Courtney Guss | Leiterin Krisenmanagement

Ein effektives Cyber-Krisenmanagement lässt sich nicht anhand von Dokumenten oder Reifegradmodellen definieren. Es hängt vielmehr davon ab, wie sich eine Organisation in den ersten Stunden eines tatsächlichen Vorfalls verhält – und welche Mittel sie zur Unterstützung dieser Maßnahmen einsetzt.

In dieser Blogreihe haben wir untersucht, warum das Krisenmanagement im Cyberbereich so oft gerade dann versagt, wenn es am wichtigsten ist.

In „Rethinking Cyber Crisis Management: Why Plans Fail—and What to Build Instead“ haben wir untersucht , wie Pläne scheitern , wenn die Entscheidungsfindung unter dem Druck der Realität zusammenbricht – nicht weil die Teams unvorbereitet sind, sondern weil, sobald die Ereignisse schneller verlaufen als im Drehbuch vorgesehen, Zuständigkeiten, Prioritäten und Verantwortlichkeiten unklar werden.

In dem Artikel „Die fehlende Ebene bei Incident Response: Krisenkoordination“ haben wir untersucht , wie es weitergeht. Selbst wenn Unternehmen wissen, was sie tun sollten, tun sie sich schwer mit der Umsetzung. Die Kommunikation ist fragmentiert. Die Zuständigkeiten sind unklar. Informationen sind an zu vielen Orten verstreut. Und ohne eine Möglichkeit, Maßnahmen in Echtzeit zu koordinieren, geraten die Reaktionsbemühungen ins Stocken.

Die Probleme sind nun klar. Nun stellt sich die Frage: Wie können Unternehmen diese Probleme auf sinnvolle und praktische Weise beheben?

Wie sieht ein gutes Krisenmanagement im Cyberbereich eigentlich aus, wenn Pläne angesichts des Drucks in den Hintergrund treten, Entscheidungen auf der Grundlage unvollständiger Informationen getroffen werden müssen und die Koordination über den Ausgang entscheidet?

Die Beantwortung dieser Frage beginnt nicht mit einem weiteren Rahmenkonzept oder einer weiteren Checkliste. Sie beginnt mit einem klaren Bild der Verhaltensweisen, Strukturen und Fähigkeiten, die heute eine gut bewältigte Cyberkrise ausmachen.


Wie sieht gutes Cyber-Krisenmanagement im Falle eines tatsächlichen Vorfalls aus?

Obwohl immer mehr Anstrengungen unternommen werden, um sich auf Cybervorfälle vorzubereiten, werden viele Organisationen von der Realität des Krisenmanagements im Cyberbereich nach wie vor unvorbereitet getroffen.

Abbildung 1. Untersuchungen von Semperis zeigen eine erhebliche Diskrepanz zwischen der wahrgenommenen Vorbereitung und den tatsächlichen Ergebnissen, wenn ein echter Vorfall eintritt. (Quelle: „The State of Enterprise Cyber Crisis Readiness“)

Das bedeutet nicht, dass diese Organisationen Unrecht haben, wenn sie sich vorbereiten. Ein effektives Cyber-Krisenmanagement bedeutet nicht, dass auf Planung, Vorsorge oder Simulationsübungen verzichtet werden muss. Tatsächlich sind Organisationen, die Vorfälle gut bewältigen, fast immer diejenigen, die in diese Maßnahmen investieren.

Pläne, Runbooks und Simulationen sind wichtig. Sie schaffen ein gemeinsames Verständnis, decken Annahmen auf und hinterfragen diese und ermöglichen es Teams, Szenarien durchzuspielen, bevor der Druck real wird.

Das Problem ist nicht, dass Organisationen nicht üben oder planen – vielmehr werden diese Pläne allzu oft auf eine Weise erstellt und getestet, die sich nicht auf die ersten kritischen Stunden eines tatsächlichen Vorfalls übertragen lässt. Viele Vorbereitungsmaßnahmen konzentrieren sich auf Plan A, ohne zu berücksichtigen, was geschieht, wenn dieser Plan scheitert. Wissen die Teams, wie sie sich anpassen müssen, wenn der erwartete Ablauf nicht funktioniert?

  • Gibt es einen Plan B – oder einen Plan C –, auf den man zurückgreifen kann?
  • Sind alle damit einverstanden, was wirklich zählt?
  • Wer ist befugt, wichtige Entscheidungen in Echtzeit zu treffen?

Seien Sie bereit, das Krisenmanagement-Szenario anzupassen

Wenn sich eine echte Cyberkrise entwickelt, verlaufen die Ereignisse selten nach Plan. Die Informationen sind lückenhaft. Prioritäten stehen im Widerspruch zueinander. Von Minute zu Minute tauchen neue Risiken auf. In diesem Moment misst sich der Wert der Vorbereitung nicht mehr daran, wie genau sich die Teams an ein Dokument halten, sondern daran, wie effektiv sie die Absicht des Plans unter Druck umsetzen können.

Wenn Teams eine Krise gut bewältigen, fallen einige Dinge sofort ins Auge – selbst für diejenigen, die nicht direkt an der Bewältigung beteiligt sind:

  • Entscheidungen werden ohne langwierige Diskussionen über Zuständigkeiten getroffen
  • Die Maßnahmen werden ohne Unklarheiten hinsichtlich der Zuständigkeit vorangetrieben
  • Führungskräfte können den Überblick behalten, ohne ständig nach Neuigkeiten suchen zu müssen
  • Die Organisation behält die Kontrolle, auch wenn sich die Umstände ändern

Das liegt nicht daran, dass die Situation einfach ist.

Das liegt daran, dass die Vorbereitung so konzipiert ist, dass sie auch dann noch Bestand hat, wenn die Realität von den Erwartungen abweicht.


Im Kern bedeutet gutes Cyber-Krisenmanagement die Fähigkeit, Vorsorge in koordiniertes Handeln umzusetzen – indem man die Entscheidungen der Führungsebene in Echtzeit mit der Umsetzung in Einklang bringt und dabei während der gesamten Reaktion Transparenz, Verantwortlichkeit und Nachvollziehbarkeit gewährleistet.

Genau diese Abstimmung ist in den ersten Stunden einer Krise von entscheidender Bedeutung.


Bei schlecht gemanagten Vorfällen sind die Teams oft zwar beschäftigt, aber nur lose aufeinander abgestimmt. Die Kommunikation ist zwar ständig im Gange, jedoch fragmentiert. Entscheidungen verzögern sich oder werden überdacht, weil die Zuständigkeiten unklar sind oder der Kontext fehlt. Führungskräfte verlassen sich eher auf Zusammenfassungen als auf einen gemeinsamen Überblick, was die Reaktion verlangsamt, wenn es auf jede Sekunde ankommt.

Bei gut bewältigten Vorfällen ist das Gegenteil der Fall.

  • Die Organisation geht bedächtig vor.
  • Die richtigen Leute bringen sich frühzeitig ein.
  • Die Entscheidungsbefugnis wird verstanden und ausgeübt.
  • Informationen werden über ein gemeinsames Lagebild weitergegeben.
  • Die Umsetzung passt sich der sich verändernden Situation an, ohne dabei an Kohärenz oder Dynamik einzubüßen.

Und was besonders wichtig ist: Erfolg wird nicht durch Perfektion definiert.

Jede Krise ist mit Unsicherheit verbunden und erfordert die Fähigkeit, Entscheidungen zu überdenken, sobald neue Informationen vorliegen. Gutes Krisenmanagement zeichnet sich nicht dadurch aus, dass man auf Anhieb alles richtig macht, sondern dadurch, dass man im Verlauf der Situation handlungsfähig bleibt, Anpassungen vornimmt und getroffene Entscheidungen verteidigen kann.

Diese Fähigkeit ergibt sich nicht allein aus der Planung. Sie entsteht dadurch, dass die Organisation darauf vorbereitet wird, zu handeln, wenn Pläne auf die Realität treffen.


Sich auf das Wesentliche konzentrieren: Der Leitstern für Entscheidungen in Krisenzeiten

Bevor Entscheidungsbefugnisse wirksam ausgeübt werden können – und bevor die Umsetzung zügig voranschreiten kann –, muss Einigkeit über etwas Grundlegenderes herrschen: Was zählt am meisten, wenn Kompromisse unvermeidbar werden?

In jeder Cyberkrise stehen Unternehmen vor Entscheidungen, die sich nicht allein mit technischer Präzision lösen lassen.

  • Es ist nicht möglich, alle Systeme gleichzeitig wiederherzustellen.
  • Es ist nicht möglich, alle Risiken gleichzeitig auszuschließen.
  • Die Informationen treffen unregelmäßig ein.
  • Die Zeit ist begrenzt.

In solchen Momenten geht es nicht nur darum, wer die Entscheidungsbefugnis hat, sondern auch darum, worauf diese Entscheidungen ausgerichtet sein sollten.


Organisationen, die in Krisenzeiten Schwierigkeiten haben, mangelt es oft an dieser Abstimmung. Die Teams arbeiten nach unterschiedlichen, manchmal konkurrierenden Prioritäten:

  • Im Bereich Sicherheit liegt der Schwerpunkt auf der Eindämmung.
  • Der Schwerpunkt der IT liegt auf der Wiederherstellung.
  • Im juristischen Bereich steht die Offenlegung im Mittelpunkt.
  • Führungskräfte legen Wert auf Kontinuität.
  • Bei der Kommunikation steht der Ruf im Mittelpunkt.

Diese Sichtweisen sind nicht falsch. Doch ohne einen gemeinsamen Leitstern stehen sie eher im Wettbewerb miteinander, anstatt sich zu ergänzen.

Unternehmen, die Cyberkrisen gut bewältigen, investieren im Vorfeld Zeit, um sich darauf abzustimmen, was unter höchstem Druck am wichtigsten ist. Im Mittelpunkt dieser Abstimmung kann der Schutz der Patientensicherheit, die Wahrung des Kundenvertrauens, die Aufrechterhaltung kritischer Betriebsabläufe, die Einhaltung gesetzlicher Fristen oder die Minimierung langfristiger Reputationsschäden stehen.

Die konkreten Prioritäten unterscheiden sich je nach Organisation. Entscheidend ist, dass sie verstanden, vereinbart und umgesetzt werden, bevor eine Krise eintritt.

Wenn diese Übereinstimmung gegeben ist, wird die Entscheidungsfindung klarer – selbst wenn die Ereignisse nicht nach Plan verlaufen. Führungskräfte können improvisieren, ohne vom Kurs abzuweichen. Teams können sich anpassen, ohne auseinanderzudriften. Entscheidungen, die in Momenten der Unsicherheit getroffen werden, stehen weiterhin im Einklang mit den Werten und Verpflichtungen der Organisation.

Genau hier versagen viele herkömmliche Vorkehrungsmaßnahmen. Bei Tabletop-Übungen liegt der Schwerpunkt oft auf szenariospezifischen Maßnahmen statt auf prioritätsorientierten Abwägungen. Pläne beschreiben zwar die einzelnen Schritte, nicht jedoch die geschäftlichen Ziele, die dahinter stehen. Wenn die Realität von den Erwartungen abweicht, verlieren Teams die Orientierung – nicht weil sie nicht wissen, was zu tun ist, sondern weil sie unsicher sind, worauf sie ihre Maßnahmen ausrichten sollen.

Eine Neuausrichtung ändert das.

  • Wenn die Prioritäten klar sind, kann Autorität entschlossen ausgeübt werden.
  • Wenn gemeinsame Prioritäten festgelegt werden, erfolgt die Umsetzung schneller und einheitlicher.
  • Wenn Prioritäten klar erkennbar sind, verbessert sich die Koordination auch dann, wenn sich die Umstände ändern.

Diese Ausrichtung muss in derselben operativen Umgebung verankert sein wie die Entscheidungsfindung und die Umsetzung. Wenn Prioritäten nur in Strategiepapieren oder Präsentationen existieren, gehen sie unter Druck verloren. Sind sie hingegen in die Krisenbewältigung eingebettet – was sich in der Priorisierung von Aufgaben, der Begründung von Entscheidungen und der Sichtbarkeit der Führung widerspiegelt –, leiten sie das Handeln auch dann weiter, wenn Improvisation gefragt ist.


Die Orchestrierung spielt hierbei eine entscheidende Rolle.

Plattformen wie Ready1 helfen Teams nicht nur bei der Koordinierung von Maßnahmen, sondern unterstützen Unternehmen dabei, Reaktionsmaßnahmen in Echtzeit an vereinbarten Prioritäten auszurichten . Indem Entscheidungen, Maßnahmen und der Kontext an einem Ort sichtbar gemacht werden, stellt die Koordination sicher, dass Improvisationen aufeinander abgestimmt bleiben und nicht unkoordiniert erfolgen.

In einer Cyberkrise ist es die Abstimmung, die es ermöglicht, dass die Entscheidungsgewalt zum Tragen kommt und die Umsetzung folgt. Ohne sie können selbst klar definierte Rollen und eine schnelle Kommunikation dazu führen, dass Teams in unterschiedliche Richtungen ziehen. Mit ihr kann die Organisation gemeinsam voranschreiten, geleitet von einem gemeinsamen Verständnis dafür, worauf es wirklich ankommt, wenn es darauf ankommt.


Legen Sie Entscheidungsbefugnisse im Voraus fest, damit Entscheidungen nicht ins Stocken geraten

Unklare Zuständigkeiten und eine zersplitterte Kommunikation führen dazu, dass Entscheidungen unter Druck ins Stocken geraten oder auseinanderfallen. Bis ein Konsens erzielt wird, sind Chancen vertan, Risiken gestiegen und das Vertrauen geschwächt.

In einer gut bewältigten Krisensituation wird die Entscheidungsbefugnis nicht erst mitten im Geschehen festgelegt. Sie wurde bereits zuvor ausgeübt, ist allen Teams bekannt und wurde durch Vorbereitungen, die reale Bedingungen widerspiegeln, gefestigt.

Das bedeutet nicht, dass Führungskräfte jedes Ergebnis im Voraus festlegen. Es bedeutet vielmehr, dass sich die Organisation im Vorfeld darauf geeinigt hat , wer entscheidet, was wichtig ist, welche Kompromisse sie eingehen dürfen und wie diese Entscheidungen nach ihrer Fassung kommuniziert und umgesetzt werden .


Eines der deutlichsten Anzeichen für eine gut bewältigte Cyberkrise ist, wie schnell das Unternehmen Entscheidungen treffen – und zu diesen stehen – kann, während sich die Situation noch entwickelt.


Wenn Autorität richtig eingesetzt wird:

  • Teams eskalieren Entscheidungen, anstatt über die Zuständigkeit zu diskutieren
  • Führungskräfte treffen Entscheidungen mit Zuversicht statt mit Zögern
  • Die Umsetzung schreitet voran, ohne auf informelle Genehmigungen zu warten
  • Entscheidungen werden selbstverständlich als Teil der Reaktion dokumentiert

Viele Organisationen missverstehen die Rolle der Vorsorge in diesem Zusammenhang. Bei Tabletop-Übungen steht oft im Vordergrund, welche Entscheidung getroffen werden sollte, doch wird selten geprüft, wie diese Entscheidung unter realem Druck getroffen, kommuniziert, zugewiesen und nachverfolgt wird.

Dieser Unterschied ist entscheidend.

Bei aktuellen Vorfällen besteht die Herausforderung nicht darin, die „richtige“ Entscheidung zu treffen. Vielmehr geht es darum, sicherzustellen, dass diese Entscheidung in die Tat umgesetzt wird – schnell, sichtbar und unternehmensweit einheitlich.

Gerade bei diesem Übergang von der Entscheidung zur Umsetzung kommt der Orchestrierung eine entscheidende Rolle zu.

Ohne eine klare Koordination verliert selbst eine klar definierte Zuständigkeit in der Praxis an Wirkung. Entscheidungen werden mündlich weitergegeben, gehen in Chats unter oder werden uneinheitlich weitergeleitet. Aufgaben werden eher stillschweigend übernommen als ausdrücklich zugewiesen. Führungskräfte glauben, dass bereits Maßnahmen ergriffen werden, während die Teams auf Klarheit warten.

Durch die Einführung einer Koordinierung wird die Autorität durch Strukturen gestärkt:

  • Entscheidungen werden unmittelbar nach ihrer Fassung festgehalten
  • Das Eigentumsrecht geht unverzüglich und ausdrücklich über
  • Die Führungskräfte können die Umsetzung in Echtzeit verfolgen
  • Hindernisse treten eher frühzeitig als erst nach Verzögerungen zutage

Das Ergebnis ist nicht Geschwindigkeit um der Geschwindigkeit willen, sondern Entscheidungen, die Bestand haben, weil sie wie beabsichtigt umgesetzt werden.

Genau das macht die ersten Stunden einer Cyberkrise entscheidend – nicht, weil jeder schneller handelt, sondern weil alle gemeinsam handeln, geleitet von einer klaren Führungsstruktur und einem gemeinsamen Lagebild.


Die Vorsorge für die Realität des Krisenmanagements im Cyberbereich neu überdenken

Im Laufe dieser Serie habe ich dargelegt, dass das Krisenmanagement im Cyberbereich oft versagt, wenn die Realität von den Erwartungen abweicht. Die Lösung besteht jedoch nicht darin, weniger zu planen, sondern sich anders vorzubereiten.

Unternehmen, die Krisen gut bewältigen, sind nicht diejenigen mit den meisten Leitfäden oder den detailliertesten Ablaufplänen. Es sind diejenigen, die ihre Vorsorge auf das konzentrieren, was am wichtigsten ist, wenn Pläne scheitern – denn sie wissen, dass dies geschehen wird.

Eine sinnvolle Vorsorge geht davon aus, dass Improvisation unvermeidlich ist, und bereitet die Organisation darauf vor, gut zu improvisieren .

Das bedeutet, dem Drang zu widerstehen, Handlungsanleitungen übermäßig zu verkomplizieren, und sich stattdessen auf die Szenarien zu konzentrieren, die das Unternehmen tatsächlich gefährden: Kunden, Patienten, Sicherheit, Betriebsabläufe, gesetzliche Auflagen und Vertrauen.

Das bedeutet auch, sich auf die Entscheidungsfindung vorzubereiten, nicht nur auf die technischen Schritte.

  • Wer entscheidet, wann Kompromisse unvermeidbar sind?
  • Welche Befugnisse haben sie in diesem Moment?
  • Welche Prioritäten bestimmen Entscheidungen, wenn die Informationen unvollständig sind und die Zeit drängt?

Wenn sich Organisationen im Vorfeld über diese Fragen abstimmen, wird Improvisation zu einer disziplinierten statt zu einer chaotischen Angelegenheit. Entscheidungen entwickeln sich weiter, bleiben jedoch stets an gemeinsamen Werten und Verantwortlichkeiten verankert.

Auch die Vorsorge muss anders gehandhabt werden.

Die wertvollsten Übungen sind nicht diejenigen, bei denen alles nach Plan verläuft, sondern jene, bei denen Annahmen sich als falsch erweisen – bei denen Informationen fehlen, Systeme sich unerwartet verhalten und Teams sich in Echtzeit anpassen müssen.

Hier kommt der Orchestrierung eine entscheidende Rolle zu.

Cybervorfälle sind heutzutage nicht mehr nur technische Zwischenfälle – sie sind geschäftliche Krisen, die Führungsstärke, funktionsübergreifende Koordination und Verantwortungsbewusstsein in Echtzeit erfordern.

Unternehmen, die ihre Vorsorge neu überdenken – indem sie sich weniger auf perfekte Drehbücher und mehr auf abgestimmte Improvisation konzentrieren –, sind besser darauf vorbereitet, dieser Realität zu begegnen.

Sie reagieren nicht nur schneller.
Sie reagieren zielgerichtet.

Und wenn die nächste Krise eintritt, reagieren sie nicht einfach nur. Sie bewältigen sie.


Erfahren Sie mehr über ein neues Konzept für Krisenmanagement und Cyber-Resilienz