Eine Simulationsübung kann Organisationen dabei helfen, zu testen, wie sie auf einen schwerwiegenden IKT-Vorfall reagieren würden, bevor dieser eintritt.
Eine Tabletop-Übung zur Cybersicherheit ist eine strukturierte, szenariobasierte Sitzung, bei der getestet wird, wie eine Organisation auf einen Cybervorfall reagieren würde.
Im Gegensatz zu einem technischen Sicherheitstest werden bei einer Tabletop-Übung in der Regel keine Live-Systeme oder aktive Angriffe einbezogen. Stattdessen werden wichtige Beteiligte zusammengebracht und durch den Verlauf eines realistischen Vorfalls geführt.
Bei diesem Vorfall könnte es sich um Ransomware, eine Kompromittierung eines Lieferanten, einen Cloud-Ausfall, eine durch Phishing verursachte Kontoübernahme, Datendiebstahl, eine Betriebsstörung oder einen Angriff handeln, der einen kritischen Geschäftsdienst beeinträchtigt.
Ziel ist es, zu testen, wie sich Menschen, Prozesse und Führungsstrukturen unter Druck verhalten. Eine gute Tabletop-Übung hilft dabei, wichtige Fragen zu beantworten:
Dies macht Tabletop-Übungen sowohl für die Cyber-Resilienz als auch für die Compliance-Bereitschaft wertvoll.
Viele Vorschriften und Standards verlangen von Organisationen mehr als nur die Erstellung von Richtlinien. Sie erwarten, dass Organisationen Cyberrisiken managen, auf Vorfälle reagieren, Dienste aufrechterhalten, Auswirkungen bewerten, schwerwiegende Ereignisse melden und sich im Laufe der Zeit verbessern.
Eine Tabletop-Übung hilft dabei, diese Anforderungen in einen praktischen Test umzusetzen.
Eine Richtlinie zur Reaktion auf Vorfälle kann vorsehen, dass die Rechtsabteilung, die Compliance-Abteilung, die Kommunikationsabteilung und die Geschäftsleitung bei einem schwerwiegenden Cybervorfall einbezogen werden sollen. Eine Tabletop-Übung prüft, ob dies tatsächlich geschieht. Sie kann aufzeigen, ob Eskalationswege klar sind, ob Kontaktlisten aktuell sind, ob das Unternehmen seine Meldepflichten versteht und ob Wiederherstellungspläne der betrieblichen Realität entsprechen.
Dies ist von Bedeutung, da Verstöße gegen Compliance-Vorgaben häufig während der Reaktionsphase auftreten. Eine Organisation mag zwar über eine solide Dokumentation verfügen, doch wenn Teams nicht in der Lage sind, die Schwere eines Vorfalls einzuschätzen, die richtigen Personen zu benachrichtigen, Beweismittel zu sichern, klar zu kommunizieren oder kritische Dienste wiederherzustellen, drohen dem Unternehmen behördliche Untersuchungen, Betriebsstörungen und Reputationsschäden.
Eine gut durchgeführte Tabletop-Übung liefert Nachweise für Tests und Verbesserungen. Zu den Ergebnissen können ein Übungsbericht, gewonnene Erkenntnisse, Aktionspläne, aktualisierte Leitfäden, Anwesenheitslisten und Berichte an die Geschäftsleitung gehören. Diese Unterlagen können Audits, Sicherheitsanfragen von Kunden und den Austausch mit Aufsichtsbehörden unterstützen.
| Compliance-Bereich | Was die Übung überprüft | Warum dies wichtig ist |
|---|---|---|
| Reaktion auf Vorfälle | Eskalation, Eindämmung und Entscheidungsfindung | Beweist, dass Reaktionspläne in der Praxis funktionieren |
| Governance | Einbindung der obersten Führungsebene und Rechenschaftspflicht | Unterstützt die Aufsicht durch Vorstand und Geschäftsführung |
| Berichterstattung | Interne Eskalation und Meldung an die Aufsichtsbehörden | Reduziert Compliance- und Berichtsrisiken |
| Geschäftskontinuität | Prioritäten bei der Aufrechterhaltung des Betriebs und der Wiederherstellung | Stärkt die operative Widerstandsfähigkeit |
| Risiken durch Dritte | Lieferantenabhängigkeit und Kommunikation | Unterstützt die Anforderungen von DORA und NIS2 |
| Kontinuierliche Verbesserung | Erfahrungswerte und Korrekturmaßnahmen | Unterstützt die Reifegrade nach ISO 27001 |
Der Digital Operational Resilience Act, bekannt als DORA, hat die IKT-Resilienz zu einer zentralen Priorität für Finanzinstitute und viele Organisationen gemacht, die den Finanzdienstleistungssektor unterstützen.
DORA konzentriert sich auf das IKT-Risikomanagement, die Bewältigung von Vorfällen, die Prüfung der digitalen Betriebsresilienz, IKT-Risiken durch Dritte und die Geschäftskontinuität. Eine Tabletop-Übung kann Organisationen dabei helfen, zu testen, wie sie auf einen schwerwiegenden IKT-bezogenen Vorfall reagieren würden, bevor dieser eintritt.
Eine auf DORA ausgerichtete Übung könnte beispielsweise einen Ransomware-Angriff auf einen Zahlungsdienst, einen Ausfall bei einem Cloud-Anbieter, eine Störung einer kritischen Plattform oder die Kompromittierung eines wichtigen externen IKT-Anbieters simulieren.
Die Übung sollte prüfen, ob die Organisation in der Lage ist:
Der eigentliche Nutzen liegt darin, Lücken frühzeitig aufzudecken. Wenn die Übung unklare Zuständigkeiten, unvollständige Lieferantenkontakte, schwache Meldeprozesse oder Unsicherheiten hinsichtlich der Wiederherstellungsprioritäten aufdeckt, können diese Probleme behoben werden, bevor sie zu regulatorischen oder betrieblichen Risiken führen.
NIS2 hat die Cybersicherheitsverpflichtungen auf wesentliche und wichtige Einrichtungen in der EU ausgeweitet. Dabei wird größerer Wert auf Cyberrisikomanagement, Vorfallbearbeitung, Geschäftskontinuität, Krisenmanagement, Sicherheit der Lieferkette und die Rechenschaftspflicht der Geschäftsleitung gelegt.
Eine an NIS2 ausgerichtete Tabletop-Übung hilft Organisationen dabei, zu prüfen, ob diese Verpflichtungen unternehmensweit verstanden werden. Sie eignet sich besonders gut zur Beurteilung der Zusammenarbeit zwischen technischen, operativen, rechtlichen, Compliance- und Führungsteams im Falle eines schwerwiegenden Vorfalls.
Ein typisches NIS2-Szenario könnte Ransomware, die Störung eines wesentlichen Dienstes, die Kompromittierung eines Lieferanten, die Ausnutzung einer bekannten Schwachstelle oder einen Vorfall betreffen, der mehrere Märkte betrifft.
Die Übung sollte Folgendes testen:
Dies ist besonders wichtig für Organisationen, die in verschiedenen EU-Ländern tätig sind. Ein einzelner Cybervorfall kann je nachdem, welche Dienste, Systeme, Kunden und Märkte betroffen sind, unterschiedliche melde- und operative Überlegungen nach sich ziehen.
Tabletop-Übungen unterstützen zudem eines der zentralen Themen von NIS2: die Verantwortlichkeit der Unternehmensleitung. Führungskräfte dürfen bei der Reaktion auf Cybervorfälle nicht außen vor bleiben. Sie müssen ihre Rolle bei der Aufsicht, der Entscheidungsfindung, der Aufrechterhaltung des Betriebs, der Öffentlichkeitsarbeit und den Investitionen in die Wiederherstellung verstehen.
Die Norm ISO 27001 basiert auf der Einrichtung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems. Tabletop-Übungen unterstützen dieses Modell, indem sie Organisationen dabei helfen, zu testen, ob Informationssicherheitsprozesse in der Praxis funktionieren.
Eine an ISO 27001 ausgerichtete Tabletop-Übung kann den Nachweis erbringen, dass Vorkehrungen zur Reaktion auf Vorfälle überprüft wurden, Zuständigkeiten verstanden werden, Risiken überwacht werden und Verbesserungsmaßnahmen nachverfolgt werden.
Sie kann zudem weitere Bereiche unterstützen, darunter die Geschäftskontinuitätsplanung, das Lieferantenmanagement, die Sensibilisierung, die Einbindung der Führungskräfte und die kontinuierliche Verbesserung.
Der wichtigste Teil ist die Nachbereitung. Eine Tabletop-Übung sollte nicht enden, wenn das Szenario abgeschlossen ist. Die Ergebnisse sollten dokumentiert, priorisiert und den Verantwortlichen zugewiesen werden. Richtlinien, Leitfäden und Verfahren sollten bei Bedarf aktualisiert werden. Die Maßnahmen sollten anschließend über die Risikomanagement- oder ISMS-Prozesse der Organisation nachverfolgt werden.
Dadurch entsteht eine klare Verbindung zwischen den Ergebnissen der Übung und der kontinuierlichen Verbesserung. Für Organisationen, die sich auf die Zertifizierung nach ISO 27001 vorbereiten oder eine bestehende Zertifizierung aufrechterhalten, können Tabletop-Übungen dazu beitragen, zu zeigen, dass das Vorfallmanagement nicht nur dokumentiert, sondern auch aktiv getestet und verbessert wird.
Cybervorfälle werden oft zu Datenschutzvorfällen. Sind personenbezogene Daten betroffen, müssen Organisationen das Risiko bewerten, den Umfang erfassen und entscheiden, ob eine Meldung erforderlich ist.
Eine Tabletop-Übung hilft dabei zu testen, ob die Teams aus den Bereichen Recht, Datenschutz, Sicherheit und Kommunikation effektiv zusammenarbeiten können. Sie kann aufzeigen, ob die Organisation weiß, welche Informationen gesammelt werden müssen, wie das Risiko für betroffene Personen bewertet wird und wer die endgültige Entscheidung über die Meldung trifft.
Ein auf die DSGVO ausgerichtetes Szenario könnte gestohlene Kundendaten, die versehentliche Offenlegung sensibler Datensätze, kompromittierte Mitarbeiterdaten oder den unbefugten Zugriff auf eine Cloud-Plattform beinhalten.
Die Übung sollte prüfen, ob die Organisation in der Lage ist:
Dies ist von großem Wert, da reale Vorfälle selten eindeutig oder vollständig sind. Informationen können unklar sein, Untersuchungen möglicherweise noch im Gange sein und die Organisation kann unter Druck von Kunden, Aufsichtsbehörden oder den Medien stehen. Das Einüben dieser Szenarien hilft, Verwirrung zu vermeiden, wenn es auf Schnelligkeit und Genauigkeit ankommt.
Eine auf Compliance ausgerichtete Tabletop-Übung sollte auf das tatsächliche Betriebsumfeld der Organisation zugeschnitten sein. Allgemeine Szenarien bieten selten denselben Nutzen, da sie die Dienstleistungen, Lieferanten, Systeme, regulatorischen Risiken oder geschäftlichen Prioritäten der Organisation nicht widerspiegeln.
Eine fundierte Übung sollte Folgendes umfassen:
Die besten Übungen gehen über die Bereiche Sicherheit und IT hinaus. Je nach Szenario müssen möglicherweise auch die Bereiche Recht, Compliance, Betrieb, Kommunikation, Beschaffung, Datenschutz, Risikomanagement und die oberste Führungsebene einbezogen werden.
Damit wird geprüft, ob die Teams Vorfälle richtig einstufen und schnell genug eskalieren können.
Hier wird geprüft, ob die Abteilungen für Recht, Compliance, Führung, Betrieb und Kommunikation wissen, wann sie eingreifen müssen.
Hier wird geprüft, ob die Organisation die richtigen Informationen sammeln und die Meldepflichten rechtzeitig einschätzen kann.
Dies zeigt, ob die Kontinuitäts- und Wiederherstellungspläne den tatsächlichen geschäftlichen Prioritäten entsprechen.
Dies belegt, dass die Organisation nicht nur testet, sondern ihre Widerstandsfähigkeit im Laufe der Zeit stärkt.
Tabletop-Übungen decken oft Probleme auf, die in Richtlinien dokumenten nur schwer zu erkennen sind.
Zu den häufigen Befunden zählen unklare Zuständigkeiten, langsame Eskalation, veraltete Kontaktlisten, eingeschränkte Transparenz bei Lieferanten, unzureichende Nachweissicherung und Unsicherheiten hinsichtlich der behördlichen Berichterstattung.
Eine weitere häufige Schwachstelle ist die übermäßige Abhängigkeit von technischen Teams. In der Realität wird ein schwerwiegender Cybervorfall schnell zu einem geschäftlichen Problem. Rechts-, Kommunikations-, Betriebs-, Compliance- und Führungsteams müssen möglicherweise alle Entscheidungen treffen, noch bevor die technische Untersuchung abgeschlossen ist.
Deshalb sind Tabletop-Übungen so nützlich. Sie zeigen auf, worauf geachtet werden muss, bevor ein echter Vorfall zu Betriebsstörungen, regulatorischen Risiken oder Reputationsschäden führt.
Verwenden Sie diese Checkliste, um zu beurteilen, ob Ihr Unternehmen für eine Compliance-orientierte Tabletop-Übung bereit ist.
Integrity360 unterstützt Unternehmen bei der Konzeption und Durchführung maßgeschneiderter Cybersicherheits-Tabletop-Übungen, die auf operative und Compliance-Prioritäten abgestimmt sind.
Unsere Experten entwickeln realistische Szenarien auf der Grundlage Ihrer Bedrohungslage, der regulatorischen Anforderungen und Ihres Geschäftsmodells. Die Übungen können so konzipiert werden, dass sie die DORA-Bereitschaft, NIS2-Resilienzmaßnahmen, die Reife der Incident-Response gemäß ISO 27001, die Reaktion auf DSGVO-Verstöße, die Krisenkommunikation, Störungen durch Dritte sowie die Entscheidungsfindung auf Vorstandsebene testen.
Das Ergebnis ist nicht nur eine Übung. Es ist ein klareres Verständnis Ihrer Bereitschaft, Ihrer Lücken und der Maßnahmen, die zur Verbesserung der Widerstandsfähigkeit erforderlich sind.