Cybervize - Cybersecurity Beratung
Alle Artikel

Krisenübung im Unternehmen: Wenn der Teamleiter fragt, was er jetzt tun soll

Alexander Busse·20. März 2026
Krisenübung im Unternehmen: Wenn der Teamleiter fragt, was er jetzt tun soll

Die Frage "Moment, wo steht nochmal, was ich jetzt tun soll?" klingt harmlos. Doch wenn ein Teamleiter sie mitten in einer Krisenübung stellt, zeigt sie ein grundlegendes Problem: Krisenorganisation auf dem Papier ist keine echte Krisenorganisation. Der Unterschied zwischen beiden zeigt sich erst, wenn der Ernstfall – oder seine Simulation – eintritt.

Krisenübungen decken auf, was Dokumente verbergen

In Krisenübungen wird sichtbar, was im Alltagsbetrieb unsichtbar bleibt: Wer weiß wirklich, welche Rolle er innehat? Wer entscheidet, wenn die Führungsperson nicht erreichbar ist? Wohin wird in welcher Reihenfolge kommuniziert? Viele mittelständische Unternehmen haben Notfallpläne, die sorgfältig erstellt, aber selten oder nie geübt wurden. Das Resultat ist eine Sicherheitslücke, die keine Firewall schließen kann: fehlende Handlungsfähigkeit unter Druck.

Was bei Krisenübungen regelmäßig ans Licht kommt, sind vier wiederkehrende Schwachstellen: Rollen sind vage benannt, Entscheidungswege sind nicht definiert, Kommunikationsprozesse sind unklar, und der entscheidende Faktor – regelmäßige Übung – fehlt völlig. Das Muster ist erkennbar und vermeidbar.

Die vier häufigsten Schwachstellen in der Krisenorganisation

Rollen ohne klare Abgrenzung: Wer ist der Incident Commander? Wer übernimmt bei Ausfall der primären Führungsperson? Wenn diese Fragen im Ernstfall erst gestellt werden müssen, ist wertvolle Zeit bereits verloren. Ein Incident Commander ohne definierte Entscheidungsbefugnis ist kein Incident Commander – er ist ein Engpass.

Unklare Entscheidungswege: In einer Krise zählt jede Minute. Entscheidungen, die unter Normalbedingungen Stunden dauern, müssen im Krisenfall in Minuten getroffen werden. Dazu braucht es vorab definierte und internalisierte Entscheidungsstrukturen – nicht Diskussionen darüber, wer eigentlich zuständig ist.

Fehlende Kommunikationsstruktur: Wer informiert den Vorstand? Wer kommuniziert mit Behörden und Datenschutzbehörden? Wer spricht mit Kunden und Partnern, und zu welchem Zeitpunkt? Ungeklärte Kommunikationsprozesse führen zu Informationslücken, Doppelaussagen und unkontrollierten Informationsabflüssen.

Kein Übungsbetrieb: Die einzige Möglichkeit, Krisenorganisation zu validieren, ist die regelmäßige Übung. Kein Dokument kann ersetzen, was durch Erfahrung entsteht. Wer seine Krisenorganisation nie geübt hat, wird dies im Ernstfall lernen – zu einem Zeitpunkt, an dem es keine zweite Chance gibt.

Was eine einsatzfähige Krisenorganisation auszeichnet

Eine funktionierende Krisenorganisation baut auf klaren Rollenkarten auf, die jedem Beteiligten unmittelbar sagen, was zu tun ist. Eine Rollenkarte enthält mindestens: die Rollenbezeichnung und den Verantwortungsbereich, die spezifischen Entscheidungsbefugnisse, die Stellvertretungsregelung und die Eskalationspfade. Wichtige Rollen in einem Incident-Response-Team sind typischerweise: Incident Commander, IT Operations, Kommunikation (intern/extern), Legal und Datenschutz sowie der betroffene Fachbereich.

Regelmäßige Krisenübungen – mindestens jährlich, idealerweise halbjährlich – sind die Voraussetzung dafür, dass die Krisenorganisation im Ernstfall greift. Jede Übung deckt neue Schwachstellen auf: veraltete Kontaktdaten, veränderte Systemlandschaften, neue Mitarbeitende in kritischen Rollen. Diese Erkenntnisse fließen direkt in die Verbesserung der Organisation ein.

NIS-2 und die Anforderungen an Krisenbereitschaft

Für Unternehmen unter NIS-2-Pflicht ist eine dokumentierte und geübte Krisenorganisation keine Kür, sondern Pflicht. Die Richtlinie verlangt explizit Maßnahmen zur Behandlung von Sicherheitsvorfällen – einschließlich klarer Prozesse, Verantwortlichkeiten und Reaktionszeiten. Ein Notfallplan, der im Ernstfall nicht greift, weil er nie geübt wurde, erfüllt diese Anforderung nicht.

Der Aufbau einer einsatzfähigen Krisenorganisation muss nicht Monate dauern. In einem strukturierten Ansatz lassen sich Rollen, Entscheidungswege, Kommunikationsprozesse und Eskalationspfade in wenigen Wochen pragmatisch aufsetzen und in einer ersten Übung validieren. Der entscheidende Schritt ist, damit zu beginnen – bevor die Krisenübung zeigt, dass niemand weiß, was zu tun ist.

Zurück zur Übersicht

Weitere Artikel

Backup ist nicht Recovery: Was Mittelständler für echte Business Continuity brauchen

Es gibt zwei Arten von Unternehmen: die mit Backups und die, die Wiederherstellung wirklich getestet haben. Was echte Business Continuity von einer Backup-Illusion unterscheidet.

19. März 2026

"Sicherheit? Haben wir implementiert": Vier Routinen für echte Cyber-Resilienz

Ein CEO sagt "Sicherheit? Haben wir implementiert." Drei Fragen später ist es still im Raum. Warum Cybersicherheit ohne kontinuierliche Taktung scheitert und welche vier Routinen echte Souveränität sichern.

19. März 2026

Datenmaskierung im KI-Zeitalter: Warum Copy-Paste das größte Sicherheitsrisiko ist

Der häufigste KI-Fehler im Unternehmen ist kein Prompt-Engineering-Problem – es ist der unreflektierte Copy-Paste-Reflex. Warum Datenmaskierung der entscheidende Sicherheitsgurt für KI-Nutzung ist.

18. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

AI Security Governance

Sichere KI-Nutzung mit Governance-Frameworks und Risikobewertung.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
Jahresrückblick

Cybervize Jahresrückblick | 2021 | Teil 1

41 minAnhoeren
Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren