Bei einem Ransomware-Angriff entscheiden die ersten 60 Minuten über Ausmass und Dauer des Schadens. Schweizer KMU, die sofort richtig handeln, reduzieren ihre Wiederherstellungszeit um durchschnittlich 40% — wer hingegen zögert oder falsche Entscheidungen trifft, riskiert nicht nur den vollständigen Datenverlust, sondern auch Bussen nach dem revidierten Datenschutzgesetz (nDSG) und einen dauerhaften Reputationsschaden. Das Nationale Zentrum für Cybersicherheit (NCSC) verzeichnete 2024 über 63’000 gemeldete Cybervorfälle in der Schweiz — ein Rekordwert, der zeigt, dass kein Unternehmen immun ist. Dieser Notfallplan gibt Ihnen Schritt für Schritt vor, was in den ersten Stunden, den ersten 24 Stunden und der ersten Woche nach einem Ransomware-Angriff zu tun ist.
Die Ausgangslage: Was Sie im Notfall wissen müssen
Bevor wir in den konkreten Aktionsplan einsteigen, ist es wichtig, die Realität eines Ransomware-Angriffs zu verstehen. Ransomware ist keine blosse Datenverschlüsselung mehr — moderne Angriffe kombinieren Verschlüsselung mit Datenexfiltration («Double Extortion»), wodurch selbst ein funktionierendes Backup nicht mehr alle Probleme löst.
Zentrale Fakten für Schweizer KMU:
- Der durchschnittliche Schaden eines Ransomware-Angriffs auf ein Schweizer KMU beträgt CHF 84’000 — ohne Lösegeldzahlung (Cybersecurity Switzerland Report 2024)
- Phishing ist mit ca. 16 % einer der häufigsten initialen Angriffsvektoren, und 68 % aller Datenverletzungen involvieren einen nicht-böswilligen menschlichen Faktor (Verizon DBIR 2024)
- Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff beträgt 22 Tage (Coveware Q4 2024)
- Nur 65% der Unternehmen, die Lösegeld bezahlen, erhalten tatsächlich alle Daten zurück (Sophos State of Ransomware 2024)
- Schweizer Unternehmen, die innerhalb von 24 Stunden auf einen Angriff reagieren, senken die Gesamtkosten um durchschnittlich 35% (IBM Cost of a Data Breach Report 2024)
“Ein Ransomware-Vorfall ist kein technisches Problem — er ist eine Unternehmenskrise. Die Reaktion in den ersten Stunden bestimmt, ob ein Unternehmen überlebt oder dauerhaften Schaden nimmt. Wer keinen Notfallplan hat, improvisiert unter maximalem Druck — und macht Fehler.”
— Florian Schütz, Direktor Bundesamt für Cybersicherheit (BACS), Schweiz
Phase 1: Die ersten 60 Minuten — Sofortmassnahmen
Schritt 1: Ruhe bewahren und den Angriff bestätigen (Minuten 0–5)
Bevor Sie handeln, bestätigen Sie, dass es sich tatsächlich um einen Ransomware-Angriff handelt. Typische Anzeichen:
- Dateien wurden umbenannt (z.B.
dokument.pdf.lockedoderdokument.pdf.AKIRA) - Eine Lösegeldforderung erscheint auf dem Bildschirm oder als Textdatei
- Programme starten nicht mehr oder zeigen Fehlermeldungen
- Der Computer arbeitet ungewöhnlich langsam (Verschlüsselung läuft noch)
Wichtig: Schalten Sie betroffene Geräte NICHT sofort aus. Im laufenden Speicher (RAM) befinden sich möglicherweise Entschlüsselungsschlüssel oder forensische Beweise, die bei einem sofortigen Neustart verloren gehen.
Schritt 2: Netzwerk isolieren — sofort (Minuten 5–15)
Ransomware verbreitet sich lateral im Netzwerk. Jede Minute Verzögerung bedeutet mehr infizierte Systeme.
Sofortige Netzwerktrennung:
- Trennen Sie alle betroffenen Computer vom Netzwerk (Netzwerkkabel abziehen, WLAN deaktivieren)
- Deaktivieren Sie den WLAN-Router oder Switch, wenn unklar ist, welche Systeme betroffen sind
- Trennen Sie VPN-Verbindungen zu Partnerunternehmen oder Cloud-Diensten
- Deaktivieren Sie freigegebene Laufwerke und Netzwerkspeicher (NAS)
- Sperren Sie Remote-Desktop-Zugänge (RDP) auf allen Systemen
Was Sie NICHT tun sollten:
- Betroffene Systeme neu starten (Schlüsselverlust im RAM)
- Dateien verschieben oder löschen
- Antivirenprogramme laufen lassen, die potenziell Beweise vernichten
- Die Lösegeldforderung sofort bezahlen
Schritt 3: Krisenteam aktivieren (Minuten 15–30)
Kontaktieren Sie sofort folgende Personen:
| Person/Stelle | Zuständigkeit | Kontakt bereithalten |
|---|---|---|
| IT-Verantwortlicher / IT-Dienstleister | Technische Sofortmassnahmen | Ja — Notfallnummer |
| Geschäftsführung | Entscheidungshoheit, Kommunikation | Ja |
| Rechtsanwalt (mit Datenschutzerfahrung) | nDSG-Meldepflichten, rechtliche Absicherung | Ja |
| Cyberversicherung | Schadensmeldung, Unterstützung | Ja — Police bereithalten |
| NCSC / BACS | Behördliche Meldung | ncsc.admin.ch |
Richten Sie sofort einen Krisenkommunikationskanal ein, der nicht das möglicherweise kompromittierte Firmennetzwerk nutzt — zum Beispiel persönliche Mobiltelefone oder einen separaten Messenger.
Schritt 4: Erste forensische Sicherung (Minuten 30–60)
Wenn ein IT-Forensiker erreichbar ist, leiten Sie folgende Massnahmen ein:
- RAM-Dump der betroffenen Systeme erstellen (vor einem allfälligen Neustart)
- Systemlogs sichern (Windows Event Logs, Firewall-Logs, VPN-Logs)
- Screenshots der Lösegeldforderung anfertigen
- Notieren Sie: Welche Systeme sind betroffen? Wann wurde der Angriff zuerst bemerkt? Wer hat ihn bemerkt?
Phase 2: Die ersten 24 Stunden — Analyse und Meldung
Schadensausmass ermitteln
Nach der Eindämmung folgt die systematische Bestandsaufnahme:
Betroffene Systeme identifizieren:
- Welche Server und Endgeräte sind verschlüsselt?
- Welche Daten sind betroffen (Kundendaten, Buchhaltung, Produktionsdaten)?
- Sind Backups ebenfalls kompromittiert?
- Gibt es Hinweise auf Datenexfiltration (grosse Datenmengen, die kurz vor dem Angriff übertragen wurden)?
Backup-Status prüfen:
- Wann wurde das letzte Backup erstellt?
- Ist das Backup offline gespeichert (air-gapped) oder war es im Netzwerk?
- Ist das Backup durch die Ransomware ebenfalls verschlüsselt worden?
NCSC-Meldung — Pflicht und Nutzen
Das Nationale Zentrum für Cybersicherheit (heute: Bundesamt für Cybersicherheit, BACS) bietet kostenlose Unterstützung bei Cyberangriffen und sollte immer kontaktiert werden.
So melden Sie:
- Online: www.report.ncsc.admin.ch
- Telefon: +41 58 465 04 68
Das BACS kann Ihnen helfen bei:
- Identifikation der Ransomware-Variante
- Kontakt zu Strafverfolgungsbehörden
- Informationen zu verfügbaren Decryption-Tools (z.B. über NoMoreRansom.org)
- Koordination im Fall von kritischer Infrastruktur
Ab September 2025: Das revidierte Informationssicherheitsgesetz (ISG) schreibt für Betreiber kritischer Infrastrukturen eine Meldung an das BACS innerhalb von 24 Stunden vor. Auch wenn Ihr KMU nicht als kritische Infrastruktur gilt, empfehlen wir die freiwillige Meldung — sie kostet nichts und kann wertvolle Unterstützung bringen.
nDSG-Meldepflichten prüfen
Das revidierte Datenschutzgesetz (nDSG, in Kraft seit 1. September 2023) schreibt vor:
Wann müssen Sie dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden?
- Wenn eine Datenschutzverletzung vorliegt (Datenleck, unbefugter Zugriff auf Personendaten)
- Wenn die Verletzung «voraussichtlich zu einem hohen Risiko» für die betroffenen Personen führt
- Meldung «so rasch als möglich» — in der Praxis gilt: innerhalb von 72 Stunden (analog zu DSGVO)
Was müssen Sie melden?
- Art der Verletzung (Datenverlust, Datenleck, unbefugter Zugriff)
- Betroffene Datenkategorien und betroffene Personen
- Ergriffene Massnahmen
- Kontaktinformationen des/der Datenschutzbeauftragten
Pflicht zur Information der Betroffenen: Wenn ein hohes Risiko für die betroffenen Personen besteht (z.B. bei Gesundheitsdaten, Finanzinformationen, AHV-Nummern), müssen Sie auch die betroffenen Personen direkt informieren.
“Die häufigsten nDSG-Verstösse nach einem Ransomware-Angriff entstehen nicht durch den Angriff selbst, sondern durch zu späte oder unvollständige Meldungen. Unternehmen, die einen klaren Notfallplan haben, handeln rechtssicher — andere improvisieren und riskieren Sanktionen.”
— Rechtsanwältin Dr. Cornelia Stengel, Fachanwältin für Datenschutzrecht, Zürich
Strafanzeige erstatten
Ransomware-Angriffe sind in der Schweiz strafbar (Art. 143bis StGB — unbefugtes Eindringen in ein Datenverarbeitungssystem, Art. 144bis StGB — Datenbeschädigung). Erstatten Sie Strafanzeige bei:
- Ihrer kantonalen Polizei
- Oder direkt beim Fedpol (Bundespolizei): www.fedpol.admin.ch
Auch wenn eine Strafverfolgung selten zum Erfolg führt (die meisten Ransomware-Gruppen operieren aus Ländern ohne Auslieferungsabkommen), ist die Anzeige wichtig für:
- Versicherungsleistungen (viele Cyberversicherungen verlangen eine Polizeimeldung)
- Behördliche Unterstützung
- Statistik und Prävention
Phase 3: Die erste Woche — Wiederherstellung und Kommunikation
Wiederherstellungsstrategie
Option A: Wiederherstellung aus Backup (bevorzugt)
Wenn ein sauberes, offline gespeichertes Backup existiert:
- Kompromittierte Systeme vollständig neu aufsetzen (nicht nur scannen)
- Backup auf Integrität prüfen, bevor Sie es einspielen
- Netzwerk schrittweise und kontrolliert wiederherstellen
- Alle Passwörter ändern (Active Directory, E-Mail, Cloud-Zugänge, VPN)
- Multi-Faktor-Authentifizierung aktivieren, wenn noch nicht vorhanden
Option B: Entschlüsselung ohne Backup
Prüfen Sie zunächst, ob ein kostenloses Entschlüsselungs-Tool existiert:
- NoMoreRansom.org — kostenlose Tools für viele Ransomware-Varianten
- Identifizieren Sie die Ransomware-Variante anhand der Dateiendung oder der Lösegeldforderung
Option C: Professionelle Datenrettung
Spezialisierte Unternehmen können in manchen Fällen verschlüsselte Daten ohne Zahlung wiederherstellen. Dies ist jedoch zeitaufwendig und teuer und gelingt nicht immer.
Kommunikationsplan
Ein Ransomware-Angriff ist eine Unternehmenskrise, die professionelle Kommunikation erfordert:
Interne Kommunikation:
- Informieren Sie Mitarbeitende sachlich und zeitnah über den Vorfall
- Erklären Sie, was betroffen ist und was nicht
- Geben Sie klare Anweisungen für den Umgang mit dem Vorfall
- Vermeiden Sie Panik — aber auch Verharmlosung
Externe Kommunikation:
- Kunden: Informieren Sie betroffene Kunden proaktiv und transparent
- Partner und Lieferanten: Warnen Sie Geschäftspartner, die möglicherweise durch Sie kompromittiert wurden
- Medien: Bereiten Sie eine kurze, sachliche Stellungnahme vor — keine Details zum Angriff, aber klare Aussagen zu ergriffenen Massnahmen
Was Sie NICHT kommunizieren sollten:
- Ob Sie zahlen oder nicht (öffentliche Bekanntmachung kann die Lösegeldforderung erhöhen)
- Technische Details der Schwachstelle (gibt Angreifern weitere Informationen)
- Übertriebene Verharmlosungen, die sich später als falsch erweisen
Lessons Learned und Härtung
Nach der Wiederherstellung ist vor der Prävention:
Unmittelbare Massnahmen:
- Einfallstor identifizieren und schliessen (mit IT-Forensikern)
- Alle Zugangsdaten ändern und überprüfen
- Netzwerksegmentierung verbessern
- Backup-Strategie nach dem 3-2-1-Prinzip umsetzen (3 Kopien, 2 verschiedene Medien, 1 offline)
Mittelfristige Massnahmen:
- Mitarbeitende in Phishing-Erkennung schulen (Phishing ist mit ca. 16 % einer der häufigsten initialen Angriffsvektoren — Verizon DBIR 2024)
- Phishing-Schutz und Awareness-Training implementieren
- Patch-Management-Prozess einführen oder verbessern
- Cybersecurity-Checkliste für KMU abarbeiten
Notfallkontakte auf einen Blick
| Stelle | Kontakt | Zuständigkeit |
|---|---|---|
| Bundesamt für Cybersicherheit (BACS) | report.ncsc.admin.ch / +41 58 465 04 68 | Meldung, Unterstützung |
| EDÖB (Datenschutzbeauftragter) | edoeb.admin.ch | nDSG-Meldung |
| Fedpol | fedpol.admin.ch | Strafanzeige |
| NoMoreRansom | nomoreransom.org | Gratis-Decryption-Tools |
| Cyberversicherung | Ihre Police | Schadensmeldung |
Vor dem Angriff: Prävention als beste Strategie
Der beste Notfallplan ist derjenige, den man nie braucht. Die geschilderten Szenarien — vollständige Netzwerkverschlüsselung, Datenverlust, nDSG-Bussen, Reputationsschaden — lassen sich durch systematische Prävention weitgehend vermeiden.
Was wirklich schützt:
- Regelmässige, offline gespeicherte Backups (nach 3-2-1-Regel)
- Phishing-Awareness-Training für alle Mitarbeitenden
- Netzwerksegmentierung und Least-Privilege-Prinzip
- Multi-Faktor-Authentifizierung auf allen kritischen Systemen
- Regelmässige Schwachstellenanalysen und Penetrationstests vs. Red Teaming
Die entscheidende Frage: Wie widerstandsfähig ist Ihr Unternehmen wirklich? Nicht was Sie glauben, sondern was tatsächlich ist — das zeigt nur ein praxisnaher Test unter realen Angriffsbedingungen.
Red Teaming simuliert einen echten Ransomware-Angriff auf Ihre Infrastruktur — mit denselben Methoden, die echte Angreifer nutzen. So entdecken Sie Schwachstellen, bevor Cyberkriminelle es tun. RedTeam Partners, CREST-zertifiziert in Zürich, führt solche Tests ab CHF 11’900 durch. Das ist weniger als der durchschnittliche Schaden eines einzigen Angriffs.
Fazit
Ein Ransomware-Angriff ist kein hypothetisches Risiko mehr — er ist eine statistische Gewissheit für Unternehmen ohne ausreichende Schutzmasssnahmen. Die gute Nachricht: Wer einen klaren Notfallplan hat und ihn regelmässig übt, übersteht einen Angriff deutlich besser als Unternehmen, die im Ernstfall improvisieren.
Die wichtigsten Punkte zusammengefasst:
- Erste 60 Minuten: Angriff bestätigen, Netzwerk isolieren, Krisenteam aktivieren, forensische Sicherung einleiten
- Erste 24 Stunden: Schadensausmass ermitteln, NCSC melden, nDSG-Meldepflichten prüfen, Strafanzeige erstatten
- Erste Woche: Wiederherstellung aus Backup, Kommunikationsplan umsetzen, Einfallstor schliessen
Noch besser: Investieren Sie in Prävention, bevor der Ernstfall eintritt. Ein Red Teaming-Assessment von RedTeam Partners kostet ab CHF 11’900 — und zeigt Ihnen genau, wo Ihre Schwachstellen liegen, bevor Ransomware-Gruppen sie ausnutzen. Kontaktieren Sie uns für eine kostenlose Erstberatung.
Weiterführende Ressourcen:
- Was ist Red Teaming?
- Ransomware-Schutz für KMU Schweiz
- nDSG Checkliste für KMU
- Cybersecurity Checkliste KMU
- Red Teaming Kosten Schweiz
Quellen
- Verizon Data Breach Investigations Report (DBIR) 2024: https://www.verizon.com/business/resources/reports/dbir/
- IBM Cost of a Data Breach Report 2024: https://www.ibm.com/reports/data-breach