Plötzlich geht nichts mehr: Das ERP-System steht still, E-Mails erreichen niemanden, die Webseite ist offline. Ein Cyberangriff – und niemand weiss, was zu tun ist. Leider kein Einzelfall.
Obwohl Cyberrisiken längst zum Geschäftsalltag gehören, haben viele KMU keinen Notfallplan. Und wenn doch, ist er oft veraltet, unvollständig oder wurde nie getestet. Dabei entscheidet genau dieser Plan darüber, ob ein Unternehmen handlungsfähig bleibt oder im Chaos versinkt.
Was ein Notfallplan beinhalten muss
Ein guter Notfallplan beantwortet die entscheidenden Fragen. Verständlich, griffbereit und praxistauglich. Damit im Ernstfall nicht Hektik herrscht, sondern Klarheit.
Risikoanalyse und kritische Geschäftsprozesse
Welche Systeme oder Abläufe sind für das Unternehmen überlebenswichtig? Wie lange könnten sie ausfallen, ohne die Geschäftstätigkeit zu gefährden? Welche Abhängigkeiten – etwa von Cloud-Services oder IT-Dienstleistern – sind besonders kritisch?
Betrieb im Krisenmodus
Wie lässt sich der Geschäftsbetrieb aufrechterhalten, wenn digitale Prozesse versagen? Welche Aufgaben können manuell übernommen werden? Wer ist im Ausnahmefall entscheidungsbefugt?
Wiederherstellung von Systemen und Daten
Wie schnell und verlässlich lassen sich Daten aus Backups wiederherstellen? Welche Systeme haben Priorität?
Kommunikation nach innen und aussen
Wer informiert interne und externe Anspruchsgruppen? Welche Kommunikationskanäle stehen im Notfall zur Verfügung? Wie können klare Botschaften sichergestellt werden – auch in einer angespannten Lage?
Einbindung der Mitarbeitenden
Sind die Mitarbeitenden ausreichend informiert? Bestehen klare Abläufe, definierte Rollen und regelmässige Schulungen, um auch im Ernstfall strukturiert reagieren zu können?
Physische Sicherheit und Vertretungsregelungen
Wer hat Zugang zu sensibler Infrastruktur? Gibt es Regelungen für den Ausfall von Schlüsselpersonen? Ist ein analoger Notfallordner vorhanden und aktuell?
Rechtliche Pflichten und Versicherungsschutz
Welche gesetzlichen Meldepflichten gelten? Wer trägt die Verantwortung für die Einhaltung? Und wie ist der Versicherungsschutz im Krisenfall geregelt?
Warum der Notfallplan auch getestet werden muss
Ein Plan auf dem Papier reicht nicht aus, denn im Ernstfall zählt nur, was in der Praxis funktioniert. Immer wieder zeigt sich: Zuständigkeiten sind unklar, Entscheidungswege bremsen die Reaktion, Kommunikationswege sind nicht eingespielt. Deshalb sollte ein Notfallplan nicht nur erstellt, sondern regelmässig unter realistischen Bedingungen getestet werden.
Testlauf unter realen Bedingungen
Bei einer sogenannten Tabletop-Übung wird eine Krisensituation simuliert und mit allen relevanten Entscheidungsträgerinnen und Entscheidungsträgern «am runden Tisch» durchgespielt; etwa ein Ransomware-Angriff, ein Datenleck oder ein kompletter Systemausfall. Ohne reale Auswirkungen auf die produktive IT wird schrittweise durchgespielt, wie das Unternehmen reagieren würde. Im Mittelpunkt stehen nicht technische Details, sondern Entscheidungsfindung, Kommunikation und Koordination: Wer informiert wen? Wer übernimmt welche Rolle? Was passiert, wenn zentrale Personen ausfallen?
Solche Übungen werden in der Regel von externen Fachpersonen moderiert, die realistische Szenarien entwickeln, durch die Übung führen und anschliessend eine strukturierte Auswertung samt konkreter Empfehlungen liefern.
Was solche Tests bewirken
- Sie zeigen auf, wo Abläufe unklar oder Zuständigkeiten doppelt besetzt sind.
- Sie fördern das Verständnis zwischen IT, Geschäftsleitung, Kommunikation und Recht.
- Sie schärfen das Risikobewusstsein auf allen Ebenen.
- Sie machen aus einem Dokument ein lebendiges Führungsinstrument.
Fazit: Vorbereitung schützt vor Kontrollverlust
Ein Cyberangriff lässt sich nicht planen – die Reaktion darauf schon. Ein fundierter Notfallplan, der regelmässig getestet und intern verankert ist, erhöht die Reaktionsfähigkeit im Ernstfall. So wird die digitale Resilienz gestärkt und der Geschäftsbetrieb selbst in Ausnahmesituationen abgesichert.
_______
Über den Autor und BDO
Nicolas Germiquet leitet den Bereich Cyber Security Advisory & Digital Forensic bei BDO Schweiz.
BDO begleitet KMU in allen Fragen der Cybersicherheit – auf Augenhöhe, praxisnah und mit Fokus auf umsetzbare Lösungen.
