IT-Notfallplan für Selbstständige: So bereiten Sie sich vor, damit Ihre IT sicher bleibt

Inhalt

• Die größten Bedrohungen für Kleinstunternehmen
• Kurz und knapp: Was gehört auf jeden Fall in einen IT-Notfallplan?
• Bestandsaufnahme: Ihre Geschäftsprozesse
• Bestandsaufnahme zu Beginn: Welche IT haben Sie im Einsatz
  • Computer und Peripheriegeräte
  • Netzwerk und Internet
  • Software
  • Speicher und Backup, Sicherheit
  • Mobile Geräte
• Bestandsaufnahme: Welche Dienstleister haben Sie?
• Was ist am wichtigsten? Welcher Schaden entsteht wann?
• Ihre Informationssammlung zum Notfallplan - Schritt für Schritt
• Das Planspiel: Was wäre wenn?
• Der IT-Notfall ist eingetreten: Was ist jetzt zu tun?
  • Kurz und knapp: Was ist bei einem Ransomware-Angriff zu tun?
  • Kurz und knapp: Was ist bei einem Datenvorfall zu tun?
  • Kurz und knapp: Was ist bei einem Systemausfall zu tun?
• In 20 Minuten: Einstieg in den IT-Notfallplan

Die größten Bedrohungen für Kleinstunternehmen

Die klassischen Cyberangriffe:

• Phishing-Angriffe: Gefälschte E-Mails, die Zugangsdaten abgreifen wollen
• Ransomware: Schadsoftware, die Daten verschlüsselt und Lösegeld fordert
• Schwache Passwörter: Einfache Passwörter machen den Zugang für Angreifer leicht
• Nicht aktualisierte Software: Veraltete Programme enthalten oft Sicherheitslücken
• Menschen machen Fehler
• Dienstleister fallen aus

Aber: Es gibt unzählige Ursachen für einen IT-Notfall. Wenn Ihre IT in Schwierigkeiten gerät, ist es sehr wichtig, die Ursache zu finden. Dies ist die Basis dafür, in Zukunft besser aufgestellt zu sein.

Das erste Ziel ist jedoch, wieder handlungsfähig zu werden. Der IT-Notfallplan hilft dabei: Schon bei seiner Erstellung werden Sie ihre IT und die Prozesse hinterfragen und ggf. ändern. Und im IT-Notfall kann man auf diese Überlegungen zurückgreifen.

Kurz und knapp: Was gehört auf jeden Fall in einen IT-Notfallplan

• Banal aber wichtig: Alle wichtigen Unterlagen (Kontaktdaten, Dokumentationen...) müssen auch im IT-Notfall schnell verfügbar sein. Ggf. ausgedruckt oder digital in separierten Orten wie Cloudlösungen o.ä..
• Zu den wichtigsten Unterlagen gehörten insbesondere die Kontaktdaten zu Dienstleistern, den wichtigsten Kunden, Behörden etc. wie Banken, Steuerberater, IT, Finanzamt... mit Name, Adresse, Telefonnummer, E-Mail-Adressen.
• Ebenso sehr wichtig: Eine Übersicht, welche IT wo für was im Einsatz ist. Das hilft, den Überblick zu bewahren. Machen Sie eine Bestandsaufnahme Ihrer Prozesse und der zugehörigen IT mit Hardware (Laptops, Handies, Router...), Online-IT (Server, Websites, Domains. Mailadressen...) und lokaler wie online eingesetzter Software (z. B. Backups, Elster). Entscheiden Sie sich, was besonders wichtig ist und konzentrieren sich auf diese Prozesse und IT.
• Krisenkommunkation vorbereiten: Halten Sie Vorlagen bereit, wie Sie Kunden, Behörden (z. B. Datenschutz), Lieferanten, Partner etc. informieren können.
• Checklisten und Dokumentationen helfen: Prüfen Sie, welche Maßnahmen Sie gegen die gefährlichsten Angriffe ergreifen können (z.B. gegen Ransomware). Halten Sie fest, wie Ihre wichtigsten Prozesse ablaufen: Das reicht von IT-Sicherheitsmaßnahmen wie Backup (was wird wo wie wann gesichert) bis zu speziellen Prozessen Ihrer Geschäftstätigkeit.
• Spielen Sie denkbare IT-Notfälle durch: Was würden Sie z. B. tun, wenn Ihr wichtigster Dienstleister ausfällt?
• Bitte nehmen Sie sich den Plan mindestens einmal im Jahr vor, um ihn zu aktualisieren. Gerade Kontaktdaten ändern sich ständig.

Ganz wichtig: Der IT-Notfallplan muss auch dann erreichbar sein, wenn Ihre IT flachliegt. Hier hilft unter Umständen ein Papierausdruck.

Schnelleinstieg: In 20 Minuten: Einstieg in den IT-Notfallplan

Bestandsaufnahme zu Beginn: Welche IT ist in Ihrem Unternehmen im Einsatz?

Wie wichtig ist die IT überhaupt für Ihr Unternehmen? Eine Bestandsaufnahme zeigt, wo welche IT eine wie wichtige Rolle spielt.

• Liste Ihrer Geschäftsprozesse: Welche Geschäftsprozesse habe ich?
• Liste der verwendeten IT: Welche Rolle spielt dabei IT?
• Liste der Dienstleister: Welche Dienstleister helfen mir?

Was ist am wichtigsten? Welcher Schaden entsteht wann?

Prüfen Sie jetzt Ihre Geschäftsprozesse. Welcher Schaden würde wann entstehen?

Klassische Fragen

• Was passiert, wenn eine Anwendung nicht mehr zur Verfügung steht?
• Was passiert, wenn Daten auf einmal öffentlich sind?
• Was passiert, wenn eine Anwendung keine korrekten Daten mehr zeigt?

Welche Sicherheitsmaßnahmen gibt es bereits?

Prüfen Sie auch, welche Sicherheitsmaßnahmen Sie bereits ergriffen haben. Dazu gehören unter anderem:

• Schützen Sie Ihre Programme mit Antiviren-Software?
• Machen Sie regelmäßig Backups und aktualisieren Sie Ihre Software?
• Sind in Ihrem Unternehmen Firewalls im Einsatz?
• Nutzen Sie Zwei-Faktor-Authentifizierung für den Login in Ihre Systeme, in Ihren Mail-Account oder Social-Media-Accounts?
• Verwalten Sie Ihre Zugangsdaten über einen Passwort-Manager und sorgen so dafür, dass Passwörter nicht einfach zu erraten sind?
• ...

Ihre Informationssammlung zum IT-Notfallplan Schritt für Schritt?

Was benötigen Sie auf jeden Fall?

• Kontaktmöglichkeiten zu Dienstleistern, den wichtigsten Kunden, Behörden etc. wie Banken, Steuerberater, IT, Finanzamt... mit Name, Adresse, Telefonnummer, E-Mail-Adressen.bzw. Ansprechpartnern
• Vertragliche Vereinbarungen, insbes. bzgl. IT-Sicherheit betrifft
• Technische Dokumentation, die ihnen bzw. ggf. Dritten helfen kann
• Ergänzende Dokumente, die bei einem Ausfall oder einer Störung helfen könnten

Schauen Sie Ihre Prozesse an und ergänzen Sie

• Wichtige Adressen und Rufnummern, z. B. mit Telefonlisten
• Passwörter, Zwei-Faktor-Authentifizierungen, ggf. Zugangszertifikate
• Updates von Software
• Dateisicherung
• Technische Dokumentationen, z. B. Netzwerkplan

So bewahren Sie Ihre Dateisammlung auf:

• Drucken Sie alle Dokumente aus und bewahren diese Unterlagen an einem sicheren Ort auf, der nicht ihr üblicher Arbeitsplatz ist (z. B. Bankschließfach, im verschlossenen Umschlag bei einer sehr vertrauenswürdigen Person…)
• Verschlüsseln Sie die Dateien (z. b. mit 7Zip) und legen diese auf einen Cloudspeicher oder USB-Stick ab. Kontrollieren Sie den USB-Stick halbjährlich, leider werden USB-Sticks mitunter defekt.

Aktualisierung der Dateisammlung:

• Prüfen sie mindestens halbjährlich, ob die Unterlagen noch verfügbar und aktuell sind.
• Um von Updates, Sicherheitsprobleme etc. zu erfahren ist das Monitoring der IT-Anwendungen nötig. Dies umfasst einerseits die IT-Anwendung selbst, als auch die Herstellerinformationen zur IT (z. B. Updates, Sicherheitswarnungen etc.) als auch öffentliche Stellen (z. B. BSI) und Verzeichnisse von Schwachstellen (z. B. www.cve.org ).

Das Planspiel: Was wäre wenn?

Überlegen Sie sich VOR dem IT-Notfall, was Sie tun würden, wenn Anwendungen ausfallen oder Dienstleister plötzlich nicht mehr verfügbar sind:

Beispiele für konkrete IT-Notfallsituationen:

Als Kleinunternehmer mit einer überschaubaren IT sollten Sie auf verschiedene IT-Notfälle vorbereitet sein, um den reibungslosen Betrieb ihres Geschäfts zu gewährleisten. Hier sind einige häufige IT-Notfälle und Maßnahmen, die Sie ergreifen können:

Datenverlust

• Ursache: Hardware-Ausfälle, menschliche Fehler, Malware/ Ransomware-Angriffe
• Vorbereitung: Regelmäßige Backups (lokal und in der Cloud), Implementierung von Datenwiederherstellungs-plänen, Test der Datensicherung, Schulung für sichere Datenhandhabung.
• To Do im Notfall: Backup einspielen auf sichere IT .
• Falls Backup unbrauchbar: Rekonstruktion aus ggf. noch vorhandenen Daten

Cyberangriff

• Ursache: Phishing, Malware, Ransomware
• Vorbereitung: Siehe
• To Do im Notfall: Auf IT-Notfallplan zurückgreifen, der vorbereitete Handlungsoptionen an die Hand gibt. Z.B. Zuhilferufen von IT-Sicherheitsexperten, Kommunikation mit Datenschutz und Sicherheitsbehörden... siehe auch hier

Netzwerkausfall

• Ursache: ISP-Probleme, Hardwaredefekte, Konfigurationsfehler
• Vorbereitung: Notfallpläne für alternative Internetverbindungen (z.B. mobile Hotspots), regelmäßige Überprüfung und Wartung der Netzwerkinfrastruktur.
• To Do im Notfall: Nutzen alternativer Verbindungen (z. B. WLAN via Handy)

Hardwareausfall

• Ursache: Alterung der Hardware, Überhitzung, Stromausfälle
• Vorbereitung: Ersatzteile und -geräte vorhalten, regelmäßige Wartung und Überprüfung der Hardware, Nutzung von unterbrechungsfreien Stromversorgungen (USVs)
• To Do im Notfall: Einsatz vorgehaltener Hardware

Softwareprobleme

• Ursache: Bugs, Inkompatibilitäten, Lizenzprobleme
• Vorbereitung: Regelmäßige Software-Updates und -Patches, Implementierung von Testumgebungen für Updates, Lizenzmanagement, Prüfen von Software-Alternativen, Prüfen des Datenexports aus der Software
• To Do im Notfall: Rückgriff auf Backup und Neu-Installation der Software auf sicherer IT

Physische Sicherheitsvorfälle

• Ursache: Diebstahl, Brand, Wasser- oder andere Umweltschäden
• Vorbereitung: Physische Sicherheitsmaßnahmen (z.B. Schlösser, Überwachung), Brandschutzvorkehrungen, Notfallpläne und regelmäßige Sicherheitsüberprüfungen.
  Lagerung von Backups an verschiedenen Orten.
• To Do im Notfall: Rückgriff auf IT (insbes. Backups) an verschiedenen Orten

IT-Notfall ist eingetreten: Was jetzt?

Wenn es ernst wird, sollten Sie diesem Ablauf folgen:

• Sie müssen vom IT-Notfall erfahren und ihn einschätzen können:
  Das Ausmaß - nur „Betriebsstörung“ oder „richtig ernstes Problem“? – ist ggf. nicht sofort erkennbar.
  Klingt trivial, aber manche IT-Probleme bekommen Sie gar nicht sofort mit oder erfahren von Dritten über das Problem.
  Ganz wichtig ist, dass Sie dafür sorgen, erreichbar zu sein.
• IT-Sofortmaßnahmen:
  Je nach Situation sind Maßnahmen sofort zu ergreifen.
  Verhindern, dass der Schaden größer wird:
  Grundsätzlich gilt: Je nach Situation zuerst immer die normalen Rettungsmaßnahmen ergreifen, z. B. Menschen aus der Gefahrenzone bringen, Löschversuch unternehmen, Rettungsdienste alarmieren.
  z. B. Website in den Wartungsmodus versetzen: Manuelle Tätigkeit ggf. Experten überlassen
  ggf. Server vom Netz abtrennen: ggf. Experten überlassen
  ggf. Nutzer-IT vom Netz abtrennen: ggf. Experten überlassen
  Beweise sichern:
  z. B. Logfiles sichern
  z. B. Bildschirm mit dem Smartphone abfotografieren
  Backups sichern:
  Backup-Bandroboter: Wenn der Verdacht auf eine Kompromittierung besteht, müssen alle bereits beschriebenen Bänder aus der Tape Library entfernt werden und durch leere Bänder ersetzt werden. Ziel ist es, mit den bisher genutzten Bändern Backups zu haben, die (hoffentlich) vor Verschlüsselung geschützt sind.
  Situation nachvollziehbar machen:
  z. B. Protokoll der Ereignisse mit Datum und Uhrzeit führen
  Wer kann bei IT-Sofortmaßnahmen unterstützen?
  IT-Dienstleister etc.
  Behörden, Strafverfolgung
  Falls vorhanden: Cyberschutz-Versicherung
• Informieren und Melden:
  Je nach Situation gibt es Meldepflichten (gegenüber Datenschutz oder Kunden), die mit Dokumentation und Kommunikation einher gehen.
  Bei einem IT-Notfall müssen u.U. innerhalb definierter Fristen Meldungen an Behörden und andere Institutionen gemacht werden. Dadurch sollen Schwierigkeiten durch Ordnungsgelder, Kontopfändungen usw. abgewendet werden, z. B.: sich verzögernde Pflichtmeldungen an Behörden, Rücksprache bzgl. Erfüllung hoheitlicher Aufgaben, sich verzögernde Zahlungen, sich verzögernde Bereitstellung statistischer Daten.
  Ein gravierender IT-Notfall mit längerer Unterbrechung kritischer Geschäftsprozesse kann später zu strafrechtlichen und zivilrechtlichen Konsequenzen führen. Daher ist eine fortlaufende Dokumentation aller Ereignisse sinnvoll. Jeder Eintrag sollte Datum und Uhrzeit beinhalten und mit so viel Kontextinformationen versehen werden, dass die Abläufe auch im Nachhinein noch gut nachvollzogen werden können.
• Notbetrieb:
  Welche Handlungsoptionen bestehen?
  Ggf. gibt es Möglichkeiten, ohne oder mit anderer IT, die Aufgaben zu erfüllen?
  Prüfen, welche Aufgaben in welche der folgenden Kategorien fallen
  „Nicht betroffen“
  Aufgaben, die keines der betroffenen Systeme verwenden.
  „Auslagerungsfähig“
  Aufgaben, die betroffene Systeme verwenden, die aber auf ein anderes eigenes oder fremdes System ausgelagert werden können. Die Auslagerungsfähigkeit kann je nach Aufgabe aber insbesondere auch nach der Größe der Organisation, der Organisationsumwelt etc. stark variieren. In diese Kategorie gehören Aufgaben, bei denen kurzfristig ein anderer Standort der Organisation oder eine andere Organisation innerhalb eines Organisationsverbunds (z.B. andere Unternehmen, Kommune, Geschäftsstellen etc.) die erforderliche IT-Ausstattung (neben Clients auch Server mit entsprechenden Fachverfahren) für die eigenen Beschäftigten zur Verfügung stellen kann.
  „mit mobilem Equipment zumindest eingeschränkt arbeitsfähig“
  Aufgaben, die betroffene Systeme verwenden, aber auch mit mobilem, nicht betroffenen, Equipment (Homeoffice, „sauberer“ Laptop, mobiler Hotspot, Handy) zumindest eingeschränkt erbracht werden können. In Abgrenzung zu auslagerungsfähigen Aufgaben handelt es sich hier um die Bereiche, bei denen die eingesetzten Softwaresysteme entweder rein clientseitig funktionieren oder die externe Serverkomponente über das Internet erreichbar ist.
  „ohne Neuaufbau nicht arbeitsfähig“
  Aufgaben, bei denen die Arbeitsfähigkeit nicht nach den vorgenannten Kategorien besteht oder hergestellt werden kann.
  In einem nächsten Schritt können dann unter den Aufgaben jeder Kategorie diejenigen identifiziert werden, die als funktionswichtig angesehen werden und deshalb priorisiert lauffähig gemacht werden müssen.
• Wiederherstellung zum Normalbetrieb:
  Wie kommen sie wieder auf den gewohnten, verbesserten Betriebsablauf?
  Beim Wiederanlauf zu einem Notbetrieb und der Wiederherstellung des Normalbetriebs stellen sich folgende Fragen, die jeweils für die einzelnen IKT-Anwendungen / Anteile beantwortet werden müssen:
  Welche der betroffenen IKT-Teile sind so zeitkritisch (z. B. längere Unterbrechung durch Ausfall dieser IT hätte schwerwiegende Folgen für das Unternehmen), so dass diese prioritär behandelt werden muss?
  Wie kann ein Notbetrieb hergestellt werden, so dass die kritischen Geschäftsprozesse wiederanlaufen können, wenn auch mit verringertem Durchsatz?
  Welche Maßnahmen müssen ergriffen werden, um den Normalbetrieb wiederherzustellen?
• Nachbereitung:
  Was haben Sie aus dem IT-Notfall gelernt?
  
  
  

Kurz und knapp: Verhalten bei einem Ransomware-Angriff

Sie haben eine Drohung erhalten, dass Ihre Systeme erst nach der Zahlung von Lösegeld wieder funktionieren würden?

• Trennen Sie das Backup-System sofort vom Netzwerk
• Schalten Sie den Router aus und trennen alle Verbindungen zum Internet
• Trennen Sie Server vom Netzwerk. Schalten Sie das Netzwerk trotzdem nach Möglichkeit aus, damit Beweise gesichert werden.
• Zahlen Sie kein Lösegeld. Konsultieren Sie zuvor mindestens einen IT-Notfall-Dienstleister.
• Kommunizieren Sie keinesfalls über das interne E-Mail-System.
• Verwenden Sie keine Systeme und An­wendungen, die unter Umständen infiziert sind.
• Hüten Sie sich davor, technische Systeme übereilt und ohne gründliche Analyse wiederherzustellen.

Kurz und knapp: Verhalten bei einem Datenvorfall

• Stellen Sie fest, wie groß der Umfang der gestohlenen oder kompromittierten Daten ist und dokumentieren Sie dies.
• Melden Sie den Vorfall der Polizei.
• Prüfen Sie mit einem Anwalt, ob der Vorfall meldepflichtig ist.
• Informieren Sie alle Betroffenen (natürlichen und juristischen) Personen.
• Verbessern Sie Ihre Technik und Ihre Organisation, um den Datenschutz zu verbessern.

Kurz und knapp: Verhalten bei einem Systemausfall

Trennen Sie das Backup-System vom Netz.

• Informieren Sie alle Nutzerinnen und Nutzer
• Lokalisieren Sie alle betroffenen Systeme und Anwendungen
• Überprüfen Sie diese System auf Hardware- und Softwaredefekte
• Klären Sie Abhängigkeiten und Aus­wirkungen
• Ziehen Sie Dokumentation und Wiederher­stellungsplan zu Rate.
• Kontaktieren Sie ggf. einen externen IT-Dienstleister

In 20 Minuten: Einstieg in den IT-Notfallplan

Nehmen Sie sich Ruhe, einen Block, einen Stift und eine Uhr zur Hand. Beantworten Sie in jeweils 2 Minuten die folgenden 10 Fragen ( Download des PDFs dazu ):

1. Wer kümmert sich in Ihrem Unternehmen wie intensiv um IT-Sicherheit?
Als Kleinunternehmen ggf. Sie selbst. Ggf. aber auch ein IT-Leiter oder der IT-Sicherheitsbeauftragter? Oder ein Dienstleister?Wichtig ist: Irgendjemand muss sich um das Thema IT-Sicherheit mit angemessenen Ressourcen kümmern.Schreiben sie auf, wie das bei Ihnen geregelt ist.

2. Was ist Ihr wichtigster IT-gestützter Prozess im Unternehmen?
(wichtig = z. B. wenn nicht verfügbar, hoher Schaden)
Ideen hierfür: Kundenmanagement (CRM), Finanz- und Buchhaltungsprozesse
(Rechnungen…), Logistik und Warenwirtschaftssysteme (ERP), OnlineShop, Website…
Schreiben Sie auf, was besonders wichtig ist - und was weniger wichtig ist.

3. Wie würden Sie von Problemen beim wichtigsten Prozess erfahren?
Wie sehen ihre Problem-Meldewege am Samstagabend aus?
Beobachten Sie oder ihr IT-Sicherheitskümmerer Presse, Schwachstellen, Darknet
etc.? Schreiben Sie auf, wie sie das regeln könnten?

4. Welche Personen sind involviert, wenn wichtigster Prozess von IT-Notfall betroffen (bei größeren Unternehmen IT-Notfallteam(s))?
Welche Personen sind involviert, wenn der wichtigste Prozess von einem IT-Notfall betroffen ist?
Schreiben Sie die involvierten Personen auf: Ggf. Mitarbeiter, kooperierende Personen, Dienstleister...

5. Welche externen Hilfe-Einrichtungen könnten / sollten / müssen
einbezogen werden? Wie entscheiden ob?
Das können Behörden (z. B. Polizei (ZAC)), eine Cyberversicherung, reguläre IT-Dienstleister oder spezielle IT-Sicherheitsdienstleister sein. Ggf. müssen Meldepflichten erfüllt werden.
Schreiben Sie auf, wer ihnen im IT-Notfall helfen könnte und mit wem Sie ggf. Kontakt auf nehmen müssen?

6. Sofortmaßnahmen: Was muss man ohne Zögern tun?
Wichtig ist es, Beweise zu sichern (Logfiles, Bildschirm abfotografieren…), Backups zu sichern (sind sie funktionsfähig?), Problem-IT abzutrennen und die Situation nachvollziehbar zu machen (Protokoll starten).
Schreiben Sie auf, welche Sofortmaßnahmen für Sie beim Ausfall Ihres wichtigsten Prozesses sinnvoll ist.

7. Mit welchen Betroffenen müssten Sie wie kommunizieren?
Schreiben Sie auf, mit wem (Kunden, Mitarbeiter, Dienstleister, Presse…) Kommunikation erforderlich sein könnte. Und wie diese erfolgen könnte, wenn Mail und Festnetz nicht verfügbar sind (z. b. über Handies, Notfallwebsite, Socialmedia, Messenger…)

8. Notbetrieb: Wie könnte das für den wichtigsten Prozess aussehen?
Welche Alternativen, Notbehelfskonstruktionen etc. könnten Sie einsetzen, wenn ihr wichtigster Prozess ausfällt. Gibt es eine Notfall-IT, wann wurde diese zuletzt gestestet ? Können Prozesse umgestellt werden, z. B. analog statt digital?
Schreiben Sie Ihre Handlungsoptionen auf bzw. überlegen sich, wie diese entwickelt werden können.

9. Wiederherstellung: Aufwand, Arbeit, Chance, Neuanfang…
Neben dem Notbetrieb müssen Sie sich überlegen, wie die Wiederherstellung eines Normalbetriebes gelingt. Soll die IT wieder 1:1 wie vor dem IT-Notfall aufgebaut werden?
Oder lohnt ein Neuaufbau mit neuer IT? Kann „alte IT beerdigt“ werden?
Schreiben Sie auf wie ihre zukünftige IT ausehen sollte.

10. Wie machen Sie weiter?
Sie haben sich neun Fragen gestellt. Vermutlich waren manche Fragen schnell beantwortet, andere bedürfen der genaueren Überlegung.
Wesentlich ist:
→ Es muss einen Kümmerer für IT-Sicherheit geben! Das sind ggf. Sie selbst!
→ Grundlegende IT-Hausaufgaben machen: Technische Sicherheit ausbauen (Firewall, Updates, Backups, Zugriffskontrolle…) und Know How aufbauen (Sensibilisierung für IT-Risiken…)
→ Am IT-Notfallplan weiterarbeiten: Hier gibt ein PDF des Cybersecurity Days 2025 Tipps