Was ist eine Tabletop Exercise (Krisenübung)?
Zuletzt aktualisiert:
Kurz erklärt: Eine Tabletop Exercise (deutsch Planübung oder Krisenübung) ist eine diskussionsbasierte Übung, bei der ein Team einen Cyber-Vorfall anhand eines realistischen Szenarios am Tisch durchspielt — ohne in produktive Systeme einzugreifen. Anhand einer moderierten Szenario-Erzählung prüft sie, ob Notfallpläne, Rollen, Entscheidungswege und Kommunikation im Ernstfall tatsächlich greifen. Tabletop Exercises sind die kostengünstigste Form, die in NISG 2026 § 32 und NIS2 Art. 21 geforderte Wirksamkeit der Vorfallbewältigung und des Krisenmanagements nachzuweisen.
Eine Tabletop Exercise — auf Deutsch Planübung oder Krisenübung — ist eine diskussionsbasierte Übung, bei der ein Team einen Cyber-Vorfall anhand eines realistischen Szenarios am Tisch durchspielt, ohne in produktive Systeme einzugreifen. Ein Moderator führt durch eine Szenario-Erzählung; die Teilnehmer treffen die Entscheidungen, die sie auch im Ernstfall treffen müssten. So zeigt sich, ob der Notfallplan und das im Notfallhandbuch Festgehaltene unter Druck wirklich tragen.
Foundational Facts
- Bedeutung: Tabletop Exercise (Planübung / Krisenübung)
- Typ: diskussionsbasiert (discussion-based), nicht operativ
- Zweck: Test von Notfallplan, Rollen, Entscheidungs- und Kommunikationswegen
- Teilnehmer: Krisenstab, IT/Security, Geschäftsleitung, Kommunikation, ggf. Recht/Datenschutz
- Rechtlicher Bezug: NISG 2026 § 32 Abs. 4 lit. b, c und f (Vorfallbewältigung, Krisenmanagement, Wirksamkeitsbewertung)
Wie eine Tabletop Exercise abläuft
Eine Tabletop Exercise folgt einer einfachen Dramaturgie:
- Szenario — ein realistischer Vorfall wird vorgestellt, etwa ein Ransomware-Befall der Buchhaltung am Freitagnachmittag.
- Injects — der Moderator gibt nach und nach neue Informationen hinein („Die Angreifer drohen jetzt mit Veröffentlichung der Kundendaten”), um die Lage zu verschärfen.
- Diskussion — die Teilnehmer entscheiden in ihrer realen Rolle: Wer wird informiert? Wird isoliert? Wann meldet man der Behörde?
- Hotwash / Debrief — direkt im Anschluss wird offen besprochen, was funktioniert hat und wo es hakte.
Das Ergebnis fließt anschließend strukturiert in ein Lessons Learned ein, das konkrete Verbesserungen am Plan auslöst.
Diskussionsbasiert vs. operativ
Tabletop Exercises sind nur eine von mehreren Übungsformen — und bewusst die einfachste:
| Übungsform | Charakter | Aufwand |
|---|---|---|
| Tabletop Exercise | Diskussion am Tisch, kein Systemeingriff | niedrig |
| Walkthrough / Drill | Einzelne Abläufe praktisch geprobt | mittel |
| Funktions-/Live-Übung | Reale Systeme, Red-Team-/Blue-Team-Einsatz | hoch |
Weil sie ohne Eingriff in den Betrieb auskommt, lässt sich eine Tabletop Exercise risikolos und häufig durchführen — der ideale Einstieg, bevor aufwendigere operative Übungen sinnvoll werden.
Warum Tabletop Exercises regulatorisch zählen
NISG 2026 § 32 (die österreichische Umsetzung von NIS2 Art. 21) verlangt nicht nur, dass Maßnahmen existieren, sondern dass ihre Wirksamkeit bewertet wird (§ 32 Abs. 4 lit. f). Eine Tabletop Exercise ist genau dieser Nachweis: Sie prüft die geforderte Bewältigung von Cybersicherheitsvorfällen (lit. b) und das Krisenmanagement (lit. c) unter realitätsnahen Bedingungen.
Für Finanzunternehmen knüpft DORA ähnliche Test-Pflichten an die digitale operative Resilienz — bis hin zum Threat-Led Penetration Testing als technischem Gegenstück zur organisatorischen Übung.
Typische Szenarien
Bewährte Übungsszenarien für den Mittelstand sind:
- Ransomware — Verschlüsselung der Kernsysteme plus Erpressung mit Datenveröffentlichung.
- Business E-Mail Compromise — gefälschte Zahlungsanweisung der Geschäftsführung.
- Lieferketten-Ausfall — ein kritischer IT-Dienstleister fällt aus oder wird selbst kompromittiert.
- Datenleck — Abfluss personenbezogener Daten mit DSGVO-Meldepflicht in 72 Stunden.
Nutzen für den Mittelstand
Eine Tabletop Exercise braucht kein Labor und keine Spezialsoftware. Sie deckt mit minimalem Aufwand die größten Lücken auf: einen veralteten Incident-Response-Plan, einen unklar besetzten Krisenstab oder Kommunikationswege, die im Ernstfall niemand kennt. Für viele KMU ist sie die wirkungsvollste einzelne Vorbereitungsmaßnahme — weil sie Schwächen sichtbar macht, bevor ein echter Angreifer sie ausnutzt.
Weiterführende Links
Häufige Fragen
- Was unterscheidet eine Tabletop Exercise von einem echten Penetrationstest?
- Eine Tabletop Exercise ist diskussionsbasiert — sie greift nicht in echte Systeme ein, sondern spielt ein Szenario am Tisch durch und prüft Entscheidungen, Rollen und Kommunikation. Ein Penetrationstest oder ein Threat-Led Penetration Testing ist dagegen operativ und technisch; dort werden reale Systeme angegriffen, um technische Schwachstellen aufzudecken. Beide ergänzen sich; die Tabletop testet die Organisation, der Pentest die Technik.
- Wer sollte an einer Tabletop Exercise teilnehmen?
- Nicht nur die IT. Eine wirksame Übung bringt den Krisenstab, die Geschäftsleitung, die IT- und Security-Verantwortlichen, die Unternehmenskommunikation und je nach Szenario auch Recht und Datenschutz an einen Tisch. Gerade die Einbindung der Entscheidungsebene ist entscheidend, weil im Ernstfall genau dort Tempo verloren geht — etwa bei der Frage, ob Lösegeld gezahlt oder eine Behörde gemeldet wird.
- Wie oft sollte ein Unternehmen eine Tabletop Exercise durchführen?
- Als Faustregel mindestens einmal jährlich sowie nach jeder wesentlichen Änderung — etwa nach Einführung neuer Kernsysteme, nach einer Übernahme oder nach einem realen Vorfall. Wichtig ist die Regelmäßigkeit; eine einmalige Übung verpufft, weil Pläne veralten und Personen wechseln. NISG 2026 verlangt ohnehin eine fortlaufende Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen.
- Macht eine Tabletop Exercise auch für kleine Unternehmen Sinn?
- Ja, gerade dort. Eine Tabletop Exercise braucht kein teures Labor und keine Spezialsoftware — ein Besprechungsraum, ein durchdachtes Szenario und zwei bis drei Stunden genügen für einen ersten Durchlauf. Für KMU ist sie oft die wirkungsvollste einzelne Maßnahme, um zu erkennen, ob der Notfallplan im Ernstfall trägt, bevor ein echter Angriff die Lücken aufdeckt.