Warum Mittelständler Incident-Response-Übungen aufschieben

Der Plan ist vorhanden. Die Rollen sind dokumentiert. Die Übung ist für nächsten Monat geplant. Und dann: operative Hektik, ein dringendes Projekt, ein Termin, der dazwischenkommt — und die Übung wird auf übernächsten Monat verschoben. Dann auf das nächste Quartal. Dann auf nach dem Audit.

Das ist kein Sonderfall. Es ist das Muster, das wir im Mittelstand regelmäßig beobachten.

Warum Übungen so oft verschoben werden

In größeren Unternehmen gibt es eine dedizierte Funktion für Business Continuity und Incident Response. Im Mittelstand gibt es meistens eine Person, die das Thema neben drei anderen Aufgaben betreut — wenn überhaupt. Wer kein festes Mandat hat und keine Personalkapazität für Vorbereitung und Moderation, schiebt auf. Das ist menschlich verständlich.

Drei Muster zeigen sich dabei besonders häufig: Erstens — fehlende Priorisierung: Das Thema hat keinen festen Platz im Jahreskalender und kein Budget, das verteidigt werden müsste. Zweitens — fehlende Struktur: Niemand weiß genau, wie eine Übung aussehen soll. Ein „Krisensimulationstag” klingt nach großem Aufwand, und genau deshalb kommt er nie. Drittens — fehlende Führung: Niemand zieht das Thema aktiv durch. Ohne jemanden, der verbindlich einlädt, dokumentiert und nachverfolgt, bleibt es beim guten Vorsatz.

Was ungeübt bedeutet

Der Incident-Response-Plan ist kein Selbstläufer. Er beschreibt, wer was tun soll — aber er trainiert niemanden darin, unter Druck tatsächlich danach zu handeln.

Im Ernstfall entscheidet nicht, wer den schönsten Plan hat. Entscheidend ist, wer weiß, was zu tun ist — ohne nachzulesen, ohne zu diskutieren, ohne zu zögern. Genau das ist das Ergebnis von Übungen: nicht Wissen, das im Dokument steht, sondern Verhalten, das unter Druck abrufbar ist.

Was im Ernstfall häufig fehlt, wenn nie geübt wurde, ist nicht Technik. Es ist Klarheit: Wer übernimmt die Führung? Wer kommuniziert nach außen? Wer entscheidet, wann eine Behörde informiert werden muss? Das NISG legt bei wesentlichen Vorfällen eine Erstmeldepflicht binnen 24 Stunden fest — eine Frist, die im Chaos eines echten Vorfalls ohne Training nicht einzuhalten ist.

Das eigentliche Problem ist kein Zeitmangel

In unserer Erfahrung ist der meistgenannte Grund fürs Aufschieben der Zeitmangel. Das ist aber fast immer eine Symptombeschreibung, keine Ursache.

Wer Zeitmangel als Ursache akzeptiert, hat das Thema nicht wirklich als Führungsaufgabe verankert. Dinge mit echtem Führungsmandat bekommen Zeit. Was kein Mandat hat, bekommt keinen Termin.

Der Unterschied zwischen Unternehmen, die regelmäßig üben, und solchen, die es immer wieder verschieben, liegt nicht in der verfügbaren Zeit. Er liegt darin, ob das Thema auf der Führungsebene als ernst genug gilt, um durchgesetzt zu werden. Und ob jemand da ist, der die Verbindlichkeit einfordert.

Ein niederschwelliger Einstieg

Eine Tabletop Exercise muss kein Großprojekt sein. Zwei Stunden, sechs bis acht Personen aus Führung, IT und einem Fachbereich, ein realistisches Szenario — und ein Moderator, der die Diskussion strukturiert und Beobachtungen festhält.

Das Ergebnis ist ein Übungsprotokoll, das die wesentlichen Beobachtungen, offenen Fragen und Verbesserungsmaßnahmen festhält. Es ist der Nachweis, den ISO 27001 und NIS2 verlangen. Und es ist der belastbarste Hinweis darauf, was im Plan angepasst werden muss — bevor der Ernstfall das zeigt.

Unsere Security Assessments umfassen Tabletop Exercises in genau diesem Format: strukturiert, moderat im Aufwand, mit klarem Ergebnis.

Fazit

Incident-Response-Pläne, die nie geübt wurden, sind Dokumente — keine Fähigkeiten. Im Mittelstand ist das Aufschieben von Übungen strukturell begünstigt, aber nicht unvermeidbar. Wer das Thema als Führungsaufgabe ernst nimmt und Verbindlichkeit einfordert, findet den Einstieg leichter als gedacht — und vermeidet, dass der Ernstfall die erste Übung ist.