Ein Cyberangriff trifft Unternehmen selten mit Vorwarnung. Wenn Systeme ausfallen, Daten verschlüsselt sind oder ein Sicherheitsvorfall gemeldet wird, zählt nicht die beste Firewall – sondern die Frage: Wissen alle Beteiligten, was jetzt zu tun ist? Wer ein IT-Notfallhandbuch erstellen möchte, findet in diesem Beitrag die wesentlichen Inhalte: Rollen, Meldewege, Sofortmaßnahmen und Dokumentation – pragmatisch auf die Realität im Mittelstand zugeschnitten.
Für mittelständische Unternehmen ab 20 Mitarbeitenden ist ein solches Handbuch keine Kür. Die DSGVO verlangt nachweisbare organisatorische Maßnahmen. NIS2 verschärft die Anforderungen an Dokumentation und Meldepflichten. Und im Haftungsfall wird geprüft, ob Verantwortlichkeiten definiert, Meldewege bekannt und Abläufe geübt waren.
Dieser Beitrag zeigt, was ein pragmatisches IT-Notfallhandbuch enthalten sollte, wie Sie es in Ihrer Organisation einführen und warum ein Dokument allein nicht ausreicht. Die Inhalte orientieren sich an Best-Practice-Ansätzen und sind auf die Realität im Mittelstand zugeschnitten – ohne Anspruch auf Vollständigkeit eines IT-Grundschutz-Kompendiums.
Was ein IT-Notfallhandbuch ist – und was nicht
Ein IT-Notfallhandbuch ist ein operatives Arbeitsdokument. Es beschreibt, was in den ersten Stunden nach einem Sicherheitsvorfall organisatorisch zu tun ist. Nicht mehr, nicht weniger.
Das unterscheidet es von verwandten Dokumenten, die häufig verwechselt werden:
- Ein IT-Sicherheitskonzept definiert präventive Maßnahmen, Richtlinien und Verantwortlichkeiten für den Normalbetrieb. Es beantwortet die Frage: Wie schützen wir uns?
- Ein Disaster Recovery Plan regelt die technische Wiederherstellung von Systemen und Daten nach einem Ausfall. Er beantwortet die Frage: Wie stellen wir den Betrieb wieder her?
- Ein Business Continuity Management betrachtet das gesamte Unternehmen und definiert, wie kritische Geschäftsprozesse auch bei größeren Störungen aufrechterhalten werden. Es beantwortet die Frage: Wie bleiben wir handlungsfähig?
Das IT-Notfallhandbuch dagegen beantwortet eine andere Frage: Was tun wir in den ersten 60 Minuten, wenn es passiert ist?
Es enthält alle relevanten Namen, Telefonnummern, Entscheidungspfade und klare Anweisungen. Damit ist es das Dokument, das jemand in die Hand nimmt, wenn der Bildschirm schwarz wird und niemand weiß, wen man anrufen soll.
Ein gutes Notfallhandbuch hat deshalb einen entscheidenden Anspruch: Es muss in zehn Minuten erfassbar sein – von Personen, die es im Ernstfall zum ersten Mal aufschlagen.
IT-Notfallhandbuch erstellen – welche Inhalte unverzichtbar sind
Ein IT-Notfallhandbuch scheitert nicht an fehlender Tiefe, sondern an fehlender Klarheit. 80 Seiten, die niemand liest, helfen im Ernstfall weniger als acht Seiten, die jeder kennt.
Die folgenden Inhalte sollten in jedem Handbuch enthalten sein – unabhängig von Branche oder Unternehmensgröße:
| Inhalt | Beteiligte / Beispiele | Hinweis |
|---|---|---|
| Kontaktliste für den Notfall Alle relevanten Personen mit Name, Rolle, Telefonnummer (mobil) und E-Mail | Geschäftsführung, IT-Leitung, Datenschutzbeauftragte, externe IT-Dienstleister, Cyberversicherung, Rechtsberatung | Die Liste muss aktuell sein und offline verfügbar – ausgedruckt oder auf einem separaten Gerät. |
| Vertretungsregelungen Für jede Schlüsselrolle eine benannte Vertretung | Geschäftsführung, IT-Leitung, Compliance | Wer entscheidet, wenn die Geschäftsführung nicht erreichbar ist? |
| Meldeweg Eindeutige Anweisung, wie ein Sicherheitsvorfall gemeldet wird | Alle Mitarbeitenden, IT-Abteilung | An wen, über welchen Kanal, in welcher Reihenfolge. Der Meldeweg muss allen bekannt sein. |
| Sofortmaßnahmen Erste organisatorische Schritte nach einem Vorfall | IT-Leitung, Geschäftsführung | Keine technischen Details, sondern Handlungsanweisungen: Wer wird informiert? Was wird dokumentiert? |
| Entscheidungspfade Wer darf welche Entscheidungen treffen? | Geschäftsführung, IT-Leitung, Rechtsberatung | Ab welchem Punkt muss die Geschäftsführung eingebunden werden? Wer entscheidet über externe Kommunikation? |
| Kommunikationsregeln Wer kommuniziert mit wem, über welchen Kanal, mit welcher Freigabe | Geschäftsführung, Presse/Marketing, IT-Dienstleister | Getrennt nach interner Kommunikation, Kunden/Partnern und Behörden. |
| Dokumentationshinweise Was muss dokumentiert werden? | Alle Beteiligten im Notfallteam | Zeitpunkte, Entscheidungen, beteiligte Personen, ergriffene Maßnahmen – für die spätere Nachweisbarkeit. |
Rollen, Zuständigkeiten und Freigaben
Ein Notfallhandbuch funktioniert nur, wenn klar ist, wer im Ernstfall welche Aufgabe übernimmt. Das klingt selbstverständlich – ist es in der Praxis aber selten.
In vielen mittelständischen Unternehmen existieren informelle Zuständigkeiten: Die IT-Leitung kümmert sich eben um Sicherheitsvorfälle, die Geschäftsführung wird bei Bedarf informiert. Im Tagesgeschäft funktioniert das. Im Ernstfall nicht.
Wenn Ransomware zuschlägt, ein Datenleck entdeckt wird oder Systeme plötzlich nicht mehr erreichbar sind, braucht es dokumentierte Verantwortlichkeiten. Nicht als Formalität, sondern als Grundlage für schnelle Entscheidungen unter Druck.
Drei Ebenen sollten im Handbuch definiert sein:
- Die Geschäftsführung trägt die Gesamtverantwortung. Sie gibt das Notfallhandbuch frei, entscheidet über externe Kommunikation und wird bei schwerwiegenden Vorfällen unmittelbar eingebunden. Diese Verantwortung ist nicht delegierbar – auch wenn operative Aufgaben bei anderen Rollen liegen.
- Die IT-Leitung koordiniert die technische Reaktion und ist erste Anlaufstelle für interne Meldungen. Sie entscheidet über Sofortmaßnahmen wie Systemtrennung oder Zugangssperrungen und hält den Kontakt zu externen IT-Dienstleistern.
- Compliance und Datenschutz prüfen, ob Meldepflichten gegenüber Behörden bestehen – etwa nach Art. 33 DSGVO oder künftig nach NIS2 – und dokumentieren die getroffenen Maßnahmen für eine spätere Nachweisbarkeit.
Achtung: Für jede dieser Rollen sollte eine Vertretung benannt sein. Nicht als optionale Ergänzung, sondern als fester Bestandteil des Handbuchs. Ein Vorfall richtet sich nicht nach Urlaubsplänen.
Ein letzter Punkt wird häufig übersehen: Die Freigabe des Handbuchs durch die Geschäftsführung. Sie dokumentiert, dass die Unternehmensleitung ihre Organisationspflicht ernst nimmt. Im Haftungsfall kann genau diese Freigabe den Unterschied machen zwischen nachgewiesener Sorgfalt und erklärbarem Versäumnis.
Die ersten 60 Minuten nach einem Vorfall
Die erste Stunde nach einem Sicherheitsvorfall entscheidet über den weiteren Verlauf. Nicht technisch – sondern organisatorisch. Wer jetzt improvisiert, verliert Zeit, macht Fehler und erschwert die spätere Aufarbeitung.
Das Notfallhandbuch sollte für diese Phase eine klare Abfolge definieren. Die folgenden sechs Schritte bilden einen Rahmen, der an die eigene Organisation angepasst werden kann:
- Vorfall melden
Wer einen Sicherheitsvorfall bemerkt, meldet ihn sofort über den definierten Meldeweg. Keine Einschätzung, ob es wirklich ernst ist. Keine Versuche, das Problem selbst zu lösen. Die Meldung erfolgt an die IT-Leitung oder die im Handbuch benannte Stelle. - Verantwortliche informieren
Die IT-Leitung informiert die Geschäftsführung und – je nach Vorfall – Datenschutzbeauftragte, Compliance oder Rechtsberatung. Die Vertretungsregelungen greifen, wenn jemand nicht erreichbar ist. - Kommunikationskanal festlegen
E-Mail-Systeme oder interne Chat-Tools können kompromittiert sein. Das Notfallteam einigt sich auf einen alternativen Kanal: Mobiltelefon, separater Messenger oder persönliche Abstimmung vor Ort. - Beweise sichern
Keine Systeme herunterfahren, keine Daten löschen, keine Passwörter ändern – es sei denn, das Handbuch sieht es ausdrücklich vor. Forensische Spuren gehen sonst verloren. Die IT-Leitung dokumentiert den aktuellen Zustand und hält Rücksprache mit externen Dienstleistern. - Externe Partner kontaktieren
IT-Dienstleister, Cyberversicherung, bei Bedarf spezialisierte Forensiker. Je früher diese eingebunden werden, desto besser. Die Kontaktdaten liegen im Handbuch – offline verfügbar. - Entscheidungen dokumentieren
Jede Entscheidung, jede Maßnahme, jeder Zeitpunkt wird schriftlich festgehalten. Wer hat was wann entschieden? Wer war beteiligt? Diese Dokumentation ist kein Protokoll für die Schublade, sondern Grundlage für die spätere Nachweisbarkeit gegenüber Behörden, Versicherungen oder im Haftungsfall.
Diese sechs Schritte ersetzen keinen technischen Incident-Response-Prozess. Sie stellen sicher, dass die Organisation in der ersten Stunde handlungsfähig bleibt – auch wenn die Technik es nicht mehr ist.
Meldeweg und Notfallablauf – bekannt und geübt
Ein dokumentierter Meldeweg ist wertlos, wenn ihn niemand kennt. Das klingt banal, ist aber einer der häufigsten Schwachpunkte in der Notfallvorbereitung mittelständischer Unternehmen.
Das Handbuch liegt vor. Die Rollen sind definiert. Die Kontaktliste ist aktuell. Aber wenn ein Mitarbeiter eine verdächtige E-Mail öffnet oder ein System plötzlich nicht mehr reagiert, weiß er nicht, was zu tun ist. Er fragt einen Kollegen, wartet ab, versucht es selbst zu lösen. Die Meldung erfolgt verspätet oder gar nicht.
Deshalb gilt: Der Meldeweg muss aktiv kommuniziert werden. Nicht einmalig bei der Einführung, sondern regelmäßig. In Onboarding-Prozessen, in internen Schulungen, in kurzen Erinnerungen. Das Ziel ist einfach: Jeder im Unternehmen weiß, an wen er sich wendet, wenn etwas nicht stimmt.
Die Probe aufs Exempel ist die Übung. Mindestens einmal jährlich sollte der Notfallablauf durchgespielt werden – nicht als technischer Volltest, sondern als organisatorische Simulation. Eine sogenannte Tabletop-Übung reicht aus: Das Notfallteam sitzt zusammen, ein fiktives Szenario wird durchgesprochen, jeder beschreibt, was er tun würde. Dauer: 60 bis 90 Minuten.
Solche Übungen decken Lücken auf, die im Dokument nicht sichtbar sind. Ist die Kontaktliste wirklich aktuell? Weiß die Vertretung, dass sie Vertretung ist? Funktioniert der alternative Kommunikationskanal? Sind externe Dienstleister über ihre Rolle informiert?
Im Selbstcheck für Geschäftsführer, den wir im Rahmen unseres Security Awareness Programms anbieten, ist eine der zentralen Fragen: Gibt es einen von der Geschäftsführung freigegebenen Meldeweg, der bekannt ist und mindestens jährlich kurz geübt wird? Die Frage zielt nicht auf Perfektion, sondern auf gelebte Praxis. Ein Meldeweg, der nur auf dem Papier existiert, schützt niemanden.
Kommunikation im Ernstfall
Wenn ein Sicherheitsvorfall eintritt, ist Kommunikation keine Nebensache. Sie entscheidet darüber, ob Vertrauen erhalten bleibt – intern wie extern.
Das Problem: Unter Druck wird improvisiert. Jemand schreibt eine hastige E-Mail an alle Mitarbeitenden. Ein Kunde ruft an, ein Kollege gibt Auskunft ohne Abstimmung. Gerüchte entstehen. Die Geschäftsführung erfährt aus dritter Hand, was in der eigenen Organisation passiert.
Das Notfallhandbuch sollte deshalb klare Kommunikationsregeln enthalten. Nicht als bürokratisches Korsett, sondern als Orientierung für eine Situation, in der niemand Zeit hat, lange nachzudenken.
Vier Ebenen sind zu unterscheiden:
Interne Kommunikation betrifft die Belegschaft. Wer informiert die Mitarbeitenden? Wann? Mit welchem Inhalt? In den meisten Fällen sollte die Kommunikation kurz und sachlich sein: Es gibt einen Vorfall, er wird bearbeitet, bei Rückfragen ist die IT-Leitung erreichbar. Details, die zur Verunsicherung führen, gehören nicht in die erste Nachricht.
Kommunikation mit der Geschäftsführung folgt anderen Regeln. Hier zählen Fakten, Einschätzungen, offene Fragen. Die Geschäftsführung muss entscheiden können – über externe Kommunikation, über das Hinzuziehen weiterer Partner, über Meldepflichten. Dafür braucht sie ein ungeschöntes Bild.
Kommunikation mit Kunden und Partnern erfordert besondere Sorgfalt. Nicht jeder Vorfall muss kommuniziert werden. Aber wenn Daten betroffen sind oder Dienstleistungen eingeschränkt werden, ist Schweigen keine Option. Die Abstimmung erfolgt ausschließlich mit Freigabe der Geschäftsführung.
Kommunikation mit Dienstleistern und Behörden ist häufig zeitkritisch. Externe IT-Partner brauchen schnell Zugang zu relevanten Informationen. Meldepflichten nach DSGVO oder NIS2 haben enge Fristen. Das Handbuch sollte festhalten, wer diese Kommunikation führt und welche Informationen vorbereitet sein müssen.
Eine einfache Regel hilft in allen vier Fällen: Eine Stimme, eine Freigabe. Wer nach außen kommuniziert, tut das im Namen des Unternehmens – nicht auf eigene Initiative. Diese Disziplin schützt vor widersprüchlichen Aussagen und ungewollten Festlegungen.
Nachweisbarkeit – Reviews, Übungen, Maßnahmen dokumentieren
Dokumentation ist kein Selbstzweck. Sie ist der Beleg dafür, dass ein Unternehmen seine organisatorischen Pflichten ernst nimmt.
Die DSGVO verlangt in Art. 5 Abs. 2 die sogenannte Rechenschaftspflicht: Verantwortliche müssen nachweisen können, dass sie die Grundsätze der Verordnung einhalten. Im Bereich IT-Sicherheit bedeutet das konkret: Es reicht nicht, ein Notfallhandbuch zu haben. Es muss dokumentiert sein, dass dieses Handbuch freigegeben, kommuniziert, geübt und bei Bedarf angepasst wurde.
Mit der NIS2-Richtlinie verschärfen sich diese Anforderungen. Unternehmen in bestimmten Sektoren müssen nachweisen, dass sie angemessene Maßnahmen zur Risikobewältigung getroffen haben. Auch hier zählt nicht die Absicht, sondern die belegbare Umsetzung.
Im Haftungsfall – ob gegenüber Aufsichtsbehörden, Versicherungen oder Geschädigten – wird geprüft, ob das Unternehmen seine Sorgfaltspflichten erfüllt hat. Die Fragen lauten dann: War das Notfallhandbuch aktuell? Wer hat es freigegeben? Wann wurde es zuletzt geübt? Welche Maßnahmen wurden nach der letzten Übung abgeleitet?
Wer diese Fragen nicht beantworten kann, hat ein Problem. Wer sie mit Datum, Teilnehmerliste und dokumentierten Ergebnissen beantworten kann, hat einen erheblichen Vorteil.
Die gute Nachricht: Aufwändige Formate sind nicht nötig. Eine einfache Tabelle oder ein kurzes Protokoll reicht aus. Wichtig ist, dass folgende Informationen erfasst werden:
| Was dokumentieren? | Beispielinhalt |
|---|---|
| Datum | Wann fand die Übung, das Review oder die Maßnahme statt? |
| Teilnehmende | Wer war beteiligt? Namen und Rollen. |
| Gegenstand | Was wurde geübt, geprüft oder besprochen? |
| Ergebnisse | Was lief gut? Welche Lücken wurden erkannt? |
| Abgeleitete Maßnahmen | Was wird angepasst, ergänzt oder nachgeholt? |
| Verantwortlich | Wer setzt die Maßnahme um? Bis wann? |
Diese Dokumentation sollte zentral abgelegt und bei jedem Review aktualisiert werden. Sie ist keine Pflichtübung für Auditoren, sondern ein Werkzeug, das im Ernstfall Orientierung bietet – und im Nachgang Schutz.
Wie das Security Awareness Programm das Handbuch ergänzt
Ein IT-Notfallhandbuch ist ein Dokument. Es kann beschreiben, was im Ernstfall zu tun ist. Es kann aber nicht sicherstellen, dass die Inhalte bekannt sind, verstanden werden und im Alltag präsent bleiben.
Genau hier setzt ein Security Awareness Programm an. Es sorgt dafür, dass das Handbuch nicht in der Schublade verstaubt, sondern als Teil einer gelebten Sicherheitskultur verankert wird.
Im Rahmen unseres Security Awareness Programms ist das IT-Notfallhandbuch Bestandteil der Initialkampagne. Gemeinsam mit Ihnen erarbeiten wir die organisatorischen Grundlagen: Rollen, Meldewege, Zuständigkeiten. Die Richtlinien werden nicht übergeben, sondern abgestimmt – auf Ihre Struktur, Ihre Prozesse, Ihre Risikosituation.
Damit das Handbuch wirksam bleibt, wird es in regelmäßige Maßnahmen eingebettet:
Schulungen vermitteln den Mitarbeitenden, woran sie einen Sicherheitsvorfall erkennen und wie sie ihn melden. Nicht als Frontalvortrag, sondern als kompakte, praxisnahe Einheit.
Phishing-Simulationen testen, ob das Gelernte im Alltag ankommt. Sie zeigen, wo Nachschulungsbedarf besteht – ohne Vorwürfe, mit konkreten Lernimpulsen.
Jährliche Audits prüfen, ob das Notfallhandbuch noch zur Organisation passt. Haben sich Zuständigkeiten geändert? Sind neue Systeme hinzugekommen? Wurden Übungen durchgeführt und dokumentiert? Die Ergebnisse fließen in ein Update des Handbuchs ein.
Das Ziel ist nicht Perfektion, sondern Verbindlichkeit. Ein Notfallhandbuch, das einmal erstellt und dann vergessen wird, erfüllt seine Funktion nicht. Ein Handbuch, das regelmäßig geprüft, geübt und angepasst wird, schon.
Nächster Schritt – Standortbestimmung
Die entscheidende Frage lautet nicht, ob Ihr Unternehmen ein IT-Notfallhandbuch besitzt. Sie lautet: Ist es aktuell? Ist es freigegeben? Kennen die relevanten Personen ihren Part? Wurde der Ablauf jemals geübt?
Viele Unternehmen haben ein Dokument, das diese Kriterien nicht erfüllt. Oder sie haben gar keins, weil andere Themen drängender erschienen. Beides lässt sich ändern – vorausgesetzt, der Ausgangspunkt ist klar.
Für eine erste Einschätzung haben wir einen Selbstcheck entwickelt. Zehn Fragen, die Geschäftsführer in wenigen Minuten beantworten können – ohne IT-Kenntnisse, ohne Vorbereitung. Das Ergebnis zeigt, wo Ihre Organisation steht und wo konkreter Handlungsbedarf besteht.
Der Selbstcheck ersetzt keine Beratung. Er schafft Orientierung.
Wenn Sie tiefer einsteigen möchten, finden Sie auf unserer Seite zum Security Awareness Programm einen Überblick über die Bausteine, mit denen ein Notfallhandbuch Teil Ihrer gelebten Sicherheitskultur wird.
Häufige Fragen zum IT-Notfallhandbuch
Wie oft sollte das Notfallhandbuch geübt werden?
Mindestens einmal jährlich. Eine Tabletop-Übung von 60 bis 90 Minuten reicht aus, um Lücken zu erkennen und den Ablauf präsent zu halten. Aufwändige Simulationen sind im Mittelstand selten nötig.
Wer muss das Handbuch freigeben?
Die Geschäftsführung. Die Freigabe dokumentiert, dass die Unternehmensleitung ihre Organisationspflicht wahrnimmt. Im Haftungsfall kann genau dieser Nachweis relevant werden.
Reicht eine Vorlage aus dem Internet?
Als Ausgangspunkt ja, als fertiges Dokument nein. Jedes Unternehmen hat eigene Strukturen, Zuständigkeiten und Risiken. Ein Notfallhandbuch muss auf die eigene Organisation angepasst sein, sonst bleibt es wirkungslos.
Wie hält man das Handbuch aktuell?
Durch feste Review-Termine. Nach jeder Übung, bei Änderungen in der Organisation und mindestens einmal jährlich sollte geprüft werden: Stimmen die Kontaktdaten? Sind die Rollen noch aktuell? Haben sich Meldepflichten geändert? Die Ergebnisse werden dokumentiert.
Wie hängen Awareness-Training und Notfallhandbuch zusammen?
Das Handbuch beschreibt, was zu tun ist. Das Training sorgt dafür, dass die Inhalte bekannt sind und im Ernstfall abgerufen werden können. Beides gehört zusammen – ein Dokument ohne Verankerung im Alltag bleibt Theorie.
