Typische Gründe, woran Notfallpläne scheitern können
Auch augenscheinlich ausgefeilte Incident-Response-Pläne können bei einem wirklichen Sicherheitsvorfall nicht greifen. Hier einige typische Ursachen fürs Scheitern in der Praxis.
Trotz vorhandener Pläne kann im Falle eines Falles bei der Vorfallreaktion - etwa auf einen Sicherheitsvorfall - einiges schiefgehen. Und dies hat für ein Unternehmen dann häufig massive Folgen.
Eine Umfrage von New Relic aus dem Jahr 2025 unter 1.700 IT-Fachleuten ergab, dass schwerwiegende IT-Ausfälle mittlerweile durchschnittliche Kosten von 2 Millionen US-Dollar pro Stunde verursachen – das sind etwa 33.000 US-Dollar pro Minute – und zu jährlichen Verlusten von durchschnittlich 76 Millionen US-Dollar pro Unternehmen führen. Je länger ein Vorfall andauert, desto größer ist der Schaden. Der Cost of a Data Breach Report 2025 von IBM ergab, dass Verstöße, die innerhalb von 200 Tagen behoben wurden, durchschnittlich 3,87 Millionen US-Dollar an Verlusten verursachten, verglichen mit 5,01 Millionen US-Dollar, wenn die Erkennung und Reaktion länger dauerte.
Typische Auswirkungen von Problemen bei der Reaktion auf und Behebung von Vorfällen sind auch längere Ausfallzeiten, mögliche Bußgelder und Reputationsschäden. Diese bringen wiederum wirtschaftliche Folgen mit sich.
Wenn Notfallpläne fehlschlagen oder nicht wie beabsichtigt funktionieren, können die Gründe dafür komplex und vielfältig sein. Die Ursachen reichen von Lücken in der Teamkoordination über unerwartete Systemausfälle und unzureichende Bedrohungsinformationen bis hin zu Angreifern, die bisher unbekannte Schwachstellen ausnutzen.
Security-Analysten weisen in diesem Zusammenhang auf mehrere mögliche Ursachen für das Scheitern von Notfallplänen hin.
Komplexe oder vage Pläne
Unzureichend formulierte Pläne mit unvollständigen Problemfällen und Reaktionen können die Maßnahmen zur Reaktion auf Vorfälle behindern. Das Gleiche gilt für übermäßig detaillierte Checklisten, die nicht der Realität entsprechen, oder allgemeine Aussagen ohne konkrete Maßnahmen.
Manche Pläne seien zu technisch und schon in dem Moment veraltet, in dem sie fertig gestellt würden. Andere lesen sich wie ein juristisches Dokument, so dass die Personen, die die Schritte des Plans umsetzen sollen, nicht verstehen, was sie tun sollen.
Der Schlüssel bestehe darin, Notfallpläne zu entwickeln, die unter Druck und in den Ausnahmesituationen funktionieren, so Daniel Kennedy, Analyst bei S&P Global Market Intelligence. Es müsse klar definiert werden, wer welche Aufgaben übernimmt. Die Pläne müssen technisch ausreichend detailliert sein, um als Leitfaden für Maßnahmen zu dienen, aber auch klar genug, damit die Einsatzkräfte ihre Rollen verstehen. Die Einbeziehung aller Beteiligten und die Zustimmung der Führungskräfte während der Planung sind zwar schwierig, zahlen sich aber aus, wenn tatsächlich ein Vorfall eintritt.
Unklare Rollen und Verantwortlichkeiten
Wenn niemand weiß, wer während eines Vorfalls die Verantwortung trägt oder was zu tun ist, kann es zu schwerwiegenden Problemen kommen.
Gelungene Pläne legen klare Entscheidungshierarchien mit vorab genehmigten Reaktionsmaßnahmen fest, die keine Echtzeitgenehmigung erfordern, so Mari DeGrazia, zertifizierte SANS-Ausbilderin und Leiterin des Bereichs Incident Response bei IDX.
So wüssten Teams ganz genau wer in kritischen Momenten die Isolierung des Netzwerks, das Herunterfahren des Systems oder die externe Kommunikation genehmigen kann, ohne auf die Zustimmung der Geschäftsleitung warten zu müssen. So würden zu Notfallplänen beispielsweise vorab unterzeichnete rechtliche Vereinbarungen mit Forensikunternehmen, klare Ausgabenbefugnisse für Notfallressourcen und dokumentierte Eskalationsauslöser, die automatisch zusätzliche Reaktionsmöglichkeiten aktivieren, gehören.
Ein häufiges Problem trete auf, wenn Führungskräfte ohne klar definierte Aufgaben im Bereich Incident Response sich in die aktive Vorfallreaktion einmischen und dabei festgelegte Verfahren und zuvor vereinbarte Reaktionsschritte außer Kraft setzen. Diese Person verfügt in der Regel über genügend organisatorische Macht, um andere dazu zu veranlassen, andere Aufgaben zu übernehmen, oder kann von anderen verlangen, ihre Arbeit zu unterbrechen, um ihre Fragen zu beantworten, hat jedoch nicht genügend Zeit investiert, um sich mit dem Plan vertraut zu machen, der in ruhigen Zeiten sorgfältig ausgearbeitet wurde.
Obwohl oft gut gemeint, kann eine solche Einmischung den gesamten Reaktionsprozess zum Scheitern bringen.
„Wenn eine hochrangige Führungskraft, sogar auf C-Level, in die sorgfältig ausgearbeiteten Planungsschritte einbezogen wird und diese genehmigt, kann dieses Problem umgangen werden“ so Daniel Kennedy.
Unzureichende Werkzeuge und Berechtigungen
Fehler im Notfallplan können auch auftreten, wenn den Einsatzkräften die erforderlichen Tools, Anmeldedaten oder Berechtigungen für kritische Systeme fehlen – insbesondere, wenn schon wenige Sekunden einen großen Unterschied machen können.
„Notfallpläne gehen häufig davon aus, dass Tools und Technologien verfügbar sind, die möglicherweise nicht ordnungsgemäß konfiguriert, gewartet oder während eines tatsächlichen Vorfalls zugänglich sind“, so Elvia Finalle, Analystin bei Omdia, einem Geschäftsbereich von Informa TechTarget. „Dazu gehören Backup-Systeme, die nicht getestet wurden, Überwachungstools mit Lücken in der Abdeckung oder Kommunikationssysteme, die während des Vorfalls nicht verfügbar sind.“
Eine weitere Fehlannahme sei, dass der Incident-Response-Plan der einzige Plan sei, der während der Reaktion auf einen Vorfall umgesetzt werden müsse. Um Störungen zu minimieren, sollten Unternehmen auch über Backup-Systeme verfügen und eine sichere Möglichkeit haben, den Betrieb wie gewohnt fortzusetzen, während die ursprüngliche Umgebung wiederhergestellt wird.
Auch externe IT-Dienstleister und Anbieter können Probleme verursachen. „Sie reagieren nicht immer, wenn man sie braucht, oder Unternehmen stellen fest, dass sie nicht über die richtigen Service Level Agreements für Notfälle verfügen“, so DeGrazia. Einige MSPs verlangen beispielsweise deutlich höhere Preise für die Unterstützung während eines Vorfalls und außerhalb der Geschäftszeiten, was in einer ohnehin schon stressigen Situation eine unangenehme Überraschung sein kann.
Starre und unflexible Pläne
Die meisten Notfallpläne werden unter der Annahme idealer Bedingungen erstellt. In diesen Plänen sind wichtige Mitarbeiter immer verfügbar, Systeme funktionieren wie erwartet und externe Ressourcen reagieren sofort. Das echte Leben ist jedoch oft viel chaotischer und unvorhersehbarer.
„Die Realität sieht jedoch anders aus“, so Finalle. „Vorfälle ereignen sich in der Regel an Wochenenden, Feiertagen oder wenn wichtige Teammitglieder nicht verfügbar sind. Kritische Systeme reagieren nicht wie dokumentiert, Backup-Kommunikationskanäle funktionieren nicht und externe Forensikunternehmen sind bereits mit anderen Kunden beschäftigt.“
Während Notfallpläne von einer kontrollierten Umgebung ausgehen, verursachen Sicherheitsverletzungen Chaos, und die Einsatzkräfte stellen schnell fest, dass nichts wie vorgesehen funktioniert.
Incident-Response-Pläne basieren auf methodischen, schrittweisen Prozessen, die Zeit für Analyse und Überlegungen lassen. Bei tatsächlichen Vorfällen verkürzt sich die Entscheidungszeit jedoch auf Minuten statt Stunden, während die Einsatzkräfte gleichzeitig mit Informationen aus verschiedenen Quellen überflutet werden.
„Teams müssen wichtige Entscheidungen zur Eindämmung treffen, obwohl sie nur über unvollständige Informationen verfügen, während sie Dutzende paralleler Aktivitäten verwalten – eine kognitive Belastung, die in den meisten Plänen nicht berücksichtigt wird und auf die Teams nicht vorbereitet sind“, so Mari DeGrazia.
So würden Unternehmen ihre Backups prinzipiell testen, aber nur selten, ob sie diese auch unter Druck wieder herstellen können.
Ungetestete Notfallpläne
Wenn Notfallpläne in den Schubladen verstauben, ist die Wahrscheinlichkeit groß, dass sie im Ernstfall nicht wie vorgesehen funktionieren. Ebenso wenig hilfreich sind Notfallpläne, die auf veralteter Architektur basieren oder Cloud-Umgebungen, Remote-Mitarbeiter oder aktuelle Systemänderungen nicht berücksichtigen.
„Pläne für die Reaktion auf Vorfälle müssen regelmäßig überarbeitet und aktualisiert werden, da sich Hacking-Mechanismen ändern, insbesondere im Bereich der KI“, erklärt Finalle.
Pläne, die auch unter Druck Bestand haben, basieren auf umfangreichen, realistischen Schulungen, die bei den Einsatzteams eine Art Muskelgedächtnis schaffen. Organisationen mit robusten Plänen führen monatliche Tabletop-Übungen, vierteljährliche Simulationen mit echter Systemisolierung und jährliche umfassende Vorfallübungen durch, bei denen Kommunikationskanäle und Entscheidungsprozesse einem Stresstest unterzogen werden.
Pläne für die Reaktion auf Vorfälle müssen regelmäßig überarbeitet und aktualisiert werden, da sich Hacking-Mechanismen ändern, insbesondere im Bereich der KI.
Elvia Finalle, Analystin bei Omdia
Die wiederholten Übungen würden sicherstellen, dass die Teams bei einem tatsächlichen Vorfall, wenn Adrenalin ausgeschüttet wird, die Abläufe automatisch und ohne zu zögern oder verunsichert ausführen.
Dennoch führen viele Unternehmen keine sinnvollen Tabletop-Übungen durch, so Kennedy. Und wenn sie dies doch tun, sind die Führungskräfte – also diejenigen, die bei einem tatsächlichen Vorfall eine Schlüsselrolle spielen würden – oft nicht an den Tabletop-Übungen beteiligt.
„Ihr Ziel ist es, in einer simulierten Umgebung Schwachstellen im Plan aufzudecken“, fügte er hinzu. „Die Variablen, die bei einem tatsächlichen Einsatz auftreten, machen einem immer einen Strich durch die Rechnung. Daher müssen Pläne die wichtigsten Schritte abdecken, aber flexibel genug sein, um spontane Entscheidungen und Eskalationen zu ermöglichen.“
Mangel an funktionsübergreifendem Input
Eine effektive Reaktion auf Vorfälle hängt von einer koordinierten, funktionsübergreifenden Zusammenarbeit innerhalb des gesamten Unternehmens ab. Während die IT- und Sicherheitsabteilungen für die Erkennung, Eindämmung und Behebung von Bedrohungen zuständig sind, geht die Reaktion auf Vorfälle weit über technische Maßnahmen hinaus. So sorgen beispielsweise die Rechtsabteilungen dafür, dass die Melde- und Compliance-Anforderungen erfüllt werden, die Kommunikations- und PR-Abteilungen kümmern sich um die interne und externe Kommunikation, und die Führungskräfte bewerten die Auswirkungen auf den Geschäftsbetrieb. Auch die Personalabteilung könnte einbezogen werden, wenn Insideraktivitäten oder Mitarbeiterdaten betroffen sind.
„Einer der häufigsten Gründe für das Scheitern von Notfallplänen ist der Mangel an funktionsübergreifenden Beiträgen während ihrer Entwicklung“, sagt Finalle. „Pläne werden oft isoliert erstellt – in der Regel vom Sicherheitsteam –, ohne angemessene Beiträge von der Rechtsabteilung, der IT-Infrastruktur, dem Helpdesk oder anderen wichtigen Beteiligten.“
Das Ergebnis? Pläne, die die Realitäten oder Einschränkungen dieser Teams nicht widerspiegeln, was bei einem tatsächlichen Vorfall zu Fehlern bei der Reaktion führen kann.
Ein Mangel an Bewusstsein verschärft die Situation zusätzlich. „Das Sicherheitsteam weiß vielleicht, dass es einen Plan gibt, aber andere in der Organisation wissen davon nichts“, so Finalle. „Wenn die Personen, die den Plan umsetzen sollen, damit nicht vertraut sind – oder gar nicht wissen, dass es ihn gibt –, ist es unwahrscheinlich, dass er funktioniert.
Den menschlichen Faktor nicht ausreichend berücksichtigen
Ein plötzlicher Vorfall im Bereich der Cybersicherheit zwingt Incident-Response-Teams dazu, unter hohem Druck und Zeitdruck Entscheidungen mit weitreichenden Konsequenzen zu treffen. In der Hektik des Augenblicks kann dies zu Risikoscheu führen. „Die Menschen zögern möglicherweise zu handeln, weil sie nicht für eine falsche Entscheidung verantwortlich gemacht werden wollen“, so DeGrazia.
Der Zeitpunkt eines Vorfalls kann sich ebenfalls auf die Reaktion auswirken. Wenn beispielsweise ein Angriff nach Feierabend oder am Wochenende stattfindet, kann sich die Reaktion verzögern. Unternehmen, die von ihren Mitarbeitern zusätzlich zu ihren normalen Arbeitspflichten lange Arbeitszeiten verlangen, riskieren außerdem Burnout und vermeidbare Fehler.
Die Unternehmenskultur wirkt sich auch auf die Effektivität der Reaktion auf Vorfälle aus, so Andrew Braunberg, Analyst bei Omdia. Beispielsweise haben die Risikobereitschaft und die Risikoschwelle eines Unternehmens erheblichen Einfluss auf die Finanzierung, und die Kultur kann die Struktur des Teams für die Reaktion auf Vorfälle verändern. Beispielsweise, ob das Incident-Response-Team ein integraler Bestandteil des Security Operations Center (SOC) ist oder ein eigenständiges Team bildet.
Um menschliches Fehlverhalten zu vermeiden, sei es laut Braunberg entscheidend, einen klaren Plan für die Reaktion auf Vorfälle zu haben und sicherzustellen, dass die Teammitglieder entsprechend geschult werden. Zur Schulung gehöre auch, den Plan klar zu kommunizieren und das Team sowie den Plan zu testen. Dazu sollten Penetrationstests, Tabletop-Übungen und Red, Purple und Blue Teaming gehören.
Wenn ein Notfallplan bei einem tatsächlichen Angriff nicht umgesetzt werden kann, ist er nahezu unbrauchbar. Letztendlich liegt sein Wert darin, Ordnung und Ruhe zu stiften, damit Teams unter Druck und in kritischen Situationen angemessen reagieren können.
Dieser Artikel ist im Original in englischer Sprache auf Search Security erschienen.
