Die Lücke in jedem IT-Notfallplan : Warum sichere Kommunikation das Fundament jeder Business-Continuity-Strategie ist
Notfallpläne fokussieren sich auf Systeme und Daten, lassen die notwendigen Kommunikationskanäle jedoch häufig außer Acht. Im Ernstfall entscheiden diese aber über Handlungsfähigkeit oder Stillstand.
Notfall- und Business-Continuity-Pläne sollen Organisationen für akute Krisensituationen wappnen. Doch die meisten Pläne haben eine Lücke: Die Frage, wie eine Organisation koordiniert, entscheidet und handelt, wenn die primäre Kommunikationsplattform kompromittiert ist, bleibt oft unbeantwortet. Das fehlende Bewusstsein für die essenzielle Bedeutung einer sicheren sekundären Kommunikationslösung ist symptomatisch für eine strukturelle Schwachstelle in der deutschen IT-Sicherheitslandschaft.
Dass Angriffsflächen wachsen und die Schadenssummen steigen, ist bekannt. Selten wird dabei diskutiert, dass die Handlungsfähigkeit einer Organisation in einer akuten Krise zuallererst eine Frage der Kommunikation ist: Auf welchen Kanälen koordinieren Teams ihre Maßnahmen? Wie informieren sie Kunden, Behörden, Dienstleister? Mit welchen Tools halten sie den Geschäftsalltag am Laufen?
Fallen bei einem Angriff Kommunikations- und Kollaborationstools aus, bricht diese Grundlage weg. Ohne sicheren Kommunikationskanal ist kein Krisenmanagement möglich und eine Organisation in den entscheidenden Momenten handlungsunfähig.
Mit dem NIS-2-Umsetzungsgesetz (NIS-2- UmsuCG) ist Business Continuity Management (BCM) seit Dezember 2025 für tausende neue Einrichtungen Pflicht – mit messbaren Recovery Time Objectives (RTO), dokumentierten Notfallmaßnahmen und persönlicher Haftung der Geschäftsleitung. Der BSI-Standard 200-4 konkretisiert dies: Ein Geschäftsfortführungsplan muss Kommunikationswege im Ausfall explizit absichern.
Eine zweite Dimension gewinnt zunehmend an Gewicht: der Rechtsrahmen der Plattform, auf die man im Notfall ausweicht. Die geopolitische Realität mit US CLOUD Act und Sanktionsdebatten zeigt das Risiko der Abhängigkeit von US-amerikanischen Hyperscalern: Im Krisenfall wird intern über Schadensausmaß, Haftungsfragen und Gegenmaßnahmen kommuniziert. Es wäre fatal, wenn der Notfallkanal für derart sensible Daten dem Zugriff ausländischer Behörden unterläge. Auf Microsoft, Google oder Amazon als Plan-B-Infrastruktur zu setzen, ist daher keine vertretbare Business-ContinuityOption.
Eine Business-Continuity-Lösung für Kommunikation muss sofort aktivierbar und vollständig unabhängig von der primären Infrastruktur sein. Sie darf kein geopolitisches oder regulatorisches Risiko darstellen. Aus dieser Anforderung ist EVAC von mailbox entstanden.
Der Anbieter mailbox betreibt seine Infrastruktur in redundanten Rechenzentren ausschließlich in Deutschland und ist BSI‑C5-testiert und ISO‑27001‑zertifiziert. EVAC steht Unternehmen und Behörden vollständig unabhängig von ihrem primären System als sekundäre Kommunikationsplattform im Stand-by-Modus bereit. Im Ernstfall erhalten Mitarbeiter mit einem Klick sofort sichere und unkompromittierte Notfall-Postfächer, Kalender, Aufgabenverwaltung, Videokonferenzen, Cloud-Speicher und Online-Office.
Ob eine Organisation im Ernstfall handlungsfähig ist, zeigt sich beim Blick in ihren Geschäftsfortführungsplan. Die Fähigkeit zu kommunizieren ist dabei der entscheidende Faktor: Resilienz entsteht durch Entscheidungen, die man trifft, bevor sie gebraucht werden – und durch Strukturen, die in der Krise zur Verfügung stehen.

