Cyber-Krisenberatung jenseits von Deliverables: Aufbau dauerhafter Fähigkeiten im öffentlichen Sektor

Highlight-image

Auf der ISCRAM 2026 in Den Haag präsentierten Max Tijmann und Rosa Edema, Berater bei Bureau Veritas Cybersecurity, ein Papier mit dem Titel Best Practitioner Insights & Perspectives, in dem sie über eine Herausforderung nachdachten, die im öffentlichen Sektor immer wieder auftaucht: Cyber-Krisenmanagement wird häufig durch externe Expertise unterstützt, ist aber selten darauf ausgerichtet, Organisationen langfristig zu stärken und unabhängiger zu machen.

Das Papier Cyber Crisis Consulting Beyond Deliverables stützt sich auf praktische Erfahrungen aus der Zusammenarbeit mit einer öffentlichen Organisation in den Niederlanden, die in einem kritischen Sektor tätig ist. Anstatt sich auf ein einzelnes Assessment oder eine Übung zu konzentrieren, entwickelte sich das Engagement zu einer umfassenderen Reflexion darüber, wie Cyber-Krisenberatung zu einer dauerhaften Organisationsfähigkeit beitragen kann und sollte.

Wenn Unterstützung nicht gleich Resilienz ist

Öffentliche Organisationen verlassen sich zunehmend auf externe Berater, wenn es um das Krisenmanagement im Cyberspace geht. Das ist verständlich: Cyberbedrohungen entwickeln sich schnell, interne Budgets sind begrenzt und der Wettbewerb um qualifizierte Fachkräfte ist hart. In dem Papier wird jedoch argumentiert, dass viele Beratungsaufträge ungewollt die Abhängigkeit verstärken.

Bei traditionellen Ansätzen liegt der Schwerpunkt oft auf greifbaren Ergebnissen wie Berichten, Spielbüchern oder Planspielen. Diese Ergebnisse sind zwar wertvoll, aber sie schaffen nicht automatisch Verständnis, Eigenverantwortung oder die Fähigkeit, unabhängig zu handeln, wenn sich eine echte Cyber-Krise entwickelt.

Die Folge ist bekannt: Sobald die Berater das Unternehmen verlassen, geht das Wissen verloren, die Verantwortlichkeiten bleiben unklar und die Organisationen greifen auf Ad-hoc-Reaktionen zurück, wenn der Druck steigt.

Image in image block

Eine Verlagerung von Ergebnissen zu Eigenverantwortung

Der in diesem Papier beschriebene Fall zeigt einen anderen Ansatz. Während des Engagements wurde klar, dass die Reaktion auf Cyber-Krisen nicht als rein technischer oder isolierter Bereich behandelt werden kann. Stattdessen war eine Abstimmung zwischen Cyber-Expertise, IT-Betrieb, Incident Management und bestehenden Strukturen für das Krisenmanagement erforderlich .

Gemeinsam mit internen Stakeholdern wurden die Governance-Strukturen geklärt, interne Botschafter bestimmt und gemeinsame Verantwortlichkeiten festgelegt. Der Schwerpunkt lag nicht mehr auf der Durchführung von Übungen, sondern auf dem Wissenstransfer, dem Aufbau von Routinen und der Einbettung des Cyber-Crisismanagements in die bestehenden organisatorischen Abläufe.

Dieser Ansatz ermöglichte es der Organisation, ihr Cyber-Krisenmanagement nach und nach selbst in die Hand zu nehmen, während die externen Berater eine beratende und validierende Rolle einnahmen.


Drei wichtige Erkenntnisse für die Cyber-Krisenberatung

Auf der Grundlage dieser Erfahrungen haben Max Tijmann und Rosa Edema drei zentrale Erkenntnisse identifiziert, die für viele Organisationen des öffentlichen Sektors relevant sind:

  • Cyber-Krisenberatung sollte über einmalige Aktivitäten hinausgehen. Nachhaltige Widerstandsfähigkeit erfordert den gezielten Aufbau von Fähigkeiten, nicht isolierte Assessments oder Übungen.
  • Effektives Krisenmanagement im Cyberspace ist von Natur aus multidisziplinär. Cyber-Response muss mit IT, Incident Response und traditioneller Krisen-Governance integriert werden.
  • Berater haben eine professionelle Verantwortung, Abhängigkeiten zu verhindern. Nachhaltige Resilienz bedeutet, Organisationen dabei zu helfen, im Laufe der Zeit unabhängig zu operieren.
USP

Cyber Crisis Consulting Beyond Deliverables | Practitioner Papier

Aufbau dauerhafter Fähigkeiten im öffentlichen Sektor

Download

Über ISCRAM

ISCRAM (Information Systems for Crisis Response and Management) ist eine internationale Konferenz, die Forscher, Praktiker und politische Entscheidungsträger zusammenbringt, die in physischen, digitalen und hybriden Kernbereichen der Krise arbeiten. Ihre starke "praxisorientierte" Ausrichtung macht sie zu einer wertvollen Plattform für den Austausch von Erkenntnissen, die eine Brücke zwischen Theorie und täglicher operativer Realität schlagen.

Die Präsentation dieses Papiers auf der ISCRAM 2026 bot die Gelegenheit, praxisorientierte Erkenntnisse zu einer breiteren internationalen Diskussion über Krisenmanagement und Resilienz beizutragen.

Image in image block

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.