- Die IT-Notfallkarte ist ein ein- bis zweiseitiges Dokument mit den wichtigsten Kontakten und Sofortmaßnahmen, das am Arbeitsplatz jedes Mitarbeiters verfügbar sein sollte.
- Das BSI stellt eine kostenlose Vorlage bereit, die als Ausgangspunkt dient. Passe sie an dein Unternehmen an, anstatt sie unverändert zu übernehmen.
- Die Karte muss vier Dinge enthalten: Kontaktdaten der Ansprechpartner, die ersten drei bis fünf Schritte bei einem IT-Notfall, klare Verbote (Was NICHT tun) und eine einfache Klassifizierung, wann es ein Notfall ist.
- Für das IT-Team gibt es eine erweiterte technische Notfallkarte mit IP-Adressen, Zugangsdaten-Tresor-Anleitung, Wiederanlaufreihenfolge und Kontakten zu externen Dienstleistern.
- Die Notfallkarte muss vierteljährlich auf aktuelle Kontaktdaten geprüft und bei Personalwechseln sofort aktualisiert werden.
Warum eine IT-Notfallkarte?
Es ist Montagmorgen, 8:15 Uhr. Ein Mitarbeiter aus der Buchhaltung öffnet seinen Laptop und sieht statt des gewohnten Desktops eine Meldung: „Your files have been encrypted." Die Dateien sind nicht mehr zugänglich. Der Mitarbeiter ist kein IT-Experte. Er weiß nicht, ob er den Laptop ausschalten, den Netzstecker ziehen oder einfach abwarten soll. Er ruft einen Kollegen, der auch nicht weiterhelfen kann. Bis die richtige Person informiert ist, vergehen 45 Minuten. In diesen 45 Minuten breitet sich die Ransomware über das Netzwerk aus.
Dieses Szenario passiert regelmäßig in Unternehmen, die zwar einen Incident-Response-Plan in einem Ordner liegen haben, aber keine einfache, sofort greifbare Handlungsanleitung am Arbeitsplatz. Genau diese Lücke schließt die IT-Notfallkarte. Ein funktionierender Incident-Response-Plan ist die Grundlage, aber die Notfallkarte ist die alltagstaugliche Ableitung daraus.
Die IT-Notfallkarte ist bewusst kein umfassendes Dokument. Sie ist das Gegenteil: ein ein- bis zweiseitiges, laminiertes Blatt, das am Arbeitsplatz hängt oder in der Schreibtischschublade liegt. Es beantwortet genau drei Fragen: Wen rufe ich an? Was tue ich sofort? Was lasse ich auf keinen Fall?
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat die Notfallkarte als Konzept etabliert und stellt eine Vorlage bereit. Diese Vorlage ist ein guter Ausgangspunkt, den du für dein Unternehmen anpassen solltest.
Die BSI-Notfallkarte als Ausgangsbasis
Das BSI hat im Rahmen der Allianz für Cybersicherheit die „IT-Notfallkarte" als Vorlage veröffentlicht. Sie ist nach dem Vorbild der Brandschutz-Aushänge gestaltet und folgt einem einfachen Prinzip: Bei einem IT-Notfall muss jeder Mitarbeiter sofort wissen, was zu tun ist, auch ohne technisches Wissen.
Grundstruktur der BSI-Vorlage
Die BSI-Vorlage gliedert sich in vier Bereiche:
- Überschrift mit Wiedererkennungswert: „IT-Notfall? Richtig handeln!" oder ähnlich, in großer, auffälliger Schrift.
- Notfallnummer: Die eine Telefonnummer, die jeder Mitarbeiter bei einem IT-Notfall anrufen soll.
- Sofortmaßnahmen: Die ersten Schritte, die der Mitarbeiter selbst durchführen soll.
- Was nicht tun: Klare Verbote, um die Situation nicht zu verschlimmern.
Warum du die BSI-Vorlage anpassen solltest
Die BSI-Vorlage ist generisch. Sie funktioniert als Startpunkt, aber ohne Anpassung fehlen die unternehmensspezifischen Informationen, die im Ernstfall den Unterschied machen. Wer ist die konkrete Ansprechperson? Wie lautet die interne Notfallnummer? Welche Systeme sind in deinem Unternehmen besonders kritisch? Welche firmenspezifischen Regeln gelten?
Nimm die BSI-Vorlage als Struktur und fülle sie mit deinen Inhalten. Das Ergebnis ist eine Notfallkarte, die nicht nur gut gemeint, sondern tatsächlich nützlich ist.
Was auf die Notfallkarte muss
Die Notfallkarte richtet sich an alle Mitarbeiter, unabhängig von deren technischem Wissen. Sie muss deshalb so einfach und eindeutig sein, dass sie auch in einer Stresssituation funktioniert. Jedes überflüssige Wort, jede Mehrdeutigkeit und jede Information, die im Moment des Notfalls irrelevant ist, gehört nicht auf die Karte.
Bereich 1: Headline und Erkennungsmerkmal
Die Karte braucht eine sofort erkennbare Überschrift. Groß, fett, in einer Signalfarbe. Der Mitarbeiter muss die Karte auf drei Meter Entfernung als Notfallkarte identifizieren können.
Beispiel:
IT-NOTFALL? Hier steht, was du jetzt tun musst.
Ergänze optional ein Symbol oder Icon (Warnsymbol, Telefon), aber halte es schlicht. Die Karte soll keine Designpreise gewinnen, sondern in Sekundenbruchteilen erfasst werden.
Bereich 2: Wann ist es ein IT-Notfall?
Viele Mitarbeiter sind unsicher, ob ihre Situation wirklich ein „Notfall" ist. Ein langsamer Rechner ist es nicht. Eine verschlüsselte Festplatte schon. Die Karte sollte kurz und klar definieren, wann sie zum Einsatz kommt.
Beispiel:
Es ist ein IT-Notfall, wenn:
- Dein Bildschirm eine unbekannte Nachricht zeigt (z. B. Erpressung, Verschlüsselung)
- Du verdächtige Aktivitäten auf deinem Rechner bemerkst, die du nicht ausgelöst hast
- Du vertrauliche Daten an eine falsche Person gesendet hast
- Du auf einen verdächtigen Link geklickt oder einen verdächtigen Anhang geöffnet hast
- Systeme oder Daten nicht mehr verfügbar sind und das nicht an einer geplanten Wartung liegt
Diese Liste muss nicht vollständig sein. Sie muss die häufigsten Szenarien abdecken und dem Mitarbeiter die Sicherheit geben, dass es richtig ist, den Notfall zu melden, auch wenn sich später herausstellt, dass es Fehlalarm war. Lieber einmal zu viel gemeldet als einmal zu wenig.
Bereich 3: Die Notfallnummer
Das Herzstück der Karte. Eine einzige, eindeutige Nummer, unter der im IT-Notfall immer jemand erreichbar ist. Keine drei Nummern für verschiedene Abteilungen, keine E-Mail-Adresse als Alternative, keine Ausweichnummer für „außerhalb der Geschäftszeiten". Eine Nummer. Immer.
Beispiel:
Ruf SOFORT an: ☎ 0800 123 4567 IT-Notfall-Hotline (24/7 erreichbar)
Oder intern: Durchwahl 999
Wenn dein Unternehmen keinen 24/7-Dienst hat, gib trotzdem eine Nummer an, die auch abends und am Wochenende funktioniert. Das kann die Mobilnummer des diensthabenden IT-Mitarbeiters sein oder ein externer Bereitschaftsdienst.
Bereich 4: Die ersten Schritte
Nach dem Anruf sollte der Mitarbeiter wissen, was er selbst tun kann, um die Situation nicht zu verschlimmern und dem IT-Team die Arbeit zu erleichtern. Beschränke dich auf drei bis fünf Schritte, mehr kann sich niemand in einer Stresssituation merken.
Beispiel:
Was du jetzt tun solltest:
- Ruhe bewahren. Du hast richtig gehandelt, indem du die Notfallnummer anrufst.
- Netzwerkkabel ziehen (falls vorhanden) oder WLAN ausschalten. Das verhindert, dass sich ein möglicher Angriff auf andere Systeme ausbreitet.
- Bildschirm fotografieren. Mach ein Foto mit deinem Handy. Die Meldung auf dem Bildschirm enthält oft wichtige Hinweise für das IT-Team.
- Notiere, was passiert ist: Was hast du zuletzt gemacht? Wann ist es aufgefallen? Welche Systeme sind betroffen?
- Warte auf Anweisungen vom IT-Team. Fahre den Rechner NICHT herunter, es sei denn, das IT-Team weist dich ausdrücklich an.
Der Punkt „Rechner NICHT herunterfahren" ist wichtig und kontraintuitiv. Viele Mitarbeiter denken, dass Ausschalten hilft. In Wahrheit kann ein Herunterfahren forensische Spuren im Arbeitsspeicher vernichten, die für die Analyse des Vorfalls entscheidend sind. Gleichzeitig gibt es Situationen, in denen ein Herunterfahren sinnvoll ist. Die Entscheidung sollte beim IT-Team liegen, nicht beim Mitarbeiter.
Bereich 5: Was du NICHT tun solltest
Dieser Abschnitt ist mindestens so wichtig wie die Handlungsanweisungen. In Panik tun Menschen Dinge, die gut gemeint, aber kontraproduktiv sind.
Beispiel:
Was du NICHT tun solltest:
- NICHT auf die Erpressungsnachricht reagieren oder Lösegeld zahlen
- NICHT versuchen, das Problem selbst zu beheben (keine Virenscans, keine Dateiwiederherstellung)
- NICHT den Vorfall auf sozialen Medien oder mit Externen teilen
- NICHT verdächtige Links oder Dateien an Kollegen weiterleiten (auch nicht als Warnung)
- NICHT USB-Sticks oder andere Speichermedien an den betroffenen Rechner anschließen
Die „NICHT"-Regeln sollten in einer auffälligen Farbe (z. B. Rot) hervorgehoben werden. Sie sind die Leitplanken, die verhindern, dass ein schlimmer Vorfall noch schlimmer wird.
Bereich 6: Angaben für die Meldung
Wenn der Mitarbeiter die Notfallnummer anruft, muss das IT-Team schnell die relevanten Informationen erhalten. Eine kurze Checkliste auf der Karte hilft dem Mitarbeiter, die richtigen Dinge zu berichten.
Beispiel:
Halte folgende Informationen bereit:
- Dein Name und deine Abteilung
- Dein Standort (Gebäude, Stockwerk, Raum)
- Was ist passiert? (Kurzbeschreibung)
- Wann ist es aufgefallen?
- Welche Geräte oder Systeme sind betroffen?
- Hast du einen verdächtigen Link angeklickt oder einen Anhang geöffnet?
Gestaltung der Notfallkarte
Die Gestaltung entscheidet darüber, ob die Karte im Ernstfall funktioniert. Eine schlecht gestaltete Karte wird entweder nicht gefunden, nicht gelesen oder falsch verstanden.
Format und Material
- Format: DIN A5 (halb so groß wie DIN A4) ist ideal. Groß genug, um lesbar zu sein, klein genug, um nicht als Poster an der Wand zu hängen und ignoriert zu werden.
- Laminiert: Die Karte muss laminiert sein. Ein nicht-laminiertes Blatt wird nach zwei Wochen zerknittert in einer Schublade liegen oder beim Kaffee unbrauchbar werden.
- Beidseitig: Vorderseite für die allgemeine Notfallkarte (Bereiche 1 bis 5), Rückseite für die Meldeangaben (Bereich 6) und ggf. weitere Hinweise.
Typografie und Farben
- Überschrift: Mindestens 24pt, fett, in Signalfarbe (Rot oder Orange)
- Notfallnummer: Mindestens 36pt, die größte Schrift auf der Karte
- Fließtext: 12 bis 14pt, gut lesbar auch bei schwachem Licht
- NICHT-Regeln: In Rot oder mit rotem Hintergrund hervorgehoben
- Schriftart: Eine klare Sans-Serif-Schrift. Keine Zierschriften, keine zu dünnen Schnitte.
Platzierung
Die Karte muss dort sein, wo der Mitarbeiter sie im Notfall findet, ohne suchen zu müssen:
- Am Arbeitsplatz: Direkt neben dem Monitor oder unter der Schreibtischablage
- In Besprechungsräumen: Am Eingang oder neben dem Telefon
- In der Produktion: Am Arbeitsplatz, an der Stempeluhr, am Eingang zur Halle
- Digital: Zusätzlich als PDF im Intranet, als Lesezeichen im Browser, als Hintergrundbild auf dem Sperrbildschirm
Die Kombination aus physischer und digitaler Verfügbarkeit ist wichtig. Bei einem Ransomware-Angriff funktioniert das Intranet möglicherweise nicht mehr. Dann muss die physische Karte da sein.
Erweiterte Notfallkarte für das IT-Team
Die allgemeine Notfallkarte richtet sich an alle Mitarbeiter. Das IT-Team braucht eine erweiterte Version mit technischen Informationen, die im Ernstfall sofort verfügbar sein müssen. Diese technische Notfallkarte ist vertraulich und wird nur an IT-Mitarbeiter ausgegeben.
Inhalte der technischen Notfallkarte
1. Sofortmaßnahmen-Checkliste (technisch)
Bei Verdacht auf Ransomware / aktiven Angriff:
- Betroffene Systeme vom Netzwerk isolieren (Netzwerkkabel, WLAN deaktivieren, ggf. Switch-Port deaktivieren)
- Internet-Verbindung trennen (Uplink am Router oder Firewall)
- Backup-Systeme sofort vom Netzwerk trennen (bevor sie ebenfalls kompromittiert werden)
- Krisenstab informieren (siehe Kontaktliste)
- Forensische Sicherung starten (RAM-Dump vor Herunterfahren, Festplattenimage)
- Logdateien sichern (Firewall, Domain Controller, betroffene Server)
- Meldepflichten prüfen (NIS2: 24h, DSGVO: 72h bei Datenpannen)
2. Kritische Systeme und IP-Adressen
| System | IP-Adresse | Standort | Zuständig |
|---|---|---|---|
| Domain Controller 1 | 10.0.1.10 | Serverraum HQ | Admin-Team |
| Domain Controller 2 | 10.0.1.11 | Serverraum HQ | Admin-Team |
| Firewall | 10.0.0.1 | Serverraum HQ | Netzwerk-Team |
| Backup-Server | 10.0.3.50 | Serverraum HQ | Admin-Team |
| E-Mail-Server | 10.0.2.20 | Cloud (M365) | Admin-Team |
| ERP-System | 10.0.2.30 | Serverraum HQ | ERP-Admin |
| Telefonanlage | 10.0.4.10 | Technikraum | Netzwerk-Team |
Diese Tabelle muss die Systeme enthalten, die bei der Wiederherstellung priorisiert werden. Nicht jedes System gehört auf die Notfallkarte, sondern die zehn bis fünfzehn kritischsten.
3. Zugangsdaten-Tresor
Im Notfall werden Zugangsdaten benötigt, die im normalen Betrieb nur wenige Personen kennen: lokale Admin-Passwörter, Recovery Keys, Firewall-Zugänge, Cloud-Admin-Konten. Diese Daten dürfen nicht auf der Notfallkarte stehen, aber die Karte muss beschreiben, wo und wie man sie bekommt.
Notfall-Zugangsdaten:
- Passwort-Manager: KeePass-Datenbank auf verschlüsseltem USB-Stick im Tresor (Serverraum HQ, Tresor-Code bei Geschäftsführung und ISB)
- Offline-Kopie: Versiegelter Umschlag im Banksafe (Sparkasse Musterstadt, Schließfach 4711)
- Break-Glass-Konto: admin.emergency@firma.de (Passwort im versiegelten Umschlag, Tresor Serverraum)
Die Break-Glass-Konten sind Notfallkonten mit hohen Berechtigungen, die nur im Krisenfall verwendet werden dürfen. Ihre Nutzung muss protokolliert und nach dem Vorfall auditiert werden.
4. Wiederanlaufreihenfolge
| Priorität | System | Max. Ausfallzeit | Wiederanlauf-Methode |
|---|---|---|---|
| 1 | Netzwerk-Infrastruktur (Firewall, Switches, DNS) | 2 Stunden | Konfigurationsbackup einspielen |
| 2 | Domain Controller | 4 Stunden | Bare-Metal-Restore aus Backup |
| 3 | E-Mail-System | 8 Stunden | Cloud-Failover (M365) |
| 4 | ERP-System | 12 Stunden | VM-Restore aus Backup |
| 5 | Fileserver | 24 Stunden | VM-Restore aus Backup |
| 6 | Weitere Anwendungen | 48 Stunden | Gemäß Wiederanlaufplan |
Diese Reihenfolge basiert auf der Business-Impact-Analyse und dem Wiederanlaufplan. Die Notfallkarte zeigt die Kurzversion, der detaillierte Wiederanlaufplan liegt separat bereit.
5. Externe Kontakte für den Notfall
| Kontakt | Telefon | Wann kontaktieren |
|---|---|---|
| IT-Security-Dienstleister (Incident Response) | +49 xxx xxxxxxx | Bei bestätigtem Sicherheitsvorfall |
| BSI-Meldestelle (NIS2) | +49 228 99 9582-5500 | Bei meldepflichtigen Vorfällen (24h-Frist) |
| Datenschutzaufsichtsbehörde (DSGVO) | +49 xxx xxxxxxx | Bei Datenpannen mit personenbezogenen Daten (72h-Frist) |
| Cyber-Versicherung | +49 xxx xxxxxxx | Bei Vorfällen mit potenziellem Schaden |
| Rechtsanwalt (IT-Recht) | +49 xxx xxxxxxx | Bei Erpressung, Meldepflichten, Haftungsfragen |
| Polizei (Cybercrime-Stelle) | 110 oder Direktnr. | Bei Straftaten (Erpressung, Datendiebstahl) |
| Telefonanlage (Hotline Provider) | +49 xxx xxxxxxx | Bei Ausfall der Telefonanlage |
Diese Kontaktliste muss regelmäßig auf Aktualität geprüft werden. Nichts ist schlimmer, als im Notfall eine veraltete Nummer anzurufen und in einer Warteschleife zu landen oder bei einem ehemaligen Dienstleister herauszukommen.
Gestaltung der technischen Notfallkarte
Die technische Notfallkarte ist umfangreicher als die allgemeine Version. DIN A4, beidseitig bedruckt und laminiert, ist das übliche Format. Verwende Tabellenstrukturen und nummerierte Listen. Farben helfen bei der schnellen Orientierung: Rot für Sofortmaßnahmen, Gelb für Kontakte, Grün für die Wiederanlaufreihenfolge.
Die technische Notfallkarte ist ein vertrauliches Dokument. Sie enthält IP-Adressen, Systemnamen und Hinweise auf den Zugangsdaten-Tresor. Behandle sie entsprechend: nummerierte Exemplare, persönliche Ausgabe an IT-Teammitglieder, Rückgabe bei Teamwechsel.
Verteilung und Bekanntmachung
Eine Notfallkarte, die keiner kennt, hilft niemandem. Die Verteilung und Bekanntmachung sind genauso wichtig wie der Inhalt.
Erstverteilung
- Persönliche Übergabe: Gib jedem Mitarbeiter die Notfallkarte persönlich aus, nicht per Hauspost und nicht als E-Mail-Anhang. Die persönliche Übergabe schafft Bewusstsein und gibt die Gelegenheit, die Karte kurz zu erklären.
- Im Onboarding: Jeder neue Mitarbeiter erhält die Notfallkarte am ersten Arbeitstag als Teil des Onboarding-Pakets. Erkläre kurz, wann und wie sie zu verwenden ist.
- Platzierung sicherstellen: Bitte die Mitarbeiter, die Karte an einem festen Ort am Arbeitsplatz aufzubewahren. Am besten direkt neben dem Monitor oder am Schreibtisch befestigt.
In der Awareness-Schulung
Integriere die Notfallkarte in dein Security-Awareness-Programm. Mindestens einmal jährlich sollte die Karte in einer Schulung oder einem kurzen Reminder thematisiert werden. Idealerweise verbunden mit einer praktischen Übung: „Auf deinem Bildschirm erscheint gerade eine Erpressungsnachricht. Was tust du zuerst? Schau auf deine Notfallkarte."
Sichtbarkeit im Alltag
Die Notfallkarte muss im Alltag sichtbar bleiben, sonst wird sie nach drei Monaten vergessen. Einige Ideen:
- Bildschirmhintergrund oder Sperrbildschirmhinweis: „Im IT-Notfall: Durchwahl 999"
- Aufkleber auf Laptops: Ein kleiner Aufkleber mit der Notfallnummer
- Aushang in Gemeinschaftsbereichen: Küche, Flur, Eingangsbereich
- Intranet-Startseite: Link zur digitalen Version der Notfallkarte
Aktualisierung: Die größte Schwachstelle
Die häufigste Schwachstelle bei Notfallkarten ist nicht der Inhalt, sondern die Aktualität. Kontaktdaten ändern sich, Mitarbeiter wechseln, Telefonnummern werden umgestellt. Eine Notfallkarte mit veralteter Notfallnummer ist nicht nur nutzlos, sie ist gefährlich, weil sie ein falsches Sicherheitsgefühl vermittelt.
Prüfrhythmus
- Vierteljährlich: Prüfe alle Kontaktdaten auf Aktualität. Ruf die Nummern probeweise an. Sind die genannten Personen noch in der Funktion? Ist die Notfallnummer erreichbar?
- Sofort bei Personalwechsel: Wenn der ISB, der IT-Leiter oder ein anderer auf der Karte genannter Ansprechpartner das Unternehmen verlässt oder die Rolle wechselt, muss die Karte sofort aktualisiert werden.
- Jährlich: Überprüfe den gesamten Inhalt: Sind die Sofortmaßnahmen noch sinnvoll? Stimmen die Systeme auf der technischen Notfallkarte noch? Gibt es neue Meldepflichten oder geänderte Fristen?
Austauschprozess
Definiere einen Prozess für den Austausch veralteter Karten:
- Neue Version drucken und laminieren
- Versionsnummer und Datum aktualisieren (am unteren Rand der Karte)
- Neue Karten an alle Mitarbeiter verteilen
- Alte Karten einsammeln und vernichten
- Digitale Version im Intranet aktualisieren
Das Einsammeln der alten Karten ist wichtig. Wenn ein Mitarbeiter sowohl die alte als auch die neue Karte hat, greift er im Stress möglicherweise zur falschen. Sorge dafür, dass zu jedem Zeitpunkt nur eine Version im Umlauf ist.
Versionierung
Auch eine Notfallkarte braucht eine Versionsnummer. Ein kleiner Hinweis am unteren Rand reicht aus:
Version 3.1 | Stand: März 2026 | Nächste Prüfung: Juni 2026
So kann jeder sofort sehen, ob seine Karte aktuell ist. Im Audit ist die Versionierung der Nachweis, dass die Karte regelmäßig geprüft und bei Bedarf aktualisiert wird.
Notfallkarte und Incident-Response-Plan: Wie passt das zusammen?
Die Notfallkarte ersetzt keinen Incident-Response-Plan. Sie ist die vereinfachte, alltagstaugliche Ableitung daraus. Die Hierarchie sieht so aus:
Incident-Response-Plan: Das umfassende Dokument mit allen Details zu Erkennung, Bewertung, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung. Typischerweise 10 bis 20 Seiten, richtet sich an das Incident-Response-Team.
Technische Notfallkarte: Die Kurzversion für das IT-Team. Enthält die wichtigsten Sofortmaßnahmen, Kontakte und Systemübersicht. 2 Seiten (DIN A4, beidseitig), richtet sich an alle IT-Mitarbeiter.
Allgemeine IT-Notfallkarte: Die Version für alle Mitarbeiter. Enthält nur Notfallnummer, erste Schritte und Verbote. 2 Seiten (DIN A5, beidseitig), richtet sich an jeden einzelnen Mitarbeiter im Unternehmen.
Alle drei Dokumente müssen konsistent sein. Die Notfallnummer auf der allgemeinen Karte muss im Incident-Response-Plan als erste Anlaufstelle dokumentiert sein. Die Sofortmaßnahmen auf der technischen Karte müssen mit dem Ablauf im Incident-Response-Plan übereinstimmen. Wenn du eines der drei Dokumente aktualisierst, prüfe die Konsistenz mit den anderen beiden.
Tabletop-Übung mit der Notfallkarte
Die beste Methode, um die Wirksamkeit der Notfallkarte zu testen, ist eine Tabletop-Übung. Dabei spielst du ein Notfallszenario durch, ähnlich einer Tabletop-Übung, und beobachtest, ob die Mitarbeiter die Karte finden, verstehen und korrekt anwenden.
Ablauf einer einfachen Tabletop-Übung
Vorbereitung (30 Minuten): Wähle ein realistisches Szenario (z. B. Ransomware auf einem Arbeitsplatzrechner, Phishing-Mail mit Credential-Diebstahl). Definiere die Ausgangssituation und die erwarteten Reaktionen.
Durchführung (45 bis 60 Minuten): Versammle eine Gruppe von fünf bis zehn Mitarbeitern aus verschiedenen Abteilungen. Beschreibe das Szenario und frage: „Was tust du jetzt?" Beobachte, ob die Mitarbeiter auf die Notfallkarte zurückgreifen, ob sie die Notfallnummer anrufen und ob sie die Sofortmaßnahmen befolgen.
Auswertung (30 Minuten): Bespreche mit der Gruppe, was gut funktioniert hat und wo es Unsicherheiten gab. Typische Erkenntnisse: Die Karte war nicht griffbereit, die Schritte waren unklar formuliert, die Mitarbeiter wussten nicht, dass es eine Notfallkarte gibt.
Erkenntnisse umsetzen
Die Ergebnisse der Tabletop-Übung fließen direkt in die Verbesserung der Notfallkarte ein. Wenn Mitarbeiter die Formulierung „Netzwerkkabel ziehen" nicht verstehen, weil sie gar kein Netzwerkkabel haben (nur WLAN), muss die Karte angepasst werden. Wenn die Notfallnummer zu lang ist, um sie sich zu merken, braucht es eine kurze, interne Durchwahl. Wenn die „NICHT"-Regeln nicht verstanden wurden, brauchen sie eine klarere Formulierung.
Plane mindestens eine Tabletop-Übung pro Jahr, die auch die Notfallkarte einbezieht. Der Aufwand ist gering, der Erkenntnisgewinn regelmäßig überraschend hoch.
Checkliste: Notfallkarte erstellen und verteilen
Zum Abschluss eine kompakte Checkliste, die du für die Erstellung und Einführung deiner IT-Notfallkarte verwenden kannst:
Inhalt erstellen:
- Notfallnummer festlegen (eine Nummer, 24/7 erreichbar)
- Definition „Wann ist es ein IT-Notfall?" formulieren
- Sofortmaßnahmen festlegen (3 bis 5 Schritte)
- „NICHT tun"-Regeln festlegen
- Angaben für die Meldung definieren
- Technische Notfallkarte für IT-Team erstellen
- Konsistenz mit Incident-Response-Plan prüfen
Gestaltung und Produktion:
- Layout erstellen (DIN A5 für allgemein, DIN A4 für IT-Team)
- Große, klare Schrift, Signalfarben
- Drucken und laminieren (ausreichende Stückzahl plus Reserve)
- Versionsnummer und Prüfdatum aufdrucken
Verteilung:
- Persönliche Ausgabe an alle Mitarbeiter
- Aushang in Besprechungsräumen und Gemeinschaftsbereichen
- Digitale Version im Intranet hinterlegen
- In Onboarding-Prozess integrieren
- In nächster Awareness-Schulung thematisieren
Pflege:
- Vierteljährliche Prüfung der Kontaktdaten einplanen
- Sofort-Aktualisierung bei Personalwechseln definieren
- Jährliche Gesamtprüfung im Kalender eintragen
- Austauschprozess für veraltete Karten dokumentieren
- Tabletop-Übung mit Notfallkarte planen
Die einfachste Maßnahme mit der größten Wirkung
Von allen Maßnahmen im Notfallmanagement ist die Notfallkarte wahrscheinlich die mit dem besten Kosten-Nutzen-Verhältnis. Die Erstellung dauert einen halben Tag, der Druck kostet wenige Euro pro Stück, und die Wirkung im Ernstfall kann den Unterschied zwischen einer schnellen Eindämmung und einer unkontrollierten Ausbreitung eines Angriffs ausmachen.
Die 45 Minuten, die der Mitarbeiter aus dem Beispiel zu Beginn des Artikels verloren hat, weil er nicht wusste, wen er anrufen soll, sind in einer Ransomware-Situation eine Ewigkeit. Netzwerkausbreitung, Verschlüsselung weiterer Systeme, Exfiltration von Daten: All das kann in 45 Minuten passieren. Eine Notfallkarte hätte diese Zeit auf wenige Minuten reduziert. In ISMS Lite lassen sich Notfallkarten, Kontaktlisten und Incident-Response-Pläne zentral pflegen und bei Personalwechseln automatisch aktualisieren.
Erstelle die Karte, laminiere sie, verteile sie, trainiere sie und halte sie aktuell. Fertig. Es ist keine Raketenwissenschaft, aber es funktioniert, und zwar genau dann, wenn es darauf ankommt.
Weiterführende Artikel
- Incident-Response-Plan erstellen: Aufbau und Praxisbeispiel
- Ransomware-Angriff: Sofortmaßnahmen für die ersten 24 Stunden
- Wiederanlaufplan erstellen: Systeme nach einem Ausfall wiederherstellen
- Notfallhandbuch IT: Aufbau, Inhalte und Pflege
- Tabletop-Übung planen und durchführen: So testest du deinen Notfallplan
Druck die Karte aus, laminiere sie und leg sie an jeden Arbeitsplatz. Das dauert einen Nachmittag und kostet fast nichts. Aber wenn es darauf ankommt, wenn der Bildschirm plötzlich eine Erpressungsnachricht zeigt, ist die laminierte Karte neben dem Monitor möglicherweise das wertvollste Stück Papier im ganzen Unternehmen.