Es gibt Sätze, die man in einem Konferenzraum nur einmal hören muss, um sie nicht mehr zu vergessen. Einer davon lautet: „Wir haben doch einen Incident-Response-Plan.“ Ein anderer: „Dann schalten wir das einfach ab.“ Und mein persönlicher Favorit, meist etwa 25 Minuten nach Beginn einer Übung: „Wer entscheidet das eigentlich?“
Ich habe in den vergangenen Jahren viele Cyberkrisensimulationen vorbereitet, moderiert, beobachtet und nachbesprochen. Fast jede hatte einen Moment, in dem aus theoretischer Sicherheit plötzlich operative Unsicherheit wurde. Nicht, weil die Beteiligten unprofessionell gewesen wären. Sondern weil eine Cyberkrise etwas sehr Unangenehmes offenlegt: Zwischen Dokumentation und Handlungsfähigkeit liegt oft ein großer Unterschied.
Genau deshalb halte ich Cyberkrisensimulationen nicht für ein optionales Trainingsformat, sondern für einen der ehrlichsten Resilienztests, die ein Unternehmen durchführen kann — fachlich, organisatorisch und regulatorisch. Die NIS-2-Richtlinie (EU) 2022/2555 hat diesen Blick noch einmal geschärft: Sie rückt ausdrücklich Management-Verantwortung, Incident Handling, Business Continuity, Disaster Recovery und Krisenmanagement in den Fokus — und verlangt, dass Leitungsorgane diese Maßnahmen nicht nur abnicken, sondern verstehen.
Die wichtigste Beobachtung aus all diesen Formaten ist simpel: In der Krise scheitern Organisationen selten zuerst an fehlenden Folien. Sie scheitern an ungeübten Entscheidungen.
Der Irrtum, den fast alle am Anfang machen
Wer noch nie an einer guten Cyberkrisensimulation teilgenommen hat, stellt sich darunter oft eine glorifizierte Tabletop-Runde vor: Ein Moderator liest ein Szenario vor, jemand aus der IT sagt etwas zur Forensik, die Kommunikation bringt einen Pressesatz ein, am Ende schreibt man drei Maßnahmen auf ein Whiteboard und geht mit dem Gefühl nach Hause, „das mal durchgesprochen“ zu haben.
Die wirksamen Übungen funktionieren anders. Sie erzeugen Zeitdruck. Sie erzeugen Ambiguität. Sie zwingen Entscheidungen, bevor alle Fakten vorliegen. Und sie zeigen sehr schnell, dass ein Cybervorfall nicht zuerst ein Technikproblem ist, sondern ein Führungsproblem. Das ist auch der Grund, warum ENISA Krisenübungen seit Jahren als Kernbaustein der Vorbereitung beschreibt: Solche Übungen sollen Lücken in Verfahren sichtbar machen, die Leistung von Teams unter Druck prüfen, gemeinsame Begriffe und Abläufe stärken und den Umgang mit komplexen Business-Continuity- und Krisensituationen trainieren.
Der Unterschied zwischen einem diskussionsbasierten Tabletop und einer immersiven Krisensimulation ist dabei kein semantischer. Das Tabletop prüft die Denke. Die Simulation prüft die Führungsfähigkeit unter Last.
Warum der Plan und die Krise auseinanderlaufen
Der Kern des Problems lässt sich in einer einzigen Grafik fassen. Pläne nehmen an, dass die Faktenlage der Lage vorauseilt — dass man erst weiß, was passiert ist, und dann entscheidet. Eine echte Cyberkrise dreht diese Reihenfolge um: Der Entscheidungsdruck steigt sofort, die belastbare Faktenlage hinkt stunden-, manchmal tagelang hinterher. Dazwischen öffnet sich genau der Korridor, in dem Führung stattfindet — oder eben nicht.
Entscheidungsdruck vs. Faktenlage im Krisenverlauf
Schematische Darstellung — die Fläche dazwischen ist die „Führungszone“: entscheiden unter Unsicherheit.
Wer diese Grafik einmal verinnerlicht hat, versteht, warum „Wir warten, bis wir mehr wissen“ in einer Cyberkrise fast immer die teuerste Entscheidung ist — obwohl sie sich wie die vorsichtigste anfühlt.
Wie sich eine gute Simulation tatsächlich anfühlt
Eine wirksame Simulation klingt auf dem Papier nüchtern: Vorbereitung, Szenario, Eskalation, Entscheidungen, Debrief. In der Praxis ist sie alles andere als nüchtern. Sie läuft in vier Phasen ab, und jede legt etwas anderes offen.
1. Vorbereitung beginnt nicht mit Technik, sondern mit Relevanz
Die besten Simulationen beginnen Wochen vorher — nicht mit Panik, sondern mit Präzision. Wer ist beteiligt? Welche kritischen Geschäftsprozesse stehen im Fokus? Welche externen Dienstleister und Lieferkettenabhängigkeiten spielen eine Rolle? Welche Schwachstellen sind intern bekannt, wurden aber nie gegen einen echten Krisenverlauf gedacht?
Eine gute Simulation darf nicht generisch sein. Sie muss auf Branche, Unternehmensgröße, kritische Prozesse und Bedrohungsprofil zugeschnitten sein — sonst trainiert man im Zweifel das Falsche. Wenn ein Szenario zur tatsächlichen Lieferkette, zur realen Kommunikationsstruktur und zu den echten Abhängigkeiten passt, verändert sich der Ton im Raum. Dann spricht niemand mehr über „ein Beispiel“. Dann spricht man über das eigene ERP, den echten Managed-Service-Provider, das reale Werk und die Frage, welche Kunden man zuerst anrufen müsste.
„Ab dem Moment, in dem das Szenario echt wird, hört die Simulation auf, ein Training zu sein. Sie wird zum Spiegel.“
2. Die Krise beginnt klein — und genau das macht sie glaubwürdig
Fast keine echte Cyberkrise startet mit einem Knall. Sie startet mit einem schiefen Gefühl: ein merkwürdiger Alarm, ein Hinweis aus der IT, eine Anomalie, die noch keine Gewissheit ist. Eine glaubwürdige Übung bildet genau diesen Verlauf ab — nicht wie ein lineares Lehrbuch, sondern wie ein zunehmend enger werdender Korridor von Entscheidungen.
Erkennung. Eine ungewöhnliche Datenübertragung aus einem ERP-System. Noch unklar, ob Fehlalarm oder Vorfall.
Eskalation. Erste Presseanfrage, mögliche Isolation eines Dienstleister-Zugangs, Diskussion über Abschalten oder Weiterlaufen.
Bestätigung. Verschlüsselung bestätigt, Hinweise auf Datenexfiltration, Kundenanfragen häufen sich, Kommunikationsdruck steigt.
Die großen Entscheidungen. Kommunizieren oder warten? Systeme herunterfahren oder weiterlaufen lassen? Behördenmeldung vorbereiten? Recovery priorisieren?
Was sich in solchen Phasen immer wieder zeigt, ist dasselbe Muster: Am Anfang wollen alle noch „mehr Informationen“. Zehn Minuten später wird klar, dass die Krise nicht wartet, bis das Lagebild perfekt ist. Und genau dort beginnt das Lernen — an Fragen, die in einer Präsentation banal wirken und in der Simulation plötzlich schmerzhaft konkret werden:
Wer benennt den Incident Lead — und wird diese Rolle praktisch akzeptiert?
Wer darf externe Kommunikation freigeben?
Wer entscheidet, ob ein Standort isoliert wird?
Wer spricht mit dem Betriebsrat, wer mit den Behörden?
Wer erklärt dem Vorstand den Unterschied zwischen „Systemausfall“, „Datenabfluss“ und „regulatorisch meldepflichtigem Vorfall“?
3. Das eigentliche Problem ist fast nie die Technik allein
In Nachbesprechungen ist die größte Lücke selten rein technischer Natur. Häufiger sind es unklare Eskalationsschwellen, widersprüchliche Kommunikationslinien, fehlende Entscheidungsrechte, die zu späte Einbindung von Recht oder Datenschutz, übersehene Drittparteien, unrealistische Erwartungen an Restore-Zeiten — oder ein Vorstand, der zum ersten Mal live erlebt, wie schnell betriebliche, rechtliche und kommunikative Fragen kollidieren.
Deshalb ist es wichtig, eine Führungs-Simulation bewusst für Entscheider und nicht als SOC-Training aufzusetzen. Es geht um Krisenkommunikation, Eskalation und Vorstandsentscheidungen — nicht um die technische Tiefenarbeit eines operativen Incident-Response-Teams. Das ist keine Schwäche, sondern der Punkt: In realen Vorfällen ist das exekutive Entscheidungsversagen oft teurer als eine einzelne technische Fehlentscheidung.
Eine Cyberkrise ist nie ein isoliertes Security-Ereignis. Sie ist gleichzeitig ein Betriebsproblem, ein Führungsproblem, ein Kommunikationsproblem, ein Rechts- und Compliance-Problem — und ein Resilienztest für die gesamte Organisation. Wer das nicht übt, merkt erst im Ernstfall, wie viele Schnittstellen nur auf dem Organigramm sauber aussehen.
4. Der Mehrwert entsteht im Debrief, nicht in der Übung
Der größte Mehrwert einer Simulation entsteht selten in der eigentlichen Übung. Er entsteht danach. In schwachen Formaten endet die Veranstaltung mit einem allgemeinen „war interessant“. In guten Formaten endet sie mit produktiver Unruhe — und mit einem strukturierten Debrief, das aus Erleben Prioritäten macht: ein Entscheidungsprotokoll, eine Auswertung in mehreren Dimensionen, eine Gap-Analyse, eine Executive Summary und ein konkreter Maßnahmenplan mit Ownern und Fristen.
Die wiederkehrenden Aha-Momente in solchen Debriefings ähneln sich erstaunlich:
Die Kommunikationslinie war nicht freigegeben — niemand wusste, wer den ersten Satz nach außen verantwortet.
Die Rechtsabteilung wurde zu spät eingebunden, um Meldefristen sauber zu steuern.
Die Rolle des Incident Leads war formal definiert, praktisch aber nicht akzeptiert.
Ein externer Dienstleister war Single Point of Failure, ohne dass es allen im Raum bewusst war.
Das Backup war vorhanden, der Wiederanlauf aber nie belastbar zu Ende gedacht.
Die Frage „Wann melden wir?“ war niemandem unangenehm — bis sie unter Zeitdruck beantwortet werden musste.
Solche Erkenntnisse sind Gold wert. Nicht, weil sie angenehm sind, sondern weil sie konkret sind. Genau so verbessert man Resilienz: nicht durch abstrakte Reifegrade, sondern durch identifizierte Engpässe mit klaren Eigentümern und Fristen.
Was die Übung sichtbar macht — und was nicht
Ein verbreitetes Missverständnis lautet, eine Simulation ersetze technische Schutzmaßnahmen. Sie tut das nicht. Sie ersetzt keine Architektur, keine Segmentierung, keine Backups, keinen Detection Stack und keine guten Verträge mit externen Partnern. Aber sie beantwortet eine Frage, die kein Dokument beantworten kann: Funktionieren diese Bausteine im Ernstfall als System?
Das Wort „Resilienz“ nutzt sich im Cyberbereich ab. In einer guten Übung bekommt es seine Schärfe zurück. Resilienz zeigt sich nicht daran, dass irgendwo ein Plan abgelegt ist. Sie zeigt sich daran, ob ein Unternehmen unter Druck sinnvoll priorisiert: ob der Krisenstab mit unvollständigem Lagebild arbeiten kann, ob Geschäftsführung und Kommunikation ein konsistentes Narrativ halten, ob die technische Lage verständlich in Geschäftsauswirkungen übersetzt wird und ob Meldewege, Eskalationsstufen und Vertretungen wirklich belastbar sind.
Den wahren wirtschaftlichen Wert sehe ich deshalb nicht in der einen Übungsstunde. Sondern in den Fehlern, die man billig im Simulationsraum macht — und nicht teuer im echten Vorfall. Aus demselben Grund setzt die EU mit Formaten wie Cyber Europe seit Jahren auf groß angelegte Krisenübungen.
Warum NIS-2 aus der Kür eine Pflicht macht
Früher ließen sich Krisensimulationen intern als „Best Practice“ oder „vernünftige Vorsorge“ verkaufen. Heute reicht das als Begründung nicht mehr aus. Die NIS-2-Richtlinie schafft einen gemeinsamen Rechtsrahmen für 18 Sektoren, weitet den Kreis der betroffenen Einrichtungen aus und formuliert deutlich stärkere Anforderungen an Risikomanagement, Meldung, Aufsicht und Governance. Entscheidend für die Praxis sind drei Punkte:
Die Risikomaßnahmen selbst (Artikel 21). Hier werden — auf Basis eines ausdrücklichen All-Hazards-Ansatzes — unter anderem Incident Handling, Business Continuity, Backup-Management, Disaster Recovery und Krisenmanagement als Mindestmaßnahmen genannt. Wer NIS-2 nur als Melde- oder Dokumentationspflicht versteht, denkt zu kurz: Die Richtlinie adressiert die Fähigkeit, unter Stress handlungsfähig zu bleiben.
Die Governance-Verantwortung (Artikel 20). Leitungsorgane müssen die Cyber-Risikomaßnahmen billigen und ihre Umsetzung überwachen — und sie sollen selbst Schulungen wahrnehmen, um Risiken bewerten zu können. Für mich ist das einer der wichtigsten Sätze der gesamten Regulierung, weil er ein Missverständnis beendet: Cyberresilienz ist nicht delegierbar wie eine rein technische Betriebsaufgabe.
Die technische Konkretisierung (ab 2024). Die Durchführungsverordnung (EU) 2024/2690 präzisiert die technischen und methodischen Anforderungen für bestimmte digitale Dienste — und betont dabei ausdrücklich die Schnittstellen zwischen Incident Handling und Business Continuity. Die Richtung ist klar, auch jenseits dieser Anbietergruppe.
Wenn man diese regulatorische Entwicklung mit den Übungen zusammendenkt, ergibt sich eine klare Schlussfolgerung: Eine Krisensimulation ist heute nicht nur Training. Sie ist ein Nachweis ernst gemeinter Führungs- und Resilienzarbeit — und sie erzeugt genau die Protokoll- und Beschluss-Spur, die NIS-2 von Leitungsorganen erwartet. Wer tiefer einsteigen will, wo Compliance auf dem Papier von gelebter Wirksamkeit abweicht, findet das in NIS-2 in der Praxis ausführlich beschrieben.
Eine sauber gemachte Übung steht dabei nicht allein. Sie ist die Stressprobe für all das, was im Krisenhandbuch steht — und für die Wiederanlauf-Annahmen, die im BCM nach BSI-Standard 200-4 definiert sind.
Woran man eine wirksame Simulation erkennt
Es gibt viele Übungen am Markt, und nicht alle treffen die Entscheiderebene. Wer ein Format auswählt oder intern aufsetzt, sollte auf fünf Merkmale achten. Sie trennen die wirksame Simulation vom teuren Workshop.
Maßgeschneidert statt generisch. Das Szenario passt zu Branche, Größe, kritischen Prozessen und Bedrohungsprofil — nicht von der Stange.
Eskalierend statt linear. Die Lage beginnt unscharf und wird enger, mit Injects, die Entscheidungen erzwingen, statt nur Informationen zu liefern.
Für Entscheider statt für das SOC. Geübt wird, wer im Ernstfall entscheiden muss — Vorstand, Geschäftsführung, Krisenstab, Kommunikation, Legal.
Unbequem statt freundlich. Ohne echte Zielkonflikte — Verfügbarkeit gegen Forensik, Transparenz gegen Unsicherheit, Tempo gegen Sorgfalt — trainiert die Übung keine Krise.
Belastbar nachbereitet statt nett beendet. Entscheidungsprotokoll, Gap-Analyse und ein Maßnahmenplan mit Ownern und Fristen — sonst verpufft das Erlebte.
Der entscheidende Punkt dahinter: Eine gute Simulation muss nicht maximal spektakulär sein. Sie muss maximal anschlussfähig sein — also Dinge offenlegen, die anschließend tatsächlich verbessert werden.
Häufige Fragen (Executive-FAQ)
Was unterscheidet eine Cyberkrisensimulation von einem Tabletop Exercise?
Ein Tabletop ist diskussionsbasiert und prüft vor allem Rollen, Prozesse und Eskalationslogik. Eine Cyberkrisensimulation ist immersiver: Sie arbeitet mit eskalierenden Lagebildern, Echtzeit-Injects, Kommunikationsdruck und externen Stakeholdern und prüft die Führungsfähigkeit unter Last. Beide Formate konkurrieren nicht — sie bilden eine Übungsleiter vom Tabletop zur Simulation.
Wer sollte an einer Führungs-Simulation teilnehmen?
Alle, die in einem echten Vorfall entscheiden müssen: Vorstand und Geschäftsführung, der Krisenstab sowie CISO- bzw. Security-Leads, ergänzt um Kommunikation, Legal und Datenschutz. Es ist bewusst kein technisches Labor für das SOC, sondern ein Führungs- und Entscheidungsformat.
Wie oft sollte ein Führungsteam eine Cyberkrise simulieren?
Für viele Unternehmen ist mindestens eine große Executive-Übung pro Jahr sinnvoll, ergänzt um kürzere bereichsspezifische Tabletops. Zusätzlich anlassbezogen üben sollte man bei stark veränderten Rahmenbedingungen — M&A, Cloud-Transformation, neue Regulatorik oder nach einem größeren Vorfall.
Ist eine Krisensimulation für NIS-2 verpflichtend?
NIS-2 schreibt keine konkrete Übungsfrequenz vor. Aber die Richtlinie verlangt wirksames Krisenmanagement, Business Continuity und eine aktive Governance-Verantwortung der Leitungsorgane (Artikel 20 und 21). Eine dokumentierte Simulation ist eines der überzeugendsten Mittel, um diese Wirksamkeit nachzuweisen — und die geforderte Beschluss-Spur zu erzeugen.
Ersetzt eine Simulation technische Schutzmaßnahmen?
Nein. Sie ersetzt weder Architektur, Segmentierung, Backups noch Detection. Sie prüft etwas anderes: ob diese Bausteine im Ernstfall als System zusammenwirken und ob die Organisation unter Druck handlungsfähig bleibt.
Fazit: Krisenfähigkeit ist kein Besitz, sondern eine geübte Fähigkeit
Wenn ich aus all den erlebten Simulationen eine einzige Lektion ziehen müsste, dann diese: Krisenfähigkeit ist keine Eigenschaft, die man besitzt. Sie ist eine Fähigkeit, die man unter Druck übt.
NIS-2 macht diesen Gedanken regulatorisch sichtbar. ENISA macht ihn auf europäischer Ebene operativ sichtbar. Und eine gute Krisensimulation macht ihn im Unternehmen schmerzhaft konkret — an dem Tag, an dem man die Fehler noch billig machen darf.
Wann haben Sie zuletzt nicht über eine Cyberkrise gesprochen — sondern sie wirklich durchgespielt?