CHF 250 bis 400 pro Stunde im Notfall. CHF 15’000 bis 80’000 pro abgewickeltem Vorfall. Das kostet Incident Response in der Schweiz. Wer einen Retainer vorab abschliesst, zahlt CHF 3’000 bis 12’000 monatlich und spart im Ernstfall das Zehnfache. Die Gesamtkosten eines ungeplanten Cybervorfalls liegen regelmässig über CHF 500’000.
Jede Stunde ohne IR-Team kostet Geld. Daten fliessen ab, Systeme werden verschlüsselt, der Schaden eskaliert. In unseren 500+ Engagements sehen wir immer dasselbe Muster: Unternehmen ohne Retainer brauchen 48 bis 72 Stunden, bis ein IR-Team vor Ort ist. Mit Retainer: unter 4 Stunden.
Was ist Incident Response – und wann braucht man es?
Incident Response (IR) bezeichnet den strukturierten Prozess zur Erkennung, Eindämmung, Analyse und Behebung von Sicherheitsvorfällen. Ein IR-Team handelt nach einem definierten Playbook – von der ersten Alarmierung über die forensische Untersuchung bis zur vollständigen Wiederherstellung des Betriebs.
Typische Szenarien, in denen IR benötigt wird:
- Ransomware-Angriff mit verschlüsselten Systemen
- Datenleck oder Datenpanne mit Meldepflicht (DSG, DSGVO)
- Kompromittierung von Benutzerkonten (Business Email Compromise)
- Insider-Bedrohung durch Mitarbeitende oder Ex-Mitarbeitende
- DDoS-Angriff mit Betriebsunterbrechung
- Unbekannter Malware-Befall oder APT (Advanced Persistent Threat)
- Angriff auf OT/ICS-Infrastruktur (Industriesteuerungen)
“Im Ernstfall entscheiden die ersten vier Stunden darüber, ob ein Ransomware-Angriff auf drei Server beschränkt bleibt oder das gesamte Netzwerk befällt. KMU ohne vorbereiteten IR-Plan zahlen im Schnitt 60% mehr Wiederherstellungskosten.” — Incident-Response-Leiter, Schweizer Cybersecurity-Unternehmen, 2025
Incident Response Kosten: Vollständige Preisübersicht
Übersicht: Alle IR-Kostenmodelle im Vergleich
| Modell | Beschreibung | Kosten | Vorteile | Nachteile |
|---|---|---|---|---|
| Break-Fix (Stundenbasis) | Notfall-Einsatz ohne Vorvertrag | CHF 280–450/Std. + Zuschläge | Keine Fixkosten | Teuer im Notfall, lange Wartezeiten |
| IR-Retainer (Basispaket) | Vorvertraglich, garantierte Reaktionszeit | CHF 3’000–6’000/Monat | Priorität, günstigere Stundensätze | Monatliche Fixkosten |
| IR-Retainer (Standard) | Inkl. Vorbereitung und Tabletop Exercises | CHF 5’000–10’000/Monat | Reaktionszeit < 4h, Übungen inkl. | Mittlere Fixkosten |
| IR-Retainer (Premium) | 24/7-Hotline, Forensik on-site, GC-Support | CHF 8’000–18’000/Monat | Höchste Priorität, Rundum-Service | Höhere Fixkosten |
| Versicherungs-IR | Über Cyberversicherung gedeckt | Selbstbehalt CHF 5’000–50’000 | Kosten gedeckt | Langsamer, Anbieter vorgegeben |
| MSSP-inklusiv | Als Teil des Managed Security Service | Enthalten in CHF 3’000–12’000/Monat | Nahtloser Übergang | Qualität variiert |
Stundensätze: Was kosten IR-Spezialisten in der Schweiz?
Stundensätze nach Spezialisierung und Anbietertyp
| Rolle / Spezialisierung | Stundensatz (Standardzeit) | Zuschlag Wochenende/Nacht | Anmerkung |
|---|---|---|---|
| Junior IR-Analyst | CHF 180–240 | +30–50% | Einfachere Aufgaben, Monitoring |
| Senior IR-Analyst | CHF 250–320 | +40–60% | Standardfälle, Malware-Analyse |
| IR-Lead / Incident Manager | CHF 300–400 | +50–70% | Koordination, Kommunikation |
| Forensiker (Digital Forensics) | CHF 280–380 | +40–60% | Beweissicherung, Gerichtsverwertbar |
| Malware-Analyst / Reverse Engineer | CHF 320–450 | +50–80% | Spezialist, selten verfügbar |
| CISO on Demand (Krisenleitung) | CHF 350–500 | +50–100% | Strategische Leitung im Vorstand |
| Retainer-Satz (rabattiert) | CHF 200–280 | +20–40% | Für Kunden mit Vorvertrag |
Wichtig: Ohne Retainer-Vertrag warten Unternehmen im Ernstfall oft 12–48 Stunden auf die Verfügbarkeit eines IR-Teams, während Retainer-Kunden in der Regel innerhalb von 1–4 Stunden einen ersten Experten am Telefon haben.
Gesamtkosten eines Cybervorfalls: Was Schweizer KMU wirklich zahlen
Die reinen IR-Stundensätze sind nur ein Teil der Gesamtkosten. Im folgenden sind typische Gesamtschadenszenarien für Schweizer KMU aufgeführt:
Schadensszenarien nach Vorfall-Typ
| Vorfall-Typ | Typische Grösse KMU | IR-Kosten | Ausfallkosten | Dritt-Kosten | Gesamtschaden |
|---|---|---|---|---|---|
| Ransomware (kleiner Befall) | 20–50 MA | CHF 8’000–20’000 | CHF 10’000–50’000 | CHF 5’000–15’000 | CHF 23’000–85’000 |
| Ransomware (vollständige Verschlüsselung) | 50–150 MA | CHF 25’000–60’000 | CHF 80’000–500’000 | CHF 20’000–80’000 | CHF 125’000–640’000 |
| Business Email Compromise | 20–150 MA | CHF 5’000–15’000 | CHF 0–20’000 | CHF 10’000–200’000 | CHF 15’000–235’000 |
| Datenleck (DSG-Meldepflicht) | 20–150 MA | CHF 8’000–25’000 | CHF 5’000–30’000 | CHF 20’000–100’000 | CHF 33’000–155’000 |
| DDoS / Betriebsausfall | 20–150 MA | CHF 3’000–10’000 | CHF 20’000–150’000 | CHF 2’000–10’000 | CHF 25’000–170’000 |
| Insider Threat (Datendiebstahl) | 20–150 MA | CHF 15’000–40’000 | CHF 5’000–30’000 | CHF 15’000–80’000 | CHF 35’000–150’000 |
Dritt-Kosten umfassen: Anwaltskosten (DSGVO/DSG-Meldung), PR/Krisenkommunikation, Benachrichtigung betroffener Kunden, Bussgelder, Versicherungs-Selbstbehalt.
IR-Retainer: Warum Vorbereitung sich rechnet
Ein Incident-Response-Retainer ist ein Vorvertrag mit einem Sicherheitsdienstleister, der im Ernstfall sofortige Hilfe garantiert. Retainer-Kunden erhalten:
- Priorisierte Reaktionszeit (oft < 1–4 Stunden vs. 24–48 Stunden ohne Vertrag)
- Rabattierte Stundensätze (CHF 200–280 statt CHF 280–450)
- Vorbereitungsleistungen im Normalzustand (IR-Plan, Tabletop Exercises, Playbooks)
- Feste Ansprechpersonen die Ihre Infrastruktur kennen
- Gesicherte Kapazitäten auch bei branchenweiten Vorfällen
IR-Retainer Kostenvergleich: Pakete Schweizer Anbieter
| Paket | Inklusivstunden/Monat | Reaktionszeit | Preis/Monat | Preis/Jahr |
|---|---|---|---|---|
| Basis-Retainer | 2 Std. | < 8h | CHF 3’000–5’000 | CHF 36’000–60’000 |
| Standard-Retainer | 5 Std. + Tabletop | < 4h | CHF 5’500–8’000 | CHF 66’000–96’000 |
| Advanced-Retainer | 10 Std. + IR-Plan | < 2h | CHF 8’000–12’000 | CHF 96’000–144’000 |
| Premium-Retainer | 20 Std. + SOC-Anbindung | < 1h | CHF 12’000–20’000 | CHF 144’000–240’000 |
Nicht verbrauchte Inklusivstunden verfallen in der Regel oder werden auf den nächsten Monat übertragen (je nach Anbieter). Überstunden werden zum vereinbarten Retainer-Satz abgerechnet.
Kostenvergleich: Retainer vs. Break-Fix
Ein typischer Ransomware-Vorfall erfordert 40–120 Arbeitsstunden IR-Aufwand. Ohne Retainer zahlt ein KMU CHF 280–450/Stunde = CHF 11’200–54’000 nur für die IR-Arbeit, dazu Wartezeiten von 12–48 Stunden, in denen Schäden eskalieren. Mit einem Basis-Retainer (CHF 3’000–5’000/Monat) amortisiert sich der Jahresbeitrag (CHF 36’000–60’000) bereits bei einem einzigen mittelschweren Vorfall pro Dekade.
Phasen der Incident Response und ihre Kosten
Ein strukturierter IR-Prozess folgt dem NIST-Framework in sechs Phasen. Jede Phase verursacht Kosten:
IR-Phasen und Kostenaufstellung (mittlerer Ransomware-Vorfall, KMU mit 60 MA)
| Phase | Aktivitäten | Aufwand (Stunden) | Kosten (extern) |
|---|---|---|---|
| 1. Vorbereitung (vorher) | IR-Plan, Playbooks, Backups testen | 10–20 Std. | CHF 3’000–8’000 |
| 2. Identifikation | Erkennung, Alarmierung, erste Triage | 2–8 Std. | CHF 600–3’200 |
| 3. Eindämmung | Netzwerk-Isolation, Systeme sperren | 4–16 Std. | CHF 1’200–6’400 |
| 4. Ausmerzung | Malware-Entfernung, Ursachenanalyse | 8–40 Std. | CHF 2’400–16’000 |
| 5. Wiederherstellung | Backup-Restore, Systemvalidierung | 16–80 Std. | CHF 4’800–32’000 |
| 6. Nachbereitung | Lessons Learned, Bericht, Verbesserungen | 4–12 Std. | CHF 1’200–4’800 |
| Forensische Analyse | Beweissicherung, Herkunft des Angriffs | 8–40 Std. | CHF 2’400–16’000 |
| Rechtliche Beratung | DSG-Meldung, Behördenkommunikation | 4–16 Std. | CHF 3’000–12’000 |
| Gesamt | 56–232 Stunden | CHF 18’600–98’400 |
Statistiken: Cybervorfälle bei Schweizer KMU
- 2’415 Cybervorfälle wurden 2024 dem BACS gemeldet – Experten schätzen, dass die Dunkelziffer 10x höher liegt (BACS, 2024).
- CHF 4,88 Mio. betragen die globalen Durchschnittskosten eines Datenschutzverletzung – Schweizer KMU tragen proportional CHF 300’000–1,5 Mio. (IBM, 2024).
- 73 Tage dauert es im Schnitt, bis ein Ransomware-Vorfall vollständig behoben ist – von der Erkennung bis zur vollständigen Wiederherstellung (Coveware, 2024).
- Only 38% der Schweizer KMU haben einen dokumentierten Incident-Response-Plan (Hochschule Luzern, 2024).
- 40% weniger Kosten entstehen bei Unternehmen mit einem vorbereiteten IR-Team im Vergleich zu ungeplanten Reaktionen (IBM, 2024).
DSG und DSGVO: Meldepflichten erhöhen den IR-Kostendruck
Das Schweizer Datenschutzgesetz (DSG), in Kraft seit September 2023, verpflichtet Unternehmen zur unverzüglichen Meldung von Datenschutzverletzungen an den EDÖB (Eidgenössischer Datenschutzbeauftragter) sowie an betroffene Personen. Die Meldefrist beträgt 72 Stunden nach Kenntnisnahme.
Dies hat direkte Auswirkungen auf die IR-Kosten:
DSG/DSGVO-Compliance-Kosten bei einem Datenleck
| Massnahme | Kosten |
|---|---|
| Juridische Beratung zur Meldepflicht | CHF 3’000–10’000 |
| EDÖB-Meldung vorbereiten und einreichen | CHF 1’500–4’000 |
| Betroffene Kunden/Mitarbeitende informieren | CHF 5’000–30’000 |
| Öffentlichkeitsarbeit / Krisenkommunikation | CHF 5’000–25’000 |
| Forensischer Bericht für Behörden | CHF 8’000–20’000 |
| Total Compliance-Kosten | CHF 22’500–89’000 |
Wer einen IR-Retainer hat, bekommt oft auch juristische IR-Unterstützung oder Verweise auf spezialisierte Anwaltskanzleien als Teil des Pakets. Informationen zur detaillierten Sicherheitsplanung finden Sie in unserer Cybersecurity-Checkliste für KMU.
Cyberversicherung und Incident Response: Was ist gedeckt?
“Eine Cyberversicherung zahlt die Kosten erst, wenn der Schaden eingetreten ist – und oft nur für anerkannte IR-Dienstleister. Ein IR-Retainer mit einem anerkannten Anbieter ist die Voraussetzung für eine schnelle Schadensregulierung.” — Versicherungsberater, Zürich, 2025
Schweizer Cyberversicherungen decken in der Regel:
- IR-Kosten (oft bis CHF 500’000, je nach Police)
- Forensikkosten (inkl. externer Spezialisten)
- Betriebsunterbrechungsschäden (nach Karenzfrist)
- Lösegeldzahlungen (bei Ransomware, mit Einschränkungen)
- Reputationsschäden / PR-Kosten
Nicht gedeckt sind meist:
- Infrastruktur-Kosten für Neuaufbau (nur Mehrkosten)
- Bussgelder regulatorischer Behörden
- Schäden durch vorsätzliches Handeln
Typische Cyberversicherungs-Prämien für KMU
| Unternehmensgrösse | Umsatz | Versicherungssumme | Jahresprämie |
|---|---|---|---|
| Klein | bis CHF 5 Mio. | CHF 500’000 | CHF 3’000–6’000 |
| Mittel | CHF 5–20 Mio. | CHF 1–2 Mio. | CHF 6’000–15’000 |
| Mittelgross | CHF 20–50 Mio. | CHF 2–5 Mio. | CHF 12’000–30’000 |
| Gross (KMU) | CHF 50–100 Mio. | CHF 5–10 Mio. | CHF 25’000–60’000 |
Wichtig: Viele Versicherer verlangen als Voraussetzung für die Versicherbarkeit Nachweise über Sicherheitsmassnahmen wie MFA, regelmässige Backups und einen IR-Plan.
Prävention vs. Reaktion: Was ist günstiger?
Die einhellige Meinung aller IR-Experten: Prävention ist günstiger als Reaktion. Folgende präventive Massnahmen reduzieren die IR-Kosten massgeblich:
| Präventive Massnahme | Jährliche Kosten | Potenzielle Ersparnisse im Vorfall |
|---|---|---|
| Regelmässige Backups (3-2-1-Regel) | CHF 1’000–5’000 | CHF 50’000–300’000 (kein Lösegeld nötig) |
| Vulnerability Scanning (kontinuierlich) | CHF 2’400–24’000 | CHF 30’000–200’000 (Angriff verhindert) |
| Security Awareness Training | CHF 1’500–8’000 | CHF 20’000–150’000 (Phishing verhindert) |
| MFA für alle Konten | CHF 500–3’000 | CHF 15’000–100’000 (Credential-Angriff verhindert) |
| EDR/XDR-Lösung | CHF 3’000–12’000 | CHF 40’000–200’000 (Frühzeitige Erkennung) |
| IR-Retainer (Basispaket) | CHF 36’000–60’000/Jahr | CHF 50’000–300’000 (kürzere Reaktionszeit) |
| Penetrationstest | CHF 8’000–35’000 | CHF 50’000–500’000 (Lücken vorher schliessen) |
Gründliche Informationen zu den verschiedenen Sicherheitsinvestitionen finden Sie in unseren Artikeln zu Penetrationstest Kosten Schweiz und Security Audit Kosten Schweiz.
IR und Red Teaming: Warum beides zusammengehört
Red Teaming und Incident Response sind zwei Seiten derselben Medaille:
- Red Teaming testet, ob Ihr Team und Ihre Technologie einen realen Angriff erkennen und korrekt reagieren – bevor der Ernstfall eintritt.
- Incident Response ist die Reaktion, wenn trotz aller Vorbereitung ein Angriff durchdringt.
Ein Red-Teaming-Engagement ist die wirksamste Übung für ein IR-Team: Echte Angriffstaktiken (TTPs) werden simuliert, das SOC/IR-Team muss erkennen und reagieren. Die Lücken, die dabei gefunden werden, können vor dem echten Vorfall geschlossen werden. Details zu Kosten und Ablauf unter Red Teaming und Red Team Kosten Schweiz.
Weitere relevante Vergleiche: Red Teaming vs. Penetrationstest und SIEM Kosten Schweiz.
IR-Checkliste für Schweizer KMU: Sofortmassnahmen
Wenn Sie noch keinen IR-Plan haben, starten Sie mit diesen Sofortmassnahmen:
- Notfallkontakte definieren: Wer ruft wen an? (Intern: IT, GF, Legal; Extern: IR-Anbieter, BACS, Versicherung)
- IR-Retainer evaluieren und mindestens Angebote einholen
- Backup-Strategie prüfen: Offline-Backups vorhanden? Letztes Restore getestet?
- Kommunikationsplan für den Ernstfall erstellen (wer kommuniziert mit Kunden/Medien?)
- BACS-Meldeformular kennen: www.report.ncsc.admin.ch
- Cyberversicherung überprüfen oder neu abschliessen
- Tabletop Exercise durchführen: Rollenspiel eines Cyberangriffs mit dem Management
Fazit
Incident Response ist teuer – aber ungeplante Incident Response ist noch teurer. Ein Schweizer KMU, das keinen Retainer hat und im Ernstfall auf dem freien Markt einen IR-Spezialisten sucht, zahlt 30–60% mehr und verliert kritische Stunden, in denen Schäden eskalieren.
Unsere Empfehlung für Schweizer KMU:
- Sofort: Notfallkontakte und Backup-Strategie dokumentieren (kostenlos).
- Kurzfristig (1–3 Monate): IR-Retainer ab CHF 3’000/Monat abschliessen und Cyberversicherung prüfen.
- Mittelfristig: IR-Plan und Playbooks entwickeln, Tabletop Exercise durchführen.
- Jährlich: Red-Teaming-Engagement zur Überprüfung der IR-Fähigkeiten.
Überprüfen Sie Ihre IR-Fähigkeiten mit Red Teaming: Wissen Sie wirklich, wie Ihr Team auf einen gezielten Angriff reagiert? Ein Red-Teaming-Engagement simuliert realistische Angriffe unter realen Bedingungen und zeigt genau, wo Ihre Incident-Response-Prozesse versagen – noch bevor es einen echten Vorfall gibt. Unsere CREST-zertifizierten Experten in Zürich begleiten Sie durch den gesamten Prozess.
Red Teaming anfragen – ab CHF 11’900 | CREST-zertifiziert | Standort Zürich | Ergebnis in 2–4 Wochen