (Detection)
Schnelle Erkennung von Sicherheitsvorfaellen:
- Monitoring-Systeme einrichten
- Anomalie-Erkennung konfigurieren
- Meldesystem fuer Mitarbeiter etablieren
- Klassifizierungskriterien definieren
Phase 3: Eindaemmung (Containment)
Sofortige Massnahmen zur Schadensbegrenzung:
- Kurzfristige Eindaemmung (Isolation betroffener Systeme)
- Langfristige Eindaemmung (temporaere Fixes)
- Beweissicherung parallel zur Eindaemmung
Phase 4: Beseitigung (Eradication)
Entfernung der Bedrohung aus allen Systemen:
- Ursachenanalyse (Root Cause Analysis)
- Malware entfernen
- Schwachstellen schliessen
- Kompromittierte Zugangsdaten aendern
Phase 5: Wiederherstellung (Recovery)
Rueckkehr zum Normalbetrieb:
- Systeme aus sauberen Backups wiederherstellen
- Schrittweise Wiederinbetriebnahme
- Verstaerktes Monitoring
- Erfolgskontrolle
Phase 6: Nachbereitung (Lessons Learned)
Lernen aus dem Vorfall:
- Detaillierte Dokumentation des Vorfalls
- Was hat funktioniert, was nicht?
- Verbesserungsmassnahmen ableiten
- Notfallplan aktualisieren
Wie erstelle ich den IT-Notfallplan Schritt fuer Schritt?
Sie erstellen den Plan in sechs Schritten: Risiken identifizieren, Notfallteam zusammenstellen, Reaktionsprozesse definieren, Kommunikationsplan festlegen, den Plan testen und regelmaessig aktualisieren. Arbeiten Sie die Schritte der Reihe nach ab. Schon ein schlanker Plan auf wenigen Seiten ist im Ernstfall mehr wert als ein umfangreiches Konzept, das niemand kennt.
Schritt 1: Risiken identifizieren
Bevor Sie einen Notfallplan erstellen, muessen Sie wissen, wovor Sie sich schuetzen wollen:
- Externe Bedrohungen: Ransomware, DDoS, Phishing, gezielte Hacks
- Interne Risiken: Mitarbeiterfehler, Innentaeter
- Technische Ausfaelle: Hardware-Defekte, Software-Bugs
- Drittanbieter: Cloud-Ausfaelle, Supply-Chain-Angriffe
Schritt 2: Notfallteam zusammenstellen
Das Computer Incident Response Team (CIRT) braucht klare Rollen:
- Incident Manager: Gesamtkoordination, Entscheidungen
- IT-Security Lead: Technische Analyse und Massnahmen
- Kommunikation: Interne/externe Kommunikation, PR
- Recht/Compliance: Meldepflichten, rechtliche Fragen
- Management: Strategische Entscheidungen, Ressourcen
Schritt 3: Reaktionsprozesse definieren
Fuer jeden Vorfallstyp klare Handlungsanweisungen:
- Ransomware-Angriff: Sofort-Isolation, Backup-Status pruefen
- Datenleck: Ausmass ermitteln, Meldepflichten pruefen
- DDoS-Angriff: Traffic-Filterung, CDN aktivieren
- Phishing-Erfolg: Credentials zuruecksetzen, Auswirkung pruefen
Schritt 4: Kommunikationsplan erstellen
Wer informiert wen, wann und wie:
- Intern: Geschaeftsfuehrung, Abteilungsleiter, betroffene Teams
- Extern: IT-Dienstleister, Forensik-Experten
- Behoerden: Datenschutzaufsicht (72h), BSI (bei KRITIS)
- Versicherung: Cyber-Versicherer, Makler
- Oeffentlichkeit: Kunden, Partner, Presse (bei Bedarf)
Schritt 5: Plan testen
Ein ungetesteter Plan ist kein Plan:
- Tabletop-Uebung: Szenarien durchsprechen (jaehrlich)
- Technische Tests: Backup-Wiederherstellung testen
- Vollsimulation: Realistisches Szenario durchspielen
- Red Team: Simulierter Angriff durch Experten
Schritt 6: Plan pflegen und aktualisieren
Der Plan muss leben:
- Mindestens jaehrliche Ueberpruefung
- Nach jedem Vorfall: Lessons Learned einarbeiten
- Bei IT-Aenderungen: Plan anpassen
- Kontaktlisten quartalsweise pruefen
Was gehoert in den IT-Notfallplan?
Ein vollstaendiger Plan enthaelt Kontaktlisten, Eskalationsstufen, Sofortmassnahmen, eine Systemuebersicht, Backup-Informationen, die geltenden Meldepflichten und Kommunikationsvorlagen. Halten Sie jeden Abschnitt so kurz, dass eine Person unter Stress damit handeln kann. Und drucken Sie ihn aus, denn waehrend eines Angriffs sind die digitalen Systeme oft gesperrt.
| Abschnitt | Inhalt |
|---|---|
| Kontaktliste | Notfallteam, IT-Dienstleister, Versicherung, Behoerden, Bank |
| Eskalationsstufen | Wann wird wer informiert? Schwellenwerte definieren |
| Sofortmassnahmen | Erste Schritte pro Vorfallstyp (Checklisten) |
| Systemuebersicht | Kritische Systeme, Abhaengigkeiten, Wiederherstellungsprioritaet |
| Backup-Informationen | Standorte, Zugangsdaten, Wiederherstellungszeit |
| Meldepflichten | DSGVO (72h), NIS-2 (24h), sonstige regulatorische Vorgaben |
| Kommunikationsvorlagen | Vorformulierte Texte fuer interne/externe Kommunikation |
Tipp: Ausgedruckter Notfallplan
Drucken Sie den Notfallplan aus und bewahren Sie ihn an mehreren Stellen auf! Bei einem Cyberangriff sind Ihre IT-Systeme moeglicherweise nicht zugaenglich. Alle wichtigen Kontakte, Zugangsdaten und Sofortmassnahmen muessen offline verfuegbar sein.
Wie greifen Notfallplan und NIS-2-Meldepflichten ineinander?
Fuer Unternehmen, die unter die NIS-2-Richtlinie fallen, ist ein dokumentiertes Incident-Response-Verfahren vorgeschrieben. Der Notfallplan ist das Werkzeug, mit dem Sie die kurzen Meldefristen ueberhaupt einhalten koennen: eine Erstmeldung binnen 24 Stunden, eine detaillierte Meldung binnen 72 Stunden, ein Abschlussbericht nach einem Monat. Welche Unternehmen genau betroffen sind und welche Bussgelder drohen, lesen Sie im NIS-2-Ratgeber. Hier genuegt der Hinweis: Hinterlegen Sie diese Fristen samt zustaendiger Stelle direkt im Plan, sonst verstreichen sie im Stress des Vorfalls.
Die Geschaeftsfuehrung haftet fuer diese Pflichten persoenlich. Wer keinen dokumentierten Notfallplan vorweisen kann, riskiert Regressansprueche des eigenen Unternehmens. Eine D&O-Versicherung (Vermoegensschaden-Haftpflicht fuer Organe) schuetzt in diesem Fall das Privatvermoegen der Geschaeftsfuehrung. Freiberufler und kleine Dienstleister pruefen ergaenzend ihre Berufshaftpflichtversicherung fuer Schaeden, die Dritten aus einem Vorfall entstehen.
Notfallplan mit oder ohne Cyberversicherung: was aendert sich?
Ein Plan sagt Ihnen, was zu tun ist. Eine Cyberversicherung liefert die Spezialisten und uebernimmt die Kosten dafuer. Der Unterschied zeigt sich im Ernstfall vor allem bei Reaktionszeit und Budget.
| Merkmal | Nur Notfallplan | Notfallplan + Cyberversicherung |
|---|---|---|
| IT-Forensiker im Ernstfall | Selbst suchen und beauftragen | Ueber 24/7-Hotline sofort verfuegbar |
| Kosten fuer Forensik und Wiederherstellung | Tragen Sie selbst | Im Rahmen der Police gedeckt |
| Rechts- und Krisenberatung | Eigene Organisation noetig | Im Leistungsumfang enthalten |
| Unterstuetzung bei Meldepflichten | Selbst recherchieren | Beratung durch den Versicherer |
| Notfallplan-Vorlagen | Selbst erstellen | Viele Versicherer stellen Muster bereit |
Welche Leistungen genau gedeckt sind, unterscheidet sich je nach Police. Einen Ueberblick ueber Leistungen und Preisrahmen geben die Seiten zur Cyberversicherung fuer KMU und ihren Kosten sowie zur Cyberversicherung fuer KMU.
Hinweis: Viele Cyberversicherer bieten kostenlose Notfallplan-Vorlagen und unterstuetzen bei der Erstellung. Fragen Sie Ihren Versicherer oder Makler.
Fazit: jetzt anfangen, nicht nach dem Angriff
Ein IT-Notfallplan kostet ein paar Stunden Arbeit. Im Ernstfall entscheidet er darueber, ob ein Vorfall einen Tag oder mehrere Wochen Stillstand bedeutet. Beginnen Sie mit den sechs Schritten dieser Anleitung, drucken Sie das Ergebnis aus, testen Sie es einmal jaehrlich in einer Tabletop-Uebung und arbeiten Sie nach jedem Vorfall die Erkenntnisse ein.
Was der Plan nicht verhindern kann, faengt eine Cyberversicherung fuer KMU finanziell auf: Forensik, Wiederherstellung und Betriebsunterbrechung. Die persoenliche Haftung der Geschaeftsfuehrung deckt im Bedarfsfall die D&O-Versicherung ab.
Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Beratung durch einen zugelassenen Versicherungsvermittler oder -berater.
Gehen Sie in sechs Schritten vor: Erfassen Sie Ihre IT-Risiken, benennen Sie ein Notfallteam (CIRT) mit klaren Rollen, definieren Sie pro Vorfallstyp einen Reaktionsprozess, regeln Sie die Kommunikation, testen Sie den Plan in einer Tabletop-Uebung und aktualisieren Sie ihn mindestens jaehrlich. Wichtig ist, dass der Plan kurz, konkret und ausgedruckt verfuegbar ist.
Mindestens eine Kontaktliste (Team, IT-Dienstleister, Versicherer, Behoerden), Eskalationsstufen mit Schwellenwerten, Sofortmassnahmen als Checkliste pro Vorfallstyp, eine Uebersicht der kritischen Systeme samt Wiederherstellungsreihenfolge, Backup-Informationen, die geltenden Meldepflichten und vorformulierte Kommunikationsvorlagen.
Mindestens einmal pro Jahr, so empfiehlt es der NIST-Leitfaden zur Incident-Behandlung (NIST SP 800-61). Pruefen Sie den Plan zusaetzlich nach jedem Vorfall, bei groesseren IT-Aenderungen und nach Personalwechseln in Schluesselrollen. Kontaktlisten sollten Sie vierteljaehrlich gegenpruefen.
Ideal ist ein kleines Team aus IT-Leitung, Geschaeftsfuehrung, Recht und Kommunikation. Hat ein KMU keine eigene IT, bindet es seinen IT-Dienstleister ein. Entscheidend ist die Rueckendeckung der Geschaeftsfuehrung, denn der Plan greift in Zustaendigkeiten und Budgets ein.
Ja. Bei einem Ransomware-Angriff sind Server, E-Mail und Dateiablagen oft verschluesselt oder vom Netz getrennt. Ein ausgedruckter Plan mit Kontaktdaten und Sofortmassnahmen bleibt dann die einzige verlaessliche Quelle. Bewahren Sie ihn an mehreren Orten auf.
Isolieren Sie betroffene Systeme vom Netz, aber schalten Sie sie nicht aus, da sonst fluechtige Beweise verloren gehen. Alarmieren Sie das Notfallteam, melden Sie den Fall Ihrem Cyber-Versicherer, sichern Sie Beweise (Screenshots, Logs) und sperren Sie kompromittierte Zugaenge. Zahlen Sie kein Loesegeld ohne forensische Beratung.
Der IT-Notfallplan regelt die unmittelbare Reaktion auf einen IT-Sicherheitsvorfall. Der Business Continuity Plan ist breiter angelegt und sichert den Geschaeftsbetrieb bei allen Stoerungen ab, etwa auch bei Brand oder Lieferausfall. Der Notfallplan ist ein Baustein davon.