Ransomware-Tabletop-Übung: Drehbuch für den Ernstfall
Ransomware-Tabletop-Übung für KMU: Realistisches Drehbuch mit Phasen, Diskussionsfragen und NIS-2-konformer Dokumentation für den Krisenfall.
Ransomware-Tabletop-Übung: Drehbuch für den Ernstfall
Key Takeaways
- Eine Tabletop-Übung deckt Lücken im Incident-Response-Plan auf, bevor ein echter Angriff das tut
- Das Drehbuch muss realistisch sein: moderne Ransomware-Gruppen agieren in Phasen (Initial Access → Lateral Movement → Exfiltration → Encryption)
- NIS-2 und BSI-Grundschutz fordern nachweisbare Krisenübungen — eine dokumentierte TTX erfüllt diese Anforderung
- Rollen, Eskalationspfade und Kommunikationskanäle müssen vorab schriftlich fixiert sein
- Technische IOCs aus Wazuh-Alerts helfen, den Übungsablauf realitätsnah zu gestalten
Was ist eine Tabletop-Übung und warum brauchen KMU sie?
Eine Tabletop Exercise (TTX) ist eine moderierte Diskussionsübung, bei der das Team einen simulierten Sicherheitsvorfall durchspielt — ohne echte Systeme zu berühren. Alle Beteiligten sitzen zusammen und reagieren auf ein vorbereitetes Drehbuch, Schritt für Schritt, inject by inject.
Für KMU gilt: Kein dediziertes SOC, kein 24/7-Bereitschaftsteam, vielleicht ein externer IT-Dienstleister. Genau in dieser Konstellation ist eine TTX besonders wertvoll, weil sie im kontrollierten Rahmen aufzeigt, wer im Ernstfall was tut — und wo niemand zuständig ist.
Die häufigsten Erkenntnisse aus solchen Übungen:
- Der Eskalationspfad endet beim IT-Leiter, der im Urlaub ist und kein Backup-Ansprechpartner definiert wurde
- Backups existieren, aber niemand hat den Restore-Prozess jemals unter Zeitdruck getestet
- Die Krisenkommunikation mit der Geschäftsführung läuft über dieselbe E-Mail-Infrastruktur, die gerade verschlüsselt wurde
- Niemand kennt die Meldefrist nach NIS-2 (72 Stunden an die zuständige Behörde) oder weiß, ob das eigene Unternehmen überhaupt betroffen ist
NIS-2, umgesetzt durch das NIS2UmsuCG, schreibt für betroffene Unternehmen ausdrücklich vor, dass Maßnahmen zur Bewältigung von Sicherheitsvorfällen geübt und dokumentiert werden. Eine TTX ist dafür das effizienteste Instrument — sie kostet keine Ausfallzeit und hinterlässt verwertbare Dokumentation.
Vorbereitung: Was vor der Übung fertig sein muss
Teilnehmerkreis definieren
Eine Ransomware-TTX ist kein reines IT-Thema. Folgende Rollen sollten am Tisch sitzen:
- IT-Leiter / Systemadministrator — technische Einschätzungen, Recovery-Optionen, Netzwerktrennung
- Geschäftsführung — Entscheidungen über Betriebsunterbrechung, Lösegeldzahlung, externe Kommunikation
- Datenschutzbeauftragter — DSGVO-Meldepflicht (72 Stunden an Aufsichtsbehörde bei Datenverlust)
- Rechtsabteilung oder externer Anwalt — Haftungsfragen, Versicherungsmeldung, Sanktionslistenprüfung
- PR / Unternehmenskommunikation — Kundenkommunikation, Presseanfragen, Social-Media-Monitoring
- Externer IT-Dienstleister — wenn dieser den First-Level-Betrieb oder die Backup-Infrastruktur verantwortet
Wichtig: Die Übung funktioniert nur, wenn Entscheidungsträger tatsächlich anwesend sind — nicht delegiert an Assistenten.
Lernziele vorab formulieren
Ohne definierte Ziele fehlt der Maßstab für die Nachbesprechung. Formulieren Sie vor der Übung drei bis fünf konkrete Lernziele, zum Beispiel:
- Eskalationspfad von der ersten Alert-Meldung bis zur GF-Entscheidung in unter 30 Minuten durchspielen
- Entscheidungsgrundlagen für eine Lösegeldzahlung klären und dokumentieren
- Alternativen-Kommunikationskanal für den Notfall definieren (Signal-Gruppe, Satellitentelefon, Out-of-band-Kanal)
- DSGVO-Meldepflicht: Zuständigkeit und Frist für das eigene Unternehmen klären
- Recovery-Time-Objective (RTO) und Recovery-Point-Objective (RPO) realistisch einschätzen
Grundlagendokumente sichten
Vor der Übung sollten vorliegen:
- Aktueller Incident-Response-Plan (oder zumindest ein Entwurf)
- Netzwerktopologie und Asset-Inventar
- Backup-Konzept mit RTO und RPO
- Kontaktliste: BSI (CERT-Bund), Landeskriminalamt (ZAC-Kontakt), Cyberversicherung, externer Forensiker
Fehlt eines dieser Dokumente, ist das bereits ein Ergebnis der Vorbereitung — und ein Action Item.
Das Drehbuch: Fünf Phasen eines realistischen Ransomware-Angriffs
Moderne Ransomware-Gruppen — LockBit, Black Basta, Akira, Medusa — folgen einem konsistenten Angriffsmuster, das sich an MITRE ATT&CK orientiert. Das Drehbuch bildet diese Phasen nach, von Initial Access bis zur Lösegeldforderung.
Phase 1: Initial Access — „Der Anruf am Montagmorgen
Häufige Fragen
Wie lange dauert eine Ransomware-Tabletop-Übung?
Eine gut vorbereitete Tabletop-Übung für ein KMU mit fünf bis acht Teilnehmern dauert typischerweise drei bis vier Stunden — inklusive Einführung, Drehbuch-Durchlauf und Nachbesprechung (Hot Wash). Halbtagsformate sind realistisch; Volltagsübungen lohnen sich erst ab einer gewissen Organisationsgröße oder wenn mehrere Szenarien parallel gespielt werden sollen.
Erfüllt eine Tabletop-Übung die Anforderungen aus NIS-2?
Ja, wenn sie dokumentiert ist. NIS-2 (umgesetzt durch das NIS2UmsuCG) verlangt von betroffenen Unternehmen nachweisbare Maßnahmen zur Bewältigung von Sicherheitsvorfällen. Eine protokollierte TTX mit Teilnehmerliste, Drehbuch, identifizierten Lücken und nachverfolgbaren Action Items gilt in Audits als valider Nachweis. Ohne Dokumentation zählt die Übung nicht.
Müssen wir für eine Tabletop-Übung externe Berater beauftragen?
Nicht zwingend, aber empfehlenswert. Intern kann jemand moderieren, der selbst nicht Entscheidungsträger ist — etwa der IT-Sicherheitsbeauftragte. Der Nachteil: Interne Moderatoren tendieren dazu, heikle Fragen (Verantwortlichkeitslücken, fehlende Budgets) abzumildern. Ein externer Moderator ohne Eigeninteresse am Ergebnis liefert realistischere Erkenntnisse und kann aktuelle Bedrohungsszenarien aus eigener Threat-Intelligence-Praxis einbringen.