Wenn der Ernstfall kommt, prallen Entscheidungslogiken aufeinander

Solange kein Vorfall läuft, sind sich im Unternehmen alle einig: Im Ernstfall ziehen wir an einem Strang. Diese Einigkeit hält genau so lange, bis der Ernstfall tatsächlich eintritt. Dann sitzen IT, Geschäftsführung, Kommunikation, Fachbereiche und Compliance am selben Tisch — und schauen aus völlig unterschiedlichen Blickwinkeln auf dieselbe Lage.

Fünf legitime Perspektiven, eine Lage

Im Verlauf eines Vorfalls treffen Logiken aufeinander, die jede für sich nachvollziehbar sind:

• Die IT will eindämmen und Systeme isolieren, bevor sich der Schaden ausbreitet.
• Die Geschäftsführung will handlungsfähig bleiben und den Betrieb so weit wie möglich aufrechterhalten.
• Die Kommunikation will keine Aussage treffen, die später korrigiert werden muss.
• Die Fachbereiche wollen weiterarbeiten — Aufträge, Liefertermine, Patientinnen, Kundinnen warten nicht.
• Compliance und Recht wollen sauber dokumentieren und Meldepflichten fristgerecht erfüllen.

Keine dieser Haltungen ist falsch. Aber sie sind nicht automatisch deckungsgleich, und sie führen unter Zeitdruck zu sehr unterschiedlichen ersten Reaktionen.

Krisen scheitern selten am Plan

In den Vorfällen, die wir in mittelständischen Unternehmen begleiten, gibt es fast immer einen Plan. Manchmal liegt er in einem Ordner, manchmal als PDF im SharePoint, manchmal als Kapitel im ISMS-Handbuch. Was in den ersten Stunden tatsächlich Reibung erzeugt, sind nicht die fehlenden Dokumente — sondern Prioritätenkonflikte:

• Wer entscheidet zuerst?
• Hat Betrieb sichern Vorrang vor Eindämmung?
• Wird zuerst kommuniziert oder zuerst informiert?
• Wann wird abgeschaltet, wann wird dokumentiert?

Diese Fragen sind im normalen Geschäftsalltag nicht kontrovers, weil sie sich nicht stellen. Im Vorfall stellen sie sich alle gleichzeitig, und es muss sofort beantwortet werden, wer sie verbindlich entscheidet.

Entscheidungslogik wird erst unter Druck sichtbar

Ein Incident-Response-Plan beschreibt Rollen, Eskalationswege und Entscheidungsbefugnisse. Ob diese Rollen tatsächlich tragen, zeigt sich erst, wenn sie unter Druck eingenommen werden. Erst dann wird sichtbar,

• ob die Rollenverteilung wirklich klar ist oder nur auf dem Papier steht,
• ob die Eskalation funktioniert, wenn die zuständige Person im Urlaub oder krank ist,
• ob jemand tatsächlich Führung übernimmt — und ob die anderen das akzeptieren,
• ob Silos im entscheidenden Moment aufgehen oder ob jeder Bereich das eigene Risiko zu minimieren versucht.

Genau diese Punkte stehen in keinem Plan, weil sie sich nicht aus Dokumenten ableiten lassen. Sie sind Verhalten — und Verhalten lässt sich nur in Situationen prüfen, die der echten Lage nahekommen.

Übungen als Krisenstab light

Tabletop-Übungen und realitätsnahe Szenarien sind aus unserer Sicht das wirksamste Instrument, um diese Fragen vor dem Ernstfall zu klären. Sie sind im besten Sinne ein Krisenstab light: noch keine echte Krise, aber nahe genug dran, um die Reibung sichtbar zu machen, die im Ernstfall sonst überrascht.

In einer guten Übung wird beobachtbar, wer mit am Tisch sitzt — und wer fehlt. Wer in welche Richtung denkt. Wo die gemeinsame Linie reißt. Der eigentliche Nutzen entsteht nicht in der Übungsdokumentation, sondern in der gemeinsamen Erkenntnis der Beteiligten, wie unterschiedlich sie auf dieselbe Lage schauen.

Was eine Übung leisten muss

Damit eine Übung diese Funktion erfüllt, braucht sie drei Eigenschaften:

• Realistisches Szenario. Ein generischer Ransomware-Fall reicht nicht. Das Szenario muss an die tatsächliche Geschäftstätigkeit, an reale Systeme und an plausible Auswirkungen geknüpft sein.
• Die richtigen Personen am Tisch. Wenn Geschäftsführung, Kommunikation oder Recht nicht teilnehmen, übt die IT mit sich selbst — und genau die Schnittstellen, an denen es im Ernstfall hakt, bleiben unberührt.
• Konsequente Auswertung. Beobachtete Reibungspunkte müssen in konkrete Anpassungen münden: an Rollen, an Eskalationswegen, an Schwellenwerten für Entscheidungen.

Eine strukturierte Tabletop-Übung bringt in einem halben Tag mehr Klarheit über die tatsächliche Reaktionsfähigkeit als drei Monate Plan-Überarbeitung.

Silos werden nicht durch Organigramme aufgebrochen

Im Tagesgeschäft arbeiten die Bereiche nebeneinander, und das ist effizient. Im Vorfall müssen sie miteinander entscheiden. Genau diese Umstellung — von paralleler Arbeit zu gemeinsamer Entscheidung — gelingt nicht spontan. Sie braucht eine vorab geübte Form, in der die Beteiligten wissen, wie der andere denkt und wo ihre eigene Logik an Grenzen stößt.

Übungen brechen Silos auf, weil sie aus nebeneinander arbeitenden Rollen eine gemeinsame Entscheidungssituation machen. Das ist es, was im Ernstfall trägt — nicht das Dokument, sondern die Erfahrung, dieselbe Lage einmal gemeinsam durchdacht zu haben.

Fazit

Cyber-Vorfälle im Mittelstand scheitern selten an fehlenden Plänen, sondern an unausgesprochenen Prioritätenkonflikten zwischen Funktionen, die alle berechtigte Interessen vertreten. Diese Konflikte lassen sich nicht im Vorhinein wegdokumentieren. Sie lassen sich aber in einer Übung sichtbar machen und in eine tragfähige Entscheidungslogik übersetzen. Wer das einmal durchgespielt hat, verliert im Ernstfall keine Stunden mehr an die Frage, wer eigentlich entscheidet.