Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse (Google Analytics) und Marketing (Meta, LinkedIn, Google Ads, HubSpot).
Dabei werden Daten auch an Anbieter in den USA übermittelt (Art. 49 DSGVO). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
Freitag, 17:00 Uhr. Der Hacker schlägt zu.
Was macht Ihr Team in den ersten 4 Stunden - haben Sie das je geübt? Statistisch beginnen 60 % der Ransomware-Angriffe abends, am Wochenende oder vor Feiertagen. Genau dann, wenn Bereitschaft, Eskalation und Krisenkommunikation am dünnsten besetzt sind.
Angriffe außerhalb Geschäftszeiten
entscheiden über Schadenshöhe
schnellere Reaktion mit Übung
für die erste Krisenübung
Stunde für Stunde:
Mit oder ohne Übung
Dieselbe Lage, zwei Szenarien. So unterscheidet sich der Verlauf eines Cybervorfalls je nachdem, ob Ihr Krisenstab geübt ist - oder zum ersten Mal in dieser Konstellation arbeitet.
Erste Auffälligkeit - der Angriff beginnt
Ein Mitarbeiter meldet, dass Dateien sich nicht öffnen lassen. Der IT-Bereitschaftsdienst geht von einem normalen Störungsticket aus. 30 Minuten gehen verloren, bevor jemand „Cyberangriff“ denkt.
Geübtes Erstmelde-Schema: Die Bereitschaft bewertet anhand klarer Indikatoren in unter 10 Minuten und ruft die Eskalationsstufe „möglicher Cybervorfall“ aus.
Eskalation an Geschäftsführung
IT versucht GF telefonisch zu erreichen - Wochenendnummer veraltet. WhatsApp-Nachrichten an mehrere Geschäftsführer parallel führen zu widersprüchlichen Anweisungen.
Definierter Eskalations-Call-Tree wird aktiviert. Innerhalb von 15 Minuten ist die Krisenstabsleitung erreichbar und führt eine strukturierte 5-Minuten-Lagebeurteilung durch.
Containment-Entscheidung
Diskussion über Stunden: „Server abschalten oder nicht?“ Niemand will die Verantwortung übernehmen. In dieser Zeit verschlüsselt die Ransomware weitere Systeme.
Vorab definierte Containment-Matrix: Klare Kriterien, wer welche Systeme isolieren darf. Entscheidung in unter 20 Minuten - die Ausbreitung wird gestoppt.
Kommunikation an Mitarbeitende & Kunden
Unstrukturierte Nachrichten in Slack führen zu Spekulationen. Erste Mitarbeiter informieren externe Kunden eigenmächtig. Die Geschichte ist bei LinkedIn, bevor die GF reagiert.
Vorbereitete Krisen-Kommunikationsbausteine werden adaptiert und freigegeben. Eine zentrale Sprachregelung für Mitarbeitende, Kunden und Presse - innerhalb von 60 Minuten.
Lagebeurteilung & weitere Schritte
Der Krisenstab - falls überhaupt formell konstituiert - improvisiert. Forensik-Dienstleister werden erst gegoogelt, Versicherer noch nicht informiert. Die nächsten 24 Stunden sind Reaktionsmodus.
Dokumentierter Lagebericht liegt vor. Forensik, Cyber-Versicherung und Datenschutzbehörden sind im definierten Workflow informiert. Der Krisenstab arbeitet planbar in Schichten.
Aus „Wir hoffen, es geht gut“ wird „Wir wissen, was zu tun ist“
Geübte Krisenstäbe handeln in Minuten statt Stunden - und treffen Entscheidungen, die im Nachhinein einer Aufsichtsrats- oder Audit-Prüfung standhalten.
Ein Krisenstab, der
am Freitagabend trägt
10–20 Min.
Erstreaktion bis Eskalation
Definierte Erstmeldung und Eskalationsstufen ersetzen das Suchen und Diskutieren in der ersten kritischen Stunde.
Klar geregelt
Containment-Verantwortung
Wer darf was abschalten? Eine vorab abgestimmte Matrix beendet die teuerste aller Diskussionen während eines Vorfalls.
Vorbereitet
Krisen-Kommunikation
Sprachregelungen für Mitarbeitende, Kunden, Behörden und Presse liegen schon vor - nicht erst nach 6 Stunden Improvisation.
Cross-funktional
GF, IT, Recht, PR im Zusammenspiel
Cybervorfälle sind kein IT-Problem. Wir trainieren genau die Schnittstellen, an denen ungeübte Krisen scheitern.
GF-Haftung
Sorgfaltspflicht erfüllt
Mit dokumentierten Krisenübungen weisen Sie als Geschäftsführung die geforderten Maßnahmen gegenüber Aufsichtsrat und Versicherer nach.
1 Tag
Sofort startbar
Die erste moderierte Tabletop-Übung ist innerhalb weniger Wochen planbar - und liefert sofort einen priorisierten Maßnahmenkatalog.
Vertrauen Sie auf bewährte Expertise
Was Sie wissen sollten
Angreifer wählen bewusst Zeitfenster mit dünner Besetzung: Freitagabend, Wochenenden, Brückentage. Der BSI-Lagebericht und Branchen-Studien zeigen konsistent, dass über 60 % der Ransomware-Angriffe gezielt außerhalb der Kerngeschäftszeiten beginnen.
Ein moderierter halber bis ganzer Tag, an dem Geschäftsführung, IT, Kommunikation und Recht ein realistisches Cyberszenario am Tisch durchspielen - ohne reale Systeme zu belasten. Das Ergebnis ist ein priorisierter Maßnahmenkatalog für Ihren Notfallplan.
Nein. Ein Plan, der nie unter Stress getestet wurde, ist kein Plan, sondern eine Annahme. NIS2 (§ 30) und ISO 27001 fordern explizit den Nachweis der Wirksamkeit - und die ist nur durch dokumentierte Übungen belegbar.
Ja. Versicherer fragen aktiv nach durchgeführten Übungen. Mit Nachweis verbessern sich Konditionen messbar (geringere Selbstbehalte, höhere Deckungssummen) - ohne Nachweis kann die Police im Schadensfall sogar leistungsfrei werden.
Im Erstgespräch sichten wir Ihren bestehenden Notfallplan und definieren das passende Übungsformat. Eine erste moderierte Tabletop ist meist innerhalb von 4–6 Wochen umsetzbar.
Üben Sie den Ernstfall, bevor er eintritt
30 Minuten Erstgespräch genügen, um den passenden Übungstyp für Ihre Organisation zu definieren - Tabletop, Funktionsübung oder Vollsimulation.
Keine Kosten · Kein Risiko · Konkrete Empfehlungen