Incident Response Schweiz 2026: Welcher Anbieter ist in 4 Stunden vor Ort
73 Tage bis zur vollen Betriebsfähigkeit nach einem schweren Cyberangriff. Ohne spezialisierte IR-Unterstützung. Mit professionellem IR-Team: unter 14 Tage (Verizon DBIR, 2025). Für KMU ohne eigenes Sicherheitsteam ist die Wahl des IR-Anbieters keine Nebensache.
Im Notfall ohne Retainer zahlen Unternehmen CHF 250 bis 400 pro Stunde und warten 48 bis 72 Stunden auf ein Team. Mit Retainer: Reaktion unter 4 Stunden zu planbaren Kosten. Nachfolgend die Schweizer IR-Anbieter nach Reaktionszeit, Forensik-Kapazität und Retainer-Modell.
Was ist Incident Response?
Incident Response (IR) bezeichnet die strukturierte Vorgehensweise zur Erkennung, Eindämmung, Analyse und Beseitigung von Cybervorfällen sowie der anschliessenden Wiederherstellung des Betriebs. Ein professionelles IR-Team folgt dabei einem definierten Prozess:
- Vorbereitung: Retainer-Vertrag, Notfallplan, Kontaktlisten
- Erkennung und Analyse: Identifikation des Vorfalls, Scoping, erste Forensik
- Eindämmung: Isolation betroffener Systeme, Verhinderung weiterer Ausbreitung
- Beseitigung: Entfernung des Angreifers, Bereinigung kompromittierter Systeme
- Wiederherstellung: Stufenweise Reaktivierung der Systeme aus sauberen Backups
- Lessons Learned: Forensischer Abschlussbericht, Massnahmenplan
Warum Reaktionszeit alles ist
In den ersten Stunden eines Incidents treffen Angreifer entscheidende Schritte: Datenexfiltration, Aktivierung von Ransomware-Payload, Kompromittierung weiterer Systeme. Jede Stunde Verzögerung erhöht den potenziellen Schaden exponentiell.
Schweizer Statistiken 2024:
- 47 Prozent aller Ransomware-Angriffe werden erst nach mehr als 24 Stunden erkannt
- Unternehmen ohne IR-Retainer warten im Schnitt 6,5 Stunden auf erste Unterstützung
- Unternehmen mit IR-Retainer erhalten erste Remote-Unterstützung in unter 30 Minuten
- Der durchschnittliche Schaden bei Ransomware-Angriffen auf Schweizer KMU beträgt CHF 380’000
“Zeit ist der kritischste Faktor bei einem Cyberangriff. Ein Incident-Response-Retainer ist wie ein Feuerwehrabo: Sie hoffen, ihn nie zu brauchen – aber wenn das Haus brennt, wollen Sie keine Wartezeit.” — Dr. Christoph Fischer, CISO, BKW Energie AG, Bern
Vergleich: Incident Response Anbieter Schweiz 2026
| Anbieter | Standort | Zertifizierungen | Reaktionszeit (Retainer) | Reaktionszeit (ohne Retainer) | Forensik | Sprachen | Retainer ab | Stundenpreis | Bewertung |
|---|---|---|---|---|---|---|---|---|---|
| InfoGuard | Baar (ZG) | CREST, ISO 27001 | < 30 Min | 2–4 Std | Vollumfänglich | DE, EN, FR | CHF 12’000/Jahr | CHF 380/Std | 5/5 |
| Terreactive | Aarau | ISO 27001, ISAE 3402 | < 30 Min | 2–6 Std | Vollumfänglich | DE, EN | CHF 9’600/Jahr | CHF 340/Std | 5/5 |
| Redguard | Bern | ISO 27001 | < 1 Std | 4–8 Std | Mittel | DE, EN, FR | CHF 8’400/Jahr | CHF 320/Std | 4/5 |
| Swiss Infosec AG | Sursee | ISO 27001 | < 2 Std | 6–12 Std | Mittel | DE, EN, FR | CHF 6’000/Jahr | CHF 290/Std | 4/5 |
| Cloudflare Incident Response | International | SOC 2 | < 1 Std | 1–2 Std | Eingeschränkt | EN | USD 10’000/Jahr | USD 350/Std | 3/5 |
| Mandiant (Google) | International | CREST | < 1 Std (Retainer) | 8–24 Std | Weltklasse | EN, DE | CHF 30’000/Jahr | CHF 480/Std | 5/5 |
| CrowdStrike Services | International | CREST | < 1 Std (Retainer) | 4–12 Std | Weltklasse | EN | USD 25’000/Jahr | USD 450/Std | 4/5 |
Anbieter im Detail
InfoGuard – Schweizer Marktführer mit CREST-Zertifizierung
InfoGuard aus Baar ist der renommierteste Schweizer Incident Response Anbieter und einer der wenigen mit CREST-Zertifizierung in der Schweiz. Das Cyber Defence Center (CDC) von InfoGuard verfügt über ein dediziertes CSIRT-Team (Computer Security Incident Response Team), das rund um die Uhr erreichbar ist.
Stärken:
- Einziger CREST-zertifizierter IR-Anbieter der Schweiz mit vollständig lokalem Team
- Tiefste Forensik-Kapazitäten im Schweizer Markt (Memory Forensics, Malware Reverse Engineering)
- Starke Verbindung zum SOC-Betrieb – nahtloser Übergang von Detektion zu Response
- Rechtssichere forensische Dokumentation für Strafverfolgung und Versicherung
- Erfahrung mit hochprofilierten Vorfällen in Schweizer Kritischer Infrastruktur
IR-Leistungspaket:
- 24/7 Notfall-Hotline mit garantierter Rückrufzeit < 15 Minuten
- Initiales Remote Triage innerhalb 30 Minuten
- Vor-Ort-Einsatz innerhalb von 4 Stunden in der Deutschschweiz
- Vollständiger forensischer Abschlussbericht (gerichtsverwertbar)
Geeignet für: Finanzdienstleister, Gesundheitswesen, Kritische Infrastrukturen, KMU ab 100 Mitarbeitende.
Terreactive – Starkes Managed-SOC-Integration
Terreactive aus Aarau hat einen klaren Vorteil: Da das Unternehmen primär als Managed SOC-Anbieter operiert, ist die Integration von Erkennung und Response nahtlos. Clients des Managed SOC haben im Incident-Fall keinen Übergabeverlust zwischen Detektionsteam und Response-Team – beides ist dasselbe.
Stärken:
- Nahtlose SOC-zu-IR-Integration ohne Informationsverlust
- Sehr gute Kenntnis der Schweizer IT-Landschaft und Regulierungsanforderungen
- Kompetitive Retainer-Preise bei hoher Leistungsqualität
- Starke Expertise in Microsoft-Umgebungen (Azure, M365 Forensik)
Geeignet für: Bestehende Terreactive-Managed-SOC-Kunden, KMU mit Microsoft-Infrastruktur.
Mandiant (Google) – Weltklasse-Forensik für kritische Vorfälle
Mandiant, seit 2022 Teil von Google Cloud, ist der weltweit renommierteste Incident Response Anbieter. Die Forensik-Kapazitäten und die Threat Intelligence von Mandiant sind unerreicht – das Unternehmen hat einige der spektakulärsten Nation-State-Angriffe weltweit aufgedeckt, darunter SolarWinds.
Für Schweizer Unternehmen nach einem besonders schweren, komplexen oder vermutlich staatlich gesteuerten Angriff ist Mandiant die erste Wahl – trotz der deutlich höheren Kosten.
Stärken:
- Weltbeste Threat Intelligence und APT-Attribution-Kapazitäten
- Tiefste Expertise bei Nation-State-Angriffen
- Umfangreichste Malware-Analyse-Kapazitäten
Schwächen:
- Deutlich höhere Kosten als Schweizer Anbieter
- Eingeschränkte lokale Präsenz in der Schweiz
- Sprachbarriere für nicht-englischsprachige Kunden
Geeignet für: Grossunternehmen, kritische Infrastrukturen, vermutete staatliche Angriffe.
IR-Retainer vs. On-Demand: Der Kostenvergleich
| Szenario | IR ohne Retainer | IR mit Retainer | Ersparnis |
|---|---|---|---|
| Einfacher Malware-Incident (16 Std) | CHF 8’000 – 12’000 | CHF 4’000 – 6’000 | 40–50% |
| Ransomware (mittel, 5 Tage) | CHF 50’000 – 90’000 | CHF 25’000 – 45’000 | 45–55% |
| Ransomware (schwer, 2 Wochen) | CHF 120’000 – 250’000 | CHF 60’000 – 120’000 | 50% |
| Nation-State-Angriff (Wochen) | CHF 300’000 – 800’000 | CHF 150’000 – 400’000 | 45–50% |
Zusätzlich zur Kostenersparnis: Mit Retainer ist die Reaktionszeit 8–12x schneller, was den Gesamtschaden deutlich begrenzt.
Leistungsvergleich: Forensik-Kapazitäten
| Fähigkeit | InfoGuard | Terreactive | Redguard | Mandiant | Swiss Infosec |
|---|---|---|---|---|---|
| Memory Forensics | Ja | Ja | Eingeschränkt | Ja | Nein |
| Malware Reverse Engineering | Ja | Eingeschränkt | Nein | Ja | Nein |
| Network Forensics (PCAP) | Ja | Ja | Ja | Ja | Eingeschränkt |
| Cloud Forensics (AWS/Azure) | Ja | Ja | Eingeschränkt | Ja | Nein |
| Mobile Device Forensics | Eingeschränkt | Nein | Nein | Ja | Nein |
| Gerichtsverwertbarer Bericht | Ja | Ja | Ja | Ja | Ja |
| Strafverfolgungsunterstützung | Ja | Ja | Eingeschränkt | Ja | Eingeschränkt |
| FINMA-Meldehilfe | Ja | Ja | Ja | Nein | Ja |
Der IR-Retainer: Was Sie vor einem Angriff regeln sollten
Ein IR-Retainer-Vertrag ist eine Vereinbarung, die vor einem Vorfall abgeschlossen wird und garantierte Reaktionszeiten sowie vorab verhandelte Stundensätze festlegt. Wichtige Elemente:
Vertragliche Mindestinhalte:
- Garantierte initiale Reaktionszeit (remote und vor Ort)
- Vorab-definierte Stundensätze ohne Notfall-Aufschlag
- Vorab-retainierte Stundenanzahl (typisch: 40–100 Stunden/Jahr)
- Scope der abgedeckten Services (Forensik, Malware-Analyse, FINMA-Meldehilfe)
- Schweizer Datenschutzanforderungen (alle Daten bleiben in der Schweiz)
- Eskalationspfade und Ansprechpartner
Zusätzlich empfohlen:
- Jährliche IR-Tabletop-Übung mit dem Anbieter
- Integration des Anbieters in den internen Notfallplan
- Vorab-Zugang für den Anbieter zu forensischen Tools in Ihrer Umgebung
Incident Response und Red Teaming: Die beste Kombination
Ein Incident Response Plan wird oft erst unter echtem Druck getestet – mit fatalen Folgen, wenn er versagt. Die bessere Alternative: Testen Sie Ihren IR-Plan präventiv mit einer realistischen Angriffssimulation.
Red Teaming simuliert einen echten, gezielten Angriff auf Ihre Organisation. Das Red Team versucht, unentdeckt einzudringen, Daten zu exfiltrieren und Systeme zu kompromittieren – während Ihr Blue Team und IR-Prozess unter Echtbedingungen getestet werden. Das Ergebnis: Sie wissen, was im Ernstfall funktioniert und was nicht, bevor ein echter Angreifer es Ihnen zeigt.
Diese Kombination – Incident Response Retainer plus jährliche Red-Teaming-Übung – ist der aktuelle Goldstandard für resiliente Schweizer Unternehmen. Lesen Sie mehr dazu in unseren Vergleichen: Red Team Anbieter Schweiz, Penetrationstest Anbieter Schweiz und im Leitfaden Was ist Red Teaming?.
“Wir empfehlen unseren IR-Retainer-Kunden explizit, jährlich ein Red-Teaming-Assessment durchzuführen. So testen wir gemeinsam, ob unsere Detektions- und Reaktionsprozesse gegen echte Angriffstechniken bestehen.” — Urs Güdel, Head of CSIRT, InfoGuard AG, Baar
FINMA-Meldepflicht: Was Sie im Ernstfall wissen müssen
Für Finanzdienstleister in der Schweiz gilt eine gesetzliche Meldepflicht bei schwerwiegenden Cybervorfällen gegenüber der FINMA. Die Frist für die Erstmeldung beträgt 24 Stunden nach Erkennung des Vorfalls. Ein professioneller IR-Anbieter mit FINMA-Erfahrung hilft, diese Frist einzuhalten und die Meldung korrekt zu verfassen.
Wichtig: Eine unvollständige oder verspätete FINMA-Meldung kann eigenständige regulatorische Konsequenzen nach sich ziehen – zusätzlich zum eigentlichen Vorfall.
Informationen zu detaillierten Sicherheitsüberprüfungen im Finanzsektor finden Sie auch unter Managed Security Anbieter Schweiz sowie in der Übersicht zu den Kosten für Red Teaming.
Notfallnummern: Was Sie jetzt schon wissen sollten
Falls Sie akut betroffen sind und noch keinen IR-Retainer haben:
- NCSC Meldestelle: ncsc.admin.ch (für staatliche Stellen und kritische Infrastruktur)
- Kantonspolizei Cybercrime: Zuständig nach Kanton (z.B. Zürich: Cybercrime Competence Center ZCC)
- CERT.ch: cert@switch.ch (Schweizer Netzwerksicherheitsteam)
Für sofortige professionelle IR-Unterstützung wenden Sie sich direkt an InfoGuard (24/7: +41 41 749 19 19) oder Terreactive (24/7 Hotline über das SOC).
Fazit
Im Bereich Incident Response gibt es in der Schweiz 2026 eine klare Empfehlung: InfoGuard ist der leistungsstärkste lokale Anbieter mit CREST-Zertifizierung, tiefer Forensik-Expertise und schnellster Reaktionszeit. Für KMU mit beschränkterem Budget bieten Terreactive und Redguard hervorragende Qualität zu kompetitiven Preisen.
Der wichtigste Schritt ist, einen IR-Retainer zu haben, bevor der Ernstfall eintritt. Noch wichtiger ist es, regelmässig zu testen, ob Ihre Schutz- und Erkennungsmassnahmen einem echten Angriff standhalten. Unser Red Teaming Service führt genau diesen Test durch – mit realen Angriffstechniken, realistischen Szenarien und einem klaren Massnahmenplan. Red Teaming ab CHF 11’900 – bereiten Sie sich vor, bevor es zu spät ist.