--- title: "Resilienz-Reifegrad messen: Selbstbewertung für IT-Leiter" date: 2026-05-15T11:30:00+02:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/resilienz-reifegrad-messen-selbstbewertung-für-it-leiter" section: "Entries: Articles" --- ### Das 5‑Stu­fen-Modell [\#](#das-5-stufen-modell "Das 5-Stufen-Modell") #### Stu­fe 1: Reak­tiv (Ad-hoc, unge­ord­net) [\#](#stufe-1-reaktiv-ad-hoc-ungeordnet "Stufe 1: Reaktiv (Ad-hoc, ungeordnet)") **Cha­rak­te­ris­ti­ken:** - Kei­ne doku­men­tier­te Resilienz-Strategie - Back­ups exis­tie­ren, aber Fre­quenz und Umfang sind willkürlich - Reco­very-Tests wer­den nicht durchgeführt - RTO/RPO sind nicht definiert - Inci­dent Respon­se ist improviso **Selbst­be­wer­tung — Fragen:** - Haben Sie einen schrift­li­chen Backup-Plan? ☐ - Tes­ten Sie Back­ups regel­mä­ßig (min­des­tens 2x pro Jahr)? ☐ - Ist die Reco­very-Zeit aus Back­ups doku­men­tiert und < 8 Stunden? ☐ - Haben Sie einen Inci­dent Respon­se Plan? ☐ **Wenn < 2 Fra­gen mit JA beant­wor­tet: Sie sind Stu­fe 1 (Reak­tiv)** **Typi­sche Orga­ni­sa­tio­nen:** KMUs ohne IT-Gover­nan­ce, Start­ups, Lega­cy-Unter­neh­men mit ver­al­te­ter IT. **Pro­blem:** Bei ech­tem Not­fall wird impro­vio geplant — sehr lan­ger Ausfallzeitraum. #### Stu­fe 2: Grund­le­gend (Doku­men­tiert, aber nicht getes­tet) [\#](#stufe-2-grundlegend-dokumentiert-aber-nicht-getestet "Stufe 2: Grundlegend (Dokumentiert, aber nicht getestet)") **Cha­rak­te­ris­ti­ken:** - Back­up-Poli­cy exis­tiert und wird befolgt (z.B. täglich) - RTO/RPO sind geschätzt, aber nicht gemessen - Reco­very-Tests wer­den spo­ra­disch durch­ge­führt (1x pro Jahr max) - Inci­dent Respon­se Plan exis­tiert, aber sel­ten trainiert - Kei­ne Air-Gap oder iso­lier­te Backups **Selbst­be­wer­tung — Fragen:** - Haben Sie einen schrift­li­chen, doku­men­tier­ten Back­up-Plan mit Frequenz? ☐ - Füh­ren Sie min­des­tens 2x pro Jahr Reco­very-Tests durch? ☐ - Haben Sie RTO/RPO Zie­le (auch wenn geschätzt)? ☐ - Haben Sie einen schrift­li­chen Inci­dent Respon­se Plan? ☐ - Haben Sie Tier 2 (Air-Gap) Back­ups implementiert? ☐ **Wenn 3 – 4 Fra­gen mit JA: Sie sind Stu­fe 2 (Grund­le­gend)** **Typi­sche Orga­ni­sa­tio­nen:** Mit­tel­stän­di­sche Unter­neh­men mit IT-Gover­nan­ce, aber ohne Security-Spezialisten. **Pro­blem:** Kein prak­ti­zie­res Wis­sen, ob Reco­very tat­säch­lich funk­tio­niert. Tests zei­gen oft Pro­ble­me, die nicht beho­ben werden. #### Stu­fe 3: Defi­niert (Doku­men­tiert, getes­tet, teil­wei­se auto­ma­ti­siert) [\#](#stufe-3-definiert-dokumentiert-getestet-teilweise-automatisiert "Stufe 3: Definiert (Dokumentiert, getestet, teilweise automatisiert)") **Cha­rak­te­ris­ti­ken:** - Umfas­sen­der DR-Plan mit Sys­tem-für-Sys­tem Runbooks - RTO/RPO sind getes­tet, nicht nur geschätzt - Quar­ter­ly oder halb­jähr­li­che Reco­very-Tests sind Standard - Air-Gap-Back­ups exis­tie­ren und wer­den regel­mä­ßig getestet - Inci­dent Respon­se Plan wird jähr­lich trai­niert (Table­top Exercise) - Reco­very-Tools sind iden­ti­fi­ziert und getestet **Selbst­be­wer­tung — Fragen:** - Haben Sie Sys­tem-spe­zi­fi­sche Reco­very-Run­books für alle kri­ti­schen Systeme? ☐ - Ist RTO/RPO aus ech­ten Tests gemes­sen (nicht geschätzt)? ☐ - Füh­ren Sie min­des­tens 4x pro Jahr Reco­very-Tests durch? ☐ - Haben Sie Tier 2 (Air-Gap) Back­ups + regel­mä­ßi­ge Tests? ☐ - Haben Sie einen doku­men­tier­ten Inci­dent Respon­se Plan mit jähr­li­chem Training? ☐ - Ist Ihr Back­up-Sys­tem resi­li­ent gegen Ran­som­wa­re (meh­re­re Tiers)? ☐ **Wenn 4 – 5 Fra­gen mit JA: Sie sind Stu­fe 3 (Defi­niert)** **Typi­sche Orga­ni­sa­tio­nen:** Grö­ße­re Mit­tel­stands­un­ter­neh­men, eini­ge grö­ße­re Kon­zer­ne mit dedi­zier­tem Resilienz-Team. **Pro­blem:** Es gibt noch Lücken (z.B. Reco­very-Umge­bung ist nicht iso­liert, oder WORM-Archiv fehlt). #### Stu­fe 4: Gema­nagt (Auto­ma­ti­siert, kon­ti­nu­ier­lich moni­to­red) [\#](#stufe-4-gemanagt-automatisiert-kontinuierlich-monitored "Stufe 4: Gemanagt (Automatisiert, kontinuierlich monitored)") **Cha­rak­te­ris­ti­ken:** - Back­ups sind auto­ma­ti­siert (nicht manuell) - Iso­lier­te Reco­very-Umge­bung (Zone 3) exis­tiert für kri­ti­sche Systeme - 4‑Tier Back­up-Archi­tek­tur (Online, Air-Gap, WORM, Geo) - Reco­very-Tests sind quar­tals­wei­se und auto­ma­ti­siert dokumentiert - Inci­dent Respon­se wird monat­lich trainiert - Metri­ken wer­den kon­ti­nu­ier­lich moni­to­red (RTO, RPO, Recovery-Success-Rate) **Selbst­be­wer­tung — Fragen:** - Ist Ihr Back­up-Pro­zess voll­stän­dig auto­ma­ti­siert (kein manu­el­les Kopieren)? ☐ - Haben Sie eine iso­lier­te Reco­very-Umge­bung für kri­ti­sche Systeme? ☐ - Nut­zen Sie 4‑Tier Back­up (Online, Air-Gap, WORM, Geo)? ☐ - Füh­ren Sie quar­tals­wei­se Voll­test-Reco­veries durch? ☐ - Wer­den Inci­dent Respon­se Sze­na­ri­en monat­lich trainiert? ☐ - Moni­to­red Sie Resi­li­enz-Metri­ken (RTO-Ein­hal­tung, Backup-Success-Rate)? ☐ **Wenn 4 – 5 Fra­gen mit JA: Sie sind Stu­fe 4 (Gema­nagt)** **Typi­sche Orga­ni­sa­tio­nen:** Grö­ße­re Kon­zer­ne, KRI­TIS-Betrei­ber, Finanzdienstleister. **Pro­blem:** Immer noch mög­lich, dass ein­zel­ne Sys­te­me nicht resi­li­ent sind, oder Pro­zes­se nicht dokumentiert. #### Stu­fe 5: Opti­miert (Kon­ti­nu­ier­li­che Ver­bes­se­rung, Les­sons-Lear­ned) [\#](#stufe-5-optimiert-kontinuierliche-verbesserung-lessons-learned "Stufe 5: Optimiert (Kontinuierliche Verbesserung, Lessons-Learned)") **Cha­rak­te­ris­ti­ken:** - Alle Aspek­te von Stu­fe 4, PLUS: - Les­sons-Lear­ned Pro­zess nach jedem Incident - Table­top Exer­ci­s­es mit Threat-Modeling - Regel­mä­ßi­ge Pene­tra­ti­on Tests (jähr­lich+) - Red Team­ing um Schwach­stel­len zu finden - Kon­ti­nu­ier­li­che Archi­tek­tur-Ver­bes­se­run­gen basie­rend auf Erkenntnissen - Indus­trie-Best-Prac­ti­ces wer­den beob­ach­tet und adoptiert **Selbst­be­wer­tung — Fragen:** - Füh­ren Sie Post-Inci­dent Reviews durch und imple­men­tie­ren Verbesserungen? ☐ - Füh­ren Sie min­des­tens jähr­lich einen Voll­test mit exter­ner Eva­lu­ie­rung durch? ☐ - Füh­ren Sie Table­top Exer­ci­s­es mit Thre­at-Mode­ling durch? ☐ - Durch­füh­ren Sie min­des­tens jähr­lich Pene­tra­ti­on Tests? ☐ - Haben Sie einen kon­ti­nu­ier­li­chen Impro­ve­ment-Pro­zess für Resilienz? ☐ - Wer­den Reco­very-Archi­tek­tur-Ent­schei­dun­gen daten­ge­trie­ben getroffen? ☐ **Wenn 4+ Fra­gen mit JA: Sie sind Stu­fe 5 (Opti­miert)** **Typi­sche Orga­ni­sa­tio­nen:** Größ­te DAX-Kon­zer­ne, Finan­cial Ser­vices mit größ­ten Com­pli­ance-Anfor­de­run­gen, Cyber-Vorreiter. **Pro­blem:** Die­se Stu­fe ist sehr teu­er und kom­plex. Sinn­voll nur für größ­te Organisationen. ### Wo sind die meis­ten deut­schen Unter­neh­men? [\#](#wo-sind-die-meisten-deutschen-unternehmen "Wo sind die meisten deutschen Unternehmen?") Basie­rend auf Gesprä­chen und Assessments: - **Stu­fe 1 (Reak­tiv):** ~30% (klei­ne­re Unter­neh­men ohne dedi­zier­tes IT-Team) - **Stu­fe 2 (Grund­le­gend):** ~50% (Mit­tel­stand mit IT-Lei­ter, aber wenig Spezialisten) - **Stu­fe 3 (Defi­niert):** ~15% (grö­ße­re Mit­tel­stand, eini­ge gro­ße Konzerne) - **Stu­fe 4 (Gema­nagt):** ~4% (weni­ge gro­ße Kon­zer­ne, KRITIS-Betreiber) - **Stu­fe 5 (Opti­miert):** <1% (nur Vorreiter) Das bedeu­tet: Die Mehr­heit der deut­schen Unter­neh­men ist bei Stu­fe 2 — mit Risi­ko bei ech­tem Notfall. ### Der wir­kungs­volls­te nächs­te Schritt: Stu­fe 1→2 vs. Stu­fe 3→4 [\#](#der-wirkungsvollste-n%C3%A4chste-schritt-stufe-1-2-vs-stufe-3-4 "Der wirkungsvollste nächste Schritt: Stufe 1→2 vs. Stufe 3→4") **Wenn Sie Stu­fe 1 sind (Reak­tiv):** Der wir­kungs­volls­te Schritt: **Tier 2 (Air-Gap) Back­up imple­men­tie­ren + 2x pro Jahr Reco­very-Tests beginnen** Das ist rela­tiv güns­ti­ges (50 – 100k EUR) und hat maxi­ma­le Impact (Air-Gap schützt gegen Ransomware). **Wenn Sie Stu­fe 2 sind (Grund­le­gend):** Der wir­kungs­volls­te Schritt: **Reco­very-Test­häu­fig­keit auf 4x pro Jahr erhö­hen + Reco­very-Run­books verfeinern** Das ist kos­ten­güns­tig (nur Zeit) und zeigt ech­te Recovery-Fähigkeit. **Wenn Sie Stu­fe 3 sind (Defi­niert):** Der wir­kungs­volls­te Schritt: **Iso­lier­te Reco­very-Umge­bung (Zone 3) auf­bau­en + WORM-Archiv (Tier 3) einführen** Das ist teu­er (200 – 500k EUR) aber not­wen­dig für ech­te Cyber-Resi­li­enz gegen fort­ge­schrit­te­ne Angreifer. **Wenn Sie Stu­fe 4 sind (Gema­nagt):** Der wir­kungs­volls­te Schritt: **Voll­test mit exter­ner Eva­lu­ie­rung + Red-Team­ing durchführen** Das kos­tet 50 – 100k EUR aber fin­det ech­te Lücken. ### Ein per­sön­li­cher Hin­weis [\#](#ein-pers%C3%B6nlicher-hinweis "Ein persönlicher Hinweis") Die meis­ten IT-Lei­ter sind frus­triert, dass sie bei Stu­fe 2 – 3 ste­cken. Sie wis­sen, was nötig ist (Tier 2, Run­books, Tests), aber die Res­sour­cen sind limi­tiert. Das ist normal. Der Schlüs­sel: **Begin­nen Sie mit dem, das am meis­ten Impact hat, nicht dem, das per­fekt ist.** Für die meis­ten Orga­ni­sa­tio­nen: Tier 2 (Air-Gap) + Quar­ter­ly Tests > alles andere. Das kos­tet rela­tiv wenig und schützt gegen das, was Sie wahr­schein­lich tref­fen wird (Ran­som­wa­re). ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Kann man Stu­fe überspringen?** Theo­re­tisch nicht. Sie kön­nen nicht zu Stu­fe 4 gehen, wenn Sie nicht die Grund­la­gen von Stu­fe 2 – 3 haben. **Wie schnell kann man Stu­fe upgraden?** Stu­fe 1→2: 3 – 6 Mona­te. Stu­fe 2→3: 6 – 12 Mona­te. Stu­fe 3→4: 12 – 24 Monate. **Brau­chen KMUs Stu­fe 4?** Nein. Stu­fe 3 ist für die meis­ten KMUs opti­mal. Stu­fe 4 ist für Kon­zer­ne mit grö­ße­ren Com­pli­ance-Anfor­de­run­gen sinnvoll. --- ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis)