Resilience Testing
Simulation ausführen
Wählen Sie ein Szenario aus und arbeiten Sie die Impact-Bereiche, Decision-Gates und Evidence-Anforderungen strukturiert durch.
Cloud Provider Ausfall
Kritischer Cloud-Dienst (IaaS/PaaS/SaaS) nicht verfügbar — Region oder global.
Betroffene Rollen
IT-Betrieb, CISO, Service Owner, Einkauf
Impact-Bereiche
- 1 Kritische Funktionen: Welche kwF sind vom Cloud-Ausfall betroffen?
- 2 Datenverfügbarkeit: Sind Backups in anderer Region verfügbar?
- 3 Exit-Strategie: Gibt es einen getesteten Cloud-Exit-Plan?
- 4 SLA-Verletzung: Werden vertragliche SLAs unterschritten?
- 5 Kundenauswirkung: Welche Endkunden-Dienste sind betroffen?
Decision-Gates
Klicken Sie auf eine Entscheidung, um sie als „Entschieden“ zu markieren.
Evidence-Checkliste
Folgende Nachweise sind für dieses Szenario erforderlich:
- Cloud-Provider-SLA-Dokumentation
- BCP-Test-Protokoll (letzter Test)
- Multi-Region-Failover-Testbericht
- Datenportabilitäts-Nachweis
- Kundenkommunikationsvorlage
Ransomware-Angriff
Ransomware verschlüsselt kritische Systeme. Lösegeldforderung liegt vor.
Betroffene Rollen
CISO, CEO, Rechtsabteilung, Kommunikation, DSB
Impact-Bereiche
- 1 Systeme: Welche Systeme sind verschlüsselt? Sind Backups betroffen?
- 2 Daten: Welche Datenklassen sind betroffen? PII?
- 3 Wiederherstellung: Wie lange dauert Recovery aus Backup?
- 4 Lösegeld: Rechtliche Prüfung der Zahlungsoption (BKA-Empfehlung)
- 5 Meldepflichten: DSGVO (72h), DORA (Art. 19), NIS2 (24h)
Decision-Gates
Klicken Sie auf eine Entscheidung, um sie als „Entschieden“ zu markieren.
Evidence-Checkliste
Folgende Nachweise sind für dieses Szenario erforderlich:
- Forensik-Bericht (externer Dienstleister)
- Backup-Integritätsnachweis
- Lösegeld-Forderung (Screenshot/Log)
- Meldeprotokoll (DSGVO/DORA/NIS2)
- Post-Incident-Review + Lessons Learned
Kritischer Drittanbieter kompromittiert
Sicherheitsvorfall bei kritischem IKT-Drittanbieter. Eigene Daten potenziell betroffen.
Betroffene Rollen
Third-Party Risk Manager, CISO, Rechtsabteilung, Einkauf
Impact-Bereiche
- 1 Betroffenheit: Welche eigenen Daten/Systeme sind über den Anbieter exponiert?
- 2 Vertrag: Welche Meldepflichten hat der Anbieter?
- 3 Subunternehmer: Ist die Lieferkette unterhalb des Anbieters betroffen?
- 4 Exit: Kann der Dienst kurzfristig substituiert werden?
- 5 Konzentrationsrisiko: Sind weitere Anbieter derselben Kategorie betroffen?
Decision-Gates
Klicken Sie auf eine Entscheidung, um sie als „Entschieden“ zu markieren.
Evidence-Checkliste
Folgende Nachweise sind für dieses Szenario erforderlich:
- Lieferanten-Sicherheitsvorfallmeldung
- Vertragliche Meldepflichten-Prüfung
- Eigene Betroffenheitsanalyse
- Substitute-Service-Readiness-Check
- Exit-Plan-Aktualisierung
DORA Major ICT Incident
Schwerwiegender IKT-Vorfall mit erheblichen Auswirkungen auf kritische/wichtige Funktionen.
Betroffene Rollen
Compliance, CISO, Geschäftsleitung, Meldewesen
Impact-Bereiche
- 1 Klassifikation: Major Incident nach DORA-Kriterien?
- 2 Meldepflicht: Innerhalb der DORA-Fristen (Initial 4h/24h, Final 1M)?
- 3 Betroffene Dienste: Welche kritischen/wichtigen Funktionen sind impacted?
- 4 Kommunikation: Aufsichtsbehörde, Kunden, Öffentlichkeit?
Decision-Gates
Klicken Sie auf eine Entscheidung, um sie als „Entschieden“ zu markieren.
Evidence-Checkliste
Folgende Nachweise sind für dieses Szenario erforderlich:
- DORA-Meldeformular (Art. 19)
- Incident-Timeline und Root-Cause-Analysis
- Impact-Assessment kritische/wichtige Funktionen
- Kommunikationsprotokoll (Behörden, Kunden)
- Abschlussbericht + Lessons Learned
Kritische API-Störung (Open Finance)
Kritische API (Open-Finance-Schnittstelle) gestört oder kompromittiert.
Betroffene Rollen
API-Product-Owner, IT-Sicherheit, CISO, Compliance
Impact-Bereiche
- 1 API-Verfügbarkeit: Wie viele TPS (Transactions per Second) betroffen?
- 2 Authentifizierung: OAuth/Token-Validierung noch intakt?
- 3 Datenabfluss: Werden Daten über die API abfließen?
- 4 Drittanbieter: Welche TPPs sind von der Störung betroffen?
Decision-Gates
Klicken Sie auf eine Entscheidung, um sie als „Entschieden“ zu markieren.
Evidence-Checkliste
Folgende Nachweise sind für dieses Szenario erforderlich:
- API-Gateway-Logs (Zeitraum des Vorfalls)
- OAuth-Token-Audit
- Rate-Limiting-Konfiguration
- Drittanbieter-Benachrichtigung
- Post-Incident API-Security-Review
OSS/SBOM Critical Vulnerability
Kritische Schwachstelle (CVSS ≥ 9.0) in einer OSS-Komponente, die in kwF-Anwendungen genutzt wird.
Betroffene Rollen
DevSecOps, IT-Sicherheit, CISO, Software-Architektur
Impact-Bereiche
- 1 SBOM: Welche Anwendungen/Releases nutzen die verwundbare Komponente?
- 2 Exploitability: Ist die Schwachstelle öffentlich ausnutzbar?
- 3 Patch: Ist ein Patch verfügbar? Wie schnell kann deployed werden?
- 4 kwF: Sind kritische/wichtige Funktionen betroffen?
Decision-Gates
Klicken Sie auf eine Entscheidung, um sie als „Entschieden“ zu markieren.
Evidence-Checkliste
Folgende Nachweise sind für dieses Szenario erforderlich:
- SBOM (betroffene Versionen markiert)
- CVSS/CVE-Details + Exploitability-Assessment
- Patch-Entscheidung + Deployment-Nachweis
- Risikoakzeptanz-Dokumentation (falls zutreffend)
- Post-Mortem + SBOM-Prozess-Update
Simulationsergebnis
Impact-Bereiche
—
analysierte Bereiche
Entscheidungen
—
getroffene Entscheidungen
Evidence Pack
—
Nachweise generiert
Hinweis: Das Evidence Pack wird nach Abschluss der Simulation automatisch aus den Checklisten generiert und im Evidence Ledger abgelegt.