Continuity Plans, die nie getestet wurden, sind Wunschdenken. Das Übungs- und Testprotokoll dokumentiert, dass deine Organisation ihre Notfallpläne tatsächlich erprobt hat — und was dabei herausgekommen ist. Auditor:innen fragen regelmäßig nach diesem Nachweis.
ISO 27001 (A.5.29) verlangt, dass Kontinuitätsmaßnahmen regelmäßig überprüft werden. ISO 22301 (Clause 8.5) geht noch weiter und fordert ein strukturiertes Übungsprogramm. Unsere Vorlage kombiniert beides in einem einzigen Protokolldokument.
Was die Vorlage abdeckt
Die Vorlage ist als lebendes Dokument konzipiert: Mit jeder Übung kommt ein neuer Eintrag hinzu.
Übungsprotokolle folgen einer einheitlichen Struktur. Ein Metadaten-Block (Datum, Typ, Scope, Dauer, Teilnehmende, Beobachter) leitet jeden Eintrag ein. Danach folgen Zielsetzung, Szenario, Ergebnisse und Findings. Die Vorlage enthält Beispiele für alle gängigen Übungstypen: eine technische Failover-Simulation mit konkreten Zeitmessungen, ein Tabletop-Exercise mit einem Ransomware-Szenario und einem externen Beobachter, einen Datenbank-Restore-Test gegen RTO/RPO-Ziele und eine Evakuierungsübung.
Findings werden direkt im Protokoll klassifiziert (Hoch, Mittel, Niedrig) und mit CAPA-Nummern verknüpft. Das macht die Nachverfolgung transparent — von der Erkenntnis über die Korrekturmaßnahme bis zur Schließung.
Der Jahresplan am Ende des Dokuments listet alle geplanten Übungen für das laufende Jahr auf. So ist für Auditor:innen sofort ersichtlich, dass ein systematisches Übungsprogramm existiert.
Vorlage: Übungs- und Testprotokoll
Dokumentenkontrolle
Eigentümer: BCM-Leitung
Genehmigt von: Informationssicherheitsbeauftragte
Version: 1.0
Gültig ab: 2026-04-01
Klassifizierung: Intern
Zweck
Dieses Dokument protokolliert alle Übungen, Tests und Drills zur Geschäftskontinuität und Wiederherstellung bei Nordwind Logistics GmbH. Es dient als zentraler Nachweis, dass Continuity-Fähigkeiten regelmäßig validiert werden, wie von ISO/IEC 27001:2022 Annex A 5.29 und A 5.30 sowie ISO 22301 Abschnitt 8.5 gefordert.
Übung EX-2025-03 — Portal-Failover Teilsimulation
| Feld | Wert |
|---|---|
| Datum | 2025-09-15 |
| Art | Teilsimulation (technischer Failover + Geschäftsprozess-Fortführung) |
| Scope | CP-01 — Szenario A Logistikportal-Ausfall |
| Dauer | 4 Stunden |
| Teilnehmende | BCM-Leitung, IT-Betriebsleitung, 2 Disponenten, 1 Kundenservice-Mitarbeiter, Kontakt bei Vendor X |
| Beobachter | ISB |
Ziel: Validieren, dass das manuelle Logistik-Fallback LOG-FB-01 innerhalb von 2 Stunden nach erklärter Unterbrechung 30 % Erfassungskapazität erreicht.
Szenario: Simulierter Ausfall des Logistikportals um 09:00. Disponenten wechseln zu manueller Erfassung.
Ergebnisse:
- Fallback aktiviert bei T+12 min (Ziel: T+15 min). Bestanden.
- 30 % Kapazität erreicht bei T+1 h 45 min (Ziel: T+2 h). Bestanden.
- Volle Kapazität wiederhergestellt, nachdem das Portal um T+4 h 20 min wieder aktiviert wurde. Abgleich abgeschlossen bei T+5 h 10 min. Bestanden.
Feststellungen:
- Feststellung 1 (Mittel): Das ausgedruckte Tourenblatt war 48 statt der vorgesehenen 24 Stunden alt. Ursache: geplantes Export-Skript ist unbemerkt fehlgeschlagen. CAPA-2025-011 — Monitoring für das Export-Skript einrichten und bei Fehler alarmieren. Abgeschlossen am 2025-10-02.
- Feststellung 2 (Niedrig): Zwei Kundenservice-Mitarbeitende wussten nicht, wo das Fallback-Playbook zu finden ist. Auffrischungsschulung geplant.
- Feststellung 3 (Niedrig): Die Anbieter-Kontaktnummer im Krisenordner war veraltet. Sofort aktualisiert.
Gesamtbewertung: Die Übungsziele wurden erreicht. Zwei prozessuale Verbesserungen und eine datenqualitätsbezogene CAPA.
Übung EX-2025-04 — Tabletop Incident Response
| Feld | Wert |
|---|---|
| Datum | 2025-11-10 |
| Art | Tabletop-Übung |
| Scope | Ransomware-Szenario — IRP + CP-01 + Krisenkommunikation |
| Dauer | 3 Stunden |
| Teilnehmende | CMT (vollständig), IT-Betrieb, SecOps, DSB, Kommunikationsleitung |
| Beobachter | Extern — Cobalt Alliance Security GmbH |
Szenario: Simulierter Ransomware-Angriff entdeckt um 02:30 an einem Samstag. Verschlüsselung auf Fileserver und zwei Domain Controllern festgestellt. Lösegeldforderung 900.000 EUR in Bitcoin.
Geübte Kernentscheidungen:
- Aktivierung von Incident Response + BCM + Krisenkommunikation.
- Entscheidung, nicht zu zahlen (formale CMT-Entscheidung dokumentiert).
- Zeitlinie für Behördenmeldung (BSI 24 h Frühwarnung + BfDI 72 h).
- Kundenkommunikationsstrategie und Holding Statement für die Presse.
Feststellungen:
- Feststellung 1 (Hoch): Kein klarer Verantwortlicher für die 24-h-NIS2-Frühwarnung außerhalb der Geschäftszeiten. CAPA-2025-012 — IRP aktualisieren, sodass der On-Call-Engineer als Erstmeldender benannt ist. Abgeschlossen am 2026-01-05.
- Feststellung 2 (Mittel): Das CMT hatte keinen klaren Rechtsberater-Kontakt für Lösegeld-Entscheidungen. Ergänzt im Krisenordner.
- Feststellung 3 (Mittel): Das Holding Statement für die Presse war veraltet. Neu geschrieben und in das Krisenkommunikations-Template integriert.
- Feststellung 4 (Niedrig): Mehrere Teilnehmende waren mit der Schweregrad-Matrix nicht vertraut. Schulung in den Plan 2026 aufgenommen.
Gesamtbewertung: Das Team hat das Szenario mit klarer Entscheidungsstruktur bewältigt. Vier Feststellungen — keine blockierend, eine sofort abgeschlossen.
Test TR-2026-01 — Restore Kundendatenbank
| Feld | Wert |
|---|---|
| Datum | 2026-02-15 |
| Art | Technischer Restore-Test |
| Scope | DR-001 Kundendatenbank (AST-001) |
| Dauer | 3 Stunden |
| Teilnehmende | IT-Betriebsleitung, DBA |
| Beobachter | ISB |
Ziel: Validieren, dass die Kundendatenbank aus dem Offsite-Backup innerhalb der 4-h-RTO mit Datenverlust ≤ 15 Minuten (RPO) wiederhergestellt werden kann.
Methode: Vollständiger Restore in eine isolierte DR-Umgebung. Verifizierung von Row Counts, referenzieller Integrität und Anwendungskonnektivität gegen ein maskiertes Test-Frontend.
Ergebnisse:
- Restore abgeschlossen in 2 h 50 min (Ziel: 4 h). Bestanden.
- Datenverlust gemessen bei 12 Minuten (Ziel: 15 min). Bestanden.
- Anwendungskonnektivität mit allen wichtigen Queries verifiziert.
Feststellungen: Keine.
Gesamtbewertung: Restore-Test erfolgreich. Keine Änderungen erforderlich. Nächster Test: 2026-05-15.
Test TR-2026-02 — Domain-Controller-Failover
| Feld | Wert |
|---|---|
| Datum | 2026-01-20 |
| Art | Technischer Failover-Test |
| Scope | DR-003 Domain Controller (AST-005) |
| Dauer | 2 Stunden |
| Teilnehmende | IT-Betriebsleitung, Systemadministrator |
| Beobachter | Keiner |
Ergebnis: Failover zum sekundären DC abgeschlossen in 1 h 30 min (Ziel: 2 h). Authentifizierung verifiziert. Bestanden.
Feststellungen: Keine.
Drill DR-2026-01 — Evakuierungsübung (Hamburg HQ)
| Feld | Wert |
|---|---|
| Datum | 2026-03-05 |
| Art | Physische Evakuierungsübung |
| Scope | Vollständige HQ-Evakuierung |
| Dauer | 45 min |
| Teilnehmende | Alle HQ-Mitarbeitenden (56 Personen) |
| Beobachter | Feuerwehr + Facility-Leitung |
Ergebnis: Gebäude geräumt in 6 min 40 s (Ziel: <8 min). Alle Mitarbeitenden am Sammelpunkt gezählt. Bestanden.
Feststellungen:
- Feststellung 1 (Niedrig): Eine Notausgangstür war kurzzeitig durch Lieferboxen blockiert. Sofort freigemacht. Erinnerung an das Lagerteam ausgesprochen.
Geplante Übungen (Plan 2026)
| ID | Art | Scope | Geplantes Datum | Leitung |
|---|---|---|---|---|
| EX-2026-01 | Tabletop | Lieferantenausfall (Vendor X Logistics) + CP-01 | 2026-05-20 | BCM-Leitung |
| TR-2026-03 | Technischer Restore | DR-001 Kundendatenbank | 2026-05-15 | IT-Betriebsleitung |
| TR-2026-04 | Technischer Failover | DR-002 Logistikportal (mit Anbieter) | 2026-06-10 | IT-Betriebsleitung |
| EX-2026-02 | Vollständiger Durchlauf | CP-01 Ende-zu-Ende mit Dispositionsteam | 2026-09-15 | BCM-Leitung |
| EX-2026-03 | Tabletop | Datenschutzverletzung (DSGVO Art. 33) + Krisenkommunikation | 2026-11-10 | DSB + ISB |
| DR-2026-02 | Evakuierung | Hamburg HQ | 2026-09-03 | Facility-Leitung |
Protokoll wird quartalsweise durch die BCM-Leitung geprüft und als Input in das Management-Review eingebracht.
Document control
Owner: Business Continuity Lead
Approved by: Information Security Officer
Version: 1.0
Effective date: 2026-04-01
Classification: Internal
Purpose
This document records all business continuity and disaster recovery exercises, tests, and drills carried out by Nordwind Logistics GmbH. It serves as the primary evidence that continuity capabilities are validated regularly, as required by ISO/IEC 27001:2022 Annex A 5.29 and A 5.30 and ISO 22301 clause 8.5.
Exercise EX-2025-03 — Portal failover partial simulation
| Field | Value |
|---|---|
| Date | 2025-09-15 |
| Type | Partial simulation (technical failover + business-process continuation) |
| Scope | CP-01 — Logistics portal outage scenario (Scenario A) |
| Duration | 4 hours |
| Participants | BCM Lead, IT Ops Lead, 2 dispatchers, 1 customer service agent, Vendor X contact |
| Observer | ISO |
Objective: Validate that manual logistics fallback LOG-FB-01 can reach 30% booking capacity within 2 hours of declared outage.
Scenario: Simulated loss of the logistics portal at 09:00. Dispatchers switched to manual intake procedures.
Results:
- Fallback activated at T+12 min (target: T+15 min). Passed.
- 30% capacity reached at T+1h 45min (target: T+2h). Passed.
- Full capacity restored after portal was re-enabled at T+4h 20min. Reconciliation completed at T+5h 10min. Passed.
Findings:
- Finding 1 (Medium): The printed route sheet was 48 hours old instead of the target 24 hours. Root cause: scheduled export script failed silently. CAPA-2025-011 — Add monitoring to the export script and alert on failure. Closed 2025-10-02.
- Finding 2 (Low): Two customer service agents did not know where to find the fallback playbook. Refresher training scheduled.
- Finding 3 (Low): The vendor contact number in the crisis binder was outdated. Updated immediately.
Overall assessment: The exercise objectives were achieved. Two procedural improvements and one data-quality CAPA.
Exercise EX-2025-04 — Tabletop incident response
| Field | Value |
|---|---|
| Date | 2025-11-10 |
| Type | Tabletop exercise |
| Scope | Ransomware scenario — IRP + CP-01 + crisis communications |
| Duration | 3 hours |
| Participants | CMT (full), IT Ops, SecOps, DPO, Comms Lead |
| Observer | External — Cobalt Alliance Security GmbH |
Scenario: Simulated ransomware attack discovered at 02:30 on a Saturday. Encryption detected on file server and two domain controllers. Ransom note demands EUR 900,000 in Bitcoin.
Key decisions exercised:
- Activation of incident response + BCM + crisis communications.
- Decision not to pay (formal CMT decision documented).
- Regulatory notification timeline (BSI 24h early warning + BfDI 72h).
- Customer communication strategy and press holding statement.
Findings:
- Finding 1 (High): No clear owner for the 24h NIS2 early-warning notification outside office hours. CAPA-2025-012 — Update IRP to designate the on-call engineer as the initial declarer. Closed 2026-01-05.
- Finding 2 (Medium): The CMT had no clear legal counsel contact for ransom-pay decisions. Added to the crisis binder.
- Finding 3 (Medium): The press holding statement template was outdated. Rewritten and integrated into the crisis communication template.
- Finding 4 (Low): Several participants were unfamiliar with the incident severity matrix. Training added to the 2026 plan.
Overall assessment: The team handled the scenario with a clear decision structure. Four findings — none blocking, one immediately closed.
Test TR-2026-01 — Customer database restore
| Field | Value |
|---|---|
| Date | 2026-02-15 |
| Type | Technical restore test |
| Scope | DR-001 Customer database (AST-001) |
| Duration | 3 hours |
| Participants | IT Ops Lead, DBA |
| Observer | ISO |
Objective: Validate that the customer database can be restored from the offsite backup within the 4-hour RTO with data loss ≤ 15 minutes (RPO).
Method: Full restore into an isolated DR environment. Verified row counts, referential integrity, and application connectivity against a masked test frontend.
Results:
- Restore completed in 2h 50min (target: 4h). Passed.
- Data loss measured at 12 minutes (target: 15 min). Passed.
- Application connectivity verified with all major queries.
Findings: None.
Overall assessment: Restore test successful. No changes required. Next test: 2026-05-15.
Test TR-2026-02 — Domain controller failover
| Field | Value |
|---|---|
| Date | 2026-01-20 |
| Type | Technical failover test |
| Scope | DR-003 Domain controllers (AST-005) |
| Duration | 2 hours |
| Participants | IT Ops Lead, system administrator |
| Observer | None |
Result: Failover to secondary DC completed in 1h 30min (target: 2h). Authentication verified. Passed.
Findings: None.
Drill DR-2026-01 — Evacuation drill (Hamburg HQ)
| Field | Value |
|---|---|
| Date | 2026-03-05 |
| Type | Physical evacuation drill |
| Scope | Full HQ evacuation |
| Duration | 45 min |
| Participants | All HQ staff (56 people) |
| Observer | Fire department + Facilities Lead |
Result: Building cleared in 6 min 40s (target: <8 min). All staff accounted for at the muster point. Passed.
Findings:
- Finding 1 (Low): One emergency exit door was temporarily blocked by delivery boxes. Immediately cleared. Reminder issued to the warehouse team.
Upcoming exercises (2026 plan)
| ID | Type | Scope | Planned Date | Lead |
|---|---|---|---|---|
| EX-2026-01 | Tabletop | Supplier failure (Vendor X Logistics) + CP-01 | 2026-05-20 | BCM Lead |
| TR-2026-03 | Technical restore | DR-001 Customer database | 2026-05-15 | IT Ops Lead |
| TR-2026-04 | Technical failover | DR-002 Logistics portal (with vendor) | 2026-06-10 | IT Ops Lead |
| EX-2026-02 | Full walk-through | CP-01 end-to-end with dispatch team | 2026-09-15 | BCM Lead |
| EX-2026-03 | Tabletop | Data breach (GDPR Art. 33) + crisis comms | 2026-11-10 | DPO + ISO |
| DR-2026-02 | Evacuation | Hamburg HQ | 2026-09-03 | Facilities Lead |
Log reviewed quarterly by the BCM Lead and included in the management review inputs.
Quellen
- ISO/IEC 27001:2022 Annex A 5.29 — Informationssicherheit bei Störungen
- ISO 22301:2019 Clause 8.5 — Übungsprogramm