KBMpro: individuell gepackt - passt genau!CONAKTIV. So individuell wie Ihr Business.KBMpro: individuell gepackt - passt genau!Daumen hoch für awork
Die beste Agentursoftware 2025 mit aktuellen News und vielen Informationen
 
IT-Notfallplan für Agenturen: In 5 Schritten vorbereitet sein
Magazin

IT-Notfallplan für Agenturen: In 5 Schritten vorbereitet sein

By  ,

Drei Uhr nachts ist die schlechteste Zeit, einen Plan zu schreiben

Der Server ist down. Nicht geplant, nicht angekündigt, einfach down. Die Projektmanagerin, die zufällig noch online war, weil sie eine Deadline für einen Kunden in Singapur abgearbeitet hat, merkt es zuerst: Keine Verbindung zur Agentursoftware, kein Zugriff auf die Kundendaten, keine E-Mails. Sie ruft die Geschäftsführerin an. Die ruft den IT-Dienstleister an, der um diese Uhrzeit erwartungsgemäß nicht erreichbar. Niemand weiß genau, wer eigentlich Zugriff auf den Hosting-Account hat. Niemand weiß, ob es ein aktuelles Backup gibt oder wie alt es ist. Niemand weiß, was den Kunden gesagt werden kann, die am nächsten Morgen pünktlich ihre Freigaben erwarten.

Genau das ist der Moment, in dem sich entscheidet, ob eine Agentur eine unangenehme, aber überschaubare Störung erlebt oder eine veritable Krise. Der Unterschied liegt selten an der Schwere des Vorfalls selbst. Er liegt daran, ob vorher jemand die richtigen Fragen beantwortet und die Antworten aufgeschrieben hat.

IT-Notfallplan: Bild zeigt Notfallknopf

Im vorherigen Artikel dieser Reihe ging es darum, wie Sie Cyber-Angriffe auf Ihre Agentur möglichst verhindern. Dieser Artikel setzt da an, wo Prävention endet: Was tun Sie, wenn es trotzdem passiert, sei es durch einen Cyber-Angriff, einen Server-Ausfall, einen versehentlich gelöschten Kundenordner oder schlicht einen Hardware-Defekt am Freitagnachmittag?

Ein IT-Notfallplan ist kein bürokratisches Dokument für die Schublade, sondern das Werkzeug, das Ihnen in genau diesem Moment um drei Uhr nachts Handlungsfähigkeit zurückgibt.

Warum die meisten Agenturen keinen Notfallplan haben — und warum das ein Problem ist

Ein IT-Notfallplan steht selten oben auf der Prioritätenliste. Er kostet Zeit, bringt im Tagesgeschäft keinen sichtbaren Nutzen und beschäftigt sich mit einem Szenario, das hoffentlich nie eintritt. Genau diese Logik führt dazu, dass die meisten Agenturen genau dann improvisieren müssen, wenn Improvisation am wenigsten hilft.

Dabei ist ein Notfallplan kein Hexenwerk und auch kein hundertseitiges Compliance-Dokument. Es geht um

==> fünf klar umrissene Schritte

die Sie einmal sorgfältig durchdenken und dann regelmäßig aktualisieren. Wer diese fünf Schritte umsetzt, hat im Ernstfall einen entscheidenden Vorteil: Statt in der Krise erst zu klären, wer zuständig ist, wo die Zugänge liegen und wer informiert werden muss, arbeiten Sie einen Plan ab, der genau das schon vorab geregelt hat.

Schritt 1: Kritische Systeme identifizieren und dokumentieren

IT-Notfallplan: Ablaufschema

Bevor Sie irgendetwas zu Backups, Zugängen oder Kommunikation festlegen, brauchen Sie Klarheit darüber, worum es überhaupt geht. Welche Systeme sind für den Geschäftsbetrieb Ihrer Agentur tatsächlich kritisch? Die Agentursoftware mit Projekt- und Kundendaten gehört mit Sicherheit dazu, ebenso E-Mail-Systeme, die Webseite, gegebenenfalls eigene Server oder Cloud-Speicher, Buchhaltungssoftware und alle Tools, ohne die laufende Projekte ins Stocken geraten.

Für jedes dieser Systeme sollte dokumentiert sein, wie wichtig es ist, wie schnell es im Notfall wiederhergestellt sein muss und welche Abhängigkeiten bestehen. Ein Beispiel: Wenn Ihre Agentursoftware ausfällt, sind davon möglicherweise auch Zeiterfassung, Rechnungsstellung und Kundenkommunikation betroffen, falls diese Funktionen integriert sind. Diese Verkettungen zu kennen, hilft Ihnen, im Ernstfall Prioritäten zu setzen, statt wahllos an mehreren Baustellen gleichzeitig zu arbeiten.

Sinnvoll ist eine einfache Tabelle:

  • System,
  • verantwortliche Person,
  • Instabilität (hoch, mittel, niedrig),
  • maximal tolerierbare Ausfallzeit,
  • Abhängigkeiten.

Das klingt nach viel Aufwand, ist aber in den meisten Agenturen an einem Nachmittag erledigt, weil die relevanten Systeme überschaubar sind.

Auch die Frage, wer im Unternehmen für welches System verantwortlich ist, gehört in dieses Dokument.

Wenn die einzige Person, die weiß, wie der Mailserver konfiguriert ist, im Urlaub ist und nicht erreichbar, hilft das beste technische Wissen nichts. Verteiltes Wissen, dokumentiert und für mehrere Personen zugänglich, ist eine der wirksamsten Notfallmaßnahmen überhaupt und kostet nichts außer etwas Zeit beim Aufschreiben.

Schritt 2: Zugänge und Zugangsdaten sicher dokumentieren

Dies ist vermutlich der heikelste, aber auch wichtigste Punkt eines Notfallplans. Im Ernstfall müssen Sie schnell auf Hosting-Accounts, Domain-Verwaltung, Cloud-Dienste, Software-Administration und weitere kritische Zugänge zugreifen können und zwar auch dann, wenn die Person, die normalerweise dafür zuständig ist, gerade nicht erreichbar ist.

Die zentrale Regel lautet: Zugangsdaten dürfen niemals nur im Kopf einer einzelnen Person existieren, aber sie dürfen auch nicht offen herumliegen, etwa in einer unverschlüsselten Excel-Tabelle oder einem geteilten Dokument ohne Zugriffsschutz.

Die Lösung ist ein Passwort-Manager mit Team-Funktion, in dem kritische Zugänge hinterlegt sind und der definiert, wer im Normalbetrieb und wer im Notfall darauf zugreifen darf. Viele Passwort-Manager bieten genau für diesen Zweck einen „Notfallzugriff“, bei dem eine vertrauenswürdige Person nach einer Wartezeit Zugriff auf bestimmte Einträge erhält, falls die eigentlich verantwortliche Person nicht reagiert.

Dokumentieren Sie mindestens:

  • Zugang zum Hosting-Provider
  • zur Domain-Verwaltung
  • zu zentralen Cloud-Diensten wie Microsoft 365 oder Google Workspace
  • zur Agentursoftware-Administration
  • zu Backup-Systemen und
  • zu allen Accounts, über die Sie kritische Drittanbieter-Dienste steuern.

Genauso wichtig wie die Zugangsdaten selbst ist die Frage, wer im Unternehmen administrative Rechte hat und ob diese Liste aktuell ist. Ehemalige Mitarbeitende mit noch aktiven Zugängen sind ein verbreitetes, aber leicht vermeidbares Risiko.

Legen Sie außerdem fest, wer im Notfall überhaupt befugt ist, auf diese sensiblen Informationen zuzugreifen und dokumentieren Sie diese Berechtigung klar. Ein Notfallplan, der die Zugangsdaten für jeden im Unternehmen zugänglich macht, schafft ein neues Sicherheitsrisiko, statt eines zu lösen.

Schritt 3: Backup-Strategie festlegen und regelmäßig testen

Ein Backup, das es nicht gibt oder das im Ernstfall nicht funktioniert, ist kein Backup, sondern eine trügerische Illusion von Sicherheit. Die Backup-Strategie ist deshalb das technische Rückgrat jedes Notfallplans.

Die bewährte Grundregel ist die 3-2-1-Regel: drei Kopien Ihrer Daten, auf zwei unterschiedlichen Speichermedien, davon eine Kopie räumlich getrennt vom Hauptsystem.

Im Agentur-Alltag bedeutet das praktisch: Die Originaldaten liegen auf Ihrem Hauptsystem oder in der Cloud-Agentursoftware, eine weitere Kopie liegt auf einem separaten System oder bei einem zweiten Anbieter und eine dritte Kopie ist physisch oder logisch so getrennt, dass sie auch dann nicht betroffen ist, wenn das Hauptsystem komplett kompromittiert wird, etwa durch Ransomware.

Genau dieser letzte Punkt wird häufig übersehen. Wenn Ihr Backup im selben Netzwerk hängt wie die Originaldaten und ständig verbunden ist, kann es bei einem Ransomware-Angriff mit verschlüsselt werden. Ein wirksames Backup-Konzept braucht deshalb mindestens eine Kopie, die vom Hauptsystem getrennt oder nur zeitweise verbunden ist, etwa durch versionierte Cloud-Backups mit Point-in-Time-Recovery oder durch Offline-Sicherungen.

Ebenso wichtig wie die Existenz eines Backups ist seine regelmäßige Überprüfung. Ein Backup, das seit Monaten nicht getestet wurde, kann fehlerhaft, unvollständig oder schlicht zu alt sein, um im Ernstfall zu helfen. Legen Sie feste Intervalle fest, in denen Sie testweise Daten aus dem Backup wiederherstellen und dokumentieren Sie, wie lange dieser Prozess dauert. Diese Zeitspanne ist entscheidend, denn sie sagt Ihnen, wie lange Ihre Agentur im Ernstfall tatsächlich handlungsunfähig wäre.

Klären Sie außerdem, wer für die Backup-Strategie verantwortlich ist und wie oft gesichert wird. Tägliche Backups sind für die meisten Agenturen sinnvoll, bei besonders dynamischen Projektphasen kann auch eine häufigere Sicherung sinnvoll sein. Wenn Sie eine Cloud-basierte Agentursoftware nutzen, übernimmt der Anbieter in der Regel die technische Sicherung, Sie sollten aber dennoch prüfen, was genau gesichert wird, wie lange Backups vorgehalten werden und wie schnell eine Wiederherstellung im Ernstfall möglich ist.

Schritt 4: Kommunikationsplan für den Ausfall

Ein technischer Ausfall ist eine Sache. Wie Sie währenddessen kommunizieren, eine andere und oft die, die langfristig über den Schaden für Kundenbeziehungen und Reputation entscheidet.

Ein guter Kommunikationsplan beantwortet im Voraus drei Fragen: Wer informiert wen, über welchen Kanal und mit welchem Inhalt?

Intern muss klar sein, wer im Ernstfall die Koordination übernimmt. Das sollte nicht zwingend die Geschäftsführung sein, sondern eine Person oder ein kleines Team, das befugt ist, Entscheidungen zu treffen und Informationen zu bündeln. Diese Person sollte wissen, wen sie informieren muss: das gesamte Team, einzelne betroffene Projektteams, externe Dienstleister, gegebenenfalls auch Behörden, falls personenbezogene Daten betroffen sind. Wichtig ist außerdem ein Kommunikationskanal, der auch dann funktioniert, wenn die übliche Infrastruktur ausfällt. Wenn E-Mail und Agentursoftware gleichzeitig down sind, brauchen Sie eine Alternative, etwa eine Messenger-Gruppe oder eine private Telefonliste, über die das Team trotzdem erreichbar bleibt.

Extern stellt sich die Frage, ob und wie Kunden informiert werden müssen. Hier gilt: Lieber proaktiv und ehrlich kommunizieren als hoffen, dass es niemand bemerkt. Wenn ein Kunde am nächsten Morgen eine Freigabe erwartet, die wegen eines Systemausfalls nicht kommen kann, ist eine kurze, transparente Nachricht weit professioneller als Funkstille. Bereiten Sie für die häufigsten Szenarien Textbausteine vor, etwa für einen technischen Ausfall ohne Datenbetroffenheit oder für einen Vorfall, bei dem möglicherweise Kundendaten betroffen sind. Im zweiten Fall greifen zusätzlich die Meldepflichten der DSGVO, auf die im ersten Artikel dieser Reihe bereits eingegangen wurde.

Definieren Sie auch, wer autorisiert ist, nach außen zu kommunizieren. In der Hektik eines Vorfalls ist es leicht, dass mehrere Personen unkoordiniert unterschiedliche Informationen an Kunden weitergeben. Eine zentrale, abgestimmte Kommunikation wirkt professioneller und vermeidet Widersprüche.

Schritt 5: Den Plan testen, üben und aktuell halten

IT-Notfallplan: Bild zeigt Notfallknopf in Gebäude

Der häufigste Fehler bei Notfallplänen ist, sie einmal zu erstellen und dann nie wieder anzufassen. Ein Plan, der auf veralteten Zugangsdaten, ausgeschiedenen Mitarbeitenden oder längst abgelösten Systemen basiert, hilft im Ernstfall wenig. Planen Sie deshalb feste Zeitpunkte, an denen der Notfallplan überprüft und aktualisiert wird, zum Beispiel halbjährlich oder immer dann, wenn sich wesentliche Systeme oder Zuständigkeiten ändern. (Was auch regelmäßig geprüft werden muss!)

Mindestens genauso wichtig ist es, den Plan tatsächlich zu üben. Eine Simulation muss kein aufwendiges Großereignis sein. Es reicht oft, im Team einmal jährlich durchzuspielen: Was würden wir tun, wenn jetzt die Agentursoftware ausfällt? Wer ruft wen an? Wo finden wir die Zugangsdaten? Solche Übungen decken Lücken auf, die auf dem Papier nicht sichtbar sind, etwa veraltete Telefonnummern oder Unklarheiten darüber, wer eigentlich zuständig ist.

Diese fünf Schritte ergeben zusammen kein perfektes Sicherheitsnetz, aber sie verschaffen Ihrer Agentur etwas, das in einer Krisensituation unbezahlbar ist: Handlungsfähigkeit. Statt in Panik zu improvisieren, arbeiten Sie einen Plan ab, der vorher in Ruhe durchdacht wurde.

Fazit: Vorbereitung ist der beste Krisenmanager

Ein IT-Notfallplan ist kein Dokument, das Sie einmal schreiben und dann vergessen. Er ist ein lebendiges Werkzeug, das mit Ihrer Agentur mitwächst und regelmäßig auf den Prüfstand gehört. Die fünf Schritte, kritische Systeme identifizieren, Zugänge sicher dokumentieren, eine getestete Backup-Strategie aufbauen, einen Kommunikationsplan festlegen und das Ganze regelmäßig üben, lassen sich auch in kleineren Agenturen ohne dedizierte IT-Abteilung umsetzen.

Der entscheidende Unterschied zeigt sich nicht im Alltag, sondern in dem einen Moment, in dem etwas schiefgeht. Agenturen mit einem durchdachten Notfallplan reagieren dann strukturiert und behalten die Kontrolle. Agenturen ohne Plan verlieren in genau diesem Moment wertvolle Stunden, manchmal Tage, mit Improvisation, Unsicherheit und vermeidbaren Fehlern. Die Investition in einen Notfallplan ist überschaubar. Der Unterschied, den er im Ernstfall macht, ist es nicht.

Häufig gestellte Fragen (FAQ)

Hier die häufig gestellten Fragen (FAQ) zum IT-Notfallplan

Brauchen wir als kleine Agentur wirklich einen formalen IT-Notfallplan?

Ja, gerade kleine Agenturen profitieren besonders davon, weil ihnen oft die Redundanz fehlt, die größere Unternehmen haben. Wenn in einer kleinen Agentur die eine Person, die sich mit der IT auskennt, im Urlaub oder krank ist, kann ein ungeplanter Ausfall schnell zum echten Problem werden. Der Plan muss nicht umfangreich sein, aber er sollte die wichtigsten Fragen beantworten: Wo finden wir Zugänge, wie stellen wir Daten wieder her, wie kommunizieren wir.

Wie oft sollten wir unseren IT-Notfallplan aktualisieren?

Eine grundlegende Überprüfung alle sechs Monate ist sinnvoll, zusätzlich sollte der Plan immer dann angepasst werden, wenn sich relevante Systeme, Zuständigkeiten oder Mitarbeitende ändern. Veraltete Zugangsdaten oder nicht mehr aktuelle Kontaktlisten sind eine der häufigsten Ursachen dafür, dass Notfallpläne im Ernstfall nicht funktionieren.

Wer sollte in unserer Agentur Zugriff auf den Notfallplan haben?

Das hängt von der Sensibilität der enthaltenen Informationen ab. Grundlegende Informationen wie der Kommunikationsablauf können breiter zugänglich sein. Sensible Zugangsdaten sollten dagegen nur für einen klar definierten, kleinen Kreis verantwortlicher Personen zugänglich sein, idealerweise über einen Passwort-Manager mit Notfallzugriffsfunktion, sodass auch dann jemand handlungsfähig bleibt, wenn die eigentlich zuständige Person nicht erreichbar ist.

Reicht ein Cloud-Backup unseres Agentursoftware-Anbieters als Backup-Strategie aus?

Ein Cloud-Backup des Anbieters ist eine gute Grundlage, ersetzt aber nicht die eigene Verantwortung. Prüfen Sie, was genau gesichert wird, wie lange Backups vorgehalten werden und wie schnell eine Wiederherstellung im Ernstfall tatsächlich möglich ist. Prüfen Sie bei Ihrem Software-Anbieter auch, welche Export- oder API-Möglichkeiten bestehen, um zusätzlich zur Anbieter-Sicherung eine eigene, unabhängige Kopie kritischer Daten vorzuhalten. Viele Anbieter bieten dafür CSV- oder API-Exporte an, der Umfang unterscheidet sich aber je nach Software.

Weiterführende interne Links

Cyber-Angriffe auf Agenturen: So schützen Sie sich systematisch
Quick Win 11: Achtung Phishing-Mails!

Weiterführenden externe Links
IT-Notfallplan BSI
IHK Stuttgart: IT-Notfallplan – ein Muss in jedem Unternehmen

Sie suchen eine passende Agentursoftware oder eine Speziallösung für Ihre Agentur?

Ich helfe Ihnen und berate Sie anbieterunabhängig, kompetent und lösungsorientiert bei der Auswahl und – wenn gewünscht – Implementierung eines geeigneten Systems.

Sparen Sie Zeit und lassen Sie sich bei der Suche helfen!  https://www.agentursoftware-guide.de/beratung/

Gerne unterstütze ich auch in der Optimierung Ihrer Agentur-Organisation: https://www.hm43.de/agenturberatung/

Foto Mews

Fotos und Grafiken: ©Mews

Diesen Beitrag teilen, drucken, merken:

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert