IT-Notfallplan erstellen

Eine Hand mit einem Stift über einer Seite eines Ringbuchs, auf der IT-Notfallplan steht.

Cybersicherheitsvorfälle können jedes Unternehmen treffen – von der kleinen Bäckerei bis hin zum mittelständischen Maschinenbauer. Ohne einen klaren Plan drohen IT-Probleme, Chaos und Betriebsunterbrechungen, die schwerwiegende Folgen haben können. Unvollständige Informationen, Kommunikationsprobleme, Stress und enormer Zeitdruck erschweren eine effektive Bewältigung des Vorfalls zusätzlich. Eine durchdachte Notfallplanung ist der Schlüssel, um im Ernstfall schnell, organisiert und wirkungsvoll zu reagieren. 

Wichtige Fragen und effektives Risikomanagement

Eine solide Notfallplanung beginnt mit den richtigen Fragen, die Sie schriftlich festhalten sollten: Wie sieht Ihre IT-Infrastruktur aus? Welche Geräte und Software nutzen Sie in Ihrem Betrieb? Was ist für Ihre Betriebsfähigkeit unverzichtbar und welche Daten oder Systeme sind besonders schützenswert? Überprüfen Sie Ihre aktuellen Schutzmaßnahmen – von regelmäßigen Datensicherungen bis hin zu Sicherheitsupdates – und klären Sie Verantwortlichkeiten. Wenn Sie mit IT-Dienstleistenden zusammenarbeiten, sollten Sie genau wissen, welche Bereiche extern betreut werden und wer Ihre Ansprechpartnerin oder Ihr Ansprechpartner ist. Klären Sie im Vorhinein ab, ob und inwieweit diese Sie bei einem Notfall in Ihrem Betrieb unterstützen.

Ebenso entscheidend ist ein wirksames Risikomanagement. Häufige Risiken wie fehlende Sicherheitsupdates, schwache Passwörter, der Verzicht auf Multi-Faktor-Authentifizierung oder schadhafte Mails können schnell zu Sicherheitsvorfällen führen. Unachtsame oder ungeschulte Mitarbeitende erhöhen zusätzlich die Gefahr durch Phishing-Angriffe. Durch das frühzeitige Erkennen und Minimieren dieser Risiken schaffen Sie eine stabile Grundlage für Ihre IT-Sicherheit.
 

Risiken gezielt eindämmen

Um Risiken effektiv zu minimieren, sind präventive Maßnahmen essenziell. Installieren Sie Sicherheitsupdates zeitnah, um bekannte Schwachstellen zu schließen und machen Sie regelmäßig Backups – auf jeden Fall  auch in einer offline gespeicherten Variante. Mit langen Passwörtern und der Nutzung eines Passwortmanagers pro Mitarbeitenden stärken Sie die Zugangssicherheit erheblich.

Die Unterstützung durch IT-Sicherheitsberatung, regelmäßige Schwachstellenscans und Penetrationstests hilft, Sicherheitslücken frühzeitig zu erkennen und zu beheben. Ergänzend dazu tragen organisatorische Maßnahmen wie ein klar definiertes Rollenkonzept und die Segmentierung des Netzwerks dazu bei, Zugriffsrechte gezielt zu verwalten und potenzielle Schäden auf einzelne Bereiche zu begrenzen. So schützen Sie Ihre IT-Infrastruktur ganzheitlich und nachhaltig.
 

Das muss ein IT-Notfallplan beinhalten

Ein Spiralblock mit großem Fragezeichen, um den zusammengeknülltes Papier liegt.

Für den Notfall sollten Sie ein Handbuch erstellen. Ein guter IT-Notfallplan ist klar strukturiert, leicht verständlich und deckt alle wesentlichen Informationen ab, ohne zu überfordern. Vermeiden Sie z.B. zu viel Fließtext oder pauschale Vorlagen eins zu eins zu übernehmen, die nicht auf Ihr Unternehmen zutreffen. 

Folgende Punkte sollten in Ihrem IT-Notfallplan enthalten sein:

Kontaktdaten aller relevanten Personen

  • Intern: Geschäftsführung, IT-Verantwortliche, Notfallteam
  • Extern: IT-Dienstleistende, Cybersicherheitsberatende, Webagentur, Hosting-Dienstleistende
  • Behörden: Polizei (z. B. Zentrale Ansprechstelle Cybercrime), Bundesamt für Sicherheit in der Informationstechnik (BSI),
    Datenschutzaufsichtsbehörde
  • Versicherungen: Cyberversicherung und andere relevante Versicherungen
  • Bank: Ansprechpartnerin oder Ansprechpartner für finanzielle Schäden und Liquiditätsfragen

Maßnahmenkatalog für verschiedene Szenarien

Erstellen Sie klare Anweisungen, wie bei unterschiedlichen Vorfällen zu handeln ist. Die nachfolgenden Beispiele haben keinen Anspruch auf Vollständigkeit und sind stark vereinfacht. Sie dienen nur zur allgemeinen Richtung.

  • Phishing-Angriff: Verdächtige E-Mails melden, Passwort zurücksetzen, betroffene Systeme prüfen.
  • Datenverlust: Sicherstellen, dass Backups verfügbar sind und Wiederherstellungsschritte einleiten.
  • Account wird gestohlen: Account beim Anbietenden sperren und zurückholen lassen, neues Passwort setzen, Accountinformationen auf Richtigkeit prüfen.

Wiederherstellungsprozesse

  • Lager- und Speicherorte der Backups (im Betrieb, bei Dienstleistenden etc.)
  • Zugänge und Passwörter (sicher und separat aufbewahren)
  • Detaillierte Informationen zur Wiederherstellung von Daten und Systemen, die von den jeweiligen Verantwortlichen durchgeführt werden sollten

Kommunikationsplan und Meldekette

  • Meldekette im Unternehmen beachten: Verantwortliche informieren, die weitere Schritte einleiten.
  • Festlegen, wie intern und extern kommuniziert wird: Wer informiert Mitarbeitende, Kundinnen und Kunden sowie Geschäftspartnerinnen und Geschäftspartner?
  • Vorgefertigte Textbausteine für schnelle und konsistente Kommunikation mit Betroffenen, Behörden und der Öffentlichkeit

Ressourcenplanung und Notbetrieb

  • Definition der wichtigsten Ressourcen, die für die Betriebsfähigkeit unverzichtbar sind
  • Handlungsschritte zur Wiederherstellung von Abläufen und Prozessen, um einen ersten Notbetrieb sicherzustellen (z. B. Gehaltszahlungen, Kundenkommunikation)

Standort und Zugriff auf wichtige Dokumente

  • Verträge, Zugangsdaten, Lizenzschlüssel und Versicherungsunterlagen
  • Aufbewahrungsorte von Hardware wie Ersatz-Laptops oder Servern

Verantwortlichkeiten

  • Liste der Verantwortlichen für die Umsetzung des Plans
  • Hinweis auf regelmäßige Schulungen und Übungen, um sicherzustellen, dass alle Beteiligten vorbereitet sind

IT-Notfallplan? Ausgedruckt!

Wenn Ihre IT-Systeme durch einen Cyberangriff oder technische Probleme ausfallen, sind digitale Notfallpläne nicht mehr zugänglich. Ein ausgedruckter Plan stellt sicher, dass alle wichtigen Informationen, Kontakte und Abläufe jederzeit verfügbar sind – unabhängig von der IT.
Legen Sie mindestens eine Kopie des Notfallplans an einem zentralen Ort im Unternehmen ab, z.B. in einem Notfallschrank oder bei der Geschäftsführung. Am besten erstellen Sie mehrere Kopien und verteilen sie an Schlüsselpersonen. Achten Sie darauf, immer die neuste Version vorliegen zu haben.
 

Erste Schritte: Was, wenn wirklich der Notfall eintritt?

Fußspuren dargestellt mit hellen, abgerundeten Kieselsteinen.

Wenn es zu einem IT-Sicherheitsvorfall kommt, ist besonnenes Handeln entscheidend. Orientieren Sie sich an diesen Schritten:

  1. Ruhe bewahren: Handeln Sie mit Bedacht und vermeiden Sie impulsive Entscheidungen.
     
  2. Krisenstab zusammenrufen: Aktivieren Sie die im Notfallplan festgelegten Verantwortlichen, um das weitere Vorgehen zu koordinieren.
     
  3. Protokoll führen: Dokumentieren Sie jeden Schritt präzise: Wann ist der Vorfall passiert, welche Maßnahmen wurden ergriffen und zu welchem Zeitpunkt?
     
  4. Behörden informieren: Kontaktieren Sie die zuständigen Stellen wie das Cybercrime-Kompetenzzentrum des Landeskriminalamts unter der kostenfreien Notfallnummer 0211/939-4040. Diese Hotline steht allen Unternehmen und Organisationen in Nordrhein-Westfalen rund um die Uhr zur Verfügung und bietet erste Unterstützung im Falle eines Cyberangriffs. Erstatten Sie in Absprache mit den Behörden Anzeige, um den Vorfall offiziell zu dokumentieren und weitere Maßnahmen zu ermöglichen.
     
  5. Meldepflichten beachten: Beachten Sie in diesem Zusammenhang Meldepflichten und Fristen z.B. von der Datenschutz-Grundverordnung. Wenn es aufgrund eines IT-Sicherheitsvorfalls zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, muss dies unverzüglich bzw. innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
     
  6. Professionelle Hilfe hinzuziehen: Alarmieren Sie Ihren IT-Sicherheitsdienstleistenden, um den Vorfall technisch und strategisch abzusichern.
     
  7. Kommunikation sicherstellen: Informieren Sie Mitarbeitende, Partnerinnen und Partner sowie Kundinnen und Kunden klar und sachlich über die Situation.
     
  8. Notfallhandbuch nutzen: Orientieren Sie sich an den festgelegten Prozessen im Handbuch – erst lesen, dann handeln!
     

Was Sie im Notfall auf keinen Fall tun sollten

Bei einem IT-Notfall ist unüberlegtes Handeln riskant und kann den Schaden erheblich vergrößern. Vermeiden Sie es, Systeme vorschnell abzuschalten, herunterzufahren oder zu trennen, da dies wichtige Spuren vernichten kann. Ebenso problematisch ist das eigenmächtige Löschen schädlicher Dateien, da dies im Zweifel Beweise vernichtet. Verzögerte oder unterlassene Meldungen an Behörden und Versicherungen können ebenfalls gravierende Folgen haben, da im schlimmsten Fall der Versicherungsschutz dadurch gefährdet ist. Kommunizieren Sie nie unkontrolliert in einer solchen Situation, sondern stimmen Sie sich mit dem Notfallteam oder den definierten Ansprechpartnerinnen oder Ansprechpartnern ab. Verschweigen Sie Vorfälle nicht aus Scham oder Angst – Transparenz ist essenziell, um angemessen reagieren zu können. Versuchen Sie nicht, das Problem allein zu lösen, sondern holen sich frühzeitig Hilfe von Polizei und spezialisierten Dienstleistenden. Verwenden Sie nach der Wiederherstellung der Systeme keinesfalls alte Passwörter oder Standard-Passwörter weiter. Ebenfalls wichtig: Gehen Sie nicht auf Lösegeldforderungen ein, sondern überprüfen Sie lieber mögliche Alternativen.