03/2026 – Fachartikel Swiss Infosec AG
Ist Ihr IT-Notfallmanagement wirklich bereit?
Die Anzahl als auch die Komplexität von Cyberangriffen und technischen Störungen steigen weiter. Gleichzeitig sind alle kritischen Geschäftsprozesse durchgängig von IT-Services abhängig. In einer vernetzten und digitalisierten Welt sind Unternehmen deshalb gefordert, ihre Widerstandsfähigkeit gegen IT-Notfälle systematisch zu stärken.
Technische und organisatorische Massnahmen zur Abwehr von Cyberangriffen oder technischen IT-Störungen sind zentral und unverzichtbar. Doch sie allein reichen längst nicht mehr aus. Entscheidend ist heute auch, wie schnell und strukturiert eine Organisation im Ernstfall reagiert.
Die Bedeutung eines strukturierten IT-Notfallmanagements wird auch in internationalen Standards und regulatorischen Vorgaben deutlich verankert. Die Norm ISO/IEC 27001 fordert im Kontext der Informationssicherheit unter anderem Massnahmen zur Sicherstellung der Verfügbarkeit von Informationssystemen und zur Planung der Informationssicherheitskontinuität. Auch das NIST Cybersecurity Framework 2.0 adressiert die Vorbereitung auf Störungen und Cybervorfälle. Innerhalb der Funktionen Respond und Recover beschreibt das Framework Prozesse für Incident Response, Wiederherstellung nach Sicherheitsvorfällen sowie die kontinuierliche Verbesserung dieser Massnahmen. Auf Seiten der regulatorischen Behörden fordert etwa das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz» explizit das Testen von Business Continuity Plans (BCP) und Disaster Recovery Plans (DRP). Auch auf europäischer Ebene setzt der Digital Operational Resilience Act (DORA) klare Anforderungen an das ICT-Risikomanagement und verlangt regelmässige Tests der operationellen Resilienz.
Vor diesem Hintergrund gewinnt ein strukturiertes IT-Notfallmanagement zunehmend an Bedeutung. Ziel ist es, die Auswirkungen eines IT-Notfalls zu begrenzen und die Handlungsfähigkeit der Organisation auch in Notfällen aufrechtzuerhalten. Ein zentraler Bestandteil eines wirksamen IT-Notfallmanagements ist dessen regelmässige Überprüfung. Hier setzen IT-Notfallübungen an.
Zentrale Bestandteile eines IT-Notfallmanagements
- Organisatorische Strukturen für die Bewältigung von IT-Notfällen
- Identifikation kritischer IT-Systeme und -Services
- Definierte Wiederanlaufverfahren für Systeme und Applikationen
- Klare Eskalations- und Kommunikationswege
- Tests, Übungen und Schulungen
- Kontinuierlicher Verbesserungsprozess (KVP)
Zusammenspiel mit Business Continuity Management (BCM) und Krisenmanagement (KM)
Für eine wirksame Resilienz bei IT-Notfällen ist ein abgestimmtes Zusammenspiel verschiedener Disziplinen erforderlich. Das Business Continuity Management (BCM) fokussiert auf die Aufrechterhaltung und Wiederaufnahme von kritischen Geschäftsprozessen und liefert durch die Business Impact Analysis (BIA) Kennzahlen wie Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Diese Vorgaben fliessen direkt in das IT-Notfallmanagement ein, das sich auf die Wiederherstellung der notwendigen IT-Systeme, Services und Anwendungen konzentriert. Kommt es zu einem schwerwiegenden Ereignis mit organisatorischen oder strategischen Auswirkungen, übernimmt das Krisenmanagement (KM) die übergeordnete Koordination sowie die interne und externe Kommunikation.
IT-Notfallhandbuch als zentrale Dokumentation
Das IT-Notfallhandbuch enthält alle relevanten Informationen, Prozesse und Verantwortlichkeiten im Zusammenhang mit IT-Notfällen. Es stellt sicher, dass im Ernstfall alle Beteiligten auf klar strukturierte und verständliche Handlungsweisen zurückgreifen können.
Das IT-Notfallhandbuch enthält unter anderem…
… eine Beschreibung der Notfallorganisation (Rollen inkl. Aufgaben, Kompetenzen und Verantwortlichkeiten (AKV)
… definierte Eskalationswege und Eskalationsstufen
… Kontaktlisten wichtiger interner und externer Ansprechpartner
… Verweise auf Wiederanlaufpläne und Wiederherstellungspläne
Das IT-Notfallhandbuch muss leicht zugänglich sein, sprich auch bei eingeschränkter Verfügbarkeit der IT-Systeme genutzt werden können. Deshalb sollte sichergestellt werden, dass die relevanten Informationen auch über alternative oder offline verfügbare Quellen abrufbar sind.
Szenarien und Sofortmassnahmen
Neben organisatorischen Abläufen und Wiederanlaufplänen enthält ein IT-Notfallhandbuch in der Regel auch vordefinierte Notfallszenarien mit entsprechenden Sofortmassnahmen. Diese Szenarien beschreiben typische Ereignisse wie etwa einen Ransomware-Angriff, den Ausfall eines zentralen IT-Services, eine Netzwerkstörung oder einen Ausfall eines Cloud-Dienstes. Ziel ist es, den Verantwortlichen im Ereignisfall eine schnelle Orientierung zu geben und erste stabilisierende Massnahmen einzuleiten.
Zu den Sofortmassnahmen können beispielsweise das Isolieren betroffener Systeme, das Aktivieren der Notfallorganisation, die Sicherstellung von Logdaten oder die Information relevanter Stellen gehören. Solche vorbereiteten Handlungsschritte helfen, wertvolle Zeit zu gewinnen und die Situation zu stabilisieren, bevor detaillierte Wiederanlaufpläne zur Wiederherstellung der Systeme umgesetzt werden.
Wiederanlaufpläne
Während das IT-Notfallhandbuch den organisatorischen Rahmen vorgibt, beschreiben Wiederanlaufpläne die konkreten technischen Schritte zur Wiederinbetriebnahme der definierten IT-Services. Diese Pläne orientieren sich häufig an den oben erwähnten Zielwerten wie RTO und RPO und sollten klar strukturiert, ausreichend detailliert und ohne Interpretationsspielraum beschrieben werden, damit sie auch unter Stress und Zeitdruck umsetzbar sind.
Ausgangspunkt ist dabei der kritische Geschäftsprozess, aus dem abgeleitet wird, welche IT-Services für dessen Betrieb erforderlich sind. Anschliessend werden die technischen Komponenten identifiziert, welche diese Services unterstützen, beispielsweise Applikationen, Datenbanken, Server, Netzwerke oder Cloud-Dienste. Dieses strukturierte Mapping ermöglicht es, Abhängigkeiten zu verstehen und im Notfall die Wiederherstellung in der richtigen Reihenfolge zu priorisieren.
Kommunikation im Notfall
Neben technischen Wiederherstellungsprozessen spielt auch die Kommunikation im Notfall eine zentrale Rolle. Unklare oder verzögerte Kommunikation kann die Bewältigung eines Vorfalls erheblich erschweren und zusätzliche Risiken für die Organisation schaffen.
Der Kommunikationsplan beantwortet folgende Fragen:
- Wer muss im Ereignisfall informiert werden?
- Welche Eskalationsstufen gelten?
- Wie werden Informationen zwischen IT, Management und Fachbereichen ausgetauscht?
- Welche Kommunikationskanäle werden im Notfall genutzt?
Im Rahmen eines IT-Notfalls erfolgt die operative Kommunikation in der Regel durch das IT-Notfallmanagement, beispielsweise gegenüber betroffenen Fachbereichen, IT-Teams oder internen Stakeholdern. Weitet sich ein Ereignis zu einer organisatorischen Krise aus, übernimmt das Krisenmanagement die übergeordnete Koordination der internen und externen Kommunikation. Das IT-Notfallmanagement bleibt in diesem Fall weiterhin für die fachliche und operative Kommunikation im Zusammenhang mit der Wiederherstellung der IT-Services verantwortlich.
IT-Notfallübungen
Ein strukturiertes IT-Notfallmanagement definiert, wie Organisationen auf schwerwiegende IT-Störungen reagieren sollen. Doch Pläne allein garantieren noch keine Handlungsfähigkeit im Ernstfall.
Erst durch regelmässige IT-Notfallübungen wird überprüft, ob Prozesse, Rollen und technische Wiederherstellungsverfahren tatsächlich funktionieren.
Ziele von IT-Notfallübungen
- Überprüfen der Wirksamkeit von Notfall- und Wiederanlaufplänen.
Funktionieren die vorhandenen Prozesse und Massnahmen wie geplant?
- Verbesserung der Zusammenarbeit und Kommunikation im Notfall.
Rollen, Eskalationswege und Entscheidungsbefugnisse werden geübt und abgestimmt.
- Identifikation von Schwachstellen in Technik, Organisation und Prozessen.
Übungen decken Lücken auf, welche im Notfall Verzögerungen verursachen und teuer werden können.
- Sensibilisierung und Training der Mitarbeitenden.
Alle Beteiligten lernen, wie sie im Notfall reagieren müssen. Geübte Abläufe funktionieren unter Druck verlässlich.
- Erfüllung von regulatorischen und auditrelevanten Anforderungen.
Nachweise gegenüber Behörden und Auditoren durch dokumentierte Übungen und Lessons Learned.
Definition von Scope, Szenario und Kennzahlen
Das Warum sollte geklärt sein und dem Management ist der Mehrwert dieser Übungen bewusst. Dann stellt sich nun die Frage: Was genau wollen wir wie testen?
Der Scope kann sich auf einzelne Systeme oder Applikationen beschränken, einen bestimmten Geschäftsprozess umfassen oder auch mehrere Organisationseinheiten einbeziehen. Besonders effektiv sind Übungen, die sich an kritischen Geschäftsprozessen orientieren. Ebenso kann entschieden werden, ob ausschliesslich interne Beteiligte einbezogen werden oder ob auch externe Stellen wie IT-Dienstleister oder Behörden simuliert werden sollen.
Das Szenario sollte realistisch, nachvollziehbar und dem jeweiligen Risiko- und Bedrohungsbild des Unternehmens angepasst sein. Die Spannbreite reicht von einem klassischen Ransomware-Angriff über den Ausfall eines Cloud-Dienstes bis hin zu gezielten Insider-Attacken oder einem weitreichenden Kommunikationsausfall. Ein realistisches Szenario fördert die Akzeptanz der Beteiligten und trägt damit wesentlich zum Erfolg der Übung bei.
Mögliche Lageentwicklungen sind im Vorfeld der Übung zu definieren und können dann während der Übung gezielt eingespielt werden. Hier gilt die Prämisse, die Teilnehmenden nicht zu überfordern, aber auch nicht zu unterfordern. Entsprechend braucht es ein wenig Fingerspitzengefühl und Kreativität beim Erarbeiten und Einspielen von möglichen Lageentwicklungen.
Um den Erfolg der Übung messen zu können, braucht es definierte Kennzahlen (KPIs). Beispiele für solche KPIs sind etwa die Einhaltung bestimmter Reaktions- und Wiederherstellungszeiten, die korrekte Eskalation gemäss Notfallplan, oder die interne und externe Kommunikation innerhalb eines bestimmten Zeitfensters. Je klarer diese Ziele im Vorfeld formuliert sind, desto einfacher ist später die Auswertung und Ableitung von Verbesserungsmassnahmen.
Methodik
Für die Durchführung von IT-Notfallübungen stehen verschiedene Methoden zur Auswahl. Diese unterscheiden, wie realistisch, effektiv und effizient eine IT-Notfallübung durchgeführt werden kann.
| Methode | Beschreibung | Komplexität | Vorteile | Nachteile |
|---|---|---|---|---|
Walkthrough
|
Gemeinsames Durchgehen eines Notfallprozesses in kleiner Runde, meist ohne konkretes Szenario. Fokus auf Verständnis, Rollenklärung und Dokumentation. | Tief |
|
|
Tabletop
|
Szenariobasiertes Planspiel mit fiktiver Lage. | Mittel |
|
|
Technische Tests einzelner Systeme
|
Isolierte Tests von Backups, Failover, Logging oder Wiederherstellungsverfahren in einzelnen Systemen oder Umgebungen. | Mittel |
|
|
Integraler Prozesstest
|
Übung eines gesamten Incident- oder Notfallprozesses über mehrere Stationen hinweg. | Hoch |
|
|
DR-Test
|
Test der Wiederherstellung nach einem Ausfall, z. B. durch Umschalten auf Backup-Systeme oder Wiederanlauf im Ersatzrechenzentrum. | Sehr hoch |
|
|
KVP
Der grösste Mehrwert der IT-Notfallübung entsteht im Nachgang. Durch eine strukturierte Auswertung und dem Ableiten von konkreten Verbesserungsmassnahmen (und natürlich auch deren konsequenter Umsetzung) kann die Maturität der Notfallpläne deutlich gesteigert werden. Weiter sollten die Erkenntnisse auch in verwandte Bereiche wie ISMS und BCM einfliessen.
Gerne beantworten wir Ihre Fragen rund um ihr IT-Notfallmanagement sowie alle generellen Fragen zu Cyber- und IT-Sicherheit.
Swiss Infosec AG; 12.03.2026
Fachteam IT-Sicherheit, +41 41 984 12 12, infosec@infosec.ch