Am 10. September 2025 fielen in Berlin-Treptow-Köpenick großflächig die Lichter aus. Sägeangriffe auf Hochspannungsmasten legten die Stromversorgung für rund 50.000 Haushalte lahm. Supermärkte schlossen, Aufzüge standen still, Mobilfunkmasten schalteten sich nach wenigen Stunden ab. Was für Privathaushalte unbequem war, wurde für Unternehmen in der Region zur Belastungsprobe. Kein Strom bedeutete kein Netzwerk, keine Telefonanlage, keine Zutrittskontrolle, keine Produktion.

Die Frage, die sich danach stellte, war nicht, ob die betroffenen Unternehmen ein Notfallhandbuch hatten. Die meisten hatten eins. Die eigentliche Frage war, ob es ihnen geholfen hat.

Die Antwort fällt ernüchternd aus. Ein Notfallhandbuch, das 180 Seiten umfasst, in einem Ordner im Büro des IT-Leiters steht und zuletzt vor drei Jahren aktualisiert wurde, hilft in den ersten 30 Minuten eines Stromausfalls praktisch niemandem. Wer dagegen auf drei Seiten weiß, wen er anrufen muss, welche Systeme Priorität haben und wo sich der Notbetrieb organisieren lässt, hat einen konkreten Vorteil. Wer ein notfallhandbuch erstellen will, muss deshalb zuerst fragen, was drin steht und ob es tatsächlich genutzt wird.

Warum viele Notfallhandbücher im Ernstfall versagen

Das grundlegende Problem liegt darin, wie Notfallhandbücher üblicherweise entstehen. Sie werden geschrieben, um eine Anforderung zu erfüllen. ISO 22301 verlangt dokumentierte Verfahren für die Notfallreaktion (Abschnitt 8.4.1). Der BSI-Standard 200-4 fordert eine Notfallvorsorge mit definierten Geschäftsfortführungsplänen. Und Wirtschaftsprüfer fragen spätestens seit der MaRisk-Überarbeitung von November 2022 (AT 7.3 Tz. 2) nach BCM-Dokumentation.

Das Ergebnis sind Dokumente, die auf Vollständigkeit hin optimiert sind, nicht auf Benutzbarkeit. Organigramme mit 40 Positionen, Risikomatrizen über fünf Seiten, Prozessbeschreibungen in Normsprache. Solche Handbücher bestehen Audits. Aber sie überstehen keine reale Krise. Denn in einer Krise liest niemand 180 Seiten. In einer Krise greifen Menschen auf das zurück, was sie kennen, was geübt wurde und was auf einen Blick erfassbar ist.

Was ein wirksames notfallhandbuch erstellen bedeutet: Fünf Kernbereiche

Ein Notfallhandbuch, das im Ernstfall tatsächlich funktioniert, besteht aus fünf Kernbereichen. Nicht mehr. Die Kunst liegt darin, alles andere wegzulassen.

1. Alarmierung und Meldekette

Der erste Abschnitt beantwortet eine einzige Frage. Wer wird wann von wem informiert? Die Meldekette definiert, welcher Mitarbeitende den Krisenstab aktiviert, über welchen Kanal die Benachrichtigung läuft und wer die Erstentscheidung über den Notbetrieb trifft. In Treptow-Köpenick wäre genau das die erste Hürde gewesen. Wenn das Festnetz nicht funktioniert und die Mobilfunkmasten nach zwei Stunden ausfallen, braucht es einen vorab definierten Alternativkanal. Manche Unternehmen nutzen dafür Messenger-Dienste mit lokaler Datenhaltung, andere setzen auf Satellitentelefone oder schlicht auf persönliche Treffpunkte.

Entscheidend ist, dass die Meldekette auf einer Seite passt. Mit Namen, Rollen, drei Kontaktoptionen pro Person und einer klaren Eskalationslogik. Alles, was darüber hinausgeht, wird im Ernstfall nicht gelesen.

2. Sofortmaßnahmen nach Szenario

Der zweite Kernbereich enthält konkrete Handlungsanweisungen für die drei bis fünf wahrscheinlichsten Szenarien. Nicht für 25. Drei bis fünf. Für ein mittelständisches Unternehmen könnten das sein: Stromausfall über vier Stunden, Ransomware-Befall, Ausfall des zentralen ERP-Systems, Gebäudesperrung (Brand, Wassereinbruch) und Lieferantenausfall in der kritischen Zulieferkette.

Für jedes Szenario beschreibt das Handbuch die ersten drei Schritte. Nicht die gesamte Wiederherstellung, sondern die Sofortreaktion. Beim Stromausfall könnte das sein: USV-Status prüfen, kontrolliertes Herunterfahren der Server einleiten, Notbetrieb für Kundenhotline aktivieren. Diese Anweisungen müssen so formuliert sein, dass sie auch jemand umsetzen kann, der den IT-Leiter gerade nicht erreicht. In Treptow-Köpenick war genau das die Situation. Viele Entscheider waren selbst betroffen und nicht sofort verfügbar.

3. Krisenstab und Entscheidungsbefugnisse

Wer darf im Notfall was entscheiden? Diese Frage klingt banal, solange alles normal läuft. In der Krise wird sie zum Engpass. Darf der Schichtleiter die Produktion stoppen? Darf die IT eigenständig Systeme vom Netz nehmen? Darf der Vertrieb Kunden über einen Vorfall informieren?

Das Notfallhandbuch regelt deshalb, wer dem Krisenstab angehört, welche Entscheidungskompetenzen im Notfall gelten und welche Vertretungsregelungen greifen. Der BSI-Standard 200-4 empfiehlt, dass der Krisenstab aus maximal sechs bis acht Personen bestehen sollte. Geschäftsführung, IT-Leitung, Fachbereichsleitung der betroffenen Bereiche, Kommunikation und, je nach Lage, ein externer Berater oder der externe BCM-Beauftragte. Jede Person hat eine Stellvertretung. Ohne Stellvertretung ist der Krisenstab beim ersten Urlaubstag handlungsunfähig.

4. Kommunikation nach innen und außen

Kommunikationsfehler richten im Krisenfall oft mehr Schaden an als der eigentliche Vorfall. Ein Unternehmen, das nach einem Ransomware-Angriff 48 Stunden schweigt, verliert Kundenvertrauen. Eines, das vorschnell und unkoordiniert kommuniziert, riskiert juristische Konsequenzen. Das Notfallhandbuch legt deshalb fest, wer gegenüber welcher Zielgruppe spricht und welche Kernbotschaften gelten.

Intern geht es darum, die Belegschaft schnell und ehrlich zu informieren, ohne Panik auszulösen. Extern braucht es vorbereitete Textbausteine für Kunden, Partner und gegebenenfalls Aufsichtsbehörden. Die DSGVO schreibt in Art. 33 eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung vor. NIS-2 (Richtlinie (EU) 2022/2555, Art. 23) fordert eine Frühwarnmeldung innerhalb von 24 Stunden. Diese Fristen laufen, ob das Notfallhandbuch darauf vorbereitet ist oder nicht.

5. Wiederanlauf und Priorisierung

Der fünfte Kernbereich beschreibt, in welcher Reihenfolge Systeme und Prozesse wiederhergestellt werden. Die Grundlage dafür liefert die Business Impact Analyse (BIA), die im Vorfeld festlegt, welche Geschäftsprozesse zeitkritisch sind und welche maximale Ausfallzeit (MTPD) toleriert werden kann.

In der Praxis bedeutet das, dass das ERP-System vor dem Intranet kommt. Die Kundenhotline vor dem internen Wiki. Der Zahlungsverkehr vor der Marketingplattform. Diese Priorisierung muss vorab getroffen werden, denn in der Krise fehlt die Kapazität für solche Abwägungen. Wer erst im Notfall darüber diskutiert, welches System zuerst wiederhergestellt wird, verliert wertvolle Stunden.

In einer Krise liest niemand 180 Seiten. Menschen greifen auf das zurück, was sie kennen, was geübt wurde und was auf einen Blick erfassbar ist.

Kernaussage zum notfallhandbuch erstellen

Was Unternehmen aus dem Notfallhandbuch streichen sollten

Mindestens ebenso wichtig wie der Inhalt ist das, was nicht ins Notfallhandbuch gehört. Denn jede zusätzliche Seite senkt die Wahrscheinlichkeit, dass jemand das Dokument im Ernstfall öffnet.

Nicht hinein gehören die vollständige Risikoanalyse (die gehört ins ISMS oder BCM-Rahmenwerk), allgemeine Unternehmensleitlinien zur Informationssicherheit, detaillierte technische Wiederherstellungsprozeduren (die gehören in separate Runbooks der IT), historische Vorfallberichte und Schulungsunterlagen.

Das Notfallhandbuch ist kein Nachschlagewerk. Es ist ein Handlungsleitfaden. Alles, was über die unmittelbare Handlungsfähigkeit in den ersten 72 Stunden hinausgeht, hat in einem separaten Dokument seinen Platz.

Vom Papier zur Praxis: Drei Erfolgsfaktoren

Ein Notfallhandbuch zu schreiben ist der einfache Teil. Es nutzbar zu machen, ist deutlich schwieriger. Drei Faktoren entscheiden darüber, ob das Handbuch im Ernstfall funktioniert.

Drei Erfolgsfaktoren für ein nutzbares Notfallhandbuch

  • Zugänglichkeit: Gedruckte Kurzversion im Tresor, digitale Version auf Smartphone des Krisenstableiters, Kopie beim externen IT-Dienstleister
  • Aktualität: Mindestens halbjährliche Überprüfung (ISO 22301 Abschnitt 10.2 fordert kontinuierliche Verbesserung)
  • Übung: Mindestens eine jährliche Tabletop-Übung des Krisenstabs

Zugänglichkeit. Das Handbuch muss dort verfügbar sein, wo es gebraucht wird. Digital auf einem Share, der bei Stromausfall nicht erreichbar ist, reicht nicht. Bewährte Praxis ist eine gedruckte Kurzversion im Tresor, eine digitale Version auf dem Smartphone des Krisenstableiters und eine Kopie beim externen IT-Dienstleister. Im Berliner Blackout hätte die ausgedruckte Version den Unterschied gemacht. Wer nur auf digitale Abläufe setzt, hat beim Stromausfall ein zusätzliches Problem.

Aktualität. Telefonnummern ändern sich. Mitarbeitende wechseln. Systeme werden migriert. Ein Notfallhandbuch, das nicht mindestens halbjährlich überprüft wird, ist zum Zeitpunkt seiner ersten Benutzung bereits veraltet. ISO 22301 (Abschnitt 10.2) fordert eine kontinuierliche Verbesserung, und das schließt die regelmäßige Überarbeitung der Notfalldokumentation ausdrücklich ein.

Übung. Ein Notfallhandbuch, das nie geübt wurde, ist eine Hypothese. Erst die Notfallübung zeigt, ob die Meldekette funktioniert, ob die Sofortmaßnahmen verständlich formuliert sind und ob der Krisenstab tatsächlich entscheidungsfähig ist. Das klingt aufwändig. In der Praxis reicht allerdings bereits eine jährliche Tabletop-Übung, bei der der Krisenstab ein Szenario am Konferenztisch durchspielt, um die gröbsten Lücken aufzudecken.

Was der Berliner Blackout gezeigt hat

Der Stromausfall in Treptow-Köpenick war kein Extremszenario. Er dauerte nicht Wochen, er betraf nicht die gesamte Stadt, er hatte keine Todesopfer. Und trotzdem zeigte er etwas, das viele BCM-Verantwortliche wissen, aber selten laut sagen. Die meisten Unternehmen sind auf einen mehrtägigen Infrastrukturausfall nicht vorbereitet. Nicht, weil sie kein Notfallhandbuch hätten. Sondern weil das, was drinsteht, mit der Realität nicht übereinstimmt.

Ein Unternehmen, das seine Meldekette auf Festnetz und E-Mail aufbaut, steht ohne Strom ohne Meldekette da. Ein Unternehmen, das seine Wiederanlaufpriorisierung nicht vorab mit den Fachbereichen abgestimmt hat, fährt im Ernstfall die falschen Systeme zuerst hoch. Ein Unternehmen, das seinen Krisenstab nie versammelt hat, stellt im Notfall fest, dass drei von sechs Mitgliedern im Homeoffice in einer anderen Stadt sitzen und die vierte Person seit einem halben Jahr nicht mehr in der Firma arbeitet.

Das Notfallhandbuch ist also kein Dokumentationsprojekt. Es ist ein Werkzeug. Und wie jedes Werkzeug muss es regelmäßig gepflegt, getestet und an die sich ändernden Bedingungen angepasst werden.

Handlungsfähigkeit beginnt vor der Krise

Der Aufwand für ein praxistaugliches Notfallhandbuch ist überschaubar. Wer die fünf Kernbereiche sauber ausarbeitet, kommt mit 15 bis 25 Seiten aus. Der eigentliche Aufwand liegt in den Vorarbeiten. Business Impact Analyse, Risikobewertung, Definition der kritischen Prozesse. Ohne diese Grundlagen bleibt das Handbuch ein Dokument ohne Substanz.

SECURAM unterstützt Unternehmen beim Aufbau eines Business Continuity Managements, das alle Bausteine einschließt. Von der BIA über das Notfallhandbuch bis zur regelmäßigen Übung. Wer bereits ein ISMS betreibt, kann darauf aufbauen. Wer bei null anfängt, braucht erfahrungsgemäß drei bis sechs Monate für ein belastbares Notfallkonzept.

Die nächste Störung kommt. Die Frage ist nicht ob, sondern wann. Und wann Sie das nächste Mal in Ihr Notfallhandbuch schauen, sollte nicht das erste Mal sein.

QUELLEN

  1. ISO 22301:2019 Security and resilience, Business continuity management systems, Requirements, iso.org
  2. BSI-Standard 200-4 Business Continuity Management, bsi.bund.de
  3. MaRisk (Mindestanforderungen an das Risikomanagement), AT 7.3 Tz. 2, Stand November 2022
  4. Verordnung (EU) 2016/679 (DSGVO), Art. 33, EUR-Lex
  5. Richtlinie (EU) 2022/2555 (NIS-2), Art. 23, EUR-Lex
  6. Medienberichte zum Stromausfall in Berlin-Treptow-Köpenick vom 10. September 2025