Krisenmanagement 2.0: Wenn der Ernstfall zum Alltag wird

Kritische Prozesse unter DORA: Warum IT-Vorfälle schnell geschäftskritisch werden

Nicht jeder IT-Vorfall ist automatisch existenzbedrohend und nicht jede Anwendung verdient denselben Krisenmodus. Die eigentliche Relevanz dieses Artikels liegt deshalb dort, wo der Schaden nicht nur „technisch“ ist, sondern geschäftskritisch und regulatorisch spürbar wird: bei kritischen und wichtigen Prozessen.

Genau diese Prozesse sind es, die im Ernstfall den Unterschied machen, etwa Zahlungsverkehr, Handels- und Abwicklungssysteme, Kernbankfunktionen, digitale Kundenkanäle oder Identitäts- und Berechtigungsservices. Hier führt eine Störung nicht nur zu Verzögerungen, sondern schnell zu materiellem Impact: Kunden sind betroffen, Service-Level reißen, operative Risiken materialisieren, und die Melde- und Steuerungspflichten werden scharf.

Radikale Transparenz: Wenn der Technik-Ausfall zur Meldepflicht wird

Ein Cyberangriff am Freitagnachmittag. Ein Ausfall des Kernsystems kurz vor dem Quartalsabschluss. Szenarien, die jedem Geschäftsleiter den Schweiß auf die Stirn treiben.

Der Unterschied zu früher: Mit DORA ist Krisenmanagement nicht mehr nur Technik, sondern ein hochregulierter, zeitkritischer Führungsprozess. Es zählt nicht nur, dass Sie stabilisieren, sondern auch wie schnell Sie klassifizieren, wie nachvollziehbar Sie kommunizieren und wie belastbar Ihre Informationslage ist.

Der alte „Notfallordner im Schrank“ ist damit endgültig obsolet: In der Praxis brauchen Sie Playbooks, Entscheidungsregeln, Nachweisfähigkeit und eine Organisation, die das routiniert kann.

Der 24-Stunden-Countdown: Zeit ist jetzt ein Compliance-Risiko

Der größte Stressfaktor ist die Uhr: Für schwerwiegende IKT-Vorfälle gelten enge Meldepflichten.

Die erste Meldung: Innerhalb von 4 Stunden nach Kenntnisnahme müssen Sie der Aufsicht (und ggf. Kunden) eine erste Meldung erstatten.

Das Problem: In den ersten Stunden wissen Sie häufig noch nicht genug. Handelt es sich um einen Angriff? Welche Services sind betroffen? Gibt es Hinweise auf Datenabfluss? Gleichzeitig werden intern Entscheidungen erwartet und extern steigt der Kommunikationsdruck.

Der Zielzustand (und genau hier setzt DORA-Reife an): Diese Phase darf kein improvisiertes „Ad hoc“ sein, sondern muss wie ein eingespielter Ablauf funktionieren:

• klare Trigger & Kriterien für „schwerwiegend“
• vordefinierte Erstmeldung-Templates (was wir sagen können, obwohl wir noch nicht alles wissen)
• Timeboxing für Lagebild, Klassifizierung, Freigaben
• ein Eskalationsmodell, das 24/7 handlungsfähig ist (inkl. Stellvertretungen)

Damit verschiebt sich das Risiko: Nicht nur der Vorfall selbst schadet, sondern auch zu späte/unklare Klassifikation oder inkonsistente Meldelogik. Genau das kann schnell als Organisationsmangel gewertet werden.

Die organisatorische Sollbruchstelle: Technik reagiert – Governance wackelt

In der Praxis sehen wir häufig ein typisches Muster:

• Die technische Incident Response funktioniert („wir isolieren, wir stabilisieren, wir recovern“).
• Die regulatorische und organisatorische Steuerung hakt („wer entscheidet, wer informiert, wer dokumentiert, wer genehmigt, was ist die konsistente Linie?“).

DORA verlangt eine klare Klassifizierung und konsistente Kommunikation. Zwei Fragen entscheiden über Ihre Handlungsfähigkeit:

1) Entscheidungsfähigkeit:
Wer entscheidet in Ihrem Haus nachts um 3 Uhr belastbar, ob ein Vorfall „schwerwiegend“ ist – nach definierten Kriterien und ohne „Management-Pingpong“?

2) Informationsfähigkeit über die Lieferkette:
Sind die Wege zu Ihren Dienstleistern (Cloud, Software, Outsourcing) so etabliert, dass Sie rechtzeitig verwertbare Informationen in der Struktur, die Sie für Meldung und Management-Entscheidungen brauchen erhalten?

Wenn diese Klarheit fehlt, entsteht nicht nur Chaos. Sie riskieren den Eindruck, dass Kontrollpflichten nicht wirksam wahrgenommen werden. Krisenmanagement wird damit zu einem Governance-Test unter Echtzeitbedingungen.

Von „Plan vorhanden“ zu „Plan wirkt“: Üben, messen, nachweisen

An dieser Stelle kippt in vielen Dokumenten der rote Faden: Man springt von Meldepflichten direkt zu „Tests“. Der Zusammenhang ist aber zentral:

Sie können nur schnell und korrekt melden, wenn Sie die Abläufe vorher geübt haben, inklusive der Schnittstellen zu Dienstleistern, Freigaben, Kommunikationslinien und Dokumentation.

Ein Notfallplan, der nie geübt wurde, ist das Papier nicht wert, auf dem er steht. Der Anspruch ist 2026 nicht „wir haben BCM“, sondern:

• wir haben Tests, die reale Engpässe sichtbar machen
• wir haben Korrekturmaßnahmen, die umgesetzt werden
• wir können gegenüber Prüfern/Aufsicht zeigen, dass wir daraus lernen

Das bedeutet: Weg vom „Schönwetter-Test“, bei dem alle vorbereitet sind, hin zu realistischen Simulationen, inklusive Abwesenheiten, gestörter Kommunikationskanäle, unvollständiger Provider-Infos und Zeitdruck.

Unser Ansatz: Krisenfähigkeit als Routine – nicht als Ausnahmezustand

Wir helfen Ihnen, Ruhe ins Chaos zu bringen. Unser Fokus liegt nicht darauf, Firewalls zu konfigurieren, sondern Ihre Entscheidungswege und Ihre Nachweisfähigkeit zu stählen damit Sie operativ UND regulatorisch handlungsfähig bleiben.

1) Meldekette & Entscheidungslogik operationalisieren

• Rollen, Stellvertretungen, 24/7-Eskalation
• Trigger & Klassifizierung nach Kriterien
• Templates, Checklisten, „Minimum Viable Information“ für t0–t24

2) Krisenstab-Coaching für Managementfähigkeit unter Unsicherheit

• Lagebildführung, Entscheidungsprotokoll, Freigabeprozesse
• Krisenkommunikation: konsistent, belastbar, prüffähig
• Umgang mit „wir wissen es noch nicht“ – ohne Aussagechaos

3) Incident-Simulationen / Tabletop Exercises mit Lieferkette

• Ausfall kritischer Systeme + Provider-Abhängigkeiten
• Test der Informationsbeschaffung beim Dienstleister
• Test der End-to-End-Kette: Technik → Governance → Meldung → Kommunikation → Lessons Learned

So wird Krisenmanagement von einer reaktiven Disziplin zu einem steuerbaren Betriebsprozess.

Im nächsten Teil der fünfteiligen Serie:

Im letzten Teil unserer Serie: Wenn Sie Ihre Hausaufgaben gemacht haben, wird Resilienz mehr als nur eine Versicherung. Erfahren Sie im abschließenden Artikel, wie Sie Sicherheit in einen Wettbewerbsvorteil verwandeln: „Resilienz als Wachstumshebel: Vom Kostentreiber zum Gütesiegel“.

Ancarix Consulting
Responsible by Design