Was eine Tabletop-Übung zeigt, das kein Audit kann

Es gibt einen Anruf, den jedes Unternehmen einmal bekommt, das nie unter Druck geübt hat. 04:30 Uhr, die Produktion steht. Server verschlüsselt, Backup-Stand unklar, Telefonliste auf SharePoint, SharePoint nicht erreichbar. In den ersten zwei Stunden wird improvisiert. In den nächsten zehn entstehen die Fehler, die das Quartal kosten.

Eine Tabletop-Übung nimmt diesen Anruf vorweg. Strukturiert, am Tisch, ohne reale Systeme, mit den Menschen, die im Ernstfall entscheiden müssen. Wir sehen in der Beratung beides: Übungen, nach denen Organisationen substanziell handlungsfähiger sind, und Übungen, die zwei Stunden netter Diskussion waren. Der Unterschied liegt selten im Szenario.

Härte schlägt Eleganz

Eine wirksame Übung führt zwingend in Momente, in denen jemand am Tisch zugibt, dass er nicht weiß, wer das entscheidet. Solche Momente sind das Ergebnis, nicht das Versagen. Eine Übung, die alle bestanden haben, war zu einfach.

Pläne lassen sich lesen. Entscheidungen unter Druck nicht. Ob die Behörde jetzt zu informieren ist oder erst in vier Stunden. Ob das Lösegeld bezahlt werden darf. Ob die Pressemitteilung vor oder nach den Kunden geht. Solche Fragen stehen meistens im Plan. Niemand hat sie je real durchgespielt. Am Tabletop muss jemand entscheiden: jetzt.

Auch Annahmen werden konkret. Im Notfallhandbuch steht eine Telefonnummer für die externe Forensik. Wir lassen jemanden anrufen. Wenn niemand abhebt, oder kein Vertrag existiert, der die Beauftragung in zwei Stunden ermöglicht, hat die Übung mehr geleistet als die letzten zehn Audit-Berichte zusammen.

Drei Szenarien, die wir am häufigsten am Tisch haben

Ransomware mit unklarem Backup-Stand

Klassiker, weil häufig. Wochenende, Verschlüsselung, Lösegeldforderung in Kryptowährung, Backups teilweise mitverschlüsselt. Die Übung zwingt die Entscheidungen, an denen Organisationen typischerweise hängenbleiben. Wer schaltet welche Maschinen ab? Wann läuft die NISG-Frühwarnung an die Behörde, mit ihrer 24-Stunden-Frist ab Erstwahrnehmung? Wer spricht mit Versicherer und Forensik, in welcher Reihenfolge? Wer entscheidet über das Lösegeld, und wer prüft die Entscheidung rechtlich daneben?

Im Schnitt deckt dieses Szenario in einer mittelgroßen Organisation drei bis fünf Lücken auf, die im Plan nicht standen.

Datenleak mit DSGVO-Implikation

Weniger spektakulär, oft folgenschwerer. Ein Teammitglied hat Kundendaten versehentlich auf einen privaten Cloud-Storage geladen. Die Frage ist nicht primär technisch. Sie ist organisatorisch und rechtlich. Liegt eine meldepflichtige Datenpanne nach Art. 33 DSGVO vor? Wer spricht mit dem Teammitglied, wer mit dem Betriebsrat, wer mit der Datenschutzbehörde? Wie verhindern wir den Wiederholungsfall, ohne in Generalverdacht zu kippen?

Hier zeigt sich, dass die Schnittstelle zwischen Sicherheit, Datenschutz und HR meistens nicht eingespielt ist. Genau deshalb gehört das Szenario auf den Tisch.

Lieferanten-Ausfall mit Kaskadeneffekt

Das unterschätzte Szenario. Der IT-Dienstleister, der die ERP-Schnittstelle betreibt, ist selbst Opfer eines Cyberangriffs. Bestellungen, Versand, Buchhaltung sind von einer Sekunde auf die nächste betroffen. NIS2 verlangt aktives Lieferanten-Risikomanagement, das NISG schreibt es in Österreich fest. Die Übung zeigt, wie weit dieses Management tatsächlich reicht. Welche Lieferanten sind kritisch, wirklich, nicht laut Vertrag? Wie lange operieren wir ohne diesen Service? Existiert ein Fallback, oder ist die Notlösung am Ende der manuelle Bestellblock?

Diese Übung kostet meistens Illusionen. Auch das ist ein Ergebnis.

Wer am Tisch sitzen muss

Eine Tabletop-Übung mit nur IT-Mitarbeitenden ist keine. Sie ist eine technische Diskussion. Der Sinn liegt im funktionsübergreifenden Setup. Geschäftsführung oder Vorstand für die strategischen Entscheidungen, IT und Security für die technische Realität, Recht und Datenschutz für Meldepflichten und Haftung, Kommunikation für die Sprachregelung, Operations für die Wirkung auf Produktion und Lieferung, bei Personal- und Krisenstabsthemen HR. Sechs bis acht Personen sind ideal.

Externe Moderation gehört dazu, nicht wegen der Szenario-Erzählung, sondern wegen der unbequemen Fragen. Wer aus der eigenen Organisation moderiert, sagt der eigenen Geschäftsführung selten: „Sie haben gerade entschieden, das Lösegeld zu zahlen. Wer prüft, ob das überhaupt legal ist?” Genau diese Distanz ist der Wert.

Was nach der Übung passieren muss

Eine Übung ohne strukturiertes Nachspiel ist Theater. Wir verlangen von uns selbst und unseren Mandaten vier Dinge: ein Protokoll mit jeder ungeklärten Frage und jedem Prozessbruch; eine Maßnahmenliste mit Verantwortlichen und Fristen, in der Praxis acht bis fünfzehn Punkte, davon zwei bis drei mit hoher Priorität; ein Eintrag im Risikomanagement, der die Übung und ihre Erkenntnisse dokumentiert, denn das NISG verlangt es ebenso wie die NIS2; und eine fix vereinbarte Wiederholung in zwölf Monaten, anderes Szenario, gleicher Tisch.

Krisenfähigkeit ist kein Zustand. Sie ist ein Trainingseffekt.

Fazit

Eine Tabletop-Übung kostet einen halben Tag und liefert ein Bild, das kein Audit-Bericht je liefert. Sie zeigt, wie das Unternehmen in der ersten echten Stunde entscheidet. Wer geübt hat, weiß, wo seine Lücken sind, und kann sie schließen. Wer nie geübt hat, übt im Ernstfall — und zahlt das Lehrgeld dann mit Zinsen.