Eine Tabletop Exercise zeigt, was kein Audit zeigt

Ein gut formulierter Incident-Response-Plan ist ein gutes Dokument. Es ist kein belastbarer Nachweis dafür, dass das Unternehmen im Ernstfall handlungsfähig ist. Der Unterschied zwischen diesen beiden Aussagen ist der Kern dessen, warum Tabletop Exercises existieren.

Die Praxis zeigt: Pläne sehen gut aus — bis jemand sie ernsthaft durchspielt.

Was eine Tabletop Exercise ist und was nicht

Eine Tabletop Exercise ist keine Vollübung. Sie braucht kein Krisenzentrum, keinen halben Tag mit PowerPoint-Präsentationen und keinen externen Krisenberater mit Stoppuhr. Sie braucht drei Dinge: ein realistisches Szenario, die richtigen Rollen am Tisch und die Bereitschaft, Entscheidungen wirklich durchzudenken — auch die unbequemen.

Das Format ist bewusst niederschwellig. In der Regel dauert eine Tabletop 45 bis 90 Minuten. Die Teilnehmenden diskutieren, wie sie auf ein beschriebenes Szenario reagieren würden — Schritt für Schritt, mit konkreten Entscheidungen, nicht mit abstrakten Antworten.

Was dabei entsteht, ist kein theoretisches Ergebnis. Es sind Beobachtungen, die so in keinem Audit auftauchen.

Was ein Szenario auslöst

Ein typisches Einstiegsszenario: Ein zentrales System zeigt ungewöhnliches Verhalten. Erste Analyse deutet auf eine Kompromittierung hin. Kunden berichten über Störungen. Die Frage an den Tisch lautet: Was passiert als nächstes?

Dann beginnt die eigentliche Arbeit. Wer übernimmt die Führung — und ist das allen klar? Wer bewertet die technische Lage, wer kommuniziert intern, wer spricht mit Kunden? Wer entscheidet, ob Systeme vom Netz genommen werden — und nach welchen Kriterien? Wer ist für externe Meldepflichten verantwortlich, und kennt jemand die relevanten Fristen?

Im österreichischen Recht verlangt das NISG bei wesentlichen Vorfällen eine Erstmeldung binnen 24 Stunden. Diese Frist läuft ab dem Zeitpunkt der Erstwahrnehmung — nicht ab dem Zeitpunkt, zu dem die interne Abstimmung abgeschlossen ist.

Was sichtbar wird

Die Befunde aus einer Tabletop Exercise sind meistens nicht technisch. Sie sind organisatorisch.

Rollenunklarheiten tauchen auf: Zwei Personen glauben, für dasselbe zuständig zu sein. Oder niemand fühlt sich für eine kritische Entscheidung zuständig. Kommunikationslücken werden sichtbar: Der Weg zu Kunden ist klar, der Weg zur Behörde nicht. Entscheidungsblockaden zeigen sich: Eine Eskalation, die im Plan einen Satz umfasst, erfordert in der Übung fünf Minuten Diskussion darüber, wer entscheiden darf.

All das ist wertvoll — nicht weil es bestraft, sondern weil es zeigt, wo der Plan nicht ausreicht. Und weil es zeigt, wo die Führungsstruktur im Krisenfall tatsächlich funktioniert und wo nicht.

Was aus einer Übung folgt

Das Ergebnis einer Tabletop Exercise ist keine Präsentation und kein Bauchgefühl. Es ist eine strukturierte Dokumentation: Was hat funktioniert? Wo gab es Reibung? Welche Entscheidung war unklar? Was muss im Plan angepasst werden?

Diese Dokumentation ist kein Nice-to-have. Sie ist der Nachweis, den ISO 27001, NIS2 und TISAX verlangen: dass der Incident-Response-Prozess nicht nur existiert, sondern getestet und verbessert wurde. Ein Übungsprotokoll mit dokumentierten Maßnahmen besteht diesen Nachweis. Ein Dokument ohne Übungshistorie nicht.

Unsere Security Assessments umfassen Tabletop Exercises als eigenständiges Format — niederschwellig in der Vorbereitung, praxisnah im Ablauf, mit verwertbarer Dokumentation als Ergebnis.

Fazit

Eine Tabletop Exercise braucht keine Großübung, um ihren Zweck zu erfüllen. 45 Minuten mit den richtigen Personen am Tisch zeigen mehr als jede Folie im ISMS-Ordner. Was sie zeigen, ist selten schön — aber immer nützlich. Und deutlich besser als das, was im Ernstfall ohne Vorbereitung sichtbar wird.