Montagmorgen, 8:15 Uhr: Der Server ist nicht erreichbar. Die Telefonanlage schweigt, das ERP-System zeigt nichts an, E-Mails kommen nicht durch. Mitarbeiter stehen ratlos vor dunklen Bildschirmen. Was jetzt? Wer ruft wen an? Wo sind die Zugangsdaten für das Backup? Gibt es überhaupt ein aktuelles Backup?
Für viele mittelständische Unternehmen in der Region Südbaden ist dieses Szenario keine abstrakte Gefahr, sondern eine Frage der Zeit. Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren 2024 über 60 % der kleinen und mittleren Unternehmen von mindestens einem schwerwiegenden IT-Sicherheitsvorfall betroffen. Die durchschnittlichen Kosten einer Stunde IT-Ausfall liegen je nach Branche zwischen 10.000 und 50.000 Euro — Produktionsausfälle, entgangene Aufträge und Reputationsschäden nicht eingerechnet.
Ein IT-Notfallplan ist kein bürokratisches Dokument für die Schublade. Er ist das Werkzeug, das im Ernstfall den Unterschied macht zwischen zwei Stunden Ausfallzeit und zwei Wochen Chaos. In diesem Artikel zeigen wir Ihnen in sieben konkreten Schritten, wie Sie einen praxistauglichen IT-Notfallplan für Ihr Unternehmen aufbauen.
Warum jedes Unternehmen einen IT-Notfallplan braucht
Die Abhängigkeit von funktionierender IT ist in den letzten Jahren massiv gestiegen. Selbst ein Handwerksbetrieb mit 20 Mitarbeitern arbeitet heute mit digitaler Auftragsplanung, Cloud-Buchhaltung und vernetzten Maschinen. Fällt die IT aus, steht im schlimmsten Fall der gesamte Betrieb still. Trotzdem haben nach unserer Erfahrung weniger als ein Drittel der mittelständischen Unternehmen in der Region einen dokumentierten Notfallplan.
Die Gründe sind nachvollziehbar: Im Tagesgeschäft bleibt wenig Zeit, man verlässt sich auf den IT-Dienstleister, und bisher ist ja auch immer alles gut gegangen. Doch genau diese Haltung wird zum Problem, wenn eines der folgenden Szenarien eintritt:
- Ransomware verschlüsselt sämtliche Unternehmensdaten über Nacht
- Ein Hardware-Defekt legt den zentralen Server lahm
- Ein Wasserschaden im Serverraum zerstört die gesamte Infrastruktur
- Ein Mitarbeiter löscht versehentlich geschäftskritische Datenbanken
- Der einzige IT-Verantwortliche fällt krankheitsbedingt aus — und niemand kennt die Zugangsdaten
- Ein Stromausfall trifft das Rechenzentrum ohne funktionsfähige USV
- Ein Dienstleister stellt seinen Cloud-Service überraschend ein
In jedem dieser Fälle entscheidet die Vorbereitung darüber, ob Ihr Unternehmen in Stunden oder in Wochen wieder arbeitsfähig ist. Einen IT-Notfallplan zu erstellen, ist keine Raketenwissenschaft — aber es erfordert Systematik und Verbindlichkeit.
Das BSI empfiehlt im Standard 200-4 ein strukturiertes Business Continuity Management (BCM) für alle Organisationen. Mit der EU-Richtlinie NIS2, die seit Oktober 2024 in deutsches Recht umgesetzt wird, sind viele mittelständische Unternehmen erstmals gesetzlich verpflichtet, Maßnahmen zur IT-Notfallvorsorge nachzuweisen. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in zahlreichen Sektoren — darunter Produktion, Lebensmittel, Gesundheit und digitale Dienste. Auch wenn Ihr Unternehmen nicht direkt unter NIS2 fällt: Geschäftspartner und Auftraggeber werden zunehmend Nachweise über Ihre IT-Sicherheitsmaßnahmen verlangen.
Die 7 Schritte zum IT-Notfallplan
Ein guter IT-Notfallplan muss nicht hunderte Seiten umfassen. Entscheidend ist, dass er vollständig, verständlich und aktuell ist. Die folgenden sieben Schritte führen Sie systematisch zum Ziel.
Kritische Systeme identifizieren
Bevor Sie planen können, müssen Sie wissen, was geschützt werden muss. Erfassen Sie alle IT-Systeme, Anwendungen und Datenbestände Ihres Unternehmens und bewerten Sie deren Kritikalität. Fragen Sie sich: Welche Systeme müssen innerhalb von Minuten wieder laufen (z. B. Telefonanlage, ERP), welche innerhalb von Stunden (E-Mail, Dateien) und welche können notfalls einen Tag warten? In der Fachsprache definieren Sie dabei die Recovery Time Objective (RTO) — die maximal tolerierbare Ausfallzeit — und die Recovery Point Objective (RPO) — den maximalen Datenverlust, den Sie verkraften können. Ein RPO von 4 Stunden bedeutet beispielsweise, dass Backups mindestens alle 4 Stunden laufen müssen.
Risikoanalyse durchführen
Listen Sie alle realistischen Bedrohungsszenarien für Ihre IT-Infrastruktur auf: Cyberangriffe, Hardware-Ausfälle, Naturereignisse, menschliche Fehler, Lieferantenausfall. Bewerten Sie jedes Szenario nach Eintrittswahrscheinlichkeit und potenziellem Schaden. Diese Analyse muss nicht akademisch perfekt sein — aber sie muss ehrlich sein. Fragen Sie Ihre Mitarbeiter, was schiefgehen kann. Die kennen die Schwachstellen oft am besten. Besonders in der Region Freiburg und Südbaden sollten Sie auch lokale Risiken berücksichtigen: Hochwasser in Rheinnähe, Gewitter im Schwarzwald oder die Abhängigkeit von einzelnen Internetanbietern in ländlichen Gebieten.
Notfallteam und Verantwortlichkeiten definieren
Legen Sie fest, wer im Ernstfall welche Rolle übernimmt. Dazu gehören: ein Notfallkoordinator (meist die Geschäftsführung), ein technischer Leiter (interner IT-Verantwortlicher oder externer Dienstleister), ein Kommunikationsverantwortlicher und Stellvertreter für jede Rolle. Dokumentieren Sie Namen, Mobilnummern und E-Mail-Adressen. Wichtig: Diese Liste muss auch offline verfügbar sein — ausgedruckt und an einem sicheren Ort hinterlegt. Denn wenn die IT ausfällt, kommen Sie an das digitale Telefonverzeichnis nicht mehr heran.
Wiederherstellungsprozeduren dokumentieren
Für jedes kritische System brauchen Sie eine Schritt-für-Schritt-Anleitung zur Wiederherstellung. Wie wird der Server aus dem Backup wiederhergestellt? Wo liegen die Installationsmedien? Welche Lizenzen werden benötigt? Wie wird das ERP-System neu konfiguriert? Schreiben Sie die Anleitungen so, dass auch ein externer Techniker sie im Notfall nachvollziehen kann. Vermeiden Sie Annahmen wie 'das weiß Herr Müller'. Herr Müller könnte im Urlaub sein, wenn der Ernstfall eintritt.
Kommunikationsplan erstellen
Definieren Sie, wer im Notfall informiert werden muss und in welcher Reihenfolge: Geschäftsführung, IT-Dienstleister, betroffene Mitarbeiter, Kunden, Lieferanten, ggf. Datenschutzbeauftragter und Aufsichtsbehörden. Bei einem Datenschutzvorfall haben Sie nach DSGVO nur 72 Stunden Zeit für die Meldung an die zuständige Behörde. Bereiten Sie Textvorlagen vor für Kunden-E-Mails, interne Mitteilungen und — falls nötig — Pressemitteilungen. Im Ernstfall fehlt die Zeit, gute Texte zu formulieren.
Backup-Strategie validieren
Ein Backup, das nicht getestet wurde, ist kein Backup — es ist eine Hoffnung. Überprüfen Sie Ihre Datensicherung anhand der 3-2-1-Regel: mindestens 3 Kopien Ihrer Daten, auf 2 verschiedenen Medientypen, davon 1 Kopie an einem externen Standort (offsite). Testen Sie regelmäßig die Wiederherstellung. Nicht nur einzelne Dateien, sondern komplette Systemwiederherstellungen. Messen Sie dabei, wie lange die Wiederherstellung tatsächlich dauert — und gleichen Sie das mit Ihren RTO-Vorgaben aus Schritt 1 ab. Viele Unternehmen stellen erst im Ernstfall fest, dass die Wiederherstellung 18 Stunden dauert statt der angenommenen 2.
Regelmäßig testen und aktualisieren
Ein IT-Notfallplan, der in der Schublade verstaubt, ist wertlos. Planen Sie mindestens einmal jährlich eine Notfallübung ein — idealerweise halbjährlich. Das kann eine Tabletop-Übung sein, bei der das Notfallteam ein Szenario durchspricht, oder ein tatsächlicher Wiederherstellungstest eines Systems. Nach jeder Übung und nach jedem realen Vorfall aktualisieren Sie den Plan. Ebenso bei jeder größeren Änderung an Ihrer IT-Infrastruktur: neuer Server, neues ERP-System, Wechsel des Cloud-Anbieters. Definieren Sie einen festen Termin im Kalender — sonst passiert es nicht.
Typische Fehler bei der IT-Notfallplanung
⚠️ Wichtig: Der häufigste Fehler ist nicht das Fehlen eines Notfallplans — sondern ein Plan, der existiert, aber nie getestet wurde und im Ernstfall nicht funktioniert. Ein zweiter kritischer Fehler: Der Plan liegt ausschließlich digital auf genau dem Server, der gerade ausgefallen ist.
Weitere Fehler, die wir in der Praxis regelmäßig sehen:
Zu viel Komplexität: Ein 80-seitiges Dokument, das niemand liest, hilft im Notfall nicht. Besser ein kompakter Plan mit klaren Handlungsanweisungen, der tatsächlich bekannt ist und genutzt wird.
Keine Offline-Kopie: Wenn die gesamte IT ausfällt, müssen Sie den Plan trotzdem lesen können. Drucken Sie die wichtigsten Seiten aus und hinterlegen Sie sie an einem definierten Ort.
Einzelperson-Abhängigkeit: Der gesamte Plan hängt an einer Person, die alle Passwörter kennt. Fällt diese Person aus, steht das Unternehmen ohne Zugang da. Nutzen Sie einen Passwort-Manager mit Notfallzugriff.
Backup ohne Restore-Test: Die Sicherung läuft täglich — aber ob die Daten tatsächlich wiederherstellbar sind, hat niemand geprüft. Testen Sie die Wiederherstellung mindestens quartalsweise.
Kein Kommunikationsplan: Im Ernstfall herrscht Chaos, weil niemand weiß, wer wen informiert. Kunden rufen an, Mitarbeiter spekulieren, die Geschäftsführung improvisiert.
Prioritätsstufen im IT-Notfallplan
Nicht alle Systeme sind gleich wichtig. Eine klare Priorisierung hilft dem Notfallteam, im Ernstfall die richtigen Entscheidungen zu treffen. Die folgende Tabelle zeigt eine bewährte Einteilung:
| Priorität | RTO (max. Ausfallzeit) | Beispiele | Maßnahme |
|---|---|---|---|
| Kritisch (P1) | Unter 1 Stunde | ERP-System, Telefonanlage, Produktionssteuerung | Redundante Systeme, Sofort-Wiederherstellung, Bereitschaftsdienst |
| Hoch (P2) | 1–4 Stunden | E-Mail-Server, Dateisystem, Warenwirtschaft | Schnelle Wiederherstellung aus Backup, definierte Eskalation |
| Mittel (P3) | 4–24 Stunden | Intranet, Zeiterfassung, Dokumentenmanagement | Wiederherstellung innerhalb eines Arbeitstages |
| Niedrig (P4) | 1–3 Tage | Archiv, Entwicklungsumgebungen, interne Wikis | Wiederherstellung nach Behebung der kritischen Systeme |
Diese Einteilung ist ein Ausgangspunkt. Passen Sie die Prioritäten an die spezifischen Anforderungen Ihres Unternehmens an. Ein Onlineshop wird seinen Webserver anders priorisieren als ein Produktionsbetrieb.
Checkliste: IT-Notfallplan in 10 Punkten
Nutzen Sie diese Checkliste als Schnelltest für Ihren bestehenden Notfallplan — oder als Grundlage, wenn Sie noch keinen haben:
IT-Notfallplan — Vollständigkeitsprüfung
- Alle kritischen IT-Systeme und Anwendungen sind inventarisiert und nach Priorität klassifiziert
- Für jedes kritische System sind RTO und RPO definiert und dokumentiert
- Ein Notfallteam mit klaren Rollen und Stellvertretungen ist benannt
- Aktuelle Kontaktliste (inkl. Mobilnummern) liegt gedruckt an einem sicheren Ort
- Wiederherstellungsanleitungen existieren für alle P1- und P2-Systeme
- Die Backup-Strategie erfüllt die 3-2-1-Regel und wurde durch Restore-Tests verifiziert
- Ein Kommunikationsplan regelt die Benachrichtigung von Mitarbeitern, Kunden und Behörden
- Passwörter und Zugangsdaten sind in einem Passwort-Manager mit Notfallzugriff hinterlegt
- Der Notfallplan wurde innerhalb der letzten 12 Monate getestet oder aktualisiert
- Alle Mitglieder des Notfallteams kennen ihre Aufgaben und wissen, wo der Plan zu finden ist
Fazit: Vorbereitung schlägt Improvisation
Ein IT-Notfall trifft jedes Unternehmen irgendwann. Die Frage ist nicht ob, sondern wann. Der Unterschied zwischen Unternehmen, die einen solchen Vorfall gut überstehen, und solchen, die wochenlang kämpfen, liegt fast immer in der Vorbereitung.
Die gute Nachricht: Sie müssen nicht bei null anfangen. Mit den sieben Schritten aus diesem Artikel haben Sie eine klare Struktur, an der Sie sich entlangarbeiten können. Fangen Sie mit dem Wichtigsten an — der Inventarisierung Ihrer kritischen Systeme und einer ehrlichen Bewertung Ihrer Backup-Strategie. Allein diese beiden Schritte bringen Ihnen bereits einen enormen Sicherheitsgewinn.
Und wenn Ihnen die Zeit oder das interne Know-how für eine vollständige Notfallplanung fehlt: Holen Sie sich Unterstützung. Ein erfahrener IT-Dienstleister kann Sie durch den Prozess führen, blinde Flecken aufdecken und sicherstellen, dass Ihr Plan im Ernstfall tatsächlich funktioniert.