Neu: Notfallübungen im Unternehmen – Warum Business Continuity Management mehr braucht als einen Plan

Es war der 3. Januar 2026, ein Samstagmorgen, als in weiten Teilen des Berliner Südwestens die Lichter ausgingen. Ein Brandanschlag auf eine Kabelbrücke über den Teltowkanal hatte rund 45.000 Haushalte und 2.200 Gewerbekunden in den Stadtteilen Nikolassee, Zehlendorf, Wannsee und Lichterfelde innerhalb von Minuten ohne Strom gelassen. Viele Haushalte waren kurzfristig auch ohne Heizung und Kommunikationsmittel – bei winterlichen Temperaturen. Schulen blieben geschlossen, Arztpraxen konnten nicht öffnen, Mobilfunkmasten versagten. Über 4,5 Tage waren die betroffenen Ortsteile weitestgehend ohne Strom – der längste Stromausfall in Berlin seit Kriegsende.

Für die betroffenen Unternehmen war es eine brutale Lehrstunde: Wer keinen funktionierenden Notfallplan hatte, stand buchstäblich im Dunkeln. Wer einen hatte, ihn aber nie geprobt hatte – auch.

Der blinde Fleck vieler Notfallpläne

Die meisten mittelständischen Unternehmen haben irgendeinen Notfallplan. Oft entstand er irgendwann, liegt irgendwo und wurde seitdem nicht mehr angefasst. Das ist kein Vorwurf – es ist eine strukturelle Schwäche, die sich durch alle Branchen zieht.

Tabletop-Übungen: Krisen simulieren, ohne den Betrieb zu gefährden

Die praktischste und wirkungsvollste Methode sind Tabletop-Übungen – moderierte Workshops, in denen ein realistisches Krisenszenario schrittweise durchgespielt wird. Keine echten Systeme werden abgeschaltet, kein laufender Betrieb gestört. Stattdessen sitzen die richtigen Personen zusammen – IT-Leitung, Geschäftsführung, Fachbereiche – und arbeiten sich durch: Was tun wir jetzt? Wer entscheidet was? Wer kommuniziert intern, wer extern?

Die Erkenntnisse aus solchen Übungen sind häufig überraschend deutlich:

• Kommunikationswege sind unklar oder nicht dokumentiert
• Backup-Systeme existieren, aber niemand weiß, wie die Wiederherstellung im Detail funktioniert
• Verantwortlichkeiten überschneiden sich oder fallen zwischen alle Stühle
• Eskalationspfade enden in Sackgassen

Wer das Berlin-Szenario vom Januar 2026 als Tabletop-Übung durchspielt, wird schnell merken: Es ist nicht der Stromausfall selbst, der Unternehmen in die Knie zwingt. Es ist die fehlende Vorbereitung auf genau diesen Fall.

Rechtliche Anforderungen: BCM ist Pflicht, keine Kür

Spätestens seit dem Inkrafttreten von NIS-2 ist Business Continuity Management für viele Unternehmen keine freiwillige Best Practice mehr. Die Richtlinie verpflichtet betroffene Einrichtungen explizit dazu, Maßnahmen zur Aufrechterhaltung des Betriebs und zur Wiederherstellung nach Sicherheitsvorfällen nachweisbar umzusetzen – und regelmäßig zu testen.

Auch ISO 27001 adressiert BCM als integralen Bestandteil eines wirksamen Informationssicherheitsmanagementsystems (ISMS). Wer eine Zertifizierung anstrebt oder gegenüber Kunden und Auditoren Compliance belegen muss, braucht dokumentierte Notfallübungen. Der BSI IT-Grundschutz geht in dieselbe Richtung: Business Continuity ist dort ein eigenständiger Baustein, der aktiv gelebt werden muss.

Was eine gute Notfallübung leisten sollte

Nicht jede Übung ist gleich wertvoll. Entscheidend ist, dass sie auf realistischen Szenarien basiert, die zur eigenen Infrastruktur und Branche passen. Eine gut konzipierte Notfallübung:

• Orientiert sich an tatsächlichen Risiken eurer Organisation – ob Cyberangriff, Stromausfall oder Ausfall eines kritischen Dienstleisters
• Bezieht alle relevanten Stakeholder ein – nicht nur die IT
• Endet mit konkreten, priorisierten Maßnahmen
• Wird dokumentiert und dient als Grundlage für die nächste Übung

Der Lerneffekt entsteht nicht im Durchspielen allein, sondern in der strukturierten Nachbereitung: Was hat funktioniert? Wo lagen die Lücken? Was muss sich ändern?

Wie procado euch dabei unterstützt

Als externer Informationssicherheitsbeauftragte (ISB) begleiten wir Unternehmen nicht nur beim Aufbau eines ISMS, sondern auch bei der praxisnahen Umsetzung – inklusive der Konzeption und Durchführung von Notfallübungen und Tabletop-Szenarien.

Wir entwickeln gemeinsam mit euch Szenarien, die zu eurer Infrastruktur, eurer Branche und eurem Reifegrad passen. Wir moderieren die Übung, dokumentieren die Ergebnisse und helfen dabei, konkrete Maßnahmen abzuleiten und umzusetzen. Auf Wunsch begleiten wir auch die Umsetzung – im Rahmen eines NIS-2-konformen Jahresbudgets, transparent und nach tatsächlichem Aufwand abgerechnet.

Das Ziel: Business Continuity Management wird kein abstrakter Compliance-Baustein, sondern gelebte Sicherheitskultur – verankert in den Köpfen eurer Mitarbeiter*innen. Damit ihr im nächsten Ernstfall nicht ratlos im Dunkeln steht.

Häufige Fragen zu Notfallübungen & Business Continuity Management