Kategorie: Allgemein

  • Nutzen und Mehrwert von Disconnected Unexpected

    Anders als bei vielen klassischen Krisenübungen, die meist nach festen Drehbüchern ablaufen, bietet „Disconnected Unexpected” ein variables Konzept. Die Teams müssen sich ständig auf neue Situationen einstellen, was dazu führt, dass sie ein tieferes Verständnis für Abläufe entwickeln. Das spontane Format sorgt dafür, dass jede Übung einzigartig ist. Durch die fortlaufende Beteiligung des Publikums entsteht zudem ein lebendiger Kreislauf: Vorschläge aus der Community verfeinern das Szenario und die Erfahrungen aus der Übung fließen in künftige Sessions ein. Die Kombination aus Spannung und Lernen macht die Sessions so besonders. Für die teilnehmenden Teams ist es eine ungewöhnliche Art der Vorbereitung, die sich stark von klassischen Schulungen unterscheidet. Jeder Stream wird so zu einem intensiven Lernereignis für alle Beteiligten.

    Direkter Nutzen für die teilnehmenden Teams

    „Disconnected Unexpected“ bietet den teilnehmenden Notfall- und Krisenteams einen unmittelbar spürbaren Nutzen. Die aktive Moderation steuert das Szenario zielgerichtet, um spezifische Lernziele zu erreichen, die im Voraus festgelegt wurden.

    Die Teams trainieren in realitätsnahen Situationen, ohne dass dabei echte Schäden entstehen. In diesem geschützten Rahmen können sie mutig neue Lösungswege ausprobieren und aus Fehlern lernen, ohne negative Konsequenzen befürchten zu müssen.

    Die Übungen finden unter Live-Bedingungen statt. Dadurch können die Teams ihre Abläufe und Notfallpläne unter Zeitdruck verfeinern und anschließend überprüfen. Durch die aktive Einbindung von Vorschlägen aus der Community müssen die Teams außerdem spontan auf unerwartete Ereignisse reagieren.

    Die Moderation fungiert dabei wie eine Spielleitung, die neue Wendungen gezielt einsetzt. Diese dynamische Vorgehensweise erfordert ein hohes Maß an Anpassungsfähigkeit. Die Teilnehmer lernen, Prioritäten zu setzen und kreativ zu handeln. Jedes bewältigte „Improvisations-Schock-Erlebnis” stärkt die Fähigkeit, auch in realen Krisen handlungsfähig zu bleiben, und festigt das Vertrauen in die eigene Handlungsfähigkeit.

    Jede Session schließt mit einem moderierten Nachgespräch ab. In diesem Debriefing analysiert das Team gemeinsam mit den Moderatoren seine Entscheidungen, Kommunikationswege und Abläufe. Die Moderatoren sorgen dafür, dass das Nachgespräch konstruktiv verläuft und mögliche Fehler offen angesprochen werden. Dadurch können im Team gemeinsam Verbesserungen erarbeitet werden.

    Ein Notfallteam besteht häufig aus IT-Administratoren, Kommunikationsverantwortlichen und Führungskräften. Manchmal wird auch ein Krisenstab simuliert. Die Teams müssen Informationen abstimmen, benötigte Ressourcen anfordern und Entscheidungen gemeinsam vorbereiten. Die Moderation fördert dabei explizit den Perspektivwechsel zwischen den technischen und organisatorischen Rollen. Die Moderation leitet die Übung so, dass IT- und Managementteams eng zusammenarbeiten und sich gegenseitig auf dem Laufenden halten. Dies schärft das Verständnis füreinander und stärkt die bereichsübergreifende Kommunikation.

    Die Teilnehmer erleben vielfältige Cybervorfälle in Echtzeit, lernen daraus und stärken direkt ihre Krisenreaktionsfähigkeiten. Zusätzlich stärkt „Disconnected Unexpected” das interne Zusammengehörigkeitsgefühl: Beim gemeinsamen Meistern von Krisensituationen entsteht ein starkes Wir-Gefühl. Es werden alle Teammitglieder – vom IT-Spezialisten bis zum Kommunikationsverantwortlichen – eingebunden, was auch das gegenseitige Vertrauen im Ernstfall fördert.

    Vorteile für die Community

    Bei „Disconnected Unexpected“ ist die Community ein aktiver Teil des Formats. Zuschauer und Ideengeber werden direkt in die Übung eingebunden, wodurch sich vielfältige Lernchancen ergeben.

    Zuschauer können live neue Ereignisse vorschlagen, die unmittelbar ins Szenario einfließen. Durch dieses Mitgestalten lernen die Zuschauern viel über realistische Angriffs- und Krisenszenarien.

    Die Moderation wählt passende Vorschläge aus und setzt sie ins Setting um. Erfolgreiche Community-Vorschläge werden dokumentiert, sodass jeder den direkten Einfluss seines Inputs auf die Weiterentwicklung des Formats sieht.

    Auf dem Discord-Server und in den Live-Chats tauschen sich Fachleute zu technischen Lösungen, organisatorischen Abläufen und Kommunikationsstrategien aus. So profitieren auch passive Zuschauer von den Übungserfahrungen. Sie erhalten Einblicke in bewährte Verfahren und alternative Vorgehensweisen.

    Aktuelle Sicherheitshinweise (etwa vom BSI) werden direkt diskutiert, sodass die Community stets auf dem neuesten Stand bleibt.

    „Disconnected Unexpected” bringt IT-Experten aus verschiedenen Branchen zusammen. Mit steigenden Zuschauerzahlen wächst auch die Discord-Community kontinuierlich. Beim Mitdiskutieren knüpfen die Teilnehmer neue Kontakte und stärken ihr Netzwerk.

    Durch das Teilen und Kommentieren der Inhalte erhöht die Community die Sichtbarkeit des Projekts. Beiträge auf LinkedIn und Mastodon erreichen Entscheider und IT-Leiter. Führungskräfte erkennen den Mehrwert von Krisentrainings und ermutigen ihre Teams zur Umsetzung. Dadurch gewinnt „Disconnected Unexpected” kontinuierlich neue Teilnehmer und Interessierte.

    Über alle Kanäle hinweg entsteht ein offener Dialog. Ideengeber erleben, dass ihre Vorschläge ernst genommen werden. Es entsteht ein Umfeld, in dem alle Beteiligten – Übungsteams wie Beobachter – voneinander lernen und gemeinsam Lösungen diskutieren.

    Nutzen für Zuschauer und Beobachter

    Auch wer (noch) nicht selbst im Notfallteam mitspielt, profitiert als Zuschauer in hohem Maße: Zuschauer sehen live, wie ein IT-Team mit einem Vorfall umgeht, und können daraus lernen. Viele reflektieren im Anschluss über die eigene Situation: „Kann uns das passieren? Wären wir darauf vorbereitet? Wie würden wir reagieren?” Dieses eigenständige Nachdenken stärkt das Sicherheitsbewusstsein im eigenen Unternehmen.

    Das Format ist offen und kostenfrei zugänglich. Jeder mit Internetzugang kann per Twitch oder YouTube zuschauen und sich in den Chats beteiligen. Dadurch können auch kleinere Unternehmen, öffentliche Einrichtungen und Privatpersonen unkompliziert mitmachen.

    Die Zuschauer erhalten einen realistischen Blick darauf, wie Incident Response funktioniert. Sie verfolgen, wie Techniker und Führungskräfte miteinander kommunizieren, Prioritäten setzen und Entscheidungen treffen. Diese Einblicke zeigen, welche Abläufe und Informationen in einer echten Krise wichtig sind. Zuschauer können das Gelernte direkt in ihre eigene Organisation übertragen.

    Der Live-Charakter und die Interaktivität des Formats schaffen ein starkes Gemeinschaftsgefühl. Sie können sich über Beobachtungen austauschen und gemeinsam Rückschlüsse ziehen. Jeder Kommentar und das Teilen eines Clips erhöhen die Sichtbarkeit des Projekts. Und je aktiver die Community ist, desto spannender und lehrreicher werden die Übungen.

    Alle Sessions werden aufgezeichnet und sind dauerhaft verfügbar. Wer live nicht dabei sein kann, kann sie später nachholen. Auch Unternehmen können die Videos in internen Schulungen einsetzen. Dieser zeitunabhängige Zugriff stellt sicher, dass möglichst viele Menschen von den Inhalten profitieren können.

    „Disconnected Unexpected“ bietet Zuschauern eine kostenlose, unterhaltsame und lehrreiche Erfahrung. Komplexe Sicherheitsprozesse werden anschaulich vermittelt. Dadurch erkennen Zuschauer, dass sie selbst Teil der Cyberabwehr sind, und werden inspiriert, sich aktiv um die IT-Sicherheit in ihrem Umfeld zu kümmern.

    Übergreifender Mehrwert

    Disconnected Unexpected bietet auch über die einzelnen Übungen hinaus einen nachhaltigen Mehrwert.

    Langfristig fördert es eine offene Lernkultur im Bereich der IT-Sicherheit. Die Teilnehmenden werden für die regelmäßige Überprüfung von Sicherheitsvorkehrungen sensibilisiert und motiviert. Unternehmen erkennen den Wert dieses Formats und ermutigen ihre Mitarbeitenden zur aktiven Beteiligung. So steigert das Projekt nachhaltig die Cyber-Resilienz: Notfallteams sind besser vorbereitet und es wächst die Bereitschaft, in Krisenvorsorge zu investieren.

    Jede Übungssession trägt zum gemeinsamen Wissensfundus bei. Durch die Mischung aus Echtzeit-Simulation und Ideen der Community entstehen immer wieder neue Szenarien und Lernmaterialien. Das Projekt entwickelt sich so zu einem echten Innovationslabor für das Cyber-Krisenmanagement.

    Zusätzliche Formate wie die regelmäßig erscheinenden „Deep Dives” erlauben es, besondere Vorfälle mit Experten zu analysieren und festigen so das gesammelte Wissen. Dabei wird etwa alle zwei Wochen ein 45-minütiger Experten-Dialog auf YouTube veröffentlicht, um Hintergründe detailliert zu diskutieren.

    Durch das nahtlose Zusammenspiel aller Kommunikationskanäle gewinnt das Projekt kontinuierlich neue Interessenten. Jeder geteilte Beitrag kann ein ganz neues Team auf das Format aufmerksam machen. Zudem sorgen die Algorithmen der Plattform dafür, dass die Sessions fortlaufend anderen IT-Interessierten empfohlen werden. So entsteht ein wachsender Kreis von Unternehmen und Experten, die gemeinsam an der Verbesserung der Cyberabwehr arbeiten.

    Die einzigartige Kombination aus Improvisationscharakter und hohem Realitätsgrad schafft ein motivierendes Lernumfeld. Für alle Beteiligten entsteht ein gemeinschaftliches Erlebnis, das gleichzeitig Spaß macht und lehrreich ist. Jeder Beitrag zählt und erhöht den Wert des gemeinsamen Erlebnisses.

  • Vernetzte Kommunikationskanäle: Von Blog bis Discord

    Die erfolgreiche Umsetzung dieses dynamischen Übungsformats basiert auf der nahtlosen Verknüpfung aller Kommunikationskanäle. Jede Plattform übernimmt dabei eine spezielle Rolle: Sie informiert Interessierte, bindet die Community ein und gewinnt neue Teilnehmende.

    Website als Informationszentrale

    Die offizielle Website fungiert als zentrale Anlaufstelle für alle wichtigen Informationen. Hier können sich neue Teams anmelden. Der Ablauf und die Teilnahmevoraussetzungen werden erklärt und im Blog-Bereich werden Neuigkeiten sowie die erwähnten Übungs-Rückblicke veröffentlicht. Die Website bündelt somit das Wissen und dient als Archiv der bisherigen Sessions, auf das Community-Mitglieder jederzeit zurückgreifen können.

    Live-Streams auf YouTube und Twitch

    Die Live-Übertragungen finden simultan auf den beiden größten Streaming-Plattformen YouTube und Twitch statt. Diese Wahl wurde getroffen, um ein breites Publikum zu erreichen. Die Streams bilden die Bühne, auf der die Übungen in Echtzeit ablaufen und auf der das Publikum unmittelbar interagieren kann. Über die Chat-Funktion werden die Community-Beiträge live eingespeist. Ein zusätzlicher Vorteil dieser Plattformen ist, dass Ihre Empfehlungs-Algorithmen können für stetigen Zustrom neuer Zuschauer sorgen, die so zur wachsenden Community stoßen. Wenn Videos gelikt, geteilt oder kommentiert werden, steigt beispielsweise die Wahrscheinlichkeit, dass die Streams anderen IT-Fachleuten vorgeschlagen werden. So finden immer wieder neue Interessierte den Weg zu „Disconnected Unexpected”, was die Vielfalt der Community weiter erhöht.

    Discord als Community-Hub

    Während des Streams dient Discord als zentraler Backstage-Bereich und Diskussionsforum. Der Discord-Server von Disconnected Unexpected ist der Ort, an dem sich die Community vor, während und nach den Sessions austauscht. In dedizierten Kanälen wie #session-chat und #session-events können Mitglieder das Geschehen live kommentieren, Fragen stellen oder die Reaktionen der Teams diskutieren. Auch zwischen den Übungen reißt der Dialog hier nicht ab: Die Teilnehmer teilen Erfahrungen, entwickeln gemeinsam Best Practices und schlagen neue Vorfallsideen vor, ohne dass diese in der Flut des Chats untergehen. Die Channels sind nämlich thematisch strukturiert und moderiert. Um den Praxisbezug zusätzlich zu stärken, ist auf dem Server sogar der Warn- und Informationsdienst (WID) des deutschen Bundesamts für Sicherheit in der Informationstechnik per RSS-Feed eingebunden. Dadurch können aktuelle Sicherheitsmeldungen und Warnungen unmittelbar von der Community aufgegriffen und diskutiert werden. Selbst Hinweise auf neue Folgen eines Cybersecurity-Podcasts werden dort automatisch geteilt, sodass die Mitglieder stets auf dem Laufenden bleiben. Wichtige Neuigkeiten und Ankündigungen zum Projekt, etwa Termine, neue Features oder Blogbeiträge, kommuniziert das Team ebenfalls über die Plattformen, vor allem im Discord-Channel, damit aktive Mitglieder nichts verpassen. Discord soll sich so als Dreh- und Angelpunkt der Community etabliert. Hier laufen die Fäden zusammen und die Hürden für eine unkomplizierte Interaktion sind niedrig.

    Social Media: LinkedIn und Mastodon

    Ergänzend nutzt Disconnected Unexpected Social-Media-Kanäle wie LinkedIn und Mastodon, um die Reichweite zu erhöhen und unterschiedliche Zielgruppen anzusprechen. Über diese Kanäle werden Ankündigungen, Blog-Artikel und Rückblicke veröffentlicht, die von der Community geteilt und kommentiert werden können. Insbesondere über LinkedIn können auch Führungskräfte und Entscheider in Unternehmen erreicht werden, deren Unterstützung dem Projekt Rückenwind gibt. Im Idealfall werden so sogar höhere Managementebenen auf die Übungen aufmerksam und nehmen gemeinsam mit ihren Notfallteams teil. Mastodon als dezentrales Netzwerk, hier über den Infosec.Exchange-Server, spricht vor allem die Informationssicherheits-Community direkt an. Beide Plattformen dienen auch dazu, Interessierte ad hoc ins Boot zu holen. Wer einen Beitrag sieht und spontan mitmachen möchte, kann sich leicht melden. Über Mastodon oder LinkedIn kann die Projektleitung jederzeit neue Leute dazuholen, sei es als Zuschauer oder sogar als Mitwirkende in künftigen Sessions.

    Direkter Kontakt und Austausch

    Neben den großen Online-Kanälen spielen auch direkte Gespräche eine wichtige Rolle. Über das Kontaktformular der Website oder direkt über die Social-Media-Profile der Moderatoren (z. B. LinkedIn, Mastodon) können Interessierte unkompliziert mit dem Team in Verbindung treten. Dieser persönliche Draht ermöglicht es, individuelle Anliegen zu klären, Feedback aufzunehmen oder neue Teilnehmende willkommen zu heißen. Insgesamt greifen alle Kommunikationswege wie Zahnräder ineinander: Ein LinkedIn-Post lockt vielleicht ein neues Team an, das anschließend im YouTube-Stream live dabei ist. Nach der Übung diskutieren dieselben Personen auf Discord weiter und lesen am nächsten Tag den Blog-Rückblick. So entsteht ein kontinuierlicher Informationskreislauf, der das Projekt belebt und immer mehr Akteure begeistert.

    Community als Erfolgsfaktor: Beteiligung, Feedback und Mehrwert

    Die Community ist nicht nur passives Publikum, sondern das Herzstück von „Disconnected Unexpected”. Ihre Mitwirkung ist für den Wert jeder Übungssession von entscheidender Bedeutung. Entsprechend groß ist das Bestreben des Projektteams, die Community aktiv einzubinden, Feedback einzuholen und vielfältige Teilhabemöglichkeiten zu schaffen.

    Feedback und Moderation aus der Community

    Insbesondere auf Discord können Hinweise und Rückmeldungen der Zuschauenden sofort aufgegriffen werden. Die Moderatoren reagieren zeitnah auf das Feedback und andere Mitglieder schalten sich in die Diskussion ein. So fließen Verbesserungsvorschläge direkt in die Weiterentwicklung des Formats ein. Besonders engagierte Community-Mitglieder werden vom Team gern als Moderatoren eingebunden. Durch diese Verantwortungsübernahme aus der Community heraus wächst das Gemeinschaftsgefühl – man arbeitet buchstäblich gemeinsam an der Übung und ihrem Gelingen.

    Umfragen und Ideenplattform

    Darüber hinaus bezieht Disconnected Unexpected seine Community durch Umfragen und Abstimmungen aktiv in die Gestaltung mit ein. Auf der Website können regelmäßig Fragen zum Format beantwortet werden, beispielsweise zur empfundenen Geschwindigkeit der Sessions oder dazu, wie und wo die Übungen am liebsten verfolgt werden (live, im Büro, im Team usw.). Unter der Rubrik „Ideen” können Mitglieder sogar ganz konkrete Vorschläge einreichen, welche Arten von Vorfällen oder Verbesserungen künftig aufgegriffen werden sollten. Alternativ lassen sich neue Ideen auch formlos im entsprechenden Discord-Channel diskutieren. Dieses partizipative Vorgehen trägt Früchte: Es wird transparent festgehalten, welche Community-Vorschläge bereits umgesetzt wurden, und die Ideengeber werden benannt. So kann jeder nachvollziehen, welchen Einfluss sein Input hat.

    Mehr Sichtbarkeit und Reichweite

    Die Community wirkt sich positiv auf die Realitätsnähe der Simulationen aus, da die Notfallteams unerwartete Herausforderungen erhalten, die in einer rein intern konzipierten Übung womöglich übersehen würden. Die Community fühlt sich als Bestandteil des Projekts und entwickelt Engagement. Viele teilen die Inhalte in ihren Netzwerken, liken und kommentieren. Das erhöht die Sichtbarkeit und zieht weitere Interessierte an. Die Videos werden auch anderen Fachleuten empfohlen, wodurch die Community organisch wächst. Auch das Abonnieren des YouTube-Kanals oder das Folgen des Twitch-Streams helfen dem Vorhaben, da sie die Reichweite stabil erhöhen. So entsteht ein selbstverstärkender Effekt: Je mehr Leute mitmachen, desto spannender und lehrreicher werden die Übungen, was wiederum noch mehr Fachleute anlockt.

    Freiwillige Unterstützung

    Ein weiterer Aspekt der Community-Beteiligung ist die freiwillige Unterstützung des Projekts. Alle Inhalte und Funktionen sind für alle Teilnehmenden kostenlos verfügbar. Über den Dienst Ko-Fi kann das Team finanziell unterstützt werden. Damit werden beispielsweise die begehrten Challenge Coins finanziert. Unterstützer erhalten als Dank Zugang zu einem exklusiven Discord-Bereich und zusätzlichen Ressourcen. Diese Belohnungen sind ein Zeichen der Wertschätzung, doch bleibt der Grundsatz klar: Die Teilnahme an den Übungen und der Wissensaustausch sind für alle frei zugänglich.

    Gemeinsames Lernen und Netzwerke

    Die Community-Zentrierung ist vorteilhaft. Notfall- und Krisenteams sammeln Erfahrungen unter echten Stressbedingungen und erhalten Feedback. Die Community profitiert ohne direkt im Krisenstab zu sitzen. Sie diskutiert verschiedene Herangehensweisen und reflektiert „Was-wäre-wenn“-Fragen. Alle lernen voneinander. Es entstehen neue Kontakte und Netzwerke. IT-Fachleute aus verschiedenen Branchen tauschen sich aus, lernen voneinander und unterstützen sich. Auch Führungskräfte werden auf LinkedIn und Co. sensibilisiert. Viele erkennen den Wert solcher Übungen und ermutigen ihre Teams zur Teilnahme. Die Akzeptanz von Krisensimulationen und die Bereitschaft, in IT-Notfallvorsorge zu investieren, steigt.

    Zukunft und Nachhaltigkeit der Community

    Disconnected Unexpected leistet über den unmittelbaren Trainingseffekt hinaus einen Beitrag zur nachhaltigen Weiterentwicklung der Cyber-Resilienz. Da die Community fortlaufend Ideen einbringt und aktiv an der Gestaltung beteiligt ist, wächst das Projekt organisch mit den Erfahrungen aller Teilnehmenden. Jede Session erweitert das gemeinsame Wissensfundament, aus dem neue Szenarien, Formate und Lernmaterialien entstehen. Diese kontinuierliche Weiterentwicklung macht das Projekt zu einem praxisnahen Trainingsraum und zu einem offenen Innovationslabor für das Cyber-Krisenmanagement. So wird langfristig eine Kultur gefördert, in der Austausch, Kooperation und gemeinsames Lernen selbstverständlich sind – ein entscheidender Faktor, um Organisationen widerstandsfähiger gegenüber den immer komplexeren digitalen Bedrohungen zu machen.

    Zusammengefasst zeigt sich: Kommunikation und Partizipation sind die Schlüsselfaktoren für den Erfolg von „Disconnected Unexpected”. Die vielseitigen Kanäle stellen sicher, dass alle Interessierten abgeholt werden und auf die für sie passende Weise mitmachen können. Die Community liefert nicht nur Ideen für packende Übungsszenarien, sondern fungiert auch als Lernnetzwerk, Motivator und Multiplikator. Davon profitieren die Übungsteams ebenso wie jedes einzelne Community-Mitglied. Das Projekt lädt daher alle Fachleute, neuen Teilnehmenden und Community-Mitglieder ein, Teil dieser wachsenden Plattform zu werden. Ob als Zuschauer im Livestream, als aktiver Ideengeber auf Discord oder gar als Übungsteilnehmer im Notfallteam – jeder Beitrag zählt und erhöht den Wert des gemeinsamen Erlebnisses. Wer also praxisnah für den Ernstfall lernen und gleichzeitig Teil einer lebendigen, unterstützenden Community sein möchte, ist bei Disconnected Unexpected genau richtig.

    Jetzt dem Disconnected Unexpected Discord Server beitreten.

  • Moderation als Schlüsselrolle bei improvisationsbasierten Cyber-Krisenübungen

    Die Verbindung von Improvisationstheater und Cyber-Krisenübung lebt von ihrer Unvorhersehbarkeit. Das macht eine kompetente Moderation unabdingbar. Die Moderation fungiert als Spielleitung, die den Ablauf der Übung strukturiert steuert und zugleich flexibel hält. Einerseits sorgt sie für einen roten Faden und einen klaren zeitlichen Ablauf, andererseits integriert sie spontan neue Wendungen, um den Übungsverlauf dynamisch zu gestalten. Insbesondere bei „Disconnected Unexpected” bedeutet das: Vorschläge des Publikums werden von einem Moderationsteam gesichtet, gefiltert und passend in die Lage eingebunden, ohne das Notfallteam zu überfordern. Wie ein Ensemble im Improvisationstheater auf Publikumszurufe reagiert, greift das Übungsteam unvorhergesehene Ereigniseinwürfe auf und baut sie kreativ in die Storyline ein. Die Moderation ist hier der Drahtzieher im Hintergrund, der diese Inputs sinnvoll verknüpft, sodass aus der spontanen Ideenflut ein lehrreiches, konsistentes Szenario entsteht.

    Dabei ist auch die Aufgabenteilung wichtig: Die dedizierte Chat-Moderation betreut die Community-Kanäle auf YouTube, Twitch und Discord, während sich die eigentliche Session-Moderation voll auf die inhaltliche Steuerung konzentrieren kann. So behalten die Moderatoren jederzeit den Überblick über die Lage im Szenario und die Reaktionen des Notfallteams. Sie achtet darauf, dass das Team trotz steigender Komplexität handlungsfähig bleibt und nicht im Chaos versinkt. Durch gezielte Impulse – wie das Einspielen einer überraschenden Wendung – testet die Moderation die Flexibilität der Gruppe und sorgt dafür, dass die Übung realistisch und spannend bleibt. Kurz: Die Moderation ist das Bindeglied zwischen dem kreativen Improvisationsanteil und den ernsten Lernzielen der Cyberübung. Ohne sie würde das Experiment schnell aus dem Ruder laufen oder an Tiefe verlieren.

    Erfahrung aus echten Vorfällen: Warum Fachwissen der Moderation zählt

    Cyber-Krisenübungen profitieren enorm von einer Moderation aus der Praxis. Disconnected Unexpected setzt daher auf eine Moderation mit fundierter Erfahrung in der Bewältigung von IT-Sicherheitsvorfällen. Diese Erfahrung ist Gold wert, denn sie stellt sicher, dass die Übung authentisch und praxisnah bleibt. Eine erfahrene Leitung kann ein realistisches Angriffsszenario entwickeln und den simulierten Einsatz so leiten, dass das IT-Team auf Kurs bleibt und die Übungsziele erreicht werden. Dank der Kenntnis realer Angriffsmuster weiß eine entsprechende Moderation, welche Trigger und Schwierigkeiten typischerweise auftreten, und kann die vorgeschlagenen Community-Ereignisse fachkundig bewerten. Welcher Hinweis klingt plausibel? Welche Entwicklung wäre in einem echten Incident denkbar, welche überzogen? So fungiert die Moderation als Qualitätsfilter für die improvisierten Inputs.

    Zugleich ermöglicht das Fachwissen der Moderatoren, die Übungsteilnehmer gezielt zum kritischen Nachdenken anzuregen. Moderatoren mit Incident-Erfahrung stellen bohrende Fragen („Wie informiert ihr jetzt die Geschäftsführung darüber?“) oder werfen unerwartete Probleme auf („Der Mailserver ist plötzlich offline.“), um blinde Flecken aufzudecken. Ihre Kompetenz verleiht den Teilnehmern Vertrauen. Das Team kann sich im geschützten Rahmen der Übung ausprobieren, in dem Wissen, dass ein Profi für einen sinnvollen Verlauf sorgt. Sollte die Gruppe ins Stocken geraten, erkennt eine erfahrene Moderation dies sofort und kann mit einem geeigneten Impuls gegensteuern, beispielsweise durch einen hilfreichen Hinweis, eine neue Informationslage oder indem sie eine der Rollen im Szenario selbst kurz übernimmt. Insgesamt steigert die Expertise der Moderation die Lernwirkung der Übung: Die Situationen fühlen sich „echt” an, sodass die Teilnehmer die Erkenntnisse ernster nehmen.

    Moderation als Motor für Sensibilisierung und Resilienz

    Eines der Hauptziele von „Disconnected Unexpected” ist es, die Teilnehmenden für Cybergefahren zu sensibilisieren. Durch die gelenkte Konfrontation mit einem abwechslungsreichen Angriffszenario erleben die Teilnehmenden am eigenen Leib, wie schnell sich ein kleiner Vorfall zur Krise ausweiten kann. Die Moderation trägt hierzu bei, indem sie die Konsequenzen von Entscheidungen oder Unterlassungen sichtbar macht. Beispielsweise kann der Moderator nach einer Phase der Untätigkeit „verschärfend“ einstreuen, dass der Angreifer nun beginnt, erbeutete Daten zu veröffentlichen – ein Signal an das Team, dass Zögern Risiken birgt. Solche Aha-Momente schärfen das Bewusstsein und machen die Mitarbeitenden im Ernstfall nicht mehr zum „schwächsten Glied“ der Sicherheitskette, sondern zu einem informierten Teil der ersten Verteidigungslinie.

    Gleichzeitig fördert die Moderation die Resilienz der Organisation, indem sie ein resilienzförderndes Lernumfeld schafft. Die Übungen sind bewusst anspruchsvoll, aber durch die Moderation so gestaltet, dass das Team sie bewältigen kann – nach dem Prinzip „Challenge by Choice”. Das Improvisationselement verlangt den Teilnehmern ein hohes Maß an spontaner Anpassungsfähigkeit ab. Hier zeigt sich der große Mehrwert der Theatermethodik: Die in Improvisations-Ensembles bewährten Grundsätze – etwa flexibel auf unbekannte Vorgaben zu reagieren und gemeinsam lösungsorientiert zu agieren – werden auf den Krisenstab übertragen. Die Moderation sorgt dafür, dass diese Prinzipien während der Übung gelebt werden. So lernen die Teams im geschützten Raum, mit unerwarteten Entwicklungen umzugehen, ohne den Kopf zu verlieren. Jeder bewältigte Improvisations-Schock im Szenario stärkt die Fähigkeit, auch realen Überraschungen widerstandsfähig entgegenzutreten. Studien zur angewandten Improvisation zeigen, dass ein solches Training die Angst vor dem Ungewissen mindert und die Erfahrung von Selbstwirksamkeit ermöglicht. Wenn das Team also in der Übung trotz des plötzlichen Einsetzens des Unbekannten handlungsfähig bleibt, ist das ein großer Schritt hin zu mehr Krisenresilienz im echten Leben.

    Perspektivwechsel ermöglichen: Alle an einen (virtuellen) Tisch bringen

    Ein weiterer wichtiger Aspekt moderierter Cyberübungen ist der Perspektivwechsel. In echten Sicherheitsvorfällen prallen oft verschiedene Sichtweisen aufeinander, beispielsweise aus den Bereichen IT, Management, PR, Datenschutz und Strafverfolgung. Dies führt nicht selten zu Missverständnissen und Kommunikationslücken. Die Moderation bei Disconnected Unexpected adressiert dieses Problem gezielt. Einerseits werden die Teilnehmer dazu ermutigt, in ihrer gewohnten Rolle zu agieren, andererseits sollen sie auch über den Tellerrand hinausblicken. Oft besteht das Notfallteam in der Übung interdisziplinär aus Technikern, Kommunikationsverantwortlichen und Führungskräften oder es wird ein Krisenstab parallel zum IT-Einsatzteam simuliert. Die Moderation leitet die Übung so, dass die Zusammenarbeit zwischen diesen Rollen gefordert ist: Der Krisenstab muss Entscheidungen treffen und Informationen einholen, während das technische Team Vorarbeit leistet – beide Seiten sind gezwungen, sich gegenseitig zu informieren und die jeweiligen Anforderungen zu verstehen. Dadurch entsteht im Kleinen das, was im Ernstfall so entscheidend ist: Verständnis für die jeweils andere Perspektive. Wie wichtig dieses Hineinversetzen in die Lage des Gegenübers ist, betont auch die Krisenkommunikations-Lehre: „Perspektivwechsel, das Sich-in-andere-Hineinversetzen, gehört zu den Kernkompetenzen in Krisen.“ .

    Handlungssicherheit und Kommunikation: Sprachlosigkeit abbauen

    Übungen wie „Disconnected Unexpected” sollen den Teilnehmenden letztlich Handlungssicherheit geben, damit sie in einer echten Cyberkrise schnell und sicher agieren können. Gute Moderation ist hierfür der entscheidende Faktor. Während der Simulation lenkt sie die Gruppe nicht nur durch die Krise, sondern lässt die Mitglieder die notwendigen Schritte auch aktiv erarbeiten. Dabei wird auch die Kommunikation im Team und nach außen trainiert. Die Moderation stellt sicher, dass alle zu Wort kommen und wichtige Informationen ausgetauscht werden. So mancher IT-Spezialist erlebt vielleicht zum ersten Mal, wie es ist, unter dem Druck der Geschäftsführung eine Entscheidung begründen zu müssen – in der Übung kann er dies ausprobieren und erhält Feedback, wodurch ihm in der Realität die Sprachlosigkeit genommen wird. Durch moderierte Nachfragen („Möchte jemand der Einsatzleitung das erläutern?“) oder Einschübe („Welche Information geben wir jetzt an die Belegschaft heraus?“) werden die Teilnehmenden quasi dazu gezwungen, laut zu denken und klare Ansagen zu formulieren. Diese aktive Kommunikationsübung im sicheren Raum hilft dabei, Hemmungen abzubauen und Dinge beim Namen zu nennen.

    Nach der eigentlichen Session führt die Moderation ein Debriefing durch. In diesem wird offen über Fehler, Eindrücke und Erkenntnisse gesprochen. Hier zeigt sich ein großer Effekt: Was vorher vielleicht nur schwer in Worte zu fassen war, wird nun gemeinsam reflektiert. Die Moderation achtet auf eine konstruktive Atmosphäre, in der es keine echten Versäumnisse, sondern nur Lernchancen gibt. Durch dieses Ritual wird eine offene Fehlerkultur gefördert und den Beteiligten wird die Angst vor Blamage oder Schuldzuweisungen genommen – ein wichtiger Schritt, um Sprachlosigkeit in Krisen abzubauen. Mit jeder Übung wächst das Vertrauen der Teams in die eigenen Fähigkeiten und in die interne Kommunikation. Tatsächlich haben gut eingeübte IT-Teams nachweislich mehr Vertrauen in ihre Fähigkeiten, reagieren schneller und kommunizieren besser in realen Vorfällen. Die Teilnehmenden von „Disconnected Unexpected” erleben durch die Moderation, dass sie selbst unter unerwartetem Druck handlungsfähig bleiben und gemeinsam Lösungen finden können. Dieses Erleben generiert Handlungssicherheit: Wer eine simulierte Ransomware-Nacht gemeistert (oder beobachtet) hat, geht mit deutlich mehr Ruhe und Klarheit in eine tatsächliche Krisensituation.

    Fazit

    In improvisationsbasierten Cyberübungen spielt die Moderation eine unverzichtbare Rolle. Sie ist Regisseur, Taktgeber, Mentor und Puffer in einer Person. Dank erfahrener Moderation bleiben die Szenarien strukturiert und realistisch, ohne an Kreativität und Spannung einzubüßen. Für das Projekt „Disconnected Unexpected” bedeutet dies, dass die ambitionierten Ziele – von der Sensibilisierung der Teilnehmenden über den Aufbau von Resilienz bis hin zum Einüben von angstfreier Kommunikation – erreicht werden können. Die Moderation sorgt dafür, dass alle Zielgruppen ihren Mehrwert aus dem Format ziehen. Das Notfallteam lernt im geschützten Raum effektiv zu handeln, die Führungsebene erhält wertvolle Einblicke und entwickelt Verständnis für die Dynamik von Cyberkrisen und die zuschauende Community wird inspiriert, sich aktiv mit IT-Sicherheit auseinanderzusetzen. Moderation ist somit weit mehr als nur „Begleitung“ – sie ist der Ermöglicher und Motor, der aus „Disconnected Unexpected“ ein wirkungsvolles Erlebnislernen macht, das langfristig zu mehr Sicherheit und Miteinander in der digitalen Krisenvorsorge führt.

    Stellen Sie sich einem Szenario und melden Sie Ihr Team jetzt an.

  • System Administrator Appreciation Day

    Happy System Administrator Appreciation Day. Dieser Tag wurde im Jahr 2000 ins Leben gerufen, um den täglichen Einsatz von Systemadministratoren zu würdigen.

    Systemadministrator:innen spielen eine entscheidende Rolle bei Sicherheitsvorfällen, denn wenn ein Cyberangriff oder IT-Notfall eintritt, sind Admins oft die Ersten, die alarmiert werden. Sie übernehmen in solchen Krisensituationen enorme Verantwortung – von der ersten Analyse bis zur Wiederherstellung des Normalbetriebs. Dabei agieren sie stets sachlich, besonnen und hochprofessionell, selbst unter größtem Zeitdruck.

    Schnelle Reaktion und Netzisolierung

    Zunächst geht es darum, den Vorfall einzudämmen. Admins trennen betroffene Server oder Netzwerksegmente sofort vom Rest des Netzwerks, um eine Ausbreitung von Malware oder unbefugte Zugriffe zu verhindern. Potenziell infizierte Systeme werden umgehend vom Netzwerk isoliert, wobei notfalls auch eine physische Trennung durch das Ziehen des Netzwerkkabels erfolgt. Diese Netzisolierung verhindert, dass sich der Schaden auf andere Bereiche der IT-Umgebung ausbreitet. Parallel dazu informieren die Admins bei Bedarf das Incident Response Team und leiten weitere Schritte ein.

    Analyse und Eindämmung des Angriffs

    Im nächsten Schritt durchforsten die Administratoren Logfiles und Systemmeldungen (Log-Analyse), um den Angriffsvektor und das Ausmaß der Kompromittierung zu ermitteln. Anhand der Protokolldaten lassen sich betroffene Accounts, Systeme und Zeitpunkte genau rekonstruieren. So gewinnen die Administratoren schnell einen Überblick über die betroffenen Bereiche. Falls Benutzerkonten kompromittiert wurden, werden sofort Passwortrücksetzungen veranlasst und sämtliche als gefährdet eingestufte Zugangsdaten geändert. Ebenso wichtig ist die Entfernung von Schadsoftware, die Bereinigung infiltrierter Systeme und das unverzügliche Schließen von Schwachstellen (etwa offenen Sicherheitslücken). All diese Schritte dienen der technischen Eindämmung des Vorfalls, um den Angriff zu stoppen und eine Wiederholung zu verhindern.

    Wiederherstellung und Wiederanlauf

    Nachdem die akute Bedrohung unter Kontrolle gebracht wurde, kümmern sich die Administratoren um die Wiederherstellung der IT-Systeme. Sie prüfen Backups und stellen saubere Daten bereit, um Server neu aufzusetzen oder Datenbanken aus sicheren Sicherungen einzuspielen. Kritische Services haben dabei oberste Priorität. Mit einem schrittweisen Wiederanlauf bringen die Administratoren das Unternehmen zurück zum Normalbetrieb.

    Nachbereitung und Systemhärtung

    Die Arbeit der Administratoren endet nicht mit dem Neustart der Systeme. Im Anschluss analysieren sie die Ursachen und leiten Verbesserungsmaßnahmen wie die Systemhärtung ein. Dazu zählt die Schließung von Sicherheitslücken, das Einspielen von Updates und Patches sowie die Implementierung zusätzlicher Schutzmechanismen. Oft werden auch die Sicherheitsrichtlinien überprüft und angepasst. Durch diese Härtungsmaßnahmen und „Lessons Learned” stellen Administratoren sicher, dass ähnliche Angriffe künftig erschwert werden.

    Danke

    Administratoren spielen eine zentrale Rolle für die Sicherheit und die Betriebsfähigkeit einer Organisation. Vieles davon geschieht im Verborgenen. Heute soll ihre Leistung sichtbar gemacht werden. Ein großes Dankeschön geht an alle „SysAdmins“, deren Einsatz – häufig abseits des allgemeinen Interesses, nachts oder am Wochenende – dafür sorgt, dass die IT-Infrastruktur vor Schlimmerem bewahrt wird und der Betrieb aufrechterhalten wird.