Eine Simulationsübung kann Organisationen dabei helfen, zu testen, wie sie auf einen schwerwiegenden IKT-Vorfall reagieren würden, bevor dieser eintritt.

 

 

Was ist eine Tabletop-Übung zur Cybersicherheit?

Eine Tabletop-Übung zur Cybersicherheit ist eine strukturierte, szenariobasierte Sitzung, bei der getestet wird, wie eine Organisation auf einen Cybervorfall reagieren würde.

Im Gegensatz zu einem technischen Sicherheitstest werden bei einer Tabletop-Übung in der Regel keine Live-Systeme oder aktive Angriffe einbezogen. Stattdessen werden wichtige Beteiligte zusammengebracht und durch den Verlauf eines realistischen Vorfalls geführt.

Bei diesem Vorfall könnte es sich um Ransomware, eine Kompromittierung eines Lieferanten, einen Cloud-Ausfall, eine durch Phishing verursachte Kontoübernahme, Datendiebstahl, eine Betriebsstörung oder einen Angriff handeln, der einen kritischen Geschäftsdienst beeinträchtigt.

Ziel ist es, zu testen, wie sich Menschen, Prozesse und Führungsstrukturen unter Druck verhalten. Eine gute Tabletop-Übung hilft dabei, wichtige Fragen zu beantworten:

• Wer trifft die Entscheidungen?
• Wer eskaliert den Vorfall?
• Wer kontaktiert die Aufsichtsbehörden?
• Wer leitet die interne und externe Kommunikation?
• Wer ist für die Prioritäten bei der Wiederherstellung verantwortlich?
• Werden die Beweise ordnungsgemäß gesichert?
• Sind die regulatorischen Verpflichtungen bekannt?

Dies macht Tabletop-Übungen sowohl für die Cyber-Resilienz als auch für die Compliance-Bereitschaft wertvoll.

Warum Tabletop-Übungen für die Compliance wichtig sind

Viele Vorschriften und Standards verlangen von Organisationen mehr als nur die Erstellung von Richtlinien. Sie erwarten, dass Organisationen Cyberrisiken managen, auf Vorfälle reagieren, Dienste aufrechterhalten, Auswirkungen bewerten, schwerwiegende Ereignisse melden und sich im Laufe der Zeit verbessern.

Eine Tabletop-Übung hilft dabei, diese Anforderungen in einen praktischen Test umzusetzen.

Eine Richtlinie zur Reaktion auf Vorfälle kann vorsehen, dass die Rechtsabteilung, die Compliance-Abteilung, die Kommunikationsabteilung und die Geschäftsleitung bei einem schwerwiegenden Cybervorfall einbezogen werden sollen. Eine Tabletop-Übung prüft, ob dies tatsächlich geschieht. Sie kann aufzeigen, ob Eskalationswege klar sind, ob Kontaktlisten aktuell sind, ob das Unternehmen seine Meldepflichten versteht und ob Wiederherstellungspläne der betrieblichen Realität entsprechen.

Dies ist von Bedeutung, da Verstöße gegen Compliance-Vorgaben häufig während der Reaktionsphase auftreten. Eine Organisation mag zwar über eine solide Dokumentation verfügen, doch wenn Teams nicht in der Lage sind, die Schwere eines Vorfalls einzuschätzen, die richtigen Personen zu benachrichtigen, Beweismittel zu sichern, klar zu kommunizieren oder kritische Dienste wiederherzustellen, drohen dem Unternehmen behördliche Untersuchungen, Betriebsstörungen und Reputationsschäden.

Eine gut durchgeführte Tabletop-Übung liefert Nachweise für Tests und Verbesserungen. Zu den Ergebnissen können ein Übungsbericht, gewonnene Erkenntnisse, Aktionspläne, aktualisierte Leitfäden, Anwesenheitslisten und Berichte an die Geschäftsleitung gehören. Diese Unterlagen können Audits, Sicherheitsanfragen von Kunden und den Austausch mit Aufsichtsbehörden unterstützen.

 

 

Wie Tabletop-Übungen die Compliance unterstützen

Compliance-Bereich	Was die Übung überprüft	Warum dies wichtig ist
Reaktion auf Vorfälle	Eskalation, Eindämmung und Entscheidungsfindung	Beweist, dass Reaktionspläne in der Praxis funktionieren
Governance	Einbindung der obersten Führungsebene und Rechenschaftspflicht	Unterstützt die Aufsicht durch Vorstand und Geschäftsführung
Berichterstattung	Interne Eskalation und Meldung an die Aufsichtsbehörden	Reduziert Compliance- und Berichtsrisiken
Geschäftskontinuität	Prioritäten bei der Aufrechterhaltung des Betriebs und der Wiederherstellung	Stärkt die operative Widerstandsfähigkeit
Risiken durch Dritte	Lieferantenabhängigkeit und Kommunikation	Unterstützt die Anforderungen von DORA und NIS2
Kontinuierliche Verbesserung	Erfahrungswerte und Korrekturmaßnahmen	Unterstützt die Reifegrade nach ISO 27001

 

Wie Tabletop-Übungen die Einhaltung der DORA-Vorgaben unterstützen

Der Digital Operational Resilience Act, bekannt als DORA, hat die IKT-Resilienz zu einer zentralen Priorität für Finanzinstitute und viele Organisationen gemacht, die den Finanzdienstleistungssektor unterstützen.

DORA konzentriert sich auf das IKT-Risikomanagement, die Bewältigung von Vorfällen, die Prüfung der digitalen Betriebsresilienz, IKT-Risiken durch Dritte und die Geschäftskontinuität. Eine Tabletop-Übung kann Organisationen dabei helfen, zu testen, wie sie auf einen schwerwiegenden IKT-bezogenen Vorfall reagieren würden, bevor dieser eintritt.

Eine auf DORA ausgerichtete Übung könnte beispielsweise einen Ransomware-Angriff auf einen Zahlungsdienst, einen Ausfall bei einem Cloud-Anbieter, eine Störung einer kritischen Plattform oder die Kompromittierung eines wichtigen externen IKT-Anbieters simulieren.

Die Übung sollte prüfen, ob die Organisation in der Lage ist:

• die Auswirkungen auf kritische oder wichtige Funktionen zu identifizieren
• den Vorfall schnell eskalieren
• den Schweregrad des Vorfalls einstufen
• beurteilen, ob Meldepflichten bestehen
• mit internen und externen Interessengruppen zu kommunizieren
• Störungen, an denen Drittanbieter beteiligt sind, bewältigen
• Dienste innerhalb realistischer Zeitrahmen wiederherstellen

Der eigentliche Nutzen liegt darin, Lücken frühzeitig aufzudecken. Wenn die Übung unklare Zuständigkeiten, unvollständige Lieferantenkontakte, schwache Meldeprozesse oder Unsicherheiten hinsichtlich der Wiederherstellungsprioritäten aufdeckt, können diese Probleme behoben werden, bevor sie zu regulatorischen oder betrieblichen Risiken führen.

Checkliste für DORA-Tabletop-Übungen

• Testen Sie ein Szenario, das eine kritische oder wichtige Funktion betrifft
• Beziehen Sie die Bereiche IKT, Risiko, Compliance, Betrieb und Führung ein
• Testen Sie die Einstufung von Vorfällen und die Bewertung ihres Schweregrads
• Überprüfen Sie interne Eskalations- und Meldeauslöser
• Bewerten Sie die Abhängigkeiten von externen IKT-Anbietern
• Testen Sie Entscheidungen zur Geschäftskontinuität und Wiederherstellung
• Erfahrungen festhalten und Maßnahmen zuweisen

 

 

Wie Tabletop-Übungen die Einhaltung der NIS2-Vorschriften unterstützen

NIS2 hat die Cybersicherheitsverpflichtungen auf wesentliche und wichtige Einrichtungen in der EU ausgeweitet. Dabei wird größerer Wert auf Cyberrisikomanagement, Vorfallbearbeitung, Geschäftskontinuität, Krisenmanagement, Sicherheit der Lieferkette und die Rechenschaftspflicht der Geschäftsleitung gelegt.

Eine an NIS2 ausgerichtete Tabletop-Übung hilft Organisationen dabei, zu prüfen, ob diese Verpflichtungen unternehmensweit verstanden werden. Sie eignet sich besonders gut zur Beurteilung der Zusammenarbeit zwischen technischen, operativen, rechtlichen, Compliance- und Führungsteams im Falle eines schwerwiegenden Vorfalls.

Ein typisches NIS2-Szenario könnte Ransomware, die Störung eines wesentlichen Dienstes, die Kompromittierung eines Lieferanten, die Ausnutzung einer bekannten Schwachstelle oder einen Vorfall betreffen, der mehrere Märkte betrifft.

Die Übung sollte Folgendes testen:

• wie schnell die Organisation den Schweregrad des Vorfalls erkennt
• wer informiert werden muss
• wie Entscheidungen getroffen werden
• wie kritische Dienste geschützt werden
• wie die Auswirkungen auf die Lieferkette bewertet werden
• wie Meldepflichten überprüft werden
• wie die Geschäftsleitung die Aufsicht wahrnimmt

Dies ist besonders wichtig für Organisationen, die in verschiedenen EU-Ländern tätig sind. Ein einzelner Cybervorfall kann je nachdem, welche Dienste, Systeme, Kunden und Märkte betroffen sind, unterschiedliche melde- und operative Überlegungen nach sich ziehen.

Tabletop-Übungen unterstützen zudem eines der zentralen Themen von NIS2: die Verantwortlichkeit der Unternehmensleitung. Führungskräfte dürfen bei der Reaktion auf Cybervorfälle nicht außen vor bleiben. Sie müssen ihre Rolle bei der Aufsicht, der Entscheidungsfindung, der Aufrechterhaltung des Betriebs, der Öffentlichkeitsarbeit und den Investitionen in die Wiederherstellung verstehen.

Checkliste für NIS2-Tabletop-Übungen

• Testen Sie einen Vorfall, der einen wesentlichen oder wichtigen Dienst betrifft
• Beziehen Sie Teams für Geschäftskontinuität und Krisenmanagement ein
• Testen Sie die Einbindung der Geschäftsleitung
• Bewerten Sie die Auswirkungen auf die Lieferkette und Dritte
• Überprüfen Sie die Eskalations- und Meldeprozesse
• Bewerten Sie die Übereinstimmung mit Maßnahmen zum Cyber-Risikomanagement
• Ergebnisse und Verbesserungsmaßnahmen dokumentieren

Wie Tabletop-Übungen die Einhaltung der ISO 27001 unterstützen

Die Norm ISO 27001 basiert auf der Einrichtung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems. Tabletop-Übungen unterstützen dieses Modell, indem sie Organisationen dabei helfen, zu testen, ob Informationssicherheitsprozesse in der Praxis funktionieren.

Eine an ISO 27001 ausgerichtete Tabletop-Übung kann den Nachweis erbringen, dass Vorkehrungen zur Reaktion auf Vorfälle überprüft wurden, Zuständigkeiten verstanden werden, Risiken überwacht werden und Verbesserungsmaßnahmen nachverfolgt werden.

Sie kann zudem weitere Bereiche unterstützen, darunter die Geschäftskontinuitätsplanung, das Lieferantenmanagement, die Sensibilisierung, die Einbindung der Führungskräfte und die kontinuierliche Verbesserung.

Der wichtigste Teil ist die Nachbereitung. Eine Tabletop-Übung sollte nicht enden, wenn das Szenario abgeschlossen ist. Die Ergebnisse sollten dokumentiert, priorisiert und den Verantwortlichen zugewiesen werden. Richtlinien, Leitfäden und Verfahren sollten bei Bedarf aktualisiert werden. Die Maßnahmen sollten anschließend über die Risikomanagement- oder ISMS-Prozesse der Organisation nachverfolgt werden.

Dadurch entsteht eine klare Verbindung zwischen den Ergebnissen der Übung und der kontinuierlichen Verbesserung. Für Organisationen, die sich auf die Zertifizierung nach ISO 27001 vorbereiten oder eine bestehende Zertifizierung aufrechterhalten, können Tabletop-Übungen dazu beitragen, zu zeigen, dass das Vorfallmanagement nicht nur dokumentiert, sondern auch aktiv getestet und verbessert wird.

Checkliste für ISO 27001-Tabletop-Übungen

• Testen Sie die Rollen und Verfahren der Vorfallreaktion
• Beziehen Sie die zuständigen Verantwortlichen und Stakeholder ein
• Bewusstsein und Entscheidungsfindung unter Druck bewerten
• Überprüfen Sie die Verknüpfungen zu den Geschäftskontinuitätsprozessen
• Ergebnisse formell dokumentieren
• Korrekturmaßnahmen zuweisen
• Maßnahmen in den ISMS-Verbesserungsprozess einfließen lassen

 

 

Wie Tabletop-Übungen die DSGVO-Bereitschaft unterstützen

Cybervorfälle werden oft zu Datenschutzvorfällen. Sind personenbezogene Daten betroffen, müssen Organisationen das Risiko bewerten, den Umfang erfassen und entscheiden, ob eine Meldung erforderlich ist.

Eine Tabletop-Übung hilft dabei zu testen, ob die Teams aus den Bereichen Recht, Datenschutz, Sicherheit und Kommunikation effektiv zusammenarbeiten können. Sie kann aufzeigen, ob die Organisation weiß, welche Informationen gesammelt werden müssen, wie das Risiko für betroffene Personen bewertet wird und wer die endgültige Entscheidung über die Meldung trifft.

Ein auf die DSGVO ausgerichtetes Szenario könnte gestohlene Kundendaten, die versehentliche Offenlegung sensibler Datensätze, kompromittierte Mitarbeiterdaten oder den unbefugten Zugriff auf eine Cloud-Plattform beinhalten.

Die Übung sollte prüfen, ob die Organisation in der Lage ist:

• feststellen, ob personenbezogene Daten betroffen sind
• den Umfang und die Sensibilität der Daten einzuschätzen
• festzustellen, wer betroffen sein könnte
• zu verstehen, ob die Daten geschützt waren
• Entscheidungen über die Meldung treffen
• klare interne und externe Kommunikationsmaßnahmen vorbereiten
• Entscheidungen und Zeitpläne zu dokumentieren

Dies ist von großem Wert, da reale Vorfälle selten eindeutig oder vollständig sind. Informationen können unklar sein, Untersuchungen möglicherweise noch im Gange sein und die Organisation kann unter Druck von Kunden, Aufsichtsbehörden oder den Medien stehen. Das Einüben dieser Szenarien hilft, Verwirrung zu vermeiden, wenn es auf Schnelligkeit und Genauigkeit ankommt.

Checkliste für GDPR-Simulationsübungen

• Ermitteln Sie, ob personenbezogene Daten betroffen sind
• Bewerten Sie die Datentypen, den Umfang und die betroffenen Personen
• Testen Sie die Koordination zwischen Datenschutz-, Rechts- und Sicherheitsteams
• Bewerten Sie die Entscheidungsfindung bei der Bewertung von Datenschutzverletzungen und der Benachrichtigung
• Testen Sie die Kommunikationsplanung
• Dokumentieren Sie Zeitabläufe und Nachweise klar und deutlich

Entscheidungsbaum: Benötigt Ihre Organisation eine Compliance-orientierte Tabletop-Übung?

Was sollte eine Compliance-orientierte Tabletop-Übung beinhalten?

Eine auf Compliance ausgerichtete Tabletop-Übung sollte auf das tatsächliche Betriebsumfeld der Organisation zugeschnitten sein. Allgemeine Szenarien bieten selten denselben Nutzen, da sie die Dienstleistungen, Lieferanten, Systeme, regulatorischen Risiken oder geschäftlichen Prioritäten der Organisation nicht widerspiegeln.

Eine fundierte Übung sollte Folgendes umfassen:

• ein realistisches Cybersicherheitsszenario
• klare Übungsziele
• relevante Teilnehmer aus allen Unternehmensbereichen
• schrittweise Entwicklung des Vorfalls
• Entscheidungspunkte im Zusammenhang mit Berichterstattung, Eskalation und Wiederherstellung
• Erörterung rechtlicher, operativer und kommunikationsbezogener Fragen
• Überprüfung der Vorkehrungen zur Geschäftskontinuität
• ein Abschlussbericht mit Ergebnissen, Verantwortlichen und Fristen

Die besten Übungen gehen über die Bereiche Sicherheit und IT hinaus. Je nach Szenario müssen möglicherweise auch die Bereiche Recht, Compliance, Betrieb, Kommunikation, Beschaffung, Datenschutz, Risikomanagement und die oberste Führungsebene einbezogen werden.

 

 

Fünf Fragen, die jede Tabletop-Übung beantworten sollte

1. Wissen wir, wann ein Vorfall schwerwiegend wird?

Damit wird geprüft, ob die Teams Vorfälle richtig einstufen und schnell genug eskalieren können.

2. Werden die richtigen Personen schnell einbezogen?

Hier wird geprüft, ob die Abteilungen für Recht, Compliance, Führung, Betrieb und Kommunikation wissen, wann sie eingreifen müssen.

3. Können wir unseren Meldepflichten nachkommen?

Hier wird geprüft, ob die Organisation die richtigen Informationen sammeln und die Meldepflichten rechtzeitig einschätzen kann.

4. Können wir kritische Dienste aufrechterhalten?

Dies zeigt, ob die Kontinuitäts- und Wiederherstellungspläne den tatsächlichen geschäftlichen Prioritäten entsprechen.

5. Lernen wir daraus und verbessern wir uns im Nachhinein?

Dies belegt, dass die Organisation nicht nur testet, sondern ihre Widerstandsfähigkeit im Laufe der Zeit stärkt.

Häufige Compliance-Lücken, die bei Tabletop-Übungen aufgedeckt werden

Tabletop-Übungen decken oft Probleme auf, die in Richtlinien dokumenten nur schwer zu erkennen sind.

Zu den häufigen Befunden zählen unklare Zuständigkeiten, langsame Eskalation, veraltete Kontaktlisten, eingeschränkte Transparenz bei Lieferanten, unzureichende Nachweissicherung und Unsicherheiten hinsichtlich der behördlichen Berichterstattung.

Eine weitere häufige Schwachstelle ist die übermäßige Abhängigkeit von technischen Teams. In der Realität wird ein schwerwiegender Cybervorfall schnell zu einem geschäftlichen Problem. Rechts-, Kommunikations-, Betriebs-, Compliance- und Führungsteams müssen möglicherweise alle Entscheidungen treffen, noch bevor die technische Untersuchung abgeschlossen ist.

Deshalb sind Tabletop-Übungen so nützlich. Sie zeigen auf, worauf geachtet werden muss, bevor ein echter Vorfall zu Betriebsstörungen, regulatorischen Risiken oder Reputationsschäden führt.

Kurze Checkliste zur Bereitschaft

Verwenden Sie diese Checkliste, um zu beurteilen, ob Ihr Unternehmen für eine Compliance-orientierte Tabletop-Übung bereit ist.

Planungs-Checkliste

• Wir wissen, welche Vorschriften und Standards für uns gelten
• Wir verfügen über einen Notfallplan
• Wir haben kritische Dienste und Systeme identifiziert
• Wir kennen die wichtigsten Abhängigkeiten von Drittanbietern
• Wir verfügen über Eskalations- und Kommunikationsverfahren
• Die oberste Führungsebene ist bereit, sich einzubringen
• Wir verfügen über einen Prozess zur Erfassung der gewonnenen Erkenntnisse

Checkliste nach der Übung

• Die Ergebnisse werden klar dokumentiert
• Lücken werden nach Risiko priorisiert
• Maßnahmenverantwortliche werden benannt
• Fristen werden vereinbart
• Richtlinien oder Vorgehensanleitungen werden aktualisiert
• Nachprüfungen werden geplant
• Die Ergebnisse werden den relevanten Stakeholdern gemeldet

So kann Integrity360 helfen

Integrity360 unterstützt Unternehmen bei der Konzeption und Durchführung maßgeschneiderter Cybersicherheits-Tabletop-Übungen, die auf operative und Compliance-Prioritäten abgestimmt sind.

Unsere Experten entwickeln realistische Szenarien auf der Grundlage Ihrer Bedrohungslage, der regulatorischen Anforderungen und Ihres Geschäftsmodells. Die Übungen können so konzipiert werden, dass sie die DORA-Bereitschaft, NIS2-Resilienzmaßnahmen, die Reife der Incident-Response gemäß ISO 27001, die Reaktion auf DSGVO-Verstöße, die Krisenkommunikation, Störungen durch Dritte sowie die Entscheidungsfindung auf Vorstandsebene testen.

Das Ergebnis ist nicht nur eine Übung. Es ist ein klareres Verständnis Ihrer Bereitschaft, Ihrer Lücken und der Maßnahmen, die zur Verbesserung der Widerstandsfähigkeit erforderlich sind.