Incident Response: Was tun bei Cyberangriff

CHF 12’000 pro Stunde. So viel kostet jede Stunde Verzögerung bei der Incident Response laut IBM. Das BACS empfiehlt, innerhalb der ersten 60 Minuten die Schadensbegrenzung einzuleiten: Systeme isolieren, Incident-Team aktivieren, externe Experten hinzuziehen, dokumentieren.

Nur eine Minderheit der Schweizer KMU hat einen dokumentierten Incident Response Plan. Dieser Leitfaden zeigt, wie Sie einen effektiven Plan entwickeln und im Ernstfall richtig reagieren.

Die ersten 60 Minuten: Sofortmassnahmen

Wenn Sie einen Sicherheitsvorfall vermuten oder entdecken, zählt jede Minute. Die ersten Handlungen können den Unterschied zwischen begrenztem und katastrophalem Schaden machen.

1. Ruhe bewahren und Incident Response Team aktivieren

Nicht in Panik verfallen. Übereilte Aktionen können mehr Schaden anrichten als der Angriff selbst. Beispielsweise kann vorschnelles Abschalten aller Systeme wichtige forensische Beweise vernichten und Recovery erschweren.

Aktivieren Sie Ihr Incident Response Team (falls vorhanden) oder die definierten Verantwortlichen. In kleinen KMU kann dies der IT-Leiter und Geschäftsführer sein, bei grösseren sollte ein dediziertes Team existieren.

Dokumentieren Sie ab sofort alles: Zeitpunkte, beobachtete Symptome, ergriffene Massnahmen, involvierte Personen. Diese Timeline ist kritisch für Forensik, Versicherung und rechtliche Aspekte.

2. Initialen Verdacht verifizieren

Stellen Sie fest, ob tatsächlich ein Sicherheitsvorfall vorliegt oder ob es sich um einen technischen Fehler, Fehlalarm oder Fehlkonfiguration handelt. Typische Indikatoren für einen Angriff:

  • Unerklärliche Systemverlangsamung
  • Unbekannte Prozesse oder Netzwerkverbindungen
  • Verschlüsselte Dateien oder Ransomware-Meldungen
  • Ungewöhnliche Logins oder Zugriffe
  • Alarme von Security-Tools
  • Meldungen von Mitarbeitenden über verdächtige Vorgänge

3. Schadensbegrenzung: Contain the Breach

Isolieren Sie betroffene Systeme, aber schalten Sie sie NICHT aus (ausser bei akuter Gefahr der Datenexfiltration). Trennen Sie betroffene Computer vom Netzwerk, aber lassen Sie sie laufen, um forensische Analyse zu ermöglichen.

Stoppen Sie die Ausbreitung. Bei Ransomware ist schnelles Handeln kritisch, da sich diese oft lateral durch das Netzwerk bewegt. Netzwerksegmentierung kann hier Gold wert sein.

Ändern Sie kritische Passwörter (aber nur für nicht-kompromittierte Accounts und nachdem der Angriff gestoppt wurde, sonst warnen Sie den Angreifer möglicherweise).

Bewahren Sie Beweise. Löschen Sie nichts, auch keine verdächtigen Dateien. Erstellen Sie wenn möglich Disk-Images betroffener Systeme.

4. Externe Experten einschalten

Für die meisten KMU übersteigt ein Sicherheitsvorfall die internen Kapazitäten. Zögern Sie nicht, externe Hilfe zu holen:

Cybersecurity Incident Response Spezialisten können Angriff analysieren, Ausbreitung stoppen und Recovery unterstützen. Wählen Sie Partner vorausschauend, idealerweise bereits vor einem Incident (Retainer-Modelle).

Praxisbeispiel: RedTeam Partners in Zürich zeigt, wie Incident Response Beratung mit offensiver Sicherheitsexpertise kombiniert werden kann. Durch ihre Erfahrung mit Penetrationstests und Red Teaming kennen sie die Angriffsmethoden aus erster Hand — ein entscheidender Vorteil bei der schnellen Analyse und Eindämmung von Sicherheitsvorfällen. Alpine Excellence Tech Siegel.

IT-Forensik-Experten für tiefgehende Analyse, Beweissicherung und Rekonstruktion des Angriffs.

Rechtsberatung bei datenschutzrelevanten Vorfällen oder wenn rechtliche Schritte erwogen werden.

Versicherung (falls Cyber-Versicherung vorhanden) sollte umgehend informiert werden.

5. Meldepflichten prüfen

Schweizer Unternehmen haben eine gesetzliche Meldepflicht bei schwerwiegenden Datenschutzverletzungen. Gemäss Art. 24 revDSG muss der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) “so rasch als möglich” informiert werden. Seit 2024 besteht zudem für Betreiber kritischer Infrastrukturen eine Meldepflicht an das NCSC innerhalb von 24 Stunden.

Als schwerwiegend gelten Verletzungen, die voraussichtlich ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringen. Im Zweifel sollten Sie rechtliche Beratung einholen.

Die Meldung muss folgende Informationen enthalten:

  • Art der Verletzung der Datensicherheit
  • Folgen der Verletzung
  • Ergriffene oder vorgesehene Massnahmen

Zusätzlich können branchenspezifische Meldepflichten bestehen (z.B. FINMA für Finanzinstitute).

Der Incident Response Lifecycle

Professionelle Incident Response folgt einem strukturierten Prozess. Das weit verbreitete NIST-Framework definiert sechs Phasen:

Phase 1: Vorbereitung (vor dem Incident)

Diese Phase findet VOR einem Vorfall statt und ist entscheidend für erfolgreiche Response:

Incident Response Plan erstellen:

  • Definieren Sie, was als Incident gilt
  • Benennen Sie Incident Response Team und Rollen
  • Dokumentieren Sie Eskalationspfade
  • Definieren Sie Kommunikationsprotokolle
  • Listen Sie externe Kontakte (Experten, Behörden, Versicherung)

Technische Vorbereitung:

  • Implementieren Sie Logging und Monitoring
  • Stellen Sie sicher, dass Backups funktionieren und offline/offsite gesichert sind
  • Bereiten Sie Incident Response Toolkit vor (forensische Tools, Kontaktlisten, Vorlagen)
  • Etablieren Sie sichere Kommunikationskanäle für Krisenfall (separates E-Mail, verschlüsselte Messenger)

Organisatorische Vorbereitung:

  • Schulen Sie Mitarbeitende in Erkennung und Meldung von Vorfällen
  • Führen Sie Tabletop Exercises durch (simulierte Vorfälle am Konferenztisch)
  • Etablieren Sie Retainer mit Incident Response Spezialisten
  • Prüfen Sie Cyber-Versicherung und deren Anforderungen

Phase 2: Erkennung und Analyse (Detection & Analysis)

Früherkennung ist kritisch. Je schneller Sie einen Angriff erkennen, desto geringer der Schaden. Durchschnittlich dauert es in der Schweiz 127 Tage, bis ein Angriff entdeckt wird, bei KMU oft noch länger.

Erkennungsquellen:

  • Security Information and Event Management (SIEM) Alerts
  • Antivirus/Endpoint Detection and Response (EDR) Alarme
  • Intrusion Detection Systems (IDS)
  • Meldungen von Mitarbeitenden
  • Ungewöhnliche Netzwerkaktivität
  • Externe Hinweise (Kunden, Partner, Behörden)

Initiale Analyse:

  • Verifizieren Sie den Vorfall (True Positive vs. False Positive)
  • Klassifizieren Sie Schweregrad und Typ des Vorfalls
  • Bestimmen Sie betroffene Systeme und Daten
  • Identifizieren Sie wenn möglich Angriffsvektor und -zeitpunkt

Severity Rating: Etablieren Sie ein einfaches System zur Priorisierung:

Critical: Massive Datenexfiltration, Ransomware-Verschlüsselung kritischer Systeme, APT-Angriff

  • Response: Sofortige Eskalation, externe Experten, potenzielle Geschäftsunterbrechung

High: Kompromittierung wichtiger Systeme, Malware-Infektion mit Ausbreitungspotenzial

  • Response: Schnelle Reaktion innerhalb Stunden, Incident Response Team aktivieren

Medium: Isolierte Malware-Infektion, Phishing-Erfolg ohne kritische Daten

  • Response: Reaktion innerhalb Geschäftstag, reguläre Prozesse

Low: Failed Phishing-Versuch, automatisierte Scans

  • Response: Dokumentation, reguläre Behandlung

Phase 3: Eindämmung (Containment)

Ziel ist, weitere Schäden zu verhindern, ohne die Geschäftskontinuität mehr als nötig zu beeinträchtigen.

Kurzfristige Eindämmung:

  • Isolieren Sie betroffene Systeme vom Netzwerk
  • Blockieren Sie bekannte Command & Control (C2) Server
  • Deaktivieren Sie kompromittierte Accounts
  • Erhöhen Sie Monitoring auf nicht-betroffenen Systemen

Langfristige Eindämmung:

  • Patchen Sie ausgenutzte Schwachstellen
  • Implementieren Sie zusätzliche Sicherheitskontrollen
  • Bereiten Sie Recovery-Umgebung vor
  • Planen Sie System-Wiederherstellung

Wichtig: Balance zwischen Eindämmung und Beweissicherung. Zu aggressives Vorgehen kann forensische Analyse erschweren.

Phase 4: Beseitigung (Eradication)

Entfernen Sie die Bedrohung vollständig aus Ihrer Umgebung:

  • Löschen Sie Malware von allen betroffenen Systemen
  • Eliminieren Sie Backdoors und Persistenzmechanismen
  • Identifizieren und schliessen Sie initiale Eintrittswegs
  • Härten Sie Systeme gegen Re-Infektion

Häufiger Fehler: Unvollständige Eradication. Angreifer hinterlassen oft multiple Zugänge. Forensische Analyse sollte ALLE Kompromittierungen identifizieren, bevor Sie mit Recovery beginnen.

Phase 5: Wiederherstellung (Recovery)

Bringen Sie Systeme wieder in Produktivbetrieb:

Aus Backups:

  • Verifizieren Sie, dass Backups nicht kompromittiert sind
  • Stellen Sie Daten aus sauberen Backups wieder her
  • Testen Sie wiederhergestellte Systeme gründlich

System-Rebuild:

  • Bei schwerer Kompromittierung: Systeme neu aufsetzen statt reparieren
  • Frische Installation aus vertrauenswürdigen Quellen
  • Restore nur verifiziert saubere Daten

Phasenweise Wiederherstellung:

  • Priorisieren Sie geschäftskritische Systeme
  • Stellen Sie schrittweise wieder her, nicht alles auf einmal
  • Intensiviertes Monitoring während Recovery-Phase
  • Seien Sie auf mögliche Re-Infektion vorbereitet

Kommunikation:

  • Informieren Sie Mitarbeitende über Wiederherstellungsfortschritt
  • Managen Sie Erwartungen realistisch
  • Transparenz schafft Vertrauen, auch wenn Nachrichten unangenehm sind

Phase 6: Lessons Learned

Nach jedem signifikanten Vorfall sollte ein Post-Incident Review stattfinden:

Was lief gut?

  • Welche Massnahmen waren effektiv?
  • Was hat schnelle Response ermöglicht?
  • Welche Vorbereitungen zahlten sich aus?

Was lief schlecht?

  • Wo gab es Verzögerungen oder Fehler?
  • Welche Informationen fehlten?
  • Wo waren Prozesse unklar?

Wie wurde der Angriff möglich?

  • Welche Schwachstelle wurde ausgenutzt?
  • Wo versagten Schutzm assnahmen?
  • Gab es Warnzeichen, die übersehen wurden?

Welche Verbesserungen sind nötig?

  • Technische Massnahmen (Tools, Konfigurationen)
  • Prozessuale Verbesserungen (Playbooks, Eskalationen)
  • Organisatorische Anpassungen (Schulungen, Ressourcen)

Dokumentieren Sie:

  • Detaillierte Timeline des Vorfalls
  • Ergriffene Massnahmen und deren Wirksamkeit
  • Gesamtkosten (direkt und indirekt)
  • Lessons Learned und Action Items
  • Update Incident Response Plan basierend auf Erkenntnissen

Kommunikation während eines Vorfalls

Kommunikation ist einer der kritischsten und oft unterschätztesten Aspekte von Incident Response.

Interne Kommunikation

Krisenteam: Eng und frequent. Bei kritischen Vorfällen mehrmals täglich.

Management: Regelmässige Updates zu Status, Auswirkungen, Kosten, Timeline. Klare, faktenbasierte Kommunikation ohne Technokratie.

Mitarbeitende: Information über betroffene Systeme, erwartete Einschränkungen, Verhaltensanweisungen. Vermeiden Sie Panik, aber seien Sie transparent über Ernsthaftigkeit.

IT-Team: Technische Details, Arbeitsaufteilung, Koordination mit externen Experten.

Externe Kommunikation

Kunden:

  • Informieren Sie proaktiv, wenn deren Daten betroffen sein könnten
  • Transparent über Umfang und Massnahmen
  • Gemäss revDSG besteht Information spflicht bei hohem Risiko für betroffene Personen

Partner und Lieferanten:

  • Informieren, wenn deren Systeme betroffen sein könnten
  • Koordination bei Supply-Chain-Angriffen

Behörden:

  • EDÖB bei meldepflichtigen Datenschutzverletzungen
  • Nationale Zentrum für Cybersicherheit (NCSC) bei schwerwiegenden Vorfällen (freiwillig, aber empfohlen)
  • Branchenspezifische Regulatoren (FINMA, etc.)
  • Polizei bei Straftaten (Erpressung, Betrug)

Medien:

  • Nur wenn Vorfall öffentlich wurde oder werden wird
  • Bereiten Sie Statements vor
  • Konsistent und koordiniert kommunizieren
  • Erwägen Sie professionelle PR-Unterstützung bei grossen Vorfällen

Versicherung:

  • Umgehende Information gemäss Versicherungsbedingungen
  • Abstimmung zu Massnahmen (manche Versicherungen haben eigene Incident Response Partner)

Kommunikationskanäle

Problem: Bei vielen Incidents sind normale Kommunikationskanäle kompromittiert (E-Mail, internes Messaging).

Lösung: Bereiten Sie alternative, sichere Kanäle vor:

  • Externe, verschlüsselte E-Mail (nicht im kompromittierten System)
  • Sichere Messenger (Signal, Wire)
  • Physische Meetings
  • Dedicated Krisentelefon
  • Backup-Kommunikationsliste (private Kontakte des Krisenteams)

Spezifische Incident-Typen und Response

Ransomware-Angriff

Typischer Ablauf:

  1. Initiale Kompromittierung (Phishing, Vulnerability)
  2. Laterale Bewegung im Netzwerk (oft über Wochen)
  3. Datenexfiltration (für Double Extortion)
  4. Verschlüsselung und Lösegeldforderung

Response:

  • SOFORT Backups offline nehmen (falls noch nicht geschehen)
  • Isolieren Sie betroffene Systeme schnell
  • NICHT sofort zahlen, Optionen evaluieren
  • Forensische Analyse: Wie kam Angreifer rein? Sind alle Systeme identifiziert?
  • Recovery aus Backups wenn möglich
  • Kontaktieren Sie Behörden (NCSC hat Decryption Tools für manche Ransomware)

Zahlungsentscheidung: Komplexe ethische und praktische Frage:

  • Zahlung garantiert nicht Wiederherstellung oder Nicht-Veröffentlichung
  • Finanziert kriminelle Organisationen
  • Kann regulatorische Probleme schaffen (Sanktionen)
  • Manchmal letzte Option für Geschäftskontinuität
  • Rechtliche Beratung einholen

Data Breach (Datenschutzverletzung)

Kritische Fragen:

  • Welche Daten wurden kompromittiert?
  • Wie viele Personen sind betroffen?
  • Wie sensibel sind die Daten (Personendaten, Gesundheitsdaten, Finanzdaten)?
  • Wurden Daten exfiltriert oder nur potenziell zugänglich?

Response:

  • Stoppen Sie weitere Exfiltration
  • Identifizieren Sie Umfang der Kompromittierung
  • Prüfen Sie Meldepflichten (EDÖB, Betroffene)
  • Dokumentieren Sie Timeline und Massnahmen penibel
  • Bereiten Sie Kommunikation an Betroffene vor
  • Evaluieren Sie Unterstützungsangebote (Credit Monitoring bei Finanzdaten)

Business E-Mail Compromise (BEC)

Typischer Ablauf:

  • Kompromittierung oder Spoofing von CEO/CFO E-Mail
  • Anweisung an Finanzabteilung für dringende Überweisung
  • Geld wird auf Konto von Kriminellen überwiesen

Response:

  • Stoppen Sie weitere Transaktionen sofort
  • Kontaktieren Sie Ihre Bank (Rückbuchung manchmal möglich)
  • Polizeimeldung
  • Analyse: Wie wurde E-Mail kompromittiert?
  • Ändern Sie Passwörter, aktivieren Sie MFA
  • Schulen Sie Mitarbeitende zu Verifikationsprozessen

Distributed Denial of Service (DDoS)

Response:

  • Kontaktieren Sie Ihren ISP/Hosting-Provider
  • Aktivieren Sie DDoS-Mitigation (falls vorhanden)
  • Erwägen Sie Cloud-basierte DDoS-Protection (Cloudflare, Akamai)
  • Kommunizieren Sie mit Kunden über alternative Kontaktwege
  • Dokumentieren Sie Angriff für mögliche rechtliche Schritte

Incident Response Plan Template

Ein effektiver Incident Response Plan sollte mindestens folgende Elemente enthalten:

1. Incident Response Team

RolleNameKontakt (Büro)Kontakt (Mobil)Kontakt (Privat)Stellvertreter
Incident Response Manager
IT-Leiter
Security Officer
Geschäftsführer
Legal Counsel
PR/Kommunikation

2. Externe Kontakte

OrganisationKontaktTelefonE-MailZweck
Incident Response PartnerForensik, Response
IT-Forensik SpezialistBeweissicherung
Rechtsanwalt (Cyber)Rechtliche Beratung
Cyber-VersicherungSchadensmeldung
NCSC+41 58 462 89 29reports@ncsc.chMeldung, Unterstützung
EDÖB+41 58 462 43 95info@edoeb.admin.chMeldepflicht
KantonspolizeiStrafanzeige
PR-AgenturKommunikation

3. Incident-Klassifizierung

Critical: Sofortige Eskalation, Business Impact hoch High: Eskalation innerhalb 1 Stunde Medium: Response innerhalb 4 Stunden Low: Response innerhalb 24 Stunden

4. Response Playbooks

Für gängige Incident-Typen:

  • Ransomware
  • Data Breach
  • Malware-Infektion
  • BEC/Fraud
  • DDoS
  • Insider Threat

Jedes Playbook sollte enthalten:

  • Erkennungsmerkmale
  • Sofortmassnahmen
  • Eskalationspfad
  • Containment-Schritte
  • Eradication-Vorgehen
  • Recovery-Prozess
  • Kommunikationsvorlagen

5. Technische Ressourcen

  • Zugang zu Forensik-Tools
  • Backup-Zugriff und Restore-Prozeduren
  • Netzwerkdiagramme
  • Systemdokumentation
  • Credential-Management im Notfall
  • Alternative Kommunikationskanäle

6. Dokumentationsvorlagen

  • Incident Log Template
  • Timeline Template
  • Stakeholder Communication Templates
  • Post-Incident Report Template

Tabletop Exercises: Vorbereitung durch Simulation

Theorie ist gut, Praxis ist besser. Tabletop Exercises sind simulierte Vorfälle, bei denen das Team am Konferenztisch durchspielt, wie es reagieren würde.

Typischer Ablauf:

  1. Szenario-Präsentation (z.B. “Es ist Montagmorgen, mehrere Mitarbeitende melden verschlüsselte Dateien”)
  2. Team diskutiert und entscheidet Massnahmen
  3. Facilitator injiziert neue Informationen (“Die Verschlüsselung breitet sich aus…”)
  4. Weiter Diskussion und Entscheidungen
  5. Debrief: Was lief gut, was würde real nicht funktionieren?

Vorteile:

  • Identifiziert Lücken in Plänen und Prozessen
  • Teambuilding und Rollenklarheit
  • Praktische Übung ohne Risiko
  • Sensibilisierung des Managements

Empfehlung: Mindestens jährlich, idealerweise halbjährlich für geschäftskritische Organisationen.

Kosten eines Vorfalls: Was kommt auf Sie zu?

Ein Cyberangriff kostet Schweizer KMU im Durchschnitt CHF 80’000-250’000. Gemäss dem NCSC-Halbjahresbericht 2024 unterschätzen über 60% der betroffenen Unternehmen die tatsächlichen Gesamtkosten eines Vorfalls erheblich.

Direkte Kosten

  • Incident Response Experten: CHF 200-350 pro Stunde, typisch 50-200 Stunden = CHF 10.000-70.000
  • Forensik: CHF 15.000-50.000 je nach Komplexität
  • Rechtliche Beratung: CHF 10.000-30.000
  • Lösegeld (falls bezahlt): Durchschnittlich CHF 45.000 in der Schweiz
  • System-Wiederherstellung: CHF 20.000-100.000
  • Kreditmontoring für Betroffene: CHF 50-100 pro Person pro Jahr

Indirekte Kosten

  • Geschäftsunterbrechung: Oft grösster Kostenfaktor, typisch CHF 30.000-100.000 pro Tag
  • Produktivitätsverlust: Mitarbeitende können nicht arbeiten
  • Reputation sschäden: Schwer quantifizierbar, kann Kundenabwanderung bedeuten
  • Regulatorische Bussen: Bis CHF 250.000 bei DSG-Verletzungen
  • Erhöhte Versicherungsprämien: 20-50% Steigerung nach Vorfall möglich
  • Opportunitätskosten: Verpasste Geschäftschancen

Gesamtkosten typischer Vorfälle für KMU: CHF 80.000-250.000

Bei schweren Vorfällen können Kosten auch CHF 500.000+ erreichen.

Cyber-Versicherung und Incident Response

Cyber-Versicherungen decken typischerweise:

  • Incident Response Kosten
  • Forensik
  • Rechtliche Kosten
  • Regulatorische Bussen (teilweise)
  • Geschäftsunterbrechung
  • Erpressungsgelder (kontrovers)
  • PR und Krisenmanagement
  • Notification Costs

Wichtig: Viele Versicherungen haben eigene Incident Response Partner, die genutzt werden müssen. Klären Sie dies VOR einem Vorfall.

Versicherungen verlangen zunehmend Mindest-Sicherheitsstandards:

  • MFA
  • Regelmässige Backups (offline)
  • Patch Management
  • EDR/Antivirus
  • Mitarbeitenden-Schulungen

Fehlende Massnahmen können Deckung ausschliessen.

Vorbereitung entscheidet über den Ausgang: Vorbereitung ist alles

Die beste Incident Response beginnt lange vor dem Incident. Schweizer KMU sollten:

  1. Incident Response Plan entwickeln und regelmässig aktualisieren
  2. Team definieren und schulen
  3. Tabletop Exercises durchführen
  4. Externe Partner identifizieren (idealerweise Retainer)
  5. Technische Voraussetzungen schaffen (Logging, Monitoring, Backups)
  6. Kommunikationsprotokolle etablieren
  7. Meldepflichten kennen
  8. Cyber-Versicherung evaluieren

Im Ernstfall: Ruhe bewahren, Plan folgen, schnell handeln, Experten einbeziehen, dokumentieren. Die ersten Stunden sind kritisch.

Incident Response ist keine Option, sondern Notwendigkeit. Die Frage ist nicht, ob Sie angegriffen werden, sondern wie gut Sie vorbereitet sind, wenn es passiert. Um Schwachstellen proaktiv zu identifizieren, bevor Angreifer sie ausnutzen, empfiehlt sich ein regelmässiges Red Team Assessment, so lassen sich Lücken im Incident-Response-Prozess unter realistischen Bedingungen aufdecken.

Zurück zum Cybersecurity-Komplettguide