Tabletop-Übungen
Mit Tabletop-Übungen wird getestet, wie ein Team oder ein Prozess funktioniert. Diese Übungen sind diskussionsbasierte Simulationen, bei denen Schlüsselakteure einen hypothetischen Cybervorfall durchgehen, um ihre Reaktionsstrategien zu bewerten, Schwachstellen zu identifizieren und die Vorbereitung zu verbessern. Diese Übungen helfen Organisationen dabei, ihre Incident-Response-Pläne zu verfeinern, die Kommunikation zu verbessern und Widerstandsfähigkeit gegen reale Bedrohungen aufzubauen.

Warum sind Tabletop-Übungen wichtig?
- Erkennen blinder Flecken: Mit Tabletop-Übungen ermitteln Sie Schwachstellen in Ihrer Cyberabwehr, bevor Cyberkriminelle diese finden und ausnutzen können.
- Sicherheitsstatusanalyse: Die Übungen ermöglichen Ihnen, Ihren Sicherheitsstatus zu bewerten und zu optimieren.
- Kommunikationsanalyse: Tabletop-Übungen können Kommunikationsprobleme zwischen Abteilungen aufzeigen, die die Reaktion auf Cyberangriffe beeinträchtigen können.
- Compliance: In vielen stark reglementierten Branchen müssen Tabletop-Übungen in der Cybersecurity im Rahmen von Sicherheitsprogrammen zur Vorbereitung auf Vorfälle sogar durchgeführt und dokumentiert werden.
Unterschiedliche Tabletop-Übungen für die Cybersecurity
Rapid-Fire-Szenarien
Laut ISACA sind Rapid-Fire-Szenarien „sehr allgemein gehalten und sollen einfach und schnell verstanden und besprochen werden können“. Hierfür sind keine oder nur wenige Vorbereitungen nötig und der Zeitaufwand beträgt 10 bis 30 Minuten.
An Rapid-Fire-Szenarien können Mitarbeiter in nicht leitender, mittlerer und leitender Funktion aus unterschiedlichen Abteilungen teilnehmen. Dabei spielen die Teilnehmer unterschiedliche Sicherheitsszenarien durch und schlüpfen jeweils in die Rolle eines Incident-Responders.
Rein technische Szenarien
Rein technische Szenarien dauern in der Regel ein bis zwei Stunden. Bei diesen Szenarien liegt der Schwerpunkt auf den technischen Aspekten, die ausführlich diskutiert werden. Diese Szenarien müssen minutiös geplant werden, sodass die Teams die entsprechenden Einflussfaktoren eines Sicherheitsvorfalls analysieren können.
In der Regel gehen rein technische Szenarien von einem „Kern“-Ereignis aus. Im Verlauf der Übung können Sie weitere Details hinzufügen. Mit diesen Übungen können sich Teams auf komplexe Cyberangriffe vorbereiten.
Szenarien mit allen Stakeholdern
Szenarien mit allen Stakeholdern gehen über rein technische Szenarien hinaus. Sie konzentrieren sich auf technische und nicht technische sowie logistische Fragestellungen.
In der Regel dauern sie zwei bis vier Stunden. Daran können technische Teams sowie Vertreter der Rechts-, Marketing- und Personalabteilung teilnehmen.
Szenarien mit allen Stakeholdern bieten sich insbesondere für Unternehmen und Organisationen an, die die abteilungsübergreifende Kommunikation verbessern möchten. Dabei kann es von Vorteil sein, sowohl technisches als auch nicht technisches Personal in Tabletop-Übungen mit allen Stakeholdern einzubeziehen. Auf diese Weise können Mitarbeiter aus unterschiedlichen Teams oder Abteilungen zusammen an der Behebung eines Sicherheitsproblems arbeiten.
Manche Unternehmen bitten bestimmte Teams oder Abteilungen, sich zu unterschiedlichen Zeitpunkten während des Szenarios einzubringen. So würde die Vorgehensweise auch für die jeweiligen Teams bzw. Abteilungen bei einem realen Sicherheitsvorfall aussehen.
Wer führt Tabletop-Übungen in der Cybersecurity durch?
Fremdanbieter
Externe Tabletop-Services im Bereich Cybersecurity stellen Szenarien bereit, verwalten diese und leiten Diskussionen an. Der Aufwand für die Vorbereitung und Durchführung der Übungen ist dabei minimal.
Ein Drittanbieter kann seine Tabletop-Übung an Ihre Organisation oder Umgebung anpassen. Er lernt mehr über Ihre Organisation und deren Sicherheitsherausforderungen. Dann entwickelt er eine maßgeschneiderte Sicherheits-Tabletop-Übung für Ihre Organisation und deren Teams oder Abteilungen.
Self Service
Ihre Organisation kann ihre eigenen Sicherheitsübungen entwickeln. Die Entwicklung und Implementierung dieser Übungen kann kosten- und zeitaufwendig sein. Sie können jedoch Ihre Cybersecurity-Übungen an Ihre Organisation und deren Umgebung anpassen.
Mit maßgeschneiderten Cybersecurity-Tabletop-Übungen können Teilnehmer mehr über die Sicherheitsprobleme Ihrer Organisation erfahren. Zum Beispiel können diese Herausforderungen Systeme umfassen, die Teilnehmer täglich nutzen. Dies trägt dazu bei, die Herausforderungen realistischer zu gestalten und Interaktion zu fördern. Zudem wird sichergestellt, dass Mitarbeiter gemeinsam Probleme ermitteln und erörtern können, die sich auf die Organisation, die Belegschaft und Kunden auswirken.
Wie führt Sophos Tabletop-Übungen durch?
Bei Sophos erstellen wir individuelle Tabletop-Cybersecurity-Übungen für bestimmte Teams bzw. Abteilungen. Dabei gehen wir in der Regel von einem kleinen Sicherheitsproblem aus. Dabei haben die Teilnehmer die Gelegenheit, ihre Strategien und Ideen auszutauschen. Anhand der Erkenntnisse beleuchten wir dann den Schweregrad des Problems.
Wir bieten Beispiel-Szenarien an, die Organisationen nutzen können, um ihre eigenen Tabletop-Übungen zu entwickeln und durchzuführen. Zusätzlich dazu bieten wir die folgenden Tipps, um Ihnen den Einstieg in Sicherheits-Tabletop-Übungen zu erleichtern:
Bestimmen Sie Ihre Zielgruppe
Bestimmen Sie zunächst Ihre Zielgruppe und entwickeln Sie dann Ihr Cybersecurity-Szenario. Komplexe Szenarien eignen sich sehr gut, wenn Sie Übungen für Ihr Cybersecurity-Team konzipieren.
Wählen Sie für Ihre IT oder DevOps ein Problem, das die Teilnehmer verstehen und dem sie sich entsprechend konzentriert widmen.
Wählen Sie die richtigen Teilnehmer aus
Beziehen Sie einzelne oder mehrere Teams oder Abteilungen in das Security-Szenario ein. In Szenarien mit einem einzelnen Team lässt sich feststellen, wie bestimmte Teilnehmer auf einen Cyberangriff reagieren. Wenn Sie dagegen mehrere Teams oder Abteilungen beteiligen, können mehrere Stakeholder an der Behebung eines Sicherheitsvorfalls arbeiten.
Bestimmen Sie, wann Beteiligte eingebunden werden sollen
Überlegen Sie sich, wann Sie die jeweiligen Teams oder Abteilungen in Ihr Cybersecurity-Szenario einbeziehen möchten. Sind etwa personenbezogene Daten kompromittiert, müssen Sie eventuell Mitarbeiter aus Ihrer Rechtsabteilung einbeziehen, um die Einhaltung der DSGVO und anderer Datenschutzbestimmungen zu gewährleisten.
Dabei empfiehlt sich, dass sich mindestens ein Mitarbeiter aus allen Teams oder Abteilungen Ihres Unternehmens an einem Security-Szenario beteiligt. Dies kann die interdisziplinäre Kommunikation und Zusammenarbeit zwischen Teams und Abteilungen in Ihrer Organisation fördern.
Legen Sie die Teilnehmeranzahl fest
Stellen Sie sicher, dass Ihr Szenario Teilnehmer umfasst, die aufeinander eingehen und zusammenarbeiten können, um gemeinsame Ziele zu erreichen. Wir beziehen häufig bis zu 25 Mitarbeiter aus unterschiedlichen Ebenen eines Teams oder einer Abteilung oder mehrerer Teams oder Abteilungen in unsere Szenarien ein. Berücksichtigen Sie bei der Festlegung der Teilnehmeranzahl die Größe Ihrer Organisation bzw. Ihres Unternehmens sowie die Struktur Ihrer Teams und Abteilungen.
Erstellen Sie einen Zeitplan für Ihre Übung
Geben Sie den Teilnehmern genügend Zeit für die Tabletop-Übung. Bei Sophos versuchen wir jedoch, langwierige Tabletop-Übungen zu vermeiden. Denn es ist nicht immer einfach, einen Termin zu finden, an dem alle Teilnehmer für mehrere Stunden verfügbar sind.
Bereiten Sie Ihre Materialien vor
Präsentieren Sie Ihr Szenario mit PowerPoint oder anderen Materialien. Bei Sophos arbeiten wir in der Regel mit PowerPoint-Präsentationen. Jede Folie zeigt dabei den Verlauf der Ereignisse und umfasst Fragen, die die Teilnehmer berücksichtigen sollen. Meist beschränken sich die PowerPoint-Präsentationen für diese Übungen auf maximal 20 Folien.
Erarbeiten Sie Ihre Tabletop-Story
Entwickeln Sie das theoretische Gerüst, die Story, und reichern Sie sie mit individuell darauf zugeschnittenen Informationen an. Mit tagesaktuellen Nachrichten können Sie die Aufmerksamkeit der Teilnehmer wecken. Bei ausführlichen Stories können Sie Hinweise in Systeme und Protokolle einfügen, die die Teilnehmer finden und nachverfolgen können.
Passen Sie Ihre Tabletop-Übung an Ihre Teilnehmer an
Passen Sie Ihre Cybersecurity-Tabletop-Übung an das Know-how Ihrer Teilnehmer in puncto Cybersicherheit an. So eignen sich besonders ausführliche Stories vor allem für Teilnehmer mit umfangreicher Fachkenntnis im Bereich Cybersecurity. In anderen Situationen sind allgemeiner gehaltene Szenarien meist sinnvoller.
Falls Sie umfangreiche Szenarien konzipieren, achten Sie darauf, dass diese realitätsbasiert sind. Wenn Sie etwa eine bestimmte Zielgruppe in Ihrem Unternehmen oder Netzwerk ansprechen möchten, informieren Sie sich zunächst bei einem Spezialisten über diesen Bereich. So können Sie ein Szenario entwickeln, das Ihre Zielgruppe anspricht.
Holen Sie Feedback von den Teilnehmern ein
Bitten Sie die Teilnehmer ihre Ideen, die Sie in Ihre Übung einfließen lassen können, einzubringen. Meist geben Ihnen Teilnehmer Aufschluss über Sicherheitsprobleme, die ihnen täglich begegnen. Wenn Sie diese Probleme in Ihr Szenario einbinden, können Teilnehmer im Verlauf der Übung Lösungsansätze für die Zukunft ausarbeiten.
Skizzieren Sie Ihr Szenario
Erstellen Sie ein Flussdiagramm zum Ablauf Ihres simulierten Angriffs. So können Sie mögliche Lücken in Ihrer Story ermitteln.
Darüber hinaus können Sie auch das Feedback von Mitarbeitern einholen, die mit den in Ihrem Szenario thematisierten Problemen vertraut sind. Mit diesem Feedback schließen Sie die Lücken und gestalten Ihr Szenario realistisch.
Bereiten Sie Diskussionsfragen vor
Schreiben Sie alle Fragen auf, die bei der Ausarbeitung Ihres Szenarios aufkommen. So regen Sie die Diskussion unter den Teilnehmern an.
Überprüfen Sie Ihre Story
Arbeiten Sie Ihr Szenario mehrmals durch, bevor Sie es den Teilnehmern präsentieren. Es lässt sich nicht immer einfach abschätzen, wie lange die Teilnehmer benötigen, um das Szenario durchzuspielen. Planen Sie im Zweifelsfall mehr Zeit ein. Wenn Ihre Präsentation die den Teilnehmern zur Verfügung stehende Zeit übersteigt, überarbeiten Sie sie nach Bedarf.
Geben Sie den Ton für Ihre Übung vor
Wenn die Teilnehmer zu Ihrer Übung kommen, ermutigen Sie alle, sich zu beteiligen. Die Übung bietet allen Teilnehmern die Möglichkeit, sich aktiv einzubringen und den Sicherheitsstatus des Unternehmens zu verbessern. Durch Kommunikation und Zusammenarbeit der Teilnehmer kann jeder den größtmöglichen Nutzen aus der Übung ziehen.
Moderieren Sie die Übung
Wenn Sie die Übung moderieren, sollten Sie sich aber nicht beteiligen. Als Moderator können Sie den Teilnehmern das Szenario präsentieren und ihnen dabei helfen, es zu durchlaufen. Zudem können Sie den Teilnehmern Zeit einräumen, um verschiedene Aspekte des Szenarios zu diskutieren, und Diskussionsfragen und -anregungen einfließen lassen.
Dokumentieren Sie Probleme
Stellen Sie sicher, dass im Verlauf der Übung ermittelte Probleme aufgezeichnet werden. So gewinnen Sie Einblicke in Probleme, die die Wirkung Ihrer Story beeinträchtigen könnten.
Behalten Sie die Zeit im Auge
Erstellen Sie einen Zeitplan für die Übung und halten Sie ihn ein. Stellen Sie sicher, dass sich die Teilnehmer an die Zeitvorgaben halten, und fordern Sie sie bei Bedarf auf, weiter an der Story zu arbeiten.
Überprüfen Sie Ihre Ergebnisse
Überlegen Sie im Anschluss an die Übung, wie Sie die Ergebnisse in das Tagesgeschäft Ihrer Organisation/Ihres Unternehmens integrieren können. Wenn Sie die Übung beispielsweise auf der Basis von Compliance-Anforderungen durchgeführt haben, erstellen Sie ein PDF mit den Informationen, die Auditoren benötigen.
Sie können die Erkenntnisse auch mit den Teilnehmern teilen und die gleiche Übung später wiederholen. So lässt sich feststellen, ob im Rahmen der ersten Übung ermittelte Probleme behoben wurden.
Beispiel für eine Tabletop-Sicherheitsübung
Diese Tabletop-Story haben wir zuvor bei Sophos verfasst und ausgeführt.
Tabletop-Ressourcen zur Cybersicherheit
Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) stellt Ressourcen bereit, die Unternehmen bei der Durchführung ihrer eigenen Tabletop-Übungen unterstützen sollen. Sie können mehr als 100 Tabletop-Übungen der CISA (CTEPs) abrufen, die diverse Bedrohungsszenarien nachbilden, wie etwa:
- Cybersecurity: Ransomware, interne Bedrohungen, Phishing, Kompromittierung von ICS (Industrial Control System) sowie weitere Cybersecurity-Szenarien.
- Physische Sicherheit: Amoklauf, mutwillige Fahrzeugkollision, improvisierter Sprengsatz, unbemanntes Luftfahrtsystem sowie weitere Szenarien aus dem Bereich der physischen Sicherheit.
- Kombination aus physischer und Cybersicherheit: Schwerpunkt auf physischen Bedrohungsvektoren und ihren Auswirkungen auf die Cybersicherheit.
Zudem bietet die CISA vorkonfigurierte Vorlagen, mit denen Sie Ihre eigenen Tabletop-Übungen entwickeln können.
Autor: Luke Groves | Senior Manager | Red Team, Cybersecurity
Datum: September 2023