Zum Inhalt springen
So reagieren Unternehmen im Ernstfall

Nichts geht mehr: Organisatorische Vorbereitung auf den Ausnahmezustand

Ein Ransomware-Angriff kann Unternehmen schlagartig lahmlegen. Um handlungsfähig zu bleiben, müssen Organisationen im Krisenfall schnell und koordiniert reagieren. Dieser Beitrag skizziert die zentralen Akteure und Handlungsfelder im Krisenstab und zeigt, wie sich Kommunikation, Organisation und Führung vorbereiten lassen – auch wenn Systeme und Daten vorübergehend nicht verfügbar sind.

Autorin: Janka Kreißl / Redaktion: Diana Künstler • 9.12.2025 • ca. 7:50 Min

Krisenmanagement
© FON's Fasai – shutterstock.com

Es ist Freitagabend gegen 19 Uhr, als bei IT-Leiter Rainer W. das Diensthandy klingelt: Sein Vertriebskollege, der noch schnell ein Angebot verschicken wollte, beschwert sich, dass er auf das entsprechende Laufwerk nicht zugreifen kann. Außerdem sei eine seltsame Nachricht auf seinem Bildschirm aufgetaucht – irgendwas „Encrypted files“ und „Pay Bitcoin to recover access“. Ob Herr W. ihm bitte schnell helfen könne? Dem IT-Verantwortlichen schwant nichts Gutes: Sollte das mittelständische Unternehmen jetzt genau das Szenario ereilt haben, vor dem ihm immer am meisten graute? Er macht sich auf den Weg in die Firma, und nach ersten Kontrollen sieht er seine schlimmsten Befürchtungen bestätigt: Der Hersteller von Fahrzeugkomponenten wurde gehackt – alle Systeme sind verschlüsselt.

Herr W. erinnert sich daran, dass er mal eine Notfall-Checkliste hatte, mit den wichtigsten Rufnummer der internen Kontakte und einigen externen Telefonnummern. Der entsprechende Dateipfad ist allerdings nicht erreichbar, die ausgedruckte Variante nirgendwo auffindbar. Er ruft seinen Geschäftsführer auf dessen privater Nummer an, dieser beruft den Krisenstab ein und kontaktierte weitere Mitglieder. Kurz darauf startet die erste Videokonferenz über eine improvisierte Signal-Gruppe.

Runzeln Sie gerade die Stirn ob des hemdsärmeligen Vorgehens der fiktiven Firma? Oder könnten Sie sich vorstellen, dass ein Cyber-Angriff auf Ihr Unternehmen ähnliche Betriebsamkeit auslösen würde? Wie auch immer die Antwort lautet – eines ist sicher: Wird ein Unternehmen von einem Ransomware-Angriff getroffen, müssen nicht nur die IT-Verantwortlichen in den Krisenmodus schalten. Vielmehr kommen auf alle Abteilungen drängende Fragen zu. Dateien, E-Mails und Telefonanlage sind nicht verfügbar – der Geschäftsbetrieb liegt still: Was also wird den Mitarbeitenden gesagt, die an ihrem PC arbeiten wollen? Was sagt der Vertrieb den Kunden und Partnern – dass vorerst gar nichts mehr geht, und auch noch nicht klar ist, wie lange das so sein wird? Welche Entscheidungsvorlagen braucht der Vorstand nun? Kurzum: Wie geht es weiter, wenn nichts mehr geht?

Es müssen viele wichtige Entscheidungen getroffen werden müssen – dabei fehlen allerdings einige wertvolle Zutaten: Zeit, Informationen, Sicherheit und gewohnte Arbeitsmittel. Parallel dazu müssen Menschen koordiniert werden. Das heißt: Kommunizieren in einer Ausnahmesituation, die für die meisten Betroffenen Neuland ist. Selten oder noch nie geübte Prozesse müssen jetzt funktionieren, herausfordernde Aufgaben bewältigt werden. Das gilt übrigens auch dann, wenn es sich um einen voraussichtlich nur kurzen Ausfall handelt. Es folgt daher ein kurzer Blick auf die wichtigsten Beteiligten in solch einer Lage.

Lagezentrum Krisenstab

Wenn die Dinge nicht so laufen, wie sie sollten, brauchen Organisationen einen Plan, auf den sie zurückgreifen können. Und dieser Plan muss unternehmensweit funktionieren. Abteilungen müssen also gemeinsam entscheiden, agieren und kommunizieren. Das tun sie im Krisenstab, der für Informationsbeschaffung, Erfassung und Bewertung der aktuellen Lage, Entwicklung von Handlungsoptionen und Bewertung von Erfolgsaussichten zuständig ist.

In dieser Task Force werden Maßnahmen abgestimmt und operative sowie kommunikative Entscheidungen getroffen. Und mit den Mitgliedern dieses Krisenstabs wollen sehr viele Menschen oftmals sehr dringend reden: in der Lagebesprechung des Krisenstabs, in Abteilungsmeetings, in dringenden Telefonaten. Schlussendlich haben zwar alle ein gemeinsames Ziel – schnellstmöglich wieder handlungsfähig zu werden. Doch die Sichtweisen der Verantwortlichen unterscheiden sich naturgemäß voneinander.

Human Resources

Eine der ersten Fragen, die an Verantwortliche herangetragen wird, ist die nach der Arbeitsfähigkeit der Mitarbeitenden: Wenn die üblichen Aufgaben nicht erledigt werden können – müssen die Teams dann überhaupt zur Arbeit erscheinen? Wie erledigen sie ihr Tagesgeschäft – oder wie können sie sich gegebenenfalls in anderen Bereichen nützlich machen? Wie werden Arbeitszeiten, Urlaubstage, Krankheitsausfall und – ganz wichtig – die Überstunden zur Krisenbewältigung in der IT erfasst?

Hierfür sollte relativ zügig eine Richtung vorgegeben werden – je mehr Infos schnell und proaktiv herausgegeben werden, umso weniger Rückfragen werden an die Verantwortlichen herangetragen. Übrigens ist eine der häufigsten Fragen in solchen Fällen die nach der Auszahlung der Gehälter: Hier muss schnell eine Lösung gefunden werden.

Datenschutzbeauftragte, Juristen

Auch interne oder externe juristische Verantwortliche sollten an Bord sein – und das ziemlich zügig, da die Melde-Uhr unerbittlich tickt. Jedes Unternehmen muss wissen, ob es KRITIS-Betreiber ist und entsprechend gesetzliche Regelungen zu beachten sind und wer bei einem potenziellen Abfluss personenbezogener Daten informiert werden muss. Auch die Kontaktdaten von Landeskriminalamt bzw. der Zentralen Ansprechstelle Cybercrime des jeweiligen Bundeslandes sollten in einem Papierordner abgeheftet sein, um möglichst schnell Anzeige erstatten zu können.

Externe Cybersecurity-Spezialisten

Sofern im Bereich Wiederaufbau und IT- Forensik mit externen Spezialisten zusammengearbeitet wird, müssen diese koordiniert werden. Neben der Technik sind organisatorische Fragen zu klären: Wer ist der Ansprechpartner aus dem Team, wie oft kommen die Gruppen in welcher Form zusammen (bei anfänglicher oder dauerhafter Remote-Unterstützung technische Einschränkungen bedenken!), wer gibt Erkenntnisse und Entwicklungen an den Krisenstab weiter? Hierfür gilt es, schnell klare Regelungen zu finden und Prozesse zu etablieren, die – wenn auch in angepasster Form – eine ganze Zeit lang funktionieren müssen.

Und dann wartet schon die nächste Herausforderung: Wenn die IT-Verantwortlichen im Krisenstab über ihren Arbeitsbereich berichten, wird das nicht jeder verstehen – weil das Verständnis für Prozesse und Zuständigkeiten, für technische Aspekte oder auch die Tragweite der Situation fehlt. Hier braucht es also nicht nur klare Ansagen, sondern gegebenenfalls auch eine „Übersetzung“ dieser Fakten von „IT-Deutsch“ in „Anwender-Deutsch“. Dazu hat es sich als hilfreich erwiesen, wenn die benannte Runde auch schon vor Krisenfällen öfters mal beisammengesessen und sich ausgetauscht hat: Wer sich in Friedenszeiten kennen- und verstehen lernt, kann den Ausnahmezustand besser bewältigen.

Geschäftsführung/Prokuristen

Die Erfahrung zeigt, dass in solchen Krisen jede Abteilung ihre Belange (ergo: ihre Daten) als die wichtigsten erachtet. Diese Erwartungen müssen moderiert werden – und das gelingt nur, wenn belastbare Entscheidungen getroffen werden, die sich an der aktuellen Realität orientieren. Wer bereits in ruhigem Fahrwasser gemeinsam mit den wichtigsten Verantwortlichen definiert hat, welche Daten die „Kronjuwelen“ des Unternehmens sind, spart in der Krise Zeit für nervenaufreibende Entscheidungen. Und er tut sich leichter damit, ggf. benötigte Budgets und Ressourcen (für Hardware, Lizenzen, externe Dienstleister, zusätzliche Mitarbeiter etc.) schneller einzuholen. Fragen nach funktionierenden Back-ups, dem Wiederanlauf der Systeme oder zumindest der wichtigsten Daten stellen sich übrigens auch mit dem Hintergrund, ob gegebenenfalls auf die Kontaktaufnahme der Erpresser eingegangen werden muss – auch das ist eine Entscheidung, die es zu bedenken gilt.

Kundenmanagement & Kommunikationsverantwortliche

Die wenigsten Unternehmen operieren im Tagesgeschäft im luftleeren Raum – von den Produkten oder Dienstleistungen ihrer Organisation hängen Kunden, Partner, Zulieferer und gegebenenfalls viele weitere Anspruchsgruppen ab. Sie alle sollten wissen, wenn es längerfristige Technikprobleme oder -ausfälle gibt. Sofern es eine explizite Kommunikations- oder Marketingabteilung gibt, muss diese belastbare Infos bekommen, damit sie ihren Job gut erledigen kann. In anderen Fällen wird die Kommunikation direkt über die Geschäftsführung oder das Kundenmanagement laufen. Die Herausforderung bleibt die gleiche: Es muss eine Perspektive geben darüber, wie es weitergeht.

Es ist völlig nachvollziehbar, dass an Tag 1 noch keine belastbaren Prognosen getroffen werden können, was wann wieder läuft. Und dennoch: Sobald Verantwortliche einen groben Plan haben, mit welchen Ständen zu welchen Zeitpunkten zu rechnen ist – sollte dies mitgeteilt werden. Alle, mit denen Unternehmensverantwortliche reden müssen, und die wiederum mit anderen Personengruppen reden müssen, benötigen dringend eine Perspektive für die kommenden Stunden, Tage, Wochen oder schlimmstenfalls auch Monate. Das angegriffene Unternehmen muss die Hoheit über Zeitpläne haben, denn damit steuert es, wie es in dieser Krise wahrgenommen wird, und ob man ihm die Bewältigung dieser Notlage dauerhaft zutraut oder nicht.

Pessimistische Prozesskommunikation

Im Verlauf der Krise müssen Zeitpläne immer wieder anhand der Realität nachjustiert werden: Weil die forensische Analyse länger dauert als geplant, weil der Wiederaufbau der Systeme komplexer ist als erhofft, weil Teammitglieder durch Überlastung ausfallen und alle auch irgendwann einmal essen und schlafen müssen. Daher empfiehlt es sich, in kleinen Schritten zu planen – also klare Infos dazu, welcher Teilschritt als nächstes ansteht und mit welchem Ergebnis wann zu rechnen ist. Kommunikationsverantwortliche sollten ihren Empfängern sagen, wann sie das nächste Mal von ihrem Unternehmen hören beziehungsweise lesen (so bald und regelmäßig wie möglich). Auch Nichtwissen und Unsicherheiten müssen kommuniziert werden: Ein ehrliches „Das untersuchen wir gerade noch intern und geben Ihnen dann Bescheid“ ist besser als eine vollmundige, ungesicherte Tatsachenbehauptungen.

Und: Es sollte lieber zu pessimistisch als zu optimistisch geplant werden. Man glaubt, die ersten Systeme in einer Woche wieder an den Start zu bekommen? Dann sollten anderthalb Wochen kommuniziert werden – irgendetwas wird ganz sicher schiefgehen. Warten alle auf eine Lösung innerhalb einer Woche, wird unter Umständen die nächste Enttäuschung generiert.

Transparenz über Transaktionen?

Bleibt die Gretchenfrage nach der Transparenz – besonders relevant für eine Anspruchsgruppe, die bisher noch völlig außen vor blieb: Medien. Dabei muss man taktisch klug vorgehen. Zu viele Details zu Sicherheitsaspekten oder Geschäftsgeheimnissen sind kontraproduktiv, zu wenig Infos wiederum können als Verschleierung von öffentlichkeitsrelevanten Fakten interpretiert werden. Hier gilt es, gemeinsam mit den entsprechenden Experten eine grundlegende Kommunikationsstrategie zu definieren und diese dann konsequent umzusetzen – auch wenn sich die Lage ändert.

Krisenprävention ist Management-Aufgabe

Auf materieller und unternehmensstrategischer Ebene können Organisationen mit den genannten Maßnahmen ihren Handlungsspielraum in der Krise erweitern und dazu beitragen, den Schaden zu minimieren. Eine Vorbereitung auf und die Bewältigung von Cyber Incidents ist dann am erfolgreichsten, wenn sie über Einzelbereiche wie IT, Business Continuity, Legal und Kommunikationsabteilungen hinaus gedacht und umgesetzt wird.

Kurz: Krisenprävention, -management und -kommunikation sind Managementaufgaben. Je eher sich alle Verantwortlichen darüber bewusstwerden, umso besser läuft es im Ernstfall. Durch gut vorbereitete Krisenkommunikation können Unternehmen das Vertrauen ihrer Partner, Kunden und Mitarbeiter wahren – selbst wenn das System zusammenbricht.

Checkliste Krisenmanagement & -kommunikation

  • Vergewissern Sie sich, dass abteilungsübergreifende Krisenstrukturen existieren und wichtige Prozesse immer wieder geübt werden. Sorgen Sie dafür, dass relevante Ansprechpartner ihre Rollen in Krisenplänen kennen und wissen, wo sie Anweisungen für Notfälle finden (bestenfalls nicht auf einem dann verschlüsselten System).
  • Definieren Sie die Qualität, Relevanz und Priorität Ihrer Daten (für Aufrechterhaltung des Geschäftsbetriebs, in Hinblick auf DSGVO etc.). Tun Sie dies mit nachvollziehbaren Begründungen, um im Ernstfall schnelle, belastbare Entscheidungen treffen zu können.
  • Bedenken Sie beim Thema Redundanzen nicht nur Ihre Back-ups, sondern auch Kommunikationsmittel und -kanäle (ausgedruckte Listen mit privaten Mail-Adressen und Handynummern der wichtigsten Kontakte, webbasierte Tools zum kollaborativen Arbeiten etc.).
  • Klären Sie ab, ob die Notfallpläne auch das Thema Krisenkommunikation berücksichtigen und unterstützen Sie durch Ihren fachlichen Input Ihre Kollegen dabei, schnell (aktiv und frühzeitig), wahrhaftig (sachlich, transparent und wahr), verständlich (lesbar und unkompliziert) sowie konsistent (einheitlich und kontinuierlich) zu kommunizieren. Die Verantwortlichen sollten dafür entsprechende Vorlagen für Mailings (intern/extern), Holding Statements, Sprechzettel, FAQ, Presseinfos etc. vorbereiten.
  • Dokumentieren Sie alles. Vor der Krise die Maßnahmen, die Sie zur Vermeidung ergriffen hatten. Während der Krise die Maßnahmen, die Sie zur Bewältigung einsetzen. Nach der Krise, was Sie beim nächsten Mal besser machen sollten.
Janka Kreißl, Dunkelblau
Die Autorin Janka Kreißl ist Partnerin bei Dunkelblau, einer auf Krisenmanagement und -kommunikation spezialisierten Beratung.
© Dunkelblau
Das könnte Sie auch interessieren
Racks im Rechenzentrum
Colocation-Abschied fällt schwer Raus aus dem Rack? Anbieter müssen nachlegen
Haushaltsausschuss Bundestag 2025
Neue Pflichten für kritische Infrastruktur Bundestag verabschiedet NIS2-Gesetz
Cyberversicherung
Eset analysiert Risiken und Versicherungsanforderungen Cyberversicherung allein bietet keinen Schutz vor Angriffen
Investition
Effiziente IT-Sicherheit unter Budgetdruck Sicherheit: Wo sich Investitionen wirklich lohnen – und wo nicht
advertorial-rechenzentrum-bild-enviatel-03377-1600x960px
Advertorial Reformen und Fachkräftemangel treiben Wandel bei Rechenzentren
DORA Bausteine
Aufsichtsbehörden verschärfen Kontrolle operativer Risiken DORA-Prüfungen: Ein Weckruf für die Finanzbranche
Modern Workplace
Flexibles Arbeiten ohne Sicherheitsrisiken IT-Souveränität für den Modern Workplace
Portus Data Centers hat che Erweiterung seines Rechenzentrums in Kirchheim bei München gestartet – Portus Data Centers München 2 (MUC2).
Bitkom fordert Bau von Rechenzentren Datacenter als Basis für digitale Souveränität
Mehr passende Artikel
Krisenmanagement
So reagieren Unternehmen im Ernstfall Nichts geht mehr: Organisatorische Vorbereitung auf den Ausnahmezustand
Prompten
Defensive KI-Nutzung gegen Shadow AI und Datenverlust Eye Security schützt Daten mit KI-Prompt-Technik
Friedo de Vries, Polizeipräsident der Polizeidirektion Osnabrück
Grenzüberschreitende Energielösung für Krisensituationen „XXL-Powerbank“ für Energieversorgung im Katastrophenfall
Sumit Dhawan, Proofpoint
Ausbau der M365-Security für MSPs in Europa Proofpoint übernimmt Hornetsecurity für 1,8 Milliarden US-Dollar
G Data Endpoint Protection Business Test, Dezember 2025
Hybride Abwehr für Unternehmen ohne Cloud-Zwang G Data Endpoint Protection Business im Test
Weiter zur Startseite