InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Frankfurter Straße 233
63263 Neu-Isenburg
Deutschland
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
InfoGuard Deutschland GmbH
Am Gierath 20A
40885 Ratingen
Deutschland
InfoGuard GmbH
Kohlmarkt 8-10
1010 Wien
Österreich
Im Jahr 2025 bewältigte das InfoGuard CSIRT über 350 Cybervorfälle, was einem substanziellen Anstieg von rund 20 Prozent gegenüber dem Vorjahr entspricht. Bereits im ersten Halbjahr zeichnete sich diese Entwicklung ab: Komplexe Angriffe nahmen gegenüber der Vorperiode um beachtliche 115 Prozent zu. In der Praxis identifizierte das InfoGuard-CSIRT bei vielen Organisationen wiederkehrende Lücken in der Incident Readiness. Bemerkenswert ist dabei weniger das Fehlen von Konzepten, sondern deren Unverfügbarkeit und die mangelnde Umsetzbarkeit im Ernstfall.
Unternehmen müssen ihre Incident-Response Fähigkeiten regelmässig mit TTX trainieren, um technische und organisatorische Schwachstellen zu identifizieren, gezielte Massnahmen zur Stärkung der Cyberresilienz ableiten zu können und um ihre Handlungsfähigkeit im Krisenfall sicherzustellen. Denn Cyberresilienz entsteht nicht durch immer mehr Tools oder das Vorhandensein von Notfallplänen, sondern durch konsequente Sichtbarkeit der Angriffsfläche, kontextbasierte Angriffsanalysen und operative Handlungsfähigkeit im entscheidenden Moment – und diese Handlungsfähigkeit muss geübt sein.
TTX sind keine Wissensabfragen oder Tests. Sie simulieren Cyber-Krisensituationen auf Basis konkreter Szenarien und ermöglichen es, bestehende Cyber-Security- und Recovery-Prozesse unter realistischen Bedingungen zu überprüfen. Dabei werden technische und organisatorische Schwachstellen sichtbar.
Das regelmässige Durchspielen realistischer Krisenszenarien mit dem Fokus auf Entscheidungen, Kommunikation und Wiederherstellung, stärkt die Handlungsfähigkeit für den Ernstfall.
Aus Sicht unseres Computer Security Incident Response Teams (CSIRT) lassen sich TTX mit einem Drei-Akte-Modell vergleichen, bei dem sich die Lage schrittweise zuspitzt.
Aus Sicht des Computer Security Incident Response Teams (CSIRT) lassen sich Tabletop-Exercises (TTX) als dynamischer Entscheidungsprozess verstehen, in dem sich eine Krisensituation schrittweise entwickelt, eskaliert und im Anschluss strukturiert ausgewertet wird.
Eine Krise beginnt nicht im luftleeren Raum, sondern in einem konkreten betrieblichen Kontext. Die Teilnehmenden werden in eine realistische Ausgangssituation versetzt, übernehmen ihre Rollen im Krisenmanagement und erhalten eine erste Lagebeschreibung. Auf dieser Basis entscheiden sie über erste Eskalationen, Kommunikationswege und Prioritäten.
Typischerweise umfasst das Setup zentrale Rahmenbedingungen wie den Zeitpunkt, die aktuelle Organisationssituation, die Verfügbarkeit wichtiger Schlüsselpersonen sowie laufende geschäftliche oder regulatorische Ereignisse.
So entsteht eine realistische Ausgangssituation, in der Krisen häufig mit operativen oder strategischen Belastungen zusammentreffen. Das initiale Szenario kann beispielsweise durch einen Sicherheitsvorfall wie einen erfolgreichen Phishing-Angriff, einen Hinweis eines Lieferanten oder eine externe Medienanfrage ausgelöst werden.
Ab diesem Moment beginnt die operative Entscheidungsfindung: Was passiert zuerst, wer wird informiert und welche Bereiche haben Priorität?
In dieser Phase wird die initiale Lage schrittweise erweitert. Die Übungsleitung bringt zusätzliche Informationen in die Simulation ein, die die Situation verändern, den Entscheidungsdruck erhöhen und neue Prioritäten erzeugen.
Diese sogenannten Injects stellen definierte Ereignisse dar, die den Verlauf der Krise dynamisieren und die Teilnehmenden zu neuen Entscheidungen zwingen.
Typische Beispiele sind:
Mit jedem Inject verschiebt sich die Lagebewertung. Entscheidungen müssen in Unsicherheit sowie unter zunehmendem Druck getroffen werden und machen sichtbar, wo Prozesse, Rollen oder Kommunikationswege an ihre Grenzen stossen.
Der Lerneffekt entsteht nicht nur während der Simulation, sondern auch in der strukturierten Auswertung im Anschluss.
Nach Abschluss der Tabletop-Übung erfolgt ein gemeinsames Debriefing, in dem der Verlauf systematisch reflektiert wird:
Der Fokus der Auswertung liegt primär auf Entscheidungswegen, Kommunikation, Rollenverständnis, Eskalationslogik und technischen Kompetenzen und Fähigkeiten – nicht auf technischen Detailanalysen einzelner Systeme. Hier zeigt sich, ob die Übung zu echten Erkenntnissen über die Krisenfähigkeit geführt hat.
Zu allgemeine oder theoretische Angriffsszenarien erschweren realistische Entscheidungen und reduzieren den Erkenntnisgewinn. Ohne konkreten Organisations- und Krisenkontext fehlen den Teilnehmenden greifbare Handlungsgrundlagen.
Werden TTX primär zur Erfüllung regulatorischer Anforderungen durchgeführt, geraten Entscheidungsprozesse und praktische Handlungsfähigkeit schnell in den Hintergrund.
Ohne klar definierte Ziele driftet die Übung ab, belohnt Improvisation statt strukturierter Prozessqualität und lässt Führungskräfte im Unklaren über die Effektivität des Incident-Response-Plans.
Tabletop Exercises sollten nicht nur technische Reaktionsmassnahmen, sondern auch alternative Kommunikationswege und manuelle Abläufe testen. Diese werden in der Praxis häufig vernachlässigt.
Krisenmanagement betrifft nicht nur die IT. Management, Kommunikation, Legal, Datenschutz und relevante Fachbereiche müssen frühzeitig eingebunden werden.
Ohne strukturierte Auswertung und konkrete Massnahmen bleibt der Lerneffekt begrenzt und identifizierte Schwachstellen werden nicht nachhaltig adressiert.
Wirksame Tabletop-Exercises folgen einem methodischen Rahmen, der sicherstellt, dass Übungen nicht nur durchgeführt, sondern auch systematisch ausgewertet und in konkrete Verbesserungen überführt werden. Der Fokus liegt auf Realitätsnähe, Entscheidungsqualität und nachhaltigem Lerneffekt.
Effektive Tabletop-Exercises basieren auf organisationsspezifischen, realistischen Szenarien. Diese berücksichtigen Branche, Reifegrad und Geschäftsmodell und orientieren sich an tatsächlichen Vorfällen oder plausiblen Bedrohungslagen. Ziel ist eine hohe Entscheidungsnähe statt abstrakter Theorie.
Damit Tabletop-Übungen erfolgreich sind, erzeugen sie gezielt Unsicherheit, Priorisierungsdruck und Informationsasymmetrie, denn nur so wird die Qualität von Entscheidungen unter realistischen Bedingungen erst sichtbar und bewertbar.
Der gesamte Übungsablauf wird dokumentiert und strukturiert ausgewertet. Dadurch entsteht eine nachvollziehbare Entscheidungs- und Kommunikationshistorie, die als Grundlage für konkrete Verbesserungsmassnahmen, Anpassungen von Prozessen und gezielte Re-Tests dient.
Aus Sicht des CSIRT zeigt sich in der Praxis immer wieder: Organisationen scheitern nicht nur an der technischen Bewältigung eines Vorfalls, sondern an Entscheidungsfähigkeit, Kommunikation und Koordination unter Druck.
Tabletop-Exercises (TTX) adressieren genau diesen Kern. Sie schaffen einen geschützten, aber realitätsnahen Rahmen, in dem Krisensituationen durchgespielt, Entscheidungen unter Druck getroffen und organisationsübergreifende Abhängigkeiten sichtbar werden. Entscheidend ist dabei weniger die einzelne Übung als solche, sondern die Qualität ihres Aufbaus: realitätsnahe Szenarien, gezielte Entscheidungsdynamik und strukturierte Nachbereitung bilden gemeinsam die Grundlage für nachhaltigen Lerneffekt.
Richtig gestaltet sind TTX damit mehr als ein Trainingsformat – sie sind ein zentrales Instrument zur systematischen Stärkung der Krisen- und Entscheidungsfähigkeit einer Organisation.
Mit unserer Erfahrung aus der Bearbeitung realer Cybervorfälle begleiten und unterstützen wir Unternehmen bei der Konzeption, Moderation, Durchführung und Auswertung von Tabletop Exercises und bringen dabei unser fundiertes Wissen aus dem Incident Response- und CSIRT-Alltag ein. Ziel dabei ist nicht die perfekte Übung, sondern die Identifikation potenzieller Schwachstellen sowie belastbare Erkenntnisse für den Ernstfall.
Bildlegende: mit KI generiertes Bild