Lernen durch Simulation: Mit Tabletop-Übungen auf den Ernstfall vorbereiten

Hinweis: Dieser Artikel stammt aus der Ausgabe 1/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Tabletop-Übungen haben sich als wertvolles Instrument zur Vorbereitung auf schwierige Situationen bestens bewährt. So testet beispielsweise das Militär mit solchen Übungen verschiedene Strategien in Konfliktsituationen. Der Ansatz lässt sich hervorragend auch auf das Thema Cybersecurity übertragen, indem er einen Cyberangriff durchspielt und mögliche Schäden analysiert. So erkennen Verantwortliche schnell, inwieweit die unterschiedlichen Teams innerhalb des Unternehmens in der Lage sind, auf einen Angriff zu reagieren. Zudem erhalten sie wichtige Einblicke in die Schlagkraft der Cybersecurity, mit denen bestehende Strategien optimiert werden können. Die weiteren Vorteile liegen auf der Hand:

• Erkennen blinder Flecken: Mit Tabletop-Übungen können Unternehmen Schwachstellen in ihrer Cyberabwehr aufdecken, bevor Cyberkriminelle diese finden und ausnutzen.
• Sicherheitsstatusanalyse: Die Übungen ermöglichen es, den Sicherheitsstatus zu bewerten und zu optimieren.
• Kommunikationsanalyse: Tabletop-Übungen können Kommunikationsprobleme zwischen Abteilungen aufzeigen, die die Reaktion auf Cyberangriffe beeinträchtigen können.
• Compliance: In vielen stark reglementierten Branchen müssen Tabletop-Übungen in der Cybersecurity im Rahmen von Sicherheitsprogrammen zur Vorbereitung auf Vorfälle verpflichtend durchgeführt und dokumentiert werden.
• Reaktionsfähigkeit: Indem die Reaktion auf einen simulierten Vorfall durchgespielt wird, üben die Teilnehmer, welche Maßnahmen sie bei einem echten Angriff ergreifen müssen. So können sie diese im Ernstfall schneller umsetzen.

Drei Übungsarten

Grundsätzlich gibt es drei verschiedene Arten von Tabletop-Übungen, die jeweils unterschiedlich lange dauern und unterschiedliche Vorteile bieten. Laut ISACA sind sogenannte Rapid-Fire-Szenarien „sehr allgemein gehalten und sollen einfach und schnell verstanden und besprochen werden können“. Sie erfordern wenig oder keine Vorbereitung und dauern zwischen 10 und 30 Minuten. Die Szenarien richten sich an Mitarbeiter der unteren, mittleren und oberen Führungsebene aus verschiedenen Abteilungen. Die Teilnehmer spielen verschiedene Sicherheitsszenarien durch und schlüpfen dabei jeweils in die Rolle eines Incident-Responders.

Rein technische Szenarien dauern in der Regel ein bis zwei Stunden. Hier liegt der Schwerpunkt auf den technischen Aspekten, die ausführlich diskutiert werden. Diese Szenarien müssen minutiös geplant werden, sodass die Teams die entsprechenden Einflussfaktoren eines Sicherheitsvorfalls analysieren können. In der Regel gehen rein technische Szenarien von einem „Kern“-Ereignis aus. Während der Übung kann man weitere Details hinzufügen. Mit diesen Übungen können sich Teams auf komplexe Cyberangriffe vorbereiten.

Last but not least gibt es komplexe Szenarien mit allen Beteiligten, die über rein technische Szenarien hinausgehen. Sie konzentrieren sich auf technische und nicht technische sowie logistische Fragestellungen. Ein Szenario mit allen Stakeholdern nimmt in der Regel zwei bis vier Stunden in Anspruch. Daran können technische Teams sowie Vertreter der Rechts-, Marketing- und Personalabteilung teilnehmen.

Szenarien mit allen Stakeholdern bieten sich besonders für Unternehmen und Organisationen an, die die abteilungsübergreifende Kommunikation verbessern  möchten. Dabei kann es von Vorteil sein, sowohl technisches als auch nicht technisches Personal in Tabletop-Übungen mit allen Stakeholdern einzubeziehen. Auf diese Weise können Mitarbeiter aus unterschiedlichen Teams oder Abteilungen zusammen an der Behebung eines Sicherheitsproblems arbeiten. Einige Unternehmen bitten bestimmte Teams oder Abteilungen, sich zu verschiedenen Zeitpunkten des Szenarios zu beteiligen. Dies wäre auch die Vorgehensweise für die jeweiligen Teams oder Abteilungen bei einem realen Sicherheitsvorfall.

Wer führt Tabletop-Übungen in der Cybersecurity durch?

Tabletop-Übungen können von internen oder externen Teams durchgeführt werden. Beide Optionen bieten jeweils unterschiedliche Vorteile. Externe Tabletop-Serviceanbieter im Bereich Cybersicherheit stellen Szenarien bereit, verwalten diese und moderieren die Diskussionen. Der Aufwand für die Vorbereitung und die Durchführung der Übungen ist für Unternehmen dabei minimal. Der externe Anbieter passt die Tabletop-Übung in der Regel individuell an die Umgebung an. Dazu informiert er sich über das beauftragende Unternehmen sowie dessen potenzielle Sicherheitsgefährdungen und arbeitet ein speziell abgestimmtes Szenario aus.

Natürlich können Organisationen auch intern ihre eigenen Sicherheitsübungen entwickeln. Dies ist zwar oft mit einem höheren Zeit- und Kostenaufwand verbunden, stellt aber sicher, dass die Cybersicherheitsübungen genau auf die Bedürfnisse der Organisation zugeschnitten sind. Ein Beispiel: Wenn Systeme, die die Mitarbeiter täglich nutzen, in die Planung einbezogen werden, wirkt das Szenario praxisnäher, und die Teilnehmer arbeiten engagierter mit. Ferner können die Mitarbeiter bei unternehmensinternen Tabletop-Übungen gemeinsam Probleme identifizieren und diskutieren, die das Unternehmen, seine Mitarbeiter und Kunden betreffen.

Best Practices zur Entwicklung einer Tabletop-Übung

Im Folgenden werden empfohlene Vorgehensweisen vorgestellt, um eine Tabletop-Übung erfolgreich zu entwickeln und durchzuführen. Diese Ansätze ermöglichen es, realistische Szenarien zu entwickeln, die die Teilnehmer herausfordern und gleichzeitig wichtige Erkenntnisse für die Organisation liefern.

Bestimmen Sie zunächst die Zielgruppe und entwickeln Sie dann das Cybersecurity-Szenario: Komplexe Szenarien eignen sich sehr gut, wenn Sie Übungen für Ihr Cybersecurity-Team konzipieren. Wählen Sie für Ihre IT oder DevOps ein Problem, das die Teilnehmer verstehen und dem sie sich entsprechend konzentriert widmen.

Überlegen Sie, ob Sie einzelne oder mehrere Teams oder Abteilungen in das Security-Szenario einbeziehen möchten: In Szenarien mit einem einzelnen Team lässt sich feststellen, wie bestimmte Teilnehmer auf einen Cyberangriff reagieren. Wenn Sie dagegen mehrere Teams oder Abteilungen beteiligen, können Stakeholder aus unterschiedlichen Geschäftsbereichen an der Behebung eines Sicherheitsvorfalls arbeiten.

Überlegen Sie sich, wann Sie die jeweiligen Teams oder Abteilungen in Ihr Cybersecurity-Szenario einbeziehen möchten: Sind etwa personenbezogene Daten kompromittiert, müssen Sie eventuell Mitarbeiter aus der Rechtsabteilung einbeziehen, um die Einhaltung der Datenschutzgrundverordnung (DSGVO) und anderer Datenschutzbestimmungen zu gewährleisten. Dabei empfiehlt sich, dass sich mindestens ein Mitarbeiter aus allen Teams oder Abteilungen des Unternehmens an einem Security-Szenario beteiligt. Auf diese Weise fördern Sie die abteilungsübergreifende Kommunikation und Zusammenarbeit.

Stellen Sie sicher, dass das Szenario Teilnehmer umfasst, die aufeinander eingehen und zusammenarbeiten können, um gemeinsame Ziele zu erreichen: Als gut umsetzbar hat sich erwiesen, bis zu 25 Mitarbeiter aus unterschiedlichen Ebenen eines Teams oder einer Abteilung oder mehrerer Teams oder Abteilungen einzubeziehen. Berücksichtigen Sie bei der Festlegung der Teilnehmeranzahl die Größe des Unternehmens sowie die Struktur der Teams und der Abteilungen.

Geben Sie den Teilnehmern ausreichend Zeit für die Tabletop-Übung: Es sollte jedoch darauf geachtet werden, langwierige Tabletop-Übungen zu vermeiden. Denn es ist nicht immer einfach, einen Termin zu finden, an dem alle Teilnehmer für mehrere Stunden verfügbar sind.

Präsentieren Sie das Szenario mit PowerPoint oder anderen Materialien: Jede Folie zeigt dabei den Verlauf der Ereignisse und umfasst Fragen, die die Teilnehmer berücksichtigen sollen. Meist beschränken sich die PowerPoint-Präsentationen für diese Übungen auf maximal 20 Folien.

Entwickeln Sie das theoretische Gerüst, die Story, und reichern Sie alles mit individuell darauf zugeschnittenen Informationen an: Mit tagesaktuellen Nachrichten wecken Sie die Aufmerksamkeit der Teilnehmer. Bei ausführlichen Storys können Sie Hinweise in Systeme und Protokolle einfügen, die die Teilnehmer finden und nachverfolgen können.

Fazit

Tabletop-Übungen stärken die Sicherheitskultur und verbessern die Resilienz von Unternehmen, indem sie reale Bedrohungsszenarien praxisnah simulieren. Unternehmen können so Schwachstellen aufdecken, Prozesse optimieren und die abteilungsübergreifende Zusammenarbeit fördern. Die Übungen ermöglichen es den Teilnehmern zudem, ihre Reaktionsfähigkeit zu trainieren und im Ernstfall souverän zu handeln. Mit Tabletop-Übungen schaffen Unternehmen so die Grundlage für ein effektives Bedrohungsmanagement.