Ein Incident Response Plan rettet Ihr Unternehmen, wenn alles andere versagt. Die gute Nachricht: Sie brauchen keinen 200-seitigen Wälzer. Ein praxistauglicher Notfallplan für ein KMU passt auf wenige Seiten — und macht im Ernstfall den Unterschied zwischen einem kontrollierten Vorfall und einer existenzbedrohenden Katastrophe.
Laut dem NCSC Halbjahresbericht 2024 wurden in der Schweiz über 63’000 Cyber-Vorfälle gemeldet. Der Schweizerische Versicherungsverband (SVV) beziffert die jährlichen Cyberangriffs-Schäden auf CHF 9.5 Milliarden. Und Unternehmen ohne strukturierten Incident Response Plan verlieren im Durchschnitt 35 % mehr durch einen Vorfall als Unternehmen mit Plan — wegen Chaos, Fehlentscheidungen und verlorener Zeit in den ersten Stunden.
Laut dem Verizon DBIR 2024 beträgt die durchschnittliche Zeit, bis ein Ransomware-Angriff entdeckt wird, 24 Tage. Die ersten Stunden nach der Entdeckung sind entscheidend: Jede Stunde, die ohne klare Strategie vergeht, gibt dem Angreifer Zeit, sich tiefer im Netzwerk zu vergraben.
«Nicht ob, sondern wann — das ist die richtige Denkweise für Schweizer KMU. Der Incident Response Plan ist das Sicherheitsnetz, das bestimmt, ob ein Vorfall kontrollierbar bleibt oder das Unternehmen in die Knie zwingt.» — Bundesamt für Cybersicherheit (BACS), Empfehlungen für KMU 2024
Nachfolgend die Vorlage mit allen sechs Phasen, Checklisten, Kommunikationstemplates und der kritischen Frage: Funktioniert Ihr Plan im Ernstfall tatsächlich?
Warum die meisten KMU keinen Incident Response Plan haben — und was das kostet
Die häufigsten Gründe, warum KMU keinen IRP haben: «Das brauchen wir nicht, uns passiert das nicht.» «Das ist zu komplex.» «Das können wir später machen.»
Jeder dieser Gründe ist nachvollziehbar. Und jeder ist falsch.
Der Preis des fehlenden Plans: Wenn ein Ransomware-Angriff schlägt und kein Notfallplan existiert, passiert Folgendes in den ersten zwei Stunden:
- Panik und unkontrollierte Reaktion: Jemand zieht Netzwerkkabel heraus, jemand anders startet Systeme neu (und verliert forensische Beweise), ein Dritter schreibt in den Firmen-Chatkanal, der möglicherweise auch kompromittiert ist
- Falsche Kommunikation: Mitarbeitende werden verunsichert, Gerüchte entstehen, erste Medienkontakte werden unkontrolliert
- Kritische Fehler: Backups werden mit kompromittierten Systemen synchronisiert, der Angreifer bemerkt die Panik und beschleunigt die Verschlüsselung
- Verlorene Zeit: Das Suchen nach Kontaktdaten, das Diskutieren von Zuständigkeiten, das Herbeirufen der richtigen Personen — all das kostet Stunden, in denen der Schaden wächst
Mit einem Plan: Die richtigen Personen handeln sofort nach definierten Rollen. Systeme werden isoliert, nicht unkontrolliert heruntergefahren. Externe Experten werden innerhalb von Minuten kontaktiert. Die Kommunikation folgt einem Template. Und der Angreifer hat deutlich weniger Zeit, sich auszubreiten.
Die sechs Phasen des Incident Response
Der internationale Standard für Incident Response (NIST SP 800-61, SANS Institute) definiert sechs Phasen. Für KMU vereinfacht und praxisnah umgesetzt:
Phase 1: Vorbereitung — Bevor etwas passiert
Die Vorbereitung ist die wichtigste Phase — und die einzige, die ohne Zeitdruck stattfindet. Alles, was Sie jetzt vorbereiten, spart im Ernstfall wertvolle Stunden.
Das Incident Response Team definieren:
Bestimmen Sie für jede Funktion eine Hauptverantwortliche und eine Stellvertretung:
| Funktion | Verantwortliche | Stellvertretung |
|---|---|---|
| Incident Commander (Gesamtleitung) | Geschäftsführer/in | Stellvertretende GF |
| IT-Verantwortliche | IT-Leiter/in | Externer IT-Dienstleister |
| Kommunikation (intern/extern) | Marketing/Kommunikation | HR |
| Rechtliches/Compliance | Rechtsdienst | Externer Anwalt |
| Finanzen | CFO | Buchhaltung |
Die physische Kontaktliste erstellen (ausgedruckt!):
Diese Liste muss physisch vorhanden sein — auf Papier, nicht digital. Im Ernstfall haben Sie möglicherweise keinen Zugriff auf E-Mail, Intranet oder Passwort-Manager.
Die Liste enthält:
- Interner IT-Verantwortlicher: [Name, Handynummer]
- Externer IT-Dienstleister (Notfall-Hotline): [Name, Telefon, SLA]
- Cybersecurity-Incident-Response-Spezialist: [Name, Telefon]
- NCSC-Meldeformular: incibe.ch
- Kantonspolizei (Cybercrime): [Kanton, Telefonnummer]
- Cyberversicherung (24/7-Hotline): [Versicherung, Policennummer, Telefon]
- Datenschutzbeauftragter (intern oder extern): [Name, Telefon]
- Rechtsanwalt (Datenschutz/Haftung): [Kanzlei, Telefon]
- Geschäftsleitungsmitglieder (Handys): [alle Namen und Nummern]
Werkzeuge und Ressourcen bereitstellen:
- Backup eines sicheren, netzwerkunabhängigen Kommunikationskanals (z. B. persönliche Mobiltelefone mit Signal-Gruppe für das IRT)
- Dokumentation der IT-Infrastruktur: Netzwerkplan, Systemübersicht, Backup-Standorte — physisch und an einem sicheren Ort aufbewahrt
- Vorab aufgesetzte «Clean Machine»: Ein Laptop, der nie im Firmennetzwerk war, für forensische und Kommunikationszwecke im Ernstfall
Phase 2: Identifikation — Den Vorfall erkennen und klassifizieren
Was ist ein Sicherheitsvorfall?
Nicht jedes IT-Problem ist ein Sicherheitsvorfall. Definieren Sie vorab, was als Sicherheitsvorfall gilt:
- Verdächtige Anmeldeversuche oder Kontosperrungen ohne klare Ursache
- Ungewöhnliche Netzwerkaktivitäten oder Datentransfers
- Entdeckte Schadsoftware oder Ransomware-Lösegeldforderungen
- Phishing-Meldung von Mitarbeitenden mit möglichem Klick auf Links oder Anhänge
- Unbefugter physischer Zugang zu IT-Systemen
- Datenpanne oder Verdacht auf Datenverlust
- Systeme, die sich ohne erkennbaren Grund seltsam verhalten
Sofortmassnahmen bei Verdacht:
- Den Vorfall sofort dem IT-Verantwortlichen melden — nicht warten, bis man sicher ist
- Das betroffene Gerät nicht ausschalten (forensische Beweise gehen verloren) — aber vom Netzwerk trennen
- Keine eigene Untersuchung am betroffenen Gerät durchführen — Profis überlassen
- Den Vorfall dokumentieren: Was wurde wann beobachtet? Wer war beteiligt?
- Den Incident Commander informieren
Klassifizierung nach Schweregrad:
| Schweregrad | Beschreibung | Reaktionszeit |
|---|---|---|
| Kritisch | Ransomware aktiv, Datenpanne bestätigt, Systemausfall | Sofort, 24/7 |
| Hoch | Verdacht auf Kompromittierung, ungewöhnliche Aktivitäten | Innerhalb 1 Stunde |
| Mittel | Phishing-Vorfall mit mögl. Klick, einzelner Gerätebefall | Innerhalb 4 Stunden |
| Niedrig | Blocked Phishing, fehlgeschlagener Anmeldeversuch | Innerhalb 24 Stunden |
Phase 3: Eindämmung — Ausbreitung stoppen
Die Eindämmung hat absolute Priorität: Stoppen Sie die Ausbreitung des Vorfalls, bevor Sie mit der Beseitigung beginnen. In dieser Phase zählt jede Minute.
Sofortmassnahmen bei kritischen Vorfällen:
- Betroffene Systeme vom Netzwerk trennen (Netzwerkkabel ziehen oder WiFi deaktivieren) — aber nicht ausschalten
- Bei Ransomware: Netzwerksegmente isolieren, auf die der Angreifer möglicherweise keinen Zugriff hat — Cloud-Backups, externe Speicher, separate Netzwerksegmente
- Alle Administratorpasswörter sofort ändern — von einem sicheren, nicht betroffenen Gerät
- Alle VPN-Zugänge und Remote-Desktop-Zugänge temporär sperren
- Cloud-Dienste: Verdächtige aktive Sitzungen beenden, MFA-Token zurücksetzen
Was Sie NICHT tun sollen:
- Betroffene Systeme ausschalten (forensische Beweise — Speicher-Inhalte, laufende Prozesse — gehen verloren)
- Die Lösegeldforderung sofort bezahlen (verhandeln Sie zuerst, und ziehen Sie externe Experten hinzu)
- Ohne Protokollierung handeln (dokumentieren Sie jeden Schritt)
- Kommunizieren Sie den Vorfall über möglicherweise kompromittierte Kanäle (Firmen-E-Mail, Intranet)
Externe Hilfe hinzuziehen:
Für kritische und schwere Vorfälle gilt: Rufen Sie umgehend einen Incident-Response-Spezialisten hinzu. Intern fehlen in der Regel die forensischen Werkzeuge und die Erfahrung, um einen aktiven Angriff vollständig einzudämmen. Jede Stunde Verzögerung erhöht den Schaden.
Phase 4: Beseitigung — Den Angreifer entfernen
Sobald der Vorfall eingedämmt ist, beginnt die Beseitigung. Ziel: Das Netzwerk vollständig vom Angreifer befreien und Schwachstellen schliessen.
Kritische Schritte:
- Forensische Analyse: Welche Systeme waren betroffen? Wie weit ist der Angreifer gekommen? Welche Daten wurden möglicherweise exfiltriert? Diese Analyse ist wichtig für die Meldepflicht und für Versicherungsansprüche — ziehen Sie forensische Experten hinzu.
- Vollständige Bereinigung: Kompromittierte Systeme werden nicht «bereinigt» — sie werden neu aufgesetzt. Ein System, das einmal kompromittiert war, gilt als nicht vertrauenswürdig.
- Schliessen der initialen Schwachstelle: Wie kam der Angreifer herein? Phishing? Ungepatchte Software? Schwaches Passwort? Diese Schwachstelle muss behoben werden, bevor Systeme wieder in Betrieb genommen werden.
- Credential-Reset: Alle Passwörter für alle Systeme und Konten zurücksetzen — nicht nur die kompromittierten.
- Malware-Scan aller verbleibenden Systeme: Auch Systeme, die scheinbar nicht betroffen sind, müssen gründlich geprüft werden.
Phase 5: Wiederherstellung — Betrieb aufnehmen
Die Wiederherstellung ist zeitkritisch — aber nicht auf Kosten der Sicherheit.
Schrittweise Wiederherstellung:
- Kritische Systeme zuerst: Was braucht das Unternehmen zuerst, um minimal funktionsfähig zu sein? ERP, E-Mail, Produktionssysteme?
- Aus sauberen Backups wiederherstellen — nur Backups, die vor der Kompromittierung erstellt wurden und die überprüft wurden
- Systeme vor der Wiederinbetriebnahme vollständig testen
- Stufenweise Wiederverbindung mit dem Netzwerk — beginnend mit den am wenigsten risikobehafteten Systemen
- Intensives Monitoring der wiederhergestellten Systeme in den ersten Wochen
Kommunikation während der Wiederherstellung:
Halten Sie Mitarbeitende, Kunden und Partner regelmässig informiert — über sichere, nicht kompromittierte Kanäle. Klare Kommunikation verhindert Gerüchte und Vertrauensverlust.
Phase 6: Nachbereitung — Aus dem Vorfall lernen
Die Nachbereitung ist die Phase, die die meisten KMU überspringen — und damit wertvolle Lernchancen versäumen.
Das Post-Incident-Review:
Führen Sie innerhalb von zwei Wochen nach dem Vorfall ein strukturiertes Review durch. Beantworten Sie diese Fragen:
- Was ist passiert? Vollständige Rekonstruktion des Angriffs: Wie kam der Angreifer herein? Wie lange war er unentdeckt? Wie weit ist er gekommen?
- Was hat funktioniert? Welche Sicherheitsmassnahmen haben geholfen? Welche Prozesse haben funktioniert?
- Was hat nicht funktioniert? Welche Schwachstellen wurden ausgenutzt? Welche Prozesse haben versagt?
- Was ändern wir? Konkrete Massnahmen mit Verantwortlichen und Fristen.
Meldepflichten erfüllen:
- EDÖB: Bei schwerwiegenden Datenschutzverletzungen besteht unter dem nDSG Meldepflicht. Die nDSG-Compliance-Anforderungen legen fest, wann und wie zu melden ist.
- NCSC: Auch wenn keine gesetzliche Pflicht besteht, empfiehlt das NCSC die Meldung von Cyber-Vorfällen — zur Verbesserung der landesweiten Bedrohungsübersicht.
- Versicherung: Informieren Sie Ihre Cyberversicherung so früh wie möglich — die meisten Policen haben Meldepflichten und kurze Fristen.
- Kunden und Partner: Bei Datenpannen, die Dritte betreffen, sind diese zu informieren — rechtlich und aus ethischen Gründen.
Kommunikationsplan: Was sagen Sie wem?
Kommunikation im Ernstfall ist einer der kritischsten und am häufigsten vernachlässigten Aspekte. Falsche oder fehlende Kommunikation kann den Schaden erheblich vergrössern.
Interne Kommunikation:
Mitarbeitende müssen sofort informiert werden — aber nur, was sie wissen müssen. Template:
«Wir erleben aktuell einen IT-Sicherheitsvorfall. Bitte schalten Sie Ihre Computer aus und melden Sie sich bei [Name] mit Ihrer Handynummer. Verwenden Sie keine Firmen-E-Mail oder -Systeme bis auf weiteres. Weitere Informationen folgen. Bitte teilen Sie diese Nachricht nicht ausserhalb des Unternehmens.»
Externe Kommunikation — Kunden und Partner:
Bei Datenpannen oder Betriebsausfällen müssen Kunden informiert werden. Vorab erstellte Templates sparen Zeit und stellen sicher, dass die Kommunikation professionell und konsistent ist.
Template-Elemente: Was ist passiert (ohne Details, die Angreifern helfen), welche Systeme/Daten betroffen sind, was Sie dagegen unternehmen, was der Kunde tun soll, wann der nächste Update kommt.
Medienkommunikation:
Legen Sie vorab fest: Wer ist Pressesprecher? Was sagen wir, was sagen wir nicht? «Kein Kommentar» ist in der Regel die schlechteste Option — eine proaktive, transparente Kommunikation begrenzt den Reputationsschaden.
Vorlage: Notfallplan auf einer Seite
Drucken Sie diese Kurzversion aus und hängen Sie sie an einem bekannten Ort auf — zugänglich für das gesamte Management, auch bei IT-Ausfall:
CYBER-NOTFALLPLAN — [Unternehmensname]
Bei Verdacht auf Cyberangriff:
- Gerät NICHT ausschalten — vom Netzwerk trennen (Kabel ziehen / WiFi aus)
- Sofort melden an: IT-Verantwortliche(r): _________________ / _______________
- Incident Commander informieren: _________________ / _______________
- Externe Hilfe aktivieren: IT-Dienstleister: _________________ / _______________
- Versicherung informieren: _________________ / Policennummer: _____________
- KEIN Klicken auf weitere Links, KEINE Systeme starten
- Dokumentieren: Was wurde wann beobachtet?
Wichtige Kontakte:
- NCSC: incibe.ch
- Kantonspolizei Cybercrime: _______________
- EDÖB (bei Datenpanne): _______________
Wie Red Teaming Ihren Incident Response Plan validiert
Ein Incident Response Plan auf Papier ist nur so gut wie seine Umsetzung im Ernstfall. Die einzige Möglichkeit, dies vorab zu testen, ist eine realistische Angriffssimulation.
Das Problem mit ungetesteten Plänen: Viele KMU erstellen einen Incident Response Plan, legen ihn in die Schublade — und entdecken beim ersten echten Vorfall, dass er nicht funktioniert. Die Kontaktliste ist veraltet, der IT-Verantwortliche ist in den Ferien, die Backup-Wiederherstellung dauert dreimal länger als erwartet, die Kommunikation bricht zusammen.
Was Red Teaming leistet: Ein Red Team Assessment simuliert einen realistischen Angriff — und beobachtet, wie Ihr Team reagiert. Es testet:
- Erkennen Ihre Systeme den Angriff überhaupt?
- Wird der Alarm bearbeitet, oder geht er unter?
- Folgt das Team dem Incident Response Plan?
- Werden die richtigen Personen zur richtigen Zeit informiert?
- Werden die richtigen Eindämmungsmassnahmen ergriffen?
- Wie lange dauert es, bis der Angriff gestoppt ist?
Das Ergebnis: Sie wissen, ob Ihr Incident Response Plan funktioniert — bevor ein echter Angreifer kommt. Die Lücken werden im Report dokumentiert, und Sie haben die Grundlage für gezielte Verbesserungen.
Tabletop-Übung als erster Schritt: Bevor Sie in ein Red Team Assessment investieren, empfiehlt sich eine Tabletop-Übung: Ein simuliertes Krisenszenario am Tisch, bei dem das Management durchspielt, wie es reagiert. Diese Übung kostet wenige Stunden und deckt die offensichtlichsten Lücken auf.
Die vollständige Cybersecurity-Checkliste für KMU enthält Tabletop-Übungen als eine der 25 Massnahmen.
Incident Response und nDSG-Compliance
Das neue Datenschutzgesetz (nDSG) macht einen strukturierten Incident Response Plan zur impliziten Pflicht. Ohne Plan können Sie die gesetzlichen Anforderungen bei einer Datenpanne nicht erfüllen:
Meldepflicht beim EDÖB: Schwerwiegende Datenschutzverletzungen müssen «so schnell wie möglich» gemeldet werden — in der Praxis bedeutet das 72 Stunden. Ohne Incident Response Plan ist diese Frist kaum einzuhalten.
Dokumentationspflicht: Sie müssen nachweisen können, was wann passiert ist und welche Massnahmen ergriffen wurden. Ein Incident Response Plan mit Protokollierungspflicht ist die Grundlage.
Nachweispflicht angemessener Massnahmen: Im Fall einer Datenpanne prüft der EDÖB, ob das Unternehmen «angemessene» Schutzmassnahmen getroffen hat. Ein dokumentierter, regelmässig getesteter IRP ist ein starkes Argument.
Die vollständige nDSG-Checkliste für KMU und der Artikel nDSG und Cybersecurity geben Ihnen den vollständigen Compliance-Überblick.
Fazit: Erstellen Sie Ihren Incident Response Plan — heute
Ein Incident Response Plan ist keine bürokratische Pflichtübung. Er ist das Sicherheitsnetz, das Ihr Unternehmen schützt, wenn alle anderen Massnahmen versagen. Und er schützt Sie auch dann, wenn niemand erwartet hat, dass etwas schiefgeht.
Beginnen Sie mit der einseitigen Kurzversion: Kontaktliste, Sofortmassnahmen, Kommunikationswege. Drucken Sie sie aus, hängen Sie sie auf, und informieren Sie das gesamte Management. Das dauert zwei Stunden — und kann im Ernstfall das Unternehmen retten.
Dann bauen Sie den vollständigen Plan auf: sechs Phasen, Rollen und Verantwortlichkeiten, Kommunikationstemplates, Compliance-Anforderungen. Und testen Sie ihn — mit einer Tabletop-Übung, einem Penetrationstest oder, um die realistischste Prüfung zu erhalten, mit einem Red Team Assessment.
Die Cybersecurity-Strategie für KMU in 7 Schritten integriert den Incident Response Plan in einen vollständigen strategischen Rahmen.
RedTeam Partners (CREST-zertifiziert, Zürich) testet nicht nur Ihre technischen Systeme — sie testen, ob Ihr Incident Response Plan in der Praxis funktioniert. Ob Ihr Team den Angriff erkennt. Ob die Reaktion koordiniert ist. Ob der Schaden kontrolliert bleibt.
Red Teaming für Schweizer KMU: ab CHF 11’900 — der einzige Test, der zeigt, ob Ihr Notfallplan dem Ernstfall standhält.
Jetzt Red Teaming anfragen — Ihren Incident Response Plan unter Realbedingungen testen