tprime
IT-Sicherheit

IT-Notfallplan: was tun, wenn die Systeme stehen?

IT-Notfallplan für den Ernstfall: Rollen, Erstmaßnahmen, Meldewege und Wiederanlauf aus dem Backup. So bleibt dein Betrieb beim Ausfall handlungsfähig.

Elias Peters 7 Min. Lesezeit
Besprechung eines IT-Notfallplans im Team

Der Bildschirm zeigt eine Lösegeldforderung, das Telefon klingelt, und niemand weiß, wer jetzt was entscheidet. Genau in diesem Moment entscheidet sich, ob aus einem Vorfall ein Schaden von ein paar Stunden wird oder von mehreren Wochen. Ein IT-Notfallplan ist die Antwort auf die Frage, die du dir nie im laufenden Notfall stellen willst: Was tun wir jetzt?

Warum jeder Betrieb einen IT-Notfallplan braucht

Es gibt drei Gründe, warum die Systeme stehen können. Alle drei treffen früher oder später jeden Betrieb.

Da ist erstens Ransomware. Ein Mitarbeiter öffnet einen Anhang, die Verschlüsselung läuft über Nacht durch alle Freigaben, und am Morgen ist die Produktion blockiert. Zweitens der schlichte technische Ausfall: Ein Server stirbt, ein Stromausfall trifft das Rechenzentrum, ein Update legt die Warenwirtschaft lahm. Und drittens der menschliche Fehler, der unterschätzte Klassiker. Jemand löscht versehentlich ein ganzes Verzeichnis, ein Admin spielt eine falsche Konfiguration ein, eine Migration geht schief.

Der Unterschied zwischen einem teuren und einem beherrschbaren Vorfall liegt selten an der Technik. Er liegt daran, ob die ersten Stunden geordnet ablaufen. Wer in der Krise erst überlegt, wen er anrufen muss, verliert genau die Zeit, in der sich der Schaden noch eingrenzen lässt.

Dazu kommt die wirtschaftliche Seite. Jede Stunde Stillstand kostet, und zwar nicht nur in der Produktion. Auch im Büro stehen Aufträge, Angebote und Rechnungen still, während die Löhne weiterlaufen. Bei einem mittelständischen Betrieb summiert sich das schnell auf Beträge, gegen die der Aufwand für einen ordentlichen Plan winzig wirkt.

Ein Notfallplan ist deshalb kein dickes Dokument für den Aktenschrank. Er ist eine knappe, ausgedruckte Handlungsanweisung, die auch dann funktioniert, wenn das Netzwerk down ist und niemand auf das Intranet zugreifen kann.

Was in einen IT-Notfallplan gehört

Ein brauchbarer Plan beantwortet sechs Fragen. Wer ist zuständig, wen melde ich, was tue ich sofort, wen informiere ich, wie kommen wir zurück, und wie oft üben wir das?

Rollen und Verantwortliche

Im Notfall braucht es klare Zuständigkeiten, keine Diskussion. Lege vorher fest, wer den Vorfall leitet, wer technisch handelt und wer kommuniziert.

  • Notfall-Koordinator: trifft Entscheidungen, behält den Überblick, priorisiert. Meist die Geschäftsführung oder ein bevollmächtigter Vertreter.
  • Technischer Verantwortlicher: setzt die Erstmaßnahmen um, oft dein IT-Dienstleister oder die interne IT.
  • Kommunikationsverantwortlicher: spricht mit Mitarbeitern, Kunden und im Ernstfall mit Behörden.

Wichtig: Jede Rolle braucht einen Stellvertreter. Notfälle halten sich nicht an Urlaubspläne, und der eine Kollege, der alles weiß, ist genau dann krank, wenn es brennt. In kleineren Betrieben darf eine Person auch zwei Rollen tragen. Nur niemand sollte alle drei gleichzeitig ausfüllen müssen.

Eskalations- und Meldewege

Der Plan muss eine Telefonliste enthalten, die offline verfügbar ist. Auf Papier, im Tresor oder auf einem Handy, das nicht im betroffenen Netz hängt. Darauf gehören die Mobilnummern der Verantwortlichen, die Notfallnummer deines IT-Dienstleisters, der Kontakt zur Cyberversicherung und die Nummer der zuständigen Polizei (Zentrale Ansprechstelle Cybercrime).

Definiere außerdem eine Eskalationsschwelle. Ab wann ist ein Vorfall ein Notfall? Ein einzelner gesperrter Account ist Tagesgeschäft. Verschlüsselte Dateifreigaben sind ein Fall für den vollen Plan.

Erstmaßnahmen: isolieren, nicht zahlen, dokumentieren

Die ersten Schritte folgen einer einfachen Logik. Den Schaden begrenzen, Beweise sichern, keine Schnellschüsse.

  • Isolieren statt ausschalten. Trenne betroffene Geräte vom Netzwerk, indem du das LAN-Kabel ziehst oder WLAN deaktivierst. Fahre sie aber nicht herunter. Im Arbeitsspeicher stecken oft wichtige Spuren für die spätere Analyse.
  • Kein Lösegeld zahlen. Eine Zahlung garantiert keine Entschlüsselung, finanziert die Täter und macht dich zum lohnenden Ziel für den nächsten Angriff. Bei einer Ransomware-Infektion ist die Anzeige bei der Polizei der richtige Weg, nicht die Überweisung.
  • Alles dokumentieren. Wann fiel was auf, welche Systeme sind betroffen, wer hat was unternommen? Schreibe es mit, am besten auf Papier. Diese Dokumentation brauchst du für die Versicherung, für die Behörden und für die saubere Wiederherstellung.

Kommunikation: intern, Kunden, Behörden

Schweigen ist im Notfall die teuerste Option. Intern müssen die Mitarbeiter schnell wissen, was Sache ist und was sie tun sollen, etwa keine verdächtigen Mails öffnen oder Geräte vom Netz nehmen. Lege vorher fest, über welchen Kanal du sie erreichst, wenn die Firmen-Mail ausfällt.

Bei Kunden gilt: lieber proaktiv und ehrlich informieren, als wenn der Ausfall durch nicht beantwortete Anfragen auffällt. Ein kurzer Hinweis auf eine technische Störung wirkt souveräner als tagelanges Schweigen.

Heikel wird es bei personenbezogenen Daten. Sind solche Daten betroffen, greift die DSGVO-Meldepflicht nach Artikel 33. Du hast dann 72 Stunden Zeit, den Vorfall der zuständigen Datenschutzaufsichtsbehörde zu melden. Diese Frist läuft schnell ab, weshalb die Meldung von Anfang an im Plan mitgedacht werden muss. Mehr zur typischen Angriffsmethode dahinter liest du in unserem Beitrag dazu, wie du Phishing erkennst und dich schützt.

Wiederanlauf aus dem Backup

Wenn der Schaden eingegrenzt und der Vorfall verstanden ist, beginnt der Wiederanlauf. Hier zeigt sich, ob die Vorarbeit stimmt. Ein Backup, das nie zurückgespielt wurde, ist im Ernstfall eine Wette.

Lege im Plan fest, in welcher Reihenfolge Systeme zurückkommen. Was hält den Betrieb am Laufen, was kann warten? Häufig sind das zuerst die Server für Warenwirtschaft und Buchhaltung, dann Datei- und Mailserver, danach der Rest. Wichtig bei Ransomware: Spiele nur saubere Stände zurück und stelle sicher, dass die Schadsoftware vorher restlos entfernt ist, sonst verschlüsselt sie die frischen Daten gleich wieder. Wie ein belastbares Backup aussieht, beschreibt unser Artikel zur 3-2-1-Backup-Strategie.

RTO und RPO verständlich erklärt

Zwei Kennzahlen entscheiden, wie gut dein Plan zum Betrieb passt. Sie klingen technisch, sind aber im Kern simpel.

RTO (Recovery Time Objective) beantwortet die Frage: Wie lange darf der Ausfall dauern? Wenn deine Buchhaltung einen Arbeitstag stillstehen kann, ohne dass es weh tut, liegt die RTO bei acht Stunden. Bei einer Produktionssteuerung sind es vielleicht 30 Minuten.

RPO (Recovery Point Objective) beantwortet die Frage: Wie viele Daten dürfen verloren gehen? Sicherst du einmal täglich nachts, beträgt deine RPO bis zu 24 Stunden. Im schlimmsten Fall fehlt ein ganzer Arbeitstag. Brauchst du weniger Verlust, musst du häufiger sichern.

Beide Werte legst du pro System fest, gemeinsam mit der Geschäftsführung. Sie sind die Brücke zwischen dem, was der Betrieb verträgt, und dem, was die Technik leisten muss.

Die ersten 60 Minuten: wer macht was

Im Ernstfall zählt die Reihenfolge. Diese Tabelle gehört ausgedruckt an einen Ort, den jeder kennt.

ZeitSchrittVerantwortlich
0 bis 5 Min.Vorfall melden, Plan aktivierenWer es bemerkt → Koordinator
5 bis 15 Min.Betroffene Systeme isolieren, nicht herunterfahrenTechnischer Verantwortlicher
15 bis 25 Min.Lage einschätzen: Umfang, betroffene Daten, UrsacheTechnischer Verantwortlicher + Koordinator
25 bis 35 Min.IT-Dienstleister und ggf. Cyberversicherung anrufenKoordinator
35 bis 45 Min.Mitarbeiter informieren, Verhaltensregeln ausgebenKommunikationsverantwortlicher
45 bis 60 Min.Dokumentation starten, DSGVO-Relevanz prüfenKommunikationsverantwortlicher + Koordinator

Die Zeiten sind ein Richtwert, kein Korsett. Entscheidend ist, dass jeder Schritt eine feste Person hat und niemand auf den anderen wartet.

Üben, sonst bleibt es Theorie

Ein Notfallplan, der nur geschrieben und dann abgeheftet wird, fällt im Ernstfall durch. Spiel den Plan einmal im Jahr durch. Das muss kein großer Aufwand sein. Ein Planspiel am Besprechungstisch reicht für den Anfang: Ihr nehmt ein Szenario, geht die Schritte gemeinsam durch und schaut, wo es hakt.

Dabei kommt fast immer dasselbe heraus. Eine Telefonnummer ist veraltet, ein Zuständiger ist längst nicht mehr im Haus, die Backup-Wiederherstellung dauert doppelt so lang wie gedacht. Genau dafür übt man, damit diese Lücken im Test auffallen und nicht im Notfall.

Plane außerdem mindestens einmal jährlich einen echten Wiederherstellungstest ein. Erst wenn ein vollständiger Server nachweislich aus dem Backup zurückkommt, ist die wichtigste Annahme deines Plans bewiesen.

So machst du deinen Betrieb notfallfest

Ein IT-Notfallplan ist kein Projekt für ein freies Wochenende und auch nichts, das man einmal erledigt und dann vergisst. Er lebt mit deinem Betrieb, wächst mit deinen Systemen und wird mit jeder Übung besser. Der Aufwand ist überschaubar, der Unterschied im Ernstfall enorm.

Wenn du nicht weißt, wo dein Betrieb bei einem Ausfall heute stehen würde, hilft dir unser Team weiter. Wir prüfen deine bestehende Absicherung, definieren RTO und RPO mit dir und halten den Plan in der laufenden IT-Betreuung aktuell. Sprich uns an, bevor der Ernstfall die Antwort liefert.

IT-Notfallplan Notfallmanagement Business Continuity Ransomware IT-Sicherheit

IT-Fragen? Wir haben Antworten.

In einem kostenlosen Erstgespräch besprechen wir, wie wir dein Unternehmen mit der richtigen IT weiterbringen.

Kein Verkaufsgespräch, nur ein ehrlicher Austausch über deine IT.