Notfallplanung für Unternehmen – Der KMU-Leitfaden für den Ernstfall

Inhalt in Kürze

• Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft und verpflichtet rund 29.000 Unternehmen zu Business-Continuity-Maßnahmen.
• Auch ohne NIS2 fordern DSGVO, Arbeitsschutzgesetz und Betriebssicherheitsverordnung eine dokumentierte Notfallplanung.
• Ein praxistauglicher IT-Notfallplan für KMU umfasst 10-15 Seiten -- entscheidend sind klare Zuständigkeiten, aktuelle Kontaktdaten und regelmäßige Tests.
• Das BSI stellt einen kostenlosen Maßnahmenkatalog zum IT-Notfallmanagement speziell für KMU bereit.

Freitagabend, 18:30 Uhr. Ihr IT-Dienstleister meldet sich: Ransomware auf dem Fileserver. E-Mail geht nicht mehr, das ERP-System steht still. Was tun Sie jetzt? Wen rufen Sie an? Wer entscheidet, ob Sie zahlen oder nicht? Wenn Sie auf diese Fragen keine Antwort haben, fehlt Ihnen ein Notfallplan.

Warum Notfallplanung für KMU kein Luxus mehr ist

Die Zeiten, in denen Notfallpläne nur etwas für Konzerne waren, sind vorbei. Das liegt an drei Entwicklungen:

Erstens: Die Bedrohungslage. Laut BSI-Lagebericht 2025 sind 80 % aller angegriffenen Unternehmen KMU. Ransomware, Phishing und Supply-Chain-Angriffe treffen gerade Betriebe, die sich für zu klein halten.

Zweitens: Die Rechtslage. Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Es betrifft Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in kritischen Sektoren. Aber auch wer nicht direkt unter NIS2 fällt, hat Pflichten: Art. 32 DSGVO verlangt die Fähigkeit, Systeme nach einem Vorfall rasch wiederherzustellen.

Drittens: Die Lieferkette. Großkunden prüfen zunehmend, ob ihre Zulieferer Notfallpläne haben. Ohne Nachweis gibt es keinen Vertrag.

IT-Notfallplan erstellen: In 5 Schritten zum fertigen Plan

Ein praxistauglicher Notfallplan muss kein 100-Seiten-Dokument sein. Für KMU reichen oft 10 bis 15 Seiten. Entscheidend ist: Er muss funktionieren, wenn es darauf ankommt.

1. Geschäftskritische Prozesse identifizieren: Welche Systeme brauchen Sie, um Geld zu verdienen? ERP, E-Mail, Kundendatenbank? Definieren Sie für jeden Prozess die maximal tolerierbare Ausfallzeit (RTO) und den maximalen Datenverlust (RPO).
2. Risiken bewerten: Was kann diese Prozesse lahmlegen? Ransomware, Stromausfall, Wasserschaden, Personalausfall? Bewerten Sie Eintrittswahrscheinlichkeit und Schadenshöhe.
3. Zuständigkeiten und Eskalationswege festlegen: Wer entscheidet im Ernstfall? Wer kommuniziert mit Kunden, wer mit der Behörde? Erstellen Sie eine Notfall-Kontaktliste mit Mobilnummern -- nicht nur E-Mail-Adressen.
4. Wiederanlaufpläne dokumentieren: Für jedes kritische System: Wie wird es wiederhergestellt? Wo liegen die Backups? Wer hat die Zugangsdaten? Halten Sie das schriftlich fest -- offline, als Ausdruck im Tresor.
5. Testen, testen, testen: Ein Notfallplan, der nie getestet wurde, ist keiner. Führen Sie mindestens einmal jährlich eine Notfallübung durch. Das BSI empfiehlt dafür sein IT-Notfallkarten-Konzept.

Rechtliche Pflichten: Was das Gesetz von Ihnen verlangt

Die Notfallplanung ist nicht optional. Mehrere Gesetze fordern sie direkt oder indirekt:

Besonders brisant: Unter NIS2 können Geschäftsführer bei Pflichtverletzungen persönlich haftbar gemacht werden. Das Thema gehört auf die Agenda der Geschäftsleitung -- nicht in die IT-Abteilung.

Aus der Praxis

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.

Nils OehmichenDatenschutzberater bei frag.hugo

Genau solche Fälle zeigen, warum ein Notfallplan entscheidend ist. Der betroffene Dienstleister hatte keinen Plan. Die Folge: Drei Tage Stillstand, eine verspätete Datenpannenmeldung und ein beschädigtes Vertrauensverhältnis zum Geschäftspartner.

Mit einem dokumentierten Incident-Response-Plan hätte die Reaktion Stunden statt Tage gedauert. Der Schaden wäre ein Bruchteil gewesen.

Notfallplan-Checkliste für KMU

• Geschäftskritische Prozesse definiert mit RTO (max. Ausfallzeit) und RPO (max. Datenverlust).
• Notfall-Kontaktliste erstellt -- ausgedruckt und im Tresor hinterlegt (IT-Dienstleister, Geschäftsleitung, Datenschutzbeauftragter, Behörden).
• Backup-Strategie dokumentiert -- offline-Backups vorhanden, Wiederherstellung getestet.
• Kommunikationsplan -- Vorlagen für Kunden, Mitarbeiter und Behörden vorbereitet.
• Verantwortlichkeiten festgelegt -- wer entscheidet, wer kommuniziert, wer dokumentiert.
• Jährliche Notfallübung geplant -- Termin steht, Szenario definiert.
• Mitarbeiter geschult -- alle kennen die Notfall-Hotline und wissen, was bei einem Phishing-Vorfall zu tun ist.

Fazit: Vorbereitung kostet wenig -- Nachsorge kostet viel

Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff auf ein KMU beträgt mehrere Wochen. Die Kosten für die Wiederherstellung übersteigen oft das Zehnfache dessen, was ein Notfallplan gekostet hätte.

Starten Sie mit der BSI-Vorlage, definieren Sie Ihre fünf kritischsten Prozesse und erstellen Sie eine Notfall-Kontaktliste. Das dauert einen Nachmittag. Und es kann Ihr Unternehmen retten.

Häufige Fragen (FAQ)

Was gehört in einen IT-Notfallplan für KMU?

Ein IT-Notfallplan enthält mindestens: Kontaktlisten (intern, IT-Dienstleister, Behörden), Eskalationswege, Wiederanlaufpläne für geschäftskritische Systeme, Kommunikationsvorlagen und eine Übersicht der maximal tolerierbaren Ausfallzeiten.

Ist ein Notfallplan gesetzlich vorgeschrieben?

Ja, für viele Unternehmen. Das NIS-2-Umsetzungsgesetz (seit Dezember 2025 in Kraft) verlangt Business-Continuity-Maßnahmen. Die DSGVO fordert in Art. 32 die Fähigkeit, Systeme nach einem Vorfall rasch wiederherzustellen. Arbeitsschutzgesetz und Betriebssicherheitsverordnung ergänzen die Pflichten.

Wie oft sollte ein Notfallplan getestet werden?

Mindestens einmal jährlich in einer Notfallübung. Zusätzlich nach größeren IT-Änderungen, Personalwechseln in Schlüsselrollen oder nach einem tatsächlichen Vorfall.

Wie umfangreich muss ein Notfallplan für ein kleines Unternehmen sein?

Für KMU mit 10-50 Mitarbeitern reichen oft 10-15 Seiten. Entscheidend ist nicht der Umfang, sondern die Praxistauglichkeit: klare Zuständigkeiten, aktuelle Kontaktdaten und getestete Abläufe.

Was passiert, wenn mein Unternehmen keinen Notfallplan hat?

Ohne Notfallplan riskieren Sie längere Ausfallzeiten, höhere Schäden und rechtliche Konsequenzen. Bei DSGVO-Verstößen drohen Bußgelder bis 4 % des Jahresumsatzes. Unter NIS2 können Geschäftsführer persönlich haftbar gemacht werden.