IT-Notfallplan nach IT-Grundschutz – der Praxisleitfaden

Ein IT-Notfallplan ist das operative Rückgrat des Bausteins DER.4 im IT-Grundschutz – und entscheidet, ob eine Organisation nach einem schwerwiegenden IT-Ausfall handlungsfähig bleibt. Dieser Artikel zeigt, wie sich ein IT-Notfallkonzept nach BSI-Standard 200-4 aufbauen und in der Praxis umsetzen lässt – mit konkreten Bestandteilen, Priorisierungsmethoden und Testverfahren.

Eine Giraffe guckt mit Hals und Kopf aus einem Rettungsring, der im Meer schwimmt. Ein augenzwinkertes Symbolbild für einen IT-Notfallplan.

1. IT-Notfallplan: Was der IT-Grundschutz verlangt und warum es jetzt zählt
2. IT-Notfallplan BSI-Grundschutz: Aufbau nach BSI-Standard 200-4
3. Notfallmanagement IT-Grundschutz: Schritt für Schritt umsetzen
4. IT-Notfallplan in der Praxis: Testen, Aktualisieren, Verbessern

IT-Notfallplan: Was der IT-Grundschutz verlangt und warum es jetzt zählt

Ein IT-Notfallplan definiert, was bei schwerwiegenden IT-Störungen passiert – von der ersten Alarmierung über die Schadensbegrenzung bis zur strukturierten Wiederherstellung. Im IT-Grundschutz ist er kein optionales Dokument, sondern zentraler Bestandteil des Bausteins DER.4 Notfallmanagement. Wie dringend das Thema ist, zeigt eine gemeinsame Studie von BSI und Bitkom zum CrowdStrike-Vorfall 2024: Bei 12 Prozent der Unternehmen hat der bestehende Notfallplan nicht funktioniert – und zwei Drittel wollen ihren IT-Notfallplan seitdem entwickeln oder nachbessern. Der Leitfaden zum IT-Grundschutz ordnet den Notfallplan in den Gesamtrahmen der BSI-Methodik ein. Wer direkt zur praktischen Umsetzung springen möchte, findet den Abschnitt Schritt für Schritt umsetzen weiter unten.

Welche Rolle spielt der Baustein DER.4 im IT-Grundschutz?

Der Baustein DER.4 gehört zur Schicht „Detektion und Reaktion” im IT-Grundschutz-Kompendium. Er beschreibt die Anforderungen an ein funktionsfähiges Notfallmanagement – von der organisatorischen Verankerung über die Dokumentation kritischer Geschäftsprozesse bis hin zu regelmäßigen Übungen. Wichtig ist die Abgrenzung: DER.4 behandelt die Bewältigung schwerwiegender Ausfälle und die Wiederherstellung des Normalbetriebs. Er ergänzt damit DER.1 (Detektion von Sicherheitsvorfällen) und DER.2 (Security Incident Management), ersetzt diese Bausteine aber nicht. Die Anforderungen von DER.4 bilden die Grundlage für jeden IT-Notfallplan, der den Ansprüchen einer BSI-Grundschutz-Zertifizierung genügen soll. Die Auswahl und Priorisierung der relevanten IT-Grundschutz-Bausteine ist dabei ein wesentlicher Vorbereitungsschritt. Wer mit der IT-Grundschutz-Methodik noch nicht vertraut ist, findet dort eine kompakte Einführung in die Systematik des BSI.

IT-Notfallplan BSI-Grundschutz: Aufbau nach BSI-Standard 200-4

Der BSI-Standard 200-4 ist der methodische Rahmen für das Notfallmanagement im IT-Grundschutz. Er löst den älteren Standard 100-4 ab und führt drei Ausbaustufen ein, die es Organisationen ermöglichen, schrittweise ein belastbares Notfallmanagement aufzubauen – unabhängig vom aktuellen Reifegrad. Die sichere Softwareentwicklung nach IT-Grundschutz schafft dabei die technische Basis, auf der ein Wiederanlauf im Ernstfall überhaupt möglich ist.

Was sind die drei Ausbaustufen des BSI-Standard 200-4?

Der Standard unterscheidet drei Reifegrade für das Notfallmanagement. Welche Stufe passt, hängt von Größe, Kritikalität und Ressourcen der Organisation ab:

Reaktiv-BCMS: Mindestanforderungen – Meldekette, Krisenstab, Sofortmaßnahmen für überlebenskritische Prozesse
Aufbau-BCMS: Systematische Business Impact Analyse, Wiederanlaufpläne, erste Notfallübungen
Standard-BCMS: Vollständiges BCMS mit regelmäßigen Übungen, kontinuierlicher Verbesserung und ISO-22301-Kompatibilität

Der Einstieg über die Reaktiv-Stufe ist bewusst niedrigschwellig gehalten. Auch Organisationen mit begrenzten Ressourcen können so einen funktionsfähigen Notfallplan IT-Sicherheit aufbauen und diesen später systematisch erweitern. Ein ergänzender Blick auf die DSGVO-konforme Softwareentwicklung stellt sicher, dass Datenschutzanforderungen auch im Notfallkonzept berücksichtigt werden.

Was gehört in einen IT-Notfallplan nach BSI-Grundschutz?

Ein vollständiger IT-Notfallplan nach BSI-Grundschutz besteht aus mehreren Dokumenten, die zusammenwirken. Das Notfallvorsorgekonzept bildet den strategischen Rahmen, das Notfallhandbuch die operative Anleitung für den Ernstfall. Der IT-Notfallplan selbst ist das Bindeglied zwischen beiden. Folgende Bestandteile sind nach BSI-Vorgabe erforderlich:

Notfallorganisation: Krisenstab, Notfallbeauftragter, Rollen und Verantwortlichkeiten
Kritische Geschäftsprozesse: Dokumentation der Prozesse mit höchstem Schutzbedarf
Meldekette: Wer informiert wen, auf welchem Kanal, in welcher Reihenfolge
Sofortmaßnahmen: Erste Schritte zur Schadensbegrenzung unmittelbar nach Eintritt
Wiederanlaufplan: Technische Reihenfolge zur Wiederherstellung, RTO und RPO je System
Kommunikationsplan: Interne und externe Informationswege (Presse, Aufsichtsbehörden, Bürger)
Eskalationsstufen: Klare Schwellenwerte, ab wann welche Maßnahmen greifen

Die BSI-Vorlage für das Notfallhandbuch nach BSI-Standard 200-4 liefert ein editierbares Grundgerüst, das als Ausgangspunkt dienen kann. Für Organisationen mit IT-Compliance-Anforderungen ist die Dokumentation nach BSI-Vorgabe zugleich ein Nachweis gegenüber Aufsichtsbehörden und Prüfern.

Notfallmanagement IT-Grundschutz: Schritt für Schritt umsetzen

Die Umsetzung verbindet zwei BSI-Methoden: Die Schutzbedarfsfeststellung aus BSI-Standard 200-2 identifiziert die schützenswerten Assets und deren Kritikalität. Die Business Impact Analyse aus BSI-Standard 200-4 bewertet, welche Auswirkungen ein Ausfall auf die Geschäftsprozesse hat. Beide zusammen liefern die Priorisierung für den Wiederanlaufplan – und damit den Kern jedes IT-Notfallkonzepts.

Wie hängen Schutzbedarfsfeststellung und Business Impact Analyse zusammen?

Die Schutzbedarfsfeststellung (BSI 200-2) klassifiziert IT-Systeme, Anwendungen und Daten nach ihrem Schutzbedarf – normal, hoch oder sehr hoch. Die Business Impact Analyse (BIA) im BSI-Standard 200-4 geht einen Schritt weiter und bewertet, welche konkreten Folgen ein Ausfall für die Geschäftsprozesse hat – finanziell, organisatorisch und rechtlich. Aus beiden Analysen ergibt sich, welche Systeme im Notfall zuerst wiederhergestellt werden müssen und welche Ausfallzeiten tolerierbar sind (RTO/RPO). Die BIA ist damit das Fundament, auf dem der Wiederanlaufplan und die gesamte Notfallplanung nach IT-Grundschutz aufgebaut werden.

Wiederanlaufplan und Meldekette aufbauen

Der Wiederanlaufplan legt fest, in welcher Reihenfolge IT-Systeme nach einem Ausfall wieder hochgefahren werden. Dabei gelten die in der BIA definierten Recovery Time Objectives (RTO) als verbindliche Vorgabe. Jedes kritische System erhält eine Wiederanlaufpriorität, einen verantwortlichen Ansprechpartner und eine dokumentierte Vorgehensweise. Die Meldekette wiederum regelt die Kommunikation im Notfall:

👉 Wer meldet den Vorfall an wen? (erste Eskalation)
👉 Wer aktiviert den Krisenstab?
👉 Welche externen Stellen müssen informiert werden? (BSI, Aufsichtsbehörden, Dienstleister)
👉 Über welche Kanäle wird kommuniziert, wenn die IT selbst betroffen ist?
👉 Wer übernimmt die Kommunikation nach außen? (Presse, Öffentlichkeit)

Beide Dokumente müssen auch bei einem vollständigen IT-Ausfall verfügbar sein – in Papierform oder auf einem Offline-Medium. Eine NIS-2-Checkliste kann als ergänzende Orientierung dienen, um regulatorische Meldepflichten im Notfallkonzept abzubilden.

IT-Notfallplan in der Praxis: Testen, Aktualisieren, Verbessern

Ein Notfallplan IT-Sicherheit, der nie getestet wurde, ist im Ernstfall wertlos. Der IT-Grundschutz fordert regelmäßige Notfallübungen, um Schwachstellen in der Planung aufzudecken und die Handlungssicherheit aller Beteiligten zu stärken. Dabei unterscheidet der BSI-Standard 200-4 zwischen verschiedenen Übungsformaten – von der theoretischen Durchsprache bis zur Vollübung unter realen Bedingungen. Entscheidend ist, dass die IT-Notfallübung nicht als einmalige Pflichtübung verstanden wird, sondern als fester Bestandteil des kontinuierlichen Verbesserungsprozesses.

Wie oft muss ein IT-Notfallplan getestet werden?

Der BSI-Grundschutz empfiehlt, den IT-Notfallplan mindestens einmal jährlich zu überprüfen und bei wesentlichen Änderungen an der IT-Infrastruktur sofort anzupassen. Für die Notfallübung selbst stehen verschiedene Formate zur Verfügung:

Tabletop-Übung: Theoretische Durchsprache eines Szenarios mit dem Krisenstab
Funktionstest: Einzelne Komponenten werden isoliert getestet (z. B. Backup-Wiederherstellung)
Simulationsübung: Realitätsnahe Durchführung unter kontrollierten Bedingungen
Vollübung: Alle Beteiligten agieren unter realen Bedingungen – höchster Erkenntnisgewinn

Je nach Ausbaustufe des BCMS reicht eine jährliche Tabletop-Übung als Einstieg (Reaktiv-BCMS). Organisationen mit Standard-BCMS sollten mindestens eine Simulationsübung pro Jahr durchführen und die IT-Notfallübung planen und dokumentieren, um Erkenntnisse systematisch in die Verbesserung des Notfallplans einfließen zu lassen.

Welche Sofortmaßnahmen definiert der IT-Grundschutz für den Notfall?

Die BSI-IT-Notfallkarte fasst die wichtigsten Sofortmaßnahmen kompakt zusammen und sollte an jedem Arbeitsplatz sichtbar aushängen. Im Kern geht es darum, Schäden einzugrenzen und Beweismittel zu sichern, bevor mit der Wiederherstellung begonnen wird. Der IT-Grundschutz definiert dafür eine klare Reihenfolge: Vorfall erkennen und melden, betroffene Systeme isolieren, Krisenstab aktivieren, Lage bewerten, Sofortmaßnahmen einleiten. Erst danach folgt der Wiederanlauf nach dem dokumentierten Plan. Professionelle Cybersecurity-Maßnahmen ergänzen den Notfallplan um präventive Schutzschichten, die den Eintritt schwerwiegender Szenarien von vornherein reduzieren.

Erfolgsfaktoren für einen belastbaren IT-Notfallplan

Aus der Praxis zeigen sich drei Kriterien, die darüber entscheiden, ob ein IT-Notfallplan im Ernstfall tatsächlich trägt:

Aktualität: Regelmäßige Überprüfung, Anpassung bei Infrastrukturänderungen
Vollständigkeit: Alle kritischen Abhängigkeiten und Ressourcen erfasst
Zugänglichkeit: Plan auch bei totalem IT-Ausfall verfügbar (Papier, Offline-Medium)
Verankerung: Notfallmanagement ist Leitungsaufgabe, nicht IT-Randthema

Wer einen IT-Notfallplan nach BSI-Grundschutz erstellen will, findet im BSI-Standard 200-4 sowohl den methodischen Rahmen als auch konkrete Vorlagen und Hilfsmittel für die Umsetzung. Die Schutzbedarfsfeststellung nach IT-Grundschutz liefert dabei die Datenbasis, auf der das gesamte Notfallvorsorgekonzept aufbaut – priorisiert, nachvollziehbar und auditierbar.

FAQs

Was ist der Unterschied zwischen Notfallvorsorgekonzept und Notfallhandbuch?

Das Notfallvorsorgekonzept beschreibt den strategischen Rahmen: Risikoanalyse, Business Impact Analyse und organisatorische Strukturen für das Notfallmanagement. Das Notfallhandbuch ist das operative Dokument für den Ernstfall – mit konkreten Handlungsanweisungen, Meldeketten und Wiederanlaufplänen. Beide Dokumente ergänzen sich und bilden zusammen die Basis eines vollständigen IT-Notfallplans nach BSI-Grundschutz.

Was ist eine Business Impact Analyse?

Die Business Impact Analyse (BIA) bewertet systematisch, welche konkreten Auswirkungen der Ausfall eines IT-Systems oder Geschäftsprozesses auf die Organisation hat – finanziell, organisatorisch und rechtlich. Sie liefert die Daten für Recovery Time Objectives und Recovery Point Objectives. Im BSI-Standard 200-4 ist die BIA die methodische Grundlage für die Priorisierung im Wiederanlaufplan.

Wie erstellt man einen IT-Notfallplan nach BSI-Grundschutz?

Die Erstellung folgt einem strukturierten Prozess: Zunächst werden im Rahmen der Schutzbedarfsfeststellung (BSI 200-2) die kritischen IT-Systeme identifiziert. Anschließend bewertet die Business Impact Analyse (BSI 200-4), welche Ausfälle welche Folgen haben. Auf dieser Basis entstehen der Wiederanlaufplan mit definierten Wiederherstellungszeiten (RTO/RPO), die Meldekette für den Krisenfall und das Notfallvorsorgekonzept als strategischer Rahmen. Der BSI-Standard 200-4 bietet dafür editierbare Vorlagen. Entscheidend ist, dass der fertige IT-Notfallplan regelmäßig getestet und aktualisiert wird – erst dann erfüllt er die Anforderungen des IT-Grundschutz.