Notfallmanagement
Ransomware Tabletop-Übung bei einer Versicherung
Branche: Versicherungsbranche
Standorte: 1 Standort in Frankfurt
Mitarbeitende: > 10.000
Leistung: Ransomare Tabletop Exercise
Eine Versicherung stand vor der Aufgabe, ihre Reaktionsfähigkeit bei schwerwiegenden Cybervorfällen zu überprüfen und gezielt weiterzuentwickeln. Das Unternehmen verarbeitet sensible Kunden-, Vertrags- und Schadendaten, betreibt digitale Kundenservices und ist auf eine hohe Verfügbarkeit seiner Kernsysteme angewiesen. Ein größerer Sicherheitsvorfall hätte daher nicht nur technische Auswirkungen, sondern auch Folgen für Kundenkommunikation, Meldepflichten, Geschäftsprozesse, Reputation und regulatorische Anforderungen.
Ziel des Projekts war die Konzeption und Durchführung einer Tabletop-Übung mit einem realistischen Cyberkrisenszenario. Dabei sollte nicht die technische Detailanalyse im Vordergrund stehen, sondern die Frage, wie Management, IT, Informationssicherheit, Datenschutz, Recht, Kommunikation, Fachbereiche und externe Dienstleister in einer Krisensituation zusammenarbeiten.
Zu Projektbeginn verfügte die Versicherung bereits über definierte Prozesse für Informationssicherheit, IT-Betrieb, Datenschutz und Notfallmanagement. Es gab Eskalationswege, Ansprechpartner, Krisenkommunikationsstrukturen und technische Maßnahmen zur Erkennung und Behandlung von Sicherheitsvorfällen.
Diese Strukturen waren jedoch bislang nur begrenzt in einem bereichsübergreifenden Cyberkrisenszenario erprobt worden. Unklar war insbesondere, wie schnell relevante Rollen zusammenkommen, wie Entscheidungen unter Unsicherheit getroffen werden, welche Informationen für Vorstand und Krisenstab benötigt werden und wie Meldepflichten, Kundenkommunikation und operative Wiederherstellung koordiniert werden.
Die Versicherung suchte daher eine Übung, die realitätsnah, aber kontrolliert abläuft. Sie sollte Schwachstellen in Prozessen sichtbar machen, ohne den laufenden Betrieb zu belasten oder Teilnehmende bloßzustellen.
Im ersten Schritt entwickelten wir gemeinsam mit ausgewählten Ansprechpartnern ein passendes Übungsszenario. Grundlage waren typische Bedrohungen für Versicherungen, vorhandene IT- und Geschäftsprozesse sowie die bestehenden Incident-Response- und Krisenmanagementstrukturen.
Das Szenario wurde bewusst mehrstufig aufgebaut. Zu Beginn gab es erste Hinweise auf ungewöhnliche Aktivitäten in der IT-Umgebung. Im weiteren Verlauf verdichteten sich die Indizien zu einem schwerwiegenden Sicherheitsvorfall mit möglichen Auswirkungen auf zentrale Systeme, Kundendaten, Dienstleisterbeziehungen und öffentliche Wahrnehmung.
Während der Tabletop-Übung wurden die Teilnehmenden mit neuen Informationen, Entscheidungsfragen und Lageveränderungen konfrontiert. Dazu gehörten technische Befunde, Rückfragen aus Fachbereichen, mögliche Datenschutzaspekte, Medienanfragen, Kundenkommunikation, regulatorische Meldepflichten und Priorisierungsentscheidungen zur Wiederherstellung des Betriebs.
Wir moderierten die Übung, steuerten die Lageentwicklung und beobachteten Entscheidungswege, Rollenverständnis, Kommunikation, Dokumentation und Eskalation. Im Anschluss wurden die Ergebnisse gemeinsam ausgewertet und in konkrete Verbesserungsmaßnahmen überführt.
Im Rahmen der Tabletop-Übung wurden unter anderem folgende Aspekte überprüft und weiterentwickelt:
- Aktivierung und Zusammensetzung des Krisenstabs
- Rollen, Verantwortlichkeiten und Entscheidungsbefugnisse im Cybervorfall
- Schnittstellen zwischen IT, Informationssicherheit, Datenschutz, Recht und Kommunikation
- Informationsbedarf und Berichtslinien für Vorstand und Management
- Bewertung technischer Befunde unter geschäftlichen und regulatorischen Gesichtspunkten
- Umgang mit möglichen Datenschutzverletzungen und Meldepflichten
- interne Kommunikation an Fachbereiche und Mitarbeitende
- externe Kommunikation gegenüber Kunden, Aufsicht, Dienstleistern und Öffentlichkeit
- Priorisierung kritischer Systeme und Geschäftsprozesse für Wiederherstellung
- Zusammenarbeit mit externen IT-, Forensik- und Kommunikationsdienstleistern
- Dokumentation von Entscheidungen, Annahmen und Maßnahmen im Krisenverlauf
- Ableitung eines Maßnahmenplans zur Verbesserung der Krisenreaktion
Ein besonderer Schwerpunkt lag auf Entscheidungen unter Unsicherheit. Wie in realen Cybervorfällen waren zu Beginn nicht alle Informationen verfügbar. Die Teilnehmenden mussten bewerten, wann eskaliert wird, welche Annahmen tragfähig sind, wann der Vorstand einzubinden ist und welche Kommunikation zu welchem Zeitpunkt angemessen ist.
Durch die Übung erhielt die Versicherung eine realistische Einschätzung ihrer organisatorischen Reaktionsfähigkeit. Bestehende Stärken wurden sichtbar, insbesondere bei der fachlichen Expertise, der Sensibilität für Kundendaten und dem Bewusstsein für regulatorische Anforderungen.
Gleichzeitig zeigte die Übung konkrete Verbesserungsfelder. Dazu gehörten unter anderem die Präzisierung von Rollen im Krisenstab, klarere Entscheidungsvorlagen für das Management, verbindlichere Kommunikationswege, vorbereitete Textbausteine für unterschiedliche Zielgruppen und eine bessere Verzahnung von technischer Incident Response mit Geschäftsfortführung und Reputationsmanagement.
Für die Teilnehmenden war die Übung besonders wertvoll, weil sie das Zusammenspiel der verschiedenen Bereiche praktisch erlebbar machte. Cyberkrisen wurden nicht mehr nur als IT-Thema verstanden, sondern als unternehmensweite Lage, in der technische, rechtliche, kommunikative und geschäftliche Entscheidungen zusammengeführt werden müssen.
Der Erfolg lag in der realistischen, aber konstruktiven Gestaltung der Übung. Das Szenario war nah genug an der Realität der Versicherung, um relevante Diskussionen auszulösen, blieb aber kontrolliert genug, um strukturiert zu lernen und Verbesserungen abzuleiten.
Wichtig war außerdem die bereichsübergreifende Beteiligung. Neben IT und Informationssicherheit waren auch Datenschutz, Recht, Kommunikation, Fachbereiche und Management eingebunden. Dadurch wurde deutlich, welche Informationen in einer Krise von wem benötigt werden und wo Schnittstellen noch geschärft werden müssen.
Die Übung erzeugte keinen reinen Prüfcharakter. Statt Fehler zu suchen, stand das gemeinsame Lernen im Vordergrund. Dadurch entstand eine offene Diskussion über Unsicherheiten, Entscheidungswege und praktische Hürden im Ernstfall.
Die Versicherung verfügt nach der Tabletop-Übung über ein deutlich besseres Verständnis ihrer Cyberkrisenfähigkeit. Entscheidungswege, Kommunikationsstrukturen und Rollen im Krisenfall wurden überprüft, geschärft und in konkrete Verbesserungsmaßnahmen überführt.
Die Übung stärkte die Zusammenarbeit zwischen technischen, rechtlichen, kommunikativen und geschäftlichen Funktionen. Gleichzeitig wurde die Grundlage geschaffen, Incident-Response-, Krisenmanagement- und Business-Continuity-Prozesse gezielt weiterzuentwickeln.
Das Projekt zeigt: Eine Tabletop-Übung ist mehr als ein Planspiel. Richtig konzipiert, macht sie sichtbar, wie eine Organisation unter Druck entscheidet, kommuniziert und handlungsfähig bleibt.
Vereinbaren Sie ein unverbindliches Erstgespräch und lassen Sie uns gemeinsam klären, wo Ihr Unternehmen steht und welche nächsten Schritte sinnvoll sind.
Elit facilisis maecenas euismod vulputate. Dignissim natoque nascetur donec urna in vel vitae.
Vereinbaren Sie ein unverbindliches Erstgespräch und lassen Sie uns gemeinsam klären, wo Ihr Unternehmen steht und welche nächsten Schritte sinnvoll sind.
