Agentin Cipher moderiert eine Tabletop-Übung am Konferenztisch. Der Datenschutz Dude schreibt konzentriert mit, Kaffeetasse in der Hand. Auf dem Tisch liegt ein Übungsplan mit "Szenario: IT-Ausfall". Symbolbild für die moderierten Krisensimulationen

Ein Notfallplan, der nie getestet wurde, ist kein Notfallplan. Er ist ein Dokument

Ein Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem auf­zu­bau­en ist eine Leis­tung. Es im Ernst­fall auch wirk­lich zu beherr­schen, ist eine ande­re. Vie­le Kom­mu­nen und Unter­neh­men haben heu­te ein ISMS — aber noch nie so wirk­lich erprobt ob es funk­tio­niert. Dabei for­dern BSI IT-Grund­schutz, ISO 27001, BSI 200–4 , ISO 22301 und NIS2 das regel­mä­ßi­ge Tes­ten von Not­fall­pro­zes­sen aus­drück­lich ein.

Table­top-Übun­gen schlie­ßen genau die­se Lücke: pra­xis­nah, effi­zi­ent und ohne rea­len Scha­den.

Was ist eine Tabletop-Übung?

Eine Table­top-Übung ist eine mode­rier­te Kri­sen­si­mu­la­ti­on am Tisch — ohne tech­ni­schen Auf­wand, ohne Betriebs­un­ter­bre­chung. Anhand eines rea­lis­ti­schen Sze­na­ri­os durch­le­ben Ihre Ver­ant­wort­li­chen gemein­sam einen Not­fall:

Wer ent­schei­det was? Wer infor­miert wen? Was tun, wenn der Not­fall­plan Lücken hat?

Das Ergeb­nis ist kei­ne Prü­fung — son­dern Klar­heit. Über Stär­ken, Lücken und den nächs­ten Schritt, um noch bes­ser zu wer­den.

Warum Tabletop-Übungen kein Nice-to-have sind

Normen fordern es — Prüfer fragen danach

BSI IT-Grund­schutz, ISO 27001, ISO 22301 und BSI 200–4 ver­lan­gen das regel­mä­ßi­ge Üben von Not­fall­pro­zes­sen aus­drück­lich. Wer das im Audit nicht nach­wei­sen kann, hat ein Pro­blem. Wer es nach­wei­sen kann, hat einen Vor­teil.

Ein ungetesteter Notfallplan ist kein Notfallplan

Plä­ne hal­ten dem ers­ten Kon­takt mit der Rea­li­tät oft nicht stand. Eine Table­top-Übung zeigt das — sicher, kon­trol­liert und ohne ech­ten Scha­den.

Zuständigkeiten verschwinden unter Stress

Wer infor­miert wen? Wer ent­schei­det? Wer kom­mu­ni­ziert nach außen? Die­se Fra­gen beant­wor­ten sich am Schreib­tisch anders als unter Druck. Table­top macht die Lücken sicht­bar, bevor es dar­auf ankommt.

Effizienteste Form der Sensibilisierung

Kei­ne Schu­lungs­fo­lie erzeugt das­sel­be Pro­blem­be­wusst­sein wie eine rea­lis­ti­sche Simu­la­ti­on. Teil­neh­men­de ver­ste­hen danach, war­um Infor­ma­ti­ons­si­cher­heit kei­ne Büro­kra­tie ist — son­dern Über­le­bens­fä­hig­keit.

Auch ohne ISMS sinnvoll — und drei Fliegen mit einer Klappe

Table­top-Übun­gen machen voll­kom­men los­ge­löst von einem bestehen­den ISMS oder BCMS Sinn. Und wer eines hat: Die Übung ist gleich­zei­tig Nach­weis für die gefor­der­te Über­prü­fung und Ver­bes­se­rung sowie für die Sen­si­bi­li­sie­rung — drei nor­ma­ti­ve Anfor­de­run­gen, ein Ter­min.

Unser Angebot: Zwei Stufen, ein Ziel

Stufe 1 – Tabletop-Übung Standard

Die soli­de Grund­la­ge für Ihr Not­fall­ma­nage­ment. Gemein­sam legen wir vor­ab das Sze­na­rio fest, berei­ten die Übung vor und füh­ren sie durch — als mode­rier­te Simu­la­ti­on mit Ihrem Team. Am Ende erhal­ten Sie eine struk­tu­rier­te Aus­wer­tung mit kon­kre­ten Hand­lungs­emp­feh­lun­gen und einen offi­zi­el­len Nach­weis.

Geeig­net als Ein­stieg, zur Vor­be­rei­tung auf Audits oder als regel­mä­ßi­ges Übungs­for­mat im lau­fen­den ISMS-Betrieb.

  • Umfang: ab 1 Bera­ter­tag
  • Preis: ab 1.400,00 € net­to zzgl. MwSt., Rei­se­kos­ten wer­den sepa­rat ver­ein­bart
  • Ergeb­nis: Schrift­li­che Aus­wer­tung + offi­zi­el­ler Nach­weis

Stufe 2 – Tabletop-Übung Stresstest

Für Orga­ni­sa­tio­nen, die wirk­lich wis­sen wol­len wie sie im Ernst­fall reagie­ren. Der Ter­min bleibt bis kurz vor­her unbe­kannt — nur Bür­ger­meis­ter bzw. Geschäfts­lei­tung und Ver­wal­tungs­füh­rung sind ein­ge­weiht. Ein Begleit­schrei­ben legi­ti­miert die Übung und nimmt Unsi­cher­hei­ten. Zwei erfah­re­ne Bera­ter mode­rie­ren und beob­ach­ten — für maxi­ma­le Aus­sa­ge­kraft.

Das Ergeb­nis: Sie wis­sen nicht nur ob Ihr Plan funk­tio­niert. Sie wis­sen, wie Ihr Team wirk­lich und unter Stress reagiert.

  • Umfang: ab 2 Bera­ter­ta­ge
  • Preis: ab 2.800,00 € net­to zzgl. MwSt., Rei­se­kos­ten wer­den sepa­rat ver­ein­bart
  • Ergeb­nis: Schrift­li­che Aus­wer­tung + offi­zi­el­ler Nach­weis

Was Sie mitnehmen

Unab­hän­gig von der gewähl­ten Stu­fe erhal­ten Sie nach der Übung eine schrift­li­che Aus­wer­tung mit Beob­ach­tun­gen, erkann­ten Schwach­stel­len und prio­ri­sier­ten Hand­lungs­emp­feh­lun­gen — als direk­te Grund­la­ge für die Wei­ter­ent­wick­lung Ihres ISMS oder BCMS.

Und weil ein ein­ma­li­ger Test nicht aus­reicht: Unser Nach­weis-Badge ist bewusst jähr­lich erneu­er­bar. Not­fall­plä­ne, Teams und Bedro­hungs­la­gen ver­än­dern sich — Ihre Übungs­pra­xis soll­te es auch.

Badge für Stufe 1 der Tabletop-Übung – Praxis-Training für kritische Situationen. Motiv: Stoppuhr mit Häkchen, Checkliste und Telefon. Untertitel: Üben statt improvisieren.

Für wen ist das sinnvoll?

Table­top-Übun­gen sind für jede Orga­ni­sa­ti­on sinn­voll, die im Ernst­fall hand­lungs­fä­hig blei­ben will — unab­hän­gig von Grö­ße und Bran­che. Beson­ders emp­feh­lens­wert für:

  • Kom­mu­nen und Behör­den, die die Anfor­de­run­gen des Bay­DiG oder NIS2 erfül­len müs­sen
  • Orga­ni­sa­tio­nen, die sich auf eine Zer­ti­fi­zie­rung oder ein För­der­au­dit vor­be­rei­ten
  • Ein­rich­tun­gen, die ihr Not­fall­ma­nage­ment erst­mals auf die Pro­be stel­len wol­len
  • Teams, die nach einem Sicher­heits­vor­fall sys­te­ma­tisch auf­ar­bei­ten und bes­ser wer­den wol­len
  • Alle, die es ein­fach mal wis­sen wol­len — bevor jemand ande­res es her­aus­fin­det

Tabletop-Übung auch als Schulungsformat

Die a.s.k. Aka­de­mie bie­tet Table­top-Übun­gen zusätz­lich als buch­ba­res Schu­lungs­for­mat an — ide­al wenn Sie das For­mat erst ken­nen­ler­nen möch­ten oder Ihr Team gezielt auf eine eige­ne Übung vor­be­rei­ten wol­len.

Zur Table­top-Übung auf ask-akademie.de

Jetzt anfragen

Schil­dern Sie uns kurz Ihre Orga­ni­sa­ti­on und Ihren Bedarf — wir mel­den uns zeit­nah und klä­ren gemein­sam die Details für ein pass­ge­nau­es Ange­bot. Kein lan­ger Vor­lauf, kei­ne Betriebs­un­ter­bre­chung.