Notfallpläne
G DATA-Studie: Notfallpläne sind vorhanden, doch vielen Unternehmen fehlt die Übung für den Cyber-Ernstfall
Cyberresilienz entsteht nicht durch Checklisten
Ein Cyberangriff trifft Unternehmen selten mit Vorwarnung. Wenn Systeme verschlüsselt, Daten abgeflossen oder Geschäftsprozesse blockiert sind, entscheidet nicht mehr die Strategiepräsentation, sondern die operative Reaktionsfähigkeit. Genau hier zeigt eine neue Studie von G DATA: Die deutsche Wirtschaft ist besser vorbereitet als früher – doch zwischen Notfallplan und echter Cyberresilienz bleibt eine gefährliche Lücke.
Notfallpläne sind fast überall vorhanden
Die gute Nachricht zuerst: Notfallpläne haben sich in deutschen Unternehmen weitgehend etabliert. Laut der repräsentativen Studie „Cybersicherheit in Zahlen “ von G DATA CyberDefense, Statista und brand eins verfügen 97 Prozent der befragten Unternehmen über einen grundlegenden Fahrplan für den Fall eines erfolgreichen Cyberangriffs. Damit ist das Thema Cyber-Notfallmanagement endgültig aus der Nische der IT-Abteilungen herausgewachsen.
Der Vergleich mit dem Brandschutz liegt nahe: Für Feueralarm, Evakuierung und Sammelstellen gibt es in Unternehmen klare Abläufe. Jeder soll wissen, was im Ernstfall zu tun ist. Genau diese Klarheit braucht es auch bei Cybervorfällen – nur dass hier nicht Rauchmelder anschlagen, sondern plötzlich Systeme ausfallen, Dateien verschlüsselt sind oder Kundeninformationen im Darknet auftauchen.
Doch die Studie zeigt auch: Ein Plan allein reicht nicht aus.
Die organisatorische Lücke bleibt das Problem
Während nahezu alle Unternehmen einen Notfallplan besitzen, setzen nur 51 Prozent auf technische Maßnahmen zur Eindämmung eines Angriffs. Noch deutlicher wird die Lücke bei der praktischen Vorbereitung: Weniger als die Hälfte der befragten Unternehmen führen regelmäßige Schulungen oder Notfallübungen durch.
Das ist kritisch. Denn ein Incident-Response-Plan entfaltet seinen Wert erst dann, wenn die Beteiligten ihn kennen, geübt haben und im Stressfall abrufen können. Wer erst während eines Ransomware-Angriffs klärt, wer entscheiden darf, wer mit Behörden spricht oder wann Kunden informiert werden müssen, verliert wertvolle Zeit.
Auch bei der Analyse und externen Unterstützung besteht Nachholbedarf. Nur 34 Prozentder Unternehmen berücksichtigen forensische Analysen zur Ursachenforschung in ihrem Notfallplan. Externe Incident-Response-Teams werden sogar nur von 32 Prozent einbezogen. Gerade bei komplexen Angriffen kann diese fehlende Expertise den Unterschied machen – zwischen kontrollierter Eindämmung und langwieriger Krise.
Cyberresilienz entsteht nicht durch Checklisten
Andreas Lüning, Mitgründer und Vorstand von G DATA CyberDefense , bewertet die Entwicklung grundsätzlich positiv, warnt aber vor falscher Sicherheit: „Die Ergebnisse zeigen, dass Resilienz gegen Cyberangriffe in deutschen Unternehmen zunehmend zur Selbstverständlichkeit wird – ein wichtiger Schritt für die digitale Wettbewerbsfähigkeit. Aus jahrzehntelanger Erfahrung in der IT-Sicherheit wird jedoch deutlich: Ein Notfallplan entfaltet seine volle Wirkung erst, wenn er regelmäßig geübt, technisch unterstützt und durch die richtigen Partner ergänzt wird. Jetzt gilt es, aus guter Vorbereitung echte Handlungsfähigkeit zu machen.“
Damit bringt Lüning den Kern des Problems auf den Punkt. Viele Unternehmen haben formal verstanden, dass sie vorbereitet sein müssen. Doch echte Resilienz entsteht erst, wenn Notfallpläne mit Technik, Verantwortlichkeiten, Kommunikation und externer Expertise verzahnt werden.
Gerade bei Ransomware-Angriffen, Datenschutzvorfällen oder gezielter Industriespionage ist der Zeitfaktor entscheidend. Innerhalb weniger Stunden müssen IT-Verantwortliche Systeme isolieren, Management und Fachabteilungen informieren, rechtliche Pflichten prüfen, Kundenkommunikation vorbereiten und gegebenenfalls Behörden einschalten. Fehlen klare Eskalationswege, entstehen Verzögerungen – und diese Verzögerungen können den Schaden massiv vergrößern.
Unternehmen müssen den Cyber-Ernstfall üben
Die Studie macht deutlich: Deutsche Unternehmen sind auf einem guten Weg, aber noch nicht am Ziel. Notfallpläne dürfen nicht als statische Dokumente in einem Ordner verschwinden. Sie müssen regelmäßig getestet, aktualisiert und mit realistischen Szenarien überprüft werden.
Dazu gehören technische Eindämmungsmaßnahmen ebenso wie Krisenübungen mit Geschäftsführung, IT, Datenschutz, Rechtsabteilung, Kommunikation und externen Dienstleistern. Entscheidend ist, dass ein Cybervorfall nicht nur als IT-Problem verstanden wird. Er betrifft Betriebsfähigkeit, Reputation, Kundenvertrauen und im Zweifel auch regulatorische Pflichten.
Vorbereitete Kommunikationsprozesse spielen dabei eine zentrale Rolle. Wer im Ernstfall erst Formulierungen, Zuständigkeiten oder Freigaben klären muss, verliert die Kontrolle über die Erzählung. Kunden, Partner, Behörden und Medien erwarten schnelle, belastbare und transparente Informationen.
„Cybersicherheit in Zahlen“ liefert breiten Blick auf die Lage
Die Studie „Cybersicherheit in Zahlen“ erscheint bereits zum vierten Mal und bündelt umfangreiche Daten zur Sicherheitslage in Deutschland. Laut G DATA wurden dafür mehr als 300 Statistiken zusammengeführt. Zudem befragte Statista mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer in Deutschland im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext.
Die Ergebnisse zeigen eine positive Entwicklung: Cyberresilienz ist in der deutschen Wirtschaft angekommen. Gleichzeitig wird deutlich, dass viele Unternehmen noch zu stark auf formale Vorbereitung setzen. Der nächste Schritt muss deshalb lauten: vom Notfallplan zur belastbaren Reaktionsfähigkeit.
Denn im Cyber-Ernstfall zählt nicht, ob ein Dokument existiert. Entscheidend ist, ob alle Beteiligten wissen, was zu tun ist – und ob Technik, Prozesse und Partner schnell genug zusammenspielen.