Wenn ein Ransomware-Angriff die gesamte IT-Infrastruktur verschlüsselt, funktioniert in den meisten Unternehmen innerhalb von Minuten nichts mehr — kein E-Mail, kein VoIP-Telefon, keine Daten, keine Kontaktlisten. Und genau in diesem Moment beginnt die Uhr zu ticken: §30 Abs.2 BSIG und die NIS-2-Richtlinie verlangen Meldungen an das BSI binnen 24 Stunden. Wer jetzt keine funktionsfähige Notfallkommunikation hat, verletzt aktiv geltendes Recht.
Was ist ein Notfallkommunikationssystem?
Ein Notfallkommunikationssystem ist eine vom normalen IT-Betrieb vollständig getrennte Kommunikationsinfrastruktur. Sie wird nur im Ernstfall aktiviert — und muss dann sofort und zuverlässig funktionieren, unabhängig davon, ob die primäre Unternehmens-IT kompromittiert, verschlüsselt oder ausgefallen ist.
- Notfall-Mailserver und eigene Notfalldomäne — unabhängig von der Unternehmens-IT
- Gesicherte Sprach-, Video- und Textkommunikation — intern und mit externen Stellen
- Sicherer Zugriff auf kritische Betriebsdaten — Kontaktlisten, Notfallhandbücher, Prozessdokumentation
- Terminalserver mit Windows-Umgebung und Office — Weiterarbeiten auch wenn Endgeräte verschlüsselt sind
- Kommunikationskanäle zu Behörden — BSI, LKA/BKA, Datenschutzbehörden
- Notfallwebseite — zur Information von Kunden, Lieferanten und der Öffentlichkeit
Die gesetzliche Grundlage: §30 Abs.2 BSIG
Die Anforderung ist kein Interpretationsspielraum — sie steht schwarz auf weiß im Gesetz. §30 Abs.2 Nr.5 BSIG fordert für alle wichtigen und besonders wichtigen Einrichtungen explizit:
„Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.“
— §30 Abs.2 Nr.5 BSIG (BSI-Gesetz, deutsche Umsetzung der NIS-2-Richtlinie)
§30 BSIG ist die direkt anwendbare deutsche Rechtsgrundlage — verbindlich, durchsetzbar, mit empfindlichen Bußgeldern bei Nichterfüllung (bis zu 10 Mio. Euro bzw. 2% des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen). TriSec unterstützt Sie dabei, diese Anforderung rechtssicher und praxistauglich zu erfüllen.
NIS-2-Meldepflichten: Ohne Notfallkommunikation nicht erfüllbar
Die NIS-2-Richtlinie — umgesetzt im BSIG — verpflichtet betroffene Unternehmen zu konkreten Meldefristen bei Sicherheitsvorfällen:
- Binnen 24 Stunden: Erstmeldung beim BSI nach Erkennung eines erheblichen Vorfalls
- Binnen 72 Stunden: Detaillierter Folgebericht mit erster Ursachenbewertung
- Nach spätestens einem Monat: Abschlussbericht
Bei einem Ransomware-Angriff ist die reguläre IT häufig vollständig kompromittiert. E-Mail-Server, Telefonanlage, interne Kommunikationstools — alles offline. Ohne ein unabhängiges Notfallkommunikationssystem sind diese Fristen schlicht nicht einzuhalten. Die gesetzliche Pflicht wird zur praktischen Unmöglichkeit.
Das technische System: ContinueComm
Für die technische Umsetzung arbeitet TriSec mit ContinueComm zusammen — einem auf Notfallkommunikation spezialisierten Managed Service mit Infrastruktur ausschließlich in deutschen Rechenzentren. Kein eigener Hardware-Aufwand, DSGVO-konform, sofort einsatzbereit.
- Notfall-Mailserver, Webmail, eigene verschlüsselte Notfalldomäne
- Vollverschlüsseltes System mit Backup, Replikation und HA-Betrieb
- Videokonferenzen und VoIP-Telefonanlage mit eigenem SIP-Trunk
- Terminalserver mit Windows-Umgebung und Office-Paket
- Upload und gesicherter Zugriff auf Datenbanken, Dokumente, Kontaktlisten
- Notfallwebseite zur Kommunikation mit internen und externen Parteien
- Unterstützung bei Kommunikation mit BSI, LKA, BKA und Datenschutzbehörden
- Dark Web Scans und Prüfung der Cyberversicherung
- Notfallmanager, begleitete Notfalltests, Mitarbeiterschulungen
TriSec: Beratung, Konzeption und regulatorische Einbettung
Technik allein erfüllt §30 BSIG nicht. Das Notfallkommunikationssystem muss in Ihre BCM-Prozesse eingebunden, dokumentiert und nachweisbar getestet sein. Genau das ist die Aufgabe von TriSec.
- Bedarfsanalyse und Betroffenheitsprüfung: Wir klären, ob und in welchem Umfang §30 BSIG für Ihr Unternehmen gilt und welche Anforderungen konkret umzusetzen sind.
- BCM-Konzept und Notfallhandbuch: Kritische Prozesse, Kommunikationsketten, Eskalationspfade — alles praxistauglich dokumentiert.
- Regulatorische Einbettung: Integration in Ihr ISMS nach ISO 27001 und Ihre NIS-2-Compliance-Dokumentation — keine Doppelarbeit, kein Silo.
- Implementierungsbegleitung: Gemeinsam mit ContinueComm richten wir das System ein, konfigurieren Zugriffsrechte, schulen Notfallverantwortliche.
- Notfalltests: Realistische Übungen unter Bedingungen, die einem echten Vorfall nahekommen — damit Ihr Team im Ernstfall nicht zum ersten Mal überlegt, was zu tun ist.
- Nachweisführung: Dokumentation der umgesetzten Maßnahmen für §30-BSIG-Nachweise und Audits.
Wer ist betroffen?
§30 BSIG gilt für alle wichtigen und besonders wichtigen Einrichtungen im Sinne des BSIG — das sind Unternehmen in 18 Sektoren mit mehr als 50 Mitarbeitenden oder mehr als 10 Mio. Euro Jahresumsatz. Besonders relevant ist ein Notfallkommunikationssystem für:
- NIS-2-betroffene Unternehmen mit Meldepflichten gegenüber dem BSI
- KRITIS-Betreiber mit gesetzlichen Continuity-Anforderungen
- ISO-27001-zertifizierte Unternehmen (BCM-Anforderungen aus Anhang A)
- Unternehmen mit erhöhtem Ransomware-Risiko: Produktion, Logistik, Gesundheitswesen, Finanzdienstleistungen
- Lieferanten und Dienstleister, die Continuity-Nachweise für Konzernkunden erbringen müssen
So funktioniert die Zusammenarbeit
TriSec und ContinueComm decken gemeinsam alles ab — von der ersten Beratung bis zum laufenden Betrieb:
| TriSec – Beratung | ContinueComm – Technik |
|---|---|
| Bedarfsanalyse und Betroffenheitsprüfung | Bereitstellung des Notfall-Mailservers und der Kommunikationsdomäne |
| BCM-Konzept und Notfallhandbuch | Terminalserver, VoIP, Videokonferenz, Dateiablage |
| Einbettung in ISO 27001 und NIS-2-Dokumentation | HA-Betrieb, Backup, Replikation in deutschen Rechenzentren |
| Notfalltests und Übungen | Dark Web Scans und Cyberversicherungsprüfung |
| Nachweisführung für §30-BSIG-Audits | Laufender Managed-Service-Betrieb |
Beratung anfragen: Kontaktieren Sie TriSec für das kostenlose Erstgespräch — Bedarfsanalyse, regulatorische Einordnung und Roadmap.
Technische Lösung: Alle Informationen zum ContinueComm-System finden Sie direkt auf continuecomm.de.
Häufige Fragen zum Notfallkommunikationssystem
Was ist ein Notfallkommunikationssystem?
Eine vom regulären IT-Betrieb vollständig unabhängige Kommunikationsinfrastruktur, die bei Cyberangriffen, Ransomware oder Ausfällen greift. Typische Bestandteile: Notfall-Mailserver, eigene Kommunikationsdomäne, Videokonferenz, VoIP, gesicherter Zugriff auf Betriebsdaten und Kontaktlisten.
Was fordert §30 Abs.2 BSIG konkret?
§30 Abs.2 Nr.5 BSIG verlangt explizit „gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung“ — neben MFA und gesicherter Sprach-, Video- und Textkommunikation. Das gilt für alle wichtigen und besonders wichtigen Einrichtungen im Sinne des BSIG.
Warum sind die NIS-2-Meldefristen ohne Notfallsystem nicht erfüllbar?
Bei einem Ransomware-Angriff ist die primäre IT oft vollständig kompromittiert. Die gesetzliche Erstmeldung ans BSI muss aber binnen 24 Stunden erfolgen — auch wenn Mailserver und Telefonie ausgefallen sind. Ohne unabhängige Notfallkommunikation ist diese Frist in der Praxis nicht einzuhalten.
Was kostet ein Notfallkommunikationssystem?
ContinueComm stellt die Technik als Managed Service bereit — ohne eigene Hardware-Investition. TriSec übernimmt Beratung, Konzeption und regulatorische Einbettung. Die Gesamtkosten hängen von Unternehmensgröße und Funktionsumfang ab. Sprechen Sie uns für ein individuelles Angebot an.
Wo werden die Daten des Notfallsystems gespeichert?
ContinueComm betreibt seine Infrastruktur ausschließlich in deutschen Rechenzentren im Hochverfügbarkeitsbetrieb. Alle Daten unterliegen deutschem Recht und der DSGVO. Eine Übertragung in Drittländer findet nicht statt.