Zum Hauptinhalt springen
Cybersecurity

IT-Notfallplan erstellen: Anleitung in 6 Schritten

Veröffentlicht: Aktualisiert:

Das Wichtigste in Kürze

  • Ein IT-Notfallplan legt vor dem Angriff fest, wer was in welcher Reihenfolge tut. Genau das entscheidet ueber Stunden oder Wochen Stillstand.
  • Der Aufbau folgt sechs Schritten: Risiken erfassen, CIRT-Team benennen, Reaktionsprozesse definieren, Kommunikation regeln, testen, pflegen.
  • Branchenuebergreifend wurden 81 Prozent der Unternehmen in Deutschland Opfer von Datendiebstahl, Spionage oder Sabotage (Bitkom, 2024).
  • Drucken Sie den Plan aus und legen Sie ihn an mehreren Orten ab. Bei einem Angriff sind die digitalen Systeme oft gesperrt.

Einen IT-Notfallplan erstellen Sie in sechs Schritten: Risiken erfassen, Notfallteam benennen, Reaktionsprozesse je Vorfallstyp festlegen, die Kommunikation regeln, den Plan testen und ihn jaehrlich pflegen. Der Plan haelt vor dem Ernstfall schriftlich fest, wer was in welcher Reihenfolge tut. Diese Anleitung fuehrt Sie durch jeden Schritt und zeigt, welche Inhalte hineingehoeren.

Incident-Response-Team arbeitet am IT-Notfallplan im Buero

Worum es hier nicht geht: Diese Seite erklaert die Erstellung des Plans, nicht die finanziellen Folgen eines IT-Ausfalls (dazu der Ratgeber zur Betriebsunterbrechung durch IT-Ausfall) und nicht die Compliance-Pflichten im Detail (dazu der Ratgeber zur NIS-2-Richtlinie). Hier steht die operative Umsetzung im Vordergrund.

Warum sich der Aufwand lohnt

  • 81 Prozent der Unternehmen in Deutschland waren von Datendiebstahl, Spionage oder Sabotage betroffen (Bitkom, 2024).
  • Wer im Ernstfall erst ueberlegt, wen er anruft, verliert genau die Zeit, in der sich Schaden begrenzen laesst.
  • Ein eingespielter Prozess macht die NIS-2-Meldefristen (24 und 72 Stunden) ueberhaupt erst einhaltbar.

Welche Phasen umfasst ein IT-Notfallplan?

Ein IT-Notfallplan gliedert sich in sechs Phasen: Vorbereitung, Erkennung, Eindaemmung, Beseitigung, Wiederherstellung und Nachbereitung. Diese Struktur orientiert sich am Leitfaden des NIST (National Institute of Standards and Technology, der US-Normungsbehoerde), der die international gaengige Vorlage fuer die Incident-Behandlung liefert (NIST SP 800-61).

Die ersten beiden Phasen finden statt, bevor etwas passiert. Sie entscheiden, wie schnell Sie reagieren koennen. Die vier folgenden Phasen laufen waehrend und nach dem Vorfall ab.

Phase 1: Vorbereitung (Preparation)

Die Grundlage fuer effektive Incident Response wird vor dem Vorfall gelegt:

  • Risikobewertung durchfuehren
  • Notfallteam zusammenstellen und schulen
  • Werkzeuge und Ressourcen bereitstellen
  • Kommunikationswege etablieren
  • Regelmaessige Uebungen planen

Phase 2: Erkennung (Detection)

Schnelle Erkennung von Sicherheitsvorfaellen:

  • Monitoring-Systeme einrichten
  • Anomalie-Erkennung konfigurieren
  • Meldesystem fuer Mitarbeiter etablieren
  • Klassifizierungskriterien definieren

Phase 3: Eindaemmung (Containment)

Sofortige Massnahmen zur Schadensbegrenzung:

  • Kurzfristige Eindaemmung (Isolation betroffener Systeme)
  • Langfristige Eindaemmung (temporaere Fixes)
  • Beweissicherung parallel zur Eindaemmung

Phase 4: Beseitigung (Eradication)

Entfernung der Bedrohung aus allen Systemen:

  • Ursachenanalyse (Root Cause Analysis)
  • Malware entfernen
  • Schwachstellen schliessen
  • Kompromittierte Zugangsdaten aendern

Phase 5: Wiederherstellung (Recovery)

Rueckkehr zum Normalbetrieb:

  • Systeme aus sauberen Backups wiederherstellen
  • Schrittweise Wiederinbetriebnahme
  • Verstaerktes Monitoring
  • Erfolgskontrolle

Phase 6: Nachbereitung (Lessons Learned)

Lernen aus dem Vorfall:

  • Detaillierte Dokumentation des Vorfalls
  • Was hat funktioniert, was nicht?
  • Verbesserungsmassnahmen ableiten
  • Notfallplan aktualisieren

Wie erstelle ich den IT-Notfallplan Schritt fuer Schritt?

Sie erstellen den Plan in sechs Schritten: Risiken identifizieren, Notfallteam zusammenstellen, Reaktionsprozesse definieren, Kommunikationsplan festlegen, den Plan testen und regelmaessig aktualisieren. Arbeiten Sie die Schritte der Reihe nach ab. Schon ein schlanker Plan auf wenigen Seiten ist im Ernstfall mehr wert als ein umfangreiches Konzept, das niemand kennt.

Schritt 1: Risiken identifizieren

Bevor Sie einen Notfallplan erstellen, muessen Sie wissen, wovor Sie sich schuetzen wollen:

  • Externe Bedrohungen: Ransomware, DDoS, Phishing, gezielte Hacks
  • Interne Risiken: Mitarbeiterfehler, Innentaeter
  • Technische Ausfaelle: Hardware-Defekte, Software-Bugs
  • Drittanbieter: Cloud-Ausfaelle, Supply-Chain-Angriffe

Schritt 2: Notfallteam zusammenstellen

Das Computer Incident Response Team (CIRT) braucht klare Rollen:

  • Incident Manager: Gesamtkoordination, Entscheidungen
  • IT-Security Lead: Technische Analyse und Massnahmen
  • Kommunikation: Interne/externe Kommunikation, PR
  • Recht/Compliance: Meldepflichten, rechtliche Fragen
  • Management: Strategische Entscheidungen, Ressourcen

Schritt 3: Reaktionsprozesse definieren

Fuer jeden Vorfallstyp klare Handlungsanweisungen:

  • Ransomware-Angriff: Sofort-Isolation, Backup-Status pruefen
  • Datenleck: Ausmass ermitteln, Meldepflichten pruefen
  • DDoS-Angriff: Traffic-Filterung, CDN aktivieren
  • Phishing-Erfolg: Credentials zuruecksetzen, Auswirkung pruefen

Schritt 4: Kommunikationsplan erstellen

Wer informiert wen, wann und wie:

  • Intern: Geschaeftsfuehrung, Abteilungsleiter, betroffene Teams
  • Extern: IT-Dienstleister, Forensik-Experten
  • Behoerden: Datenschutzaufsicht (72h), BSI (bei KRITIS)
  • Versicherung: Cyber-Versicherer, Makler
  • Oeffentlichkeit: Kunden, Partner, Presse (bei Bedarf)

Schritt 5: Plan testen

Ein ungetesteter Plan ist kein Plan:

  • Tabletop-Uebung: Szenarien durchsprechen (jaehrlich)
  • Technische Tests: Backup-Wiederherstellung testen
  • Vollsimulation: Realistisches Szenario durchspielen
  • Red Team: Simulierter Angriff durch Experten

Schritt 6: Plan pflegen und aktualisieren

Der Plan muss leben:

  • Mindestens jaehrliche Ueberpruefung
  • Nach jedem Vorfall: Lessons Learned einarbeiten
  • Bei IT-Aenderungen: Plan anpassen
  • Kontaktlisten quartalsweise pruefen

Was gehoert in den IT-Notfallplan?

Ein vollstaendiger Plan enthaelt Kontaktlisten, Eskalationsstufen, Sofortmassnahmen, eine Systemuebersicht, Backup-Informationen, die geltenden Meldepflichten und Kommunikationsvorlagen. Halten Sie jeden Abschnitt so kurz, dass eine Person unter Stress damit handeln kann. Und drucken Sie ihn aus, denn waehrend eines Angriffs sind die digitalen Systeme oft gesperrt.

AbschnittInhalt
KontaktlisteNotfallteam, IT-Dienstleister, Versicherung, Behoerden, Bank
EskalationsstufenWann wird wer informiert? Schwellenwerte definieren
SofortmassnahmenErste Schritte pro Vorfallstyp (Checklisten)
SystemuebersichtKritische Systeme, Abhaengigkeiten, Wiederherstellungsprioritaet
Backup-InformationenStandorte, Zugangsdaten, Wiederherstellungszeit
MeldepflichtenDSGVO (72h), NIS-2 (24h), sonstige regulatorische Vorgaben
KommunikationsvorlagenVorformulierte Texte fuer interne/externe Kommunikation

Tipp: Ausgedruckter Notfallplan

Drucken Sie den Notfallplan aus und bewahren Sie ihn an mehreren Stellen auf! Bei einem Cyberangriff sind Ihre IT-Systeme moeglicherweise nicht zugaenglich. Alle wichtigen Kontakte, Zugangsdaten und Sofortmassnahmen muessen offline verfuegbar sein.

Wie greifen Notfallplan und NIS-2-Meldepflichten ineinander?

Fuer Unternehmen, die unter die NIS-2-Richtlinie fallen, ist ein dokumentiertes Incident-Response-Verfahren vorgeschrieben. Der Notfallplan ist das Werkzeug, mit dem Sie die kurzen Meldefristen ueberhaupt einhalten koennen: eine Erstmeldung binnen 24 Stunden, eine detaillierte Meldung binnen 72 Stunden, ein Abschlussbericht nach einem Monat. Welche Unternehmen genau betroffen sind und welche Bussgelder drohen, lesen Sie im NIS-2-Ratgeber. Hier genuegt der Hinweis: Hinterlegen Sie diese Fristen samt zustaendiger Stelle direkt im Plan, sonst verstreichen sie im Stress des Vorfalls.

Die Geschaeftsfuehrung haftet fuer diese Pflichten persoenlich. Wer keinen dokumentierten Notfallplan vorweisen kann, riskiert Regressansprueche des eigenen Unternehmens. Eine D&O-Versicherung (Vermoegensschaden-Haftpflicht fuer Organe) schuetzt in diesem Fall das Privatvermoegen der Geschaeftsfuehrung. Freiberufler und kleine Dienstleister pruefen ergaenzend ihre Berufshaftpflichtversicherung fuer Schaeden, die Dritten aus einem Vorfall entstehen.

Notfallplan mit oder ohne Cyberversicherung: was aendert sich?

Ein Plan sagt Ihnen, was zu tun ist. Eine Cyberversicherung liefert die Spezialisten und uebernimmt die Kosten dafuer. Der Unterschied zeigt sich im Ernstfall vor allem bei Reaktionszeit und Budget.

MerkmalNur NotfallplanNotfallplan + Cyberversicherung
IT-Forensiker im ErnstfallSelbst suchen und beauftragenUeber 24/7-Hotline sofort verfuegbar
Kosten fuer Forensik und WiederherstellungTragen Sie selbstIm Rahmen der Police gedeckt
Rechts- und KrisenberatungEigene Organisation noetigIm Leistungsumfang enthalten
Unterstuetzung bei MeldepflichtenSelbst recherchierenBeratung durch den Versicherer
Notfallplan-VorlagenSelbst erstellenViele Versicherer stellen Muster bereit

Welche Leistungen genau gedeckt sind, unterscheidet sich je nach Police. Einen Ueberblick ueber Leistungen und Preisrahmen geben die Seiten zur Cyberversicherung fuer KMU und ihren Kosten sowie zur Cyberversicherung fuer KMU.

Hinweis: Viele Cyberversicherer bieten kostenlose Notfallplan-Vorlagen und unterstuetzen bei der Erstellung. Fragen Sie Ihren Versicherer oder Makler.

Fazit: jetzt anfangen, nicht nach dem Angriff

Ein IT-Notfallplan kostet ein paar Stunden Arbeit. Im Ernstfall entscheidet er darueber, ob ein Vorfall einen Tag oder mehrere Wochen Stillstand bedeutet. Beginnen Sie mit den sechs Schritten dieser Anleitung, drucken Sie das Ergebnis aus, testen Sie es einmal jaehrlich in einer Tabletop-Uebung und arbeiten Sie nach jedem Vorfall die Erkenntnisse ein.

Was der Plan nicht verhindern kann, faengt eine Cyberversicherung fuer KMU finanziell auf: Forensik, Wiederherstellung und Betriebsunterbrechung. Die persoenliche Haftung der Geschaeftsfuehrung deckt im Bedarfsfall die D&O-Versicherung ab.

Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Beratung durch einen zugelassenen Versicherungsvermittler oder -berater.

Gehen Sie in sechs Schritten vor: Erfassen Sie Ihre IT-Risiken, benennen Sie ein Notfallteam (CIRT) mit klaren Rollen, definieren Sie pro Vorfallstyp einen Reaktionsprozess, regeln Sie die Kommunikation, testen Sie den Plan in einer Tabletop-Uebung und aktualisieren Sie ihn mindestens jaehrlich. Wichtig ist, dass der Plan kurz, konkret und ausgedruckt verfuegbar ist.

Mindestens eine Kontaktliste (Team, IT-Dienstleister, Versicherer, Behoerden), Eskalationsstufen mit Schwellenwerten, Sofortmassnahmen als Checkliste pro Vorfallstyp, eine Uebersicht der kritischen Systeme samt Wiederherstellungsreihenfolge, Backup-Informationen, die geltenden Meldepflichten und vorformulierte Kommunikationsvorlagen.

Mindestens einmal pro Jahr, so empfiehlt es der NIST-Leitfaden zur Incident-Behandlung (NIST SP 800-61). Pruefen Sie den Plan zusaetzlich nach jedem Vorfall, bei groesseren IT-Aenderungen und nach Personalwechseln in Schluesselrollen. Kontaktlisten sollten Sie vierteljaehrlich gegenpruefen.

Ideal ist ein kleines Team aus IT-Leitung, Geschaeftsfuehrung, Recht und Kommunikation. Hat ein KMU keine eigene IT, bindet es seinen IT-Dienstleister ein. Entscheidend ist die Rueckendeckung der Geschaeftsfuehrung, denn der Plan greift in Zustaendigkeiten und Budgets ein.

Ja. Bei einem Ransomware-Angriff sind Server, E-Mail und Dateiablagen oft verschluesselt oder vom Netz getrennt. Ein ausgedruckter Plan mit Kontaktdaten und Sofortmassnahmen bleibt dann die einzige verlaessliche Quelle. Bewahren Sie ihn an mehreren Orten auf.

Isolieren Sie betroffene Systeme vom Netz, aber schalten Sie sie nicht aus, da sonst fluechtige Beweise verloren gehen. Alarmieren Sie das Notfallteam, melden Sie den Fall Ihrem Cyber-Versicherer, sichern Sie Beweise (Screenshots, Logs) und sperren Sie kompromittierte Zugaenge. Zahlen Sie kein Loesegeld ohne forensische Beratung.

Der IT-Notfallplan regelt die unmittelbare Reaktion auf einen IT-Sicherheitsvorfall. Der Business Continuity Plan ist breiter angelegt und sichert den Geschaeftsbetrieb bei allen Stoerungen ab, etwa auch bei Brand oder Lieferausfall. Der Notfallplan ist ein Baustein davon.

Notfallplan Checkliste

  • Risikobewertung durchgefuehrt
  • Notfallteam benannt und geschult
  • Kontaktliste aktuell (inkl. private Nummern)
  • Reaktionsprozesse pro Vorfallstyp dokumentiert
  • Kommunikationsplan erstellt
  • Meldepflichten bekannt (DSGVO, NIS-2)
  • Backup-Wiederherstellung getestet
  • Plan ausgedruckt und an mehreren Orten verfuegbar
  • Tabletop-Uebung durchgefuehrt
  • Cyberversicherungs-Hotline im Plan notiert

Professionelle Unterstuetzung im Notfall

Eine Cyberversicherung bietet 24/7-Notfallhilfe, IT-Forensik und Krisenmanagement - wenn es darauf ankommt.

Cyberversicherung vergleichen