Sofortantwort
Bei einem Cyberangriff zählen drei Ziele: Ausbreitung begrenzen, Beweise erhalten und den Betrieb kontrolliert stabilisieren. Alarmieren Sie die interne Notfallorganisation, isolieren Sie betroffene Systeme gemäss Incident-Response-Plan und beginnen Sie sofort ein Zeit- und Entscheidungsprotokoll. Starten Sie Systeme nicht unkoordiniert neu, löschen Sie nichts und kommunizieren Sie über einen sicheren, nötigenfalls externen Kanal.
Die folgende Zeitachse ist ein operativer Ablauf, keine allgemeine gesetzliche Frist. Ob und wann EDÖB, BACS, Polizei, Aufsicht, Versicherer oder Vertragspartner informiert werden müssen, ist separat zu prüfen.
Die ersten 15 Minuten
- Alarm auslösen. IT-Verantwortliche, Geschäftsleitung und definierte Stellvertretungen über den vorbereiteten Kanal erreichen.
- Ausbreitung begrenzen. Betroffene Geräte und Segmente vom Netzwerk trennen; kompromittierte Fernzugänge sperren. Nicht eigenmächtig zurücksetzen oder neu installieren.
- Backups schützen. Noch nicht betroffene Sicherungen und Management-Zugänge vor dem Zugriff der Angreifer abschirmen.
- Protokoll starten. Entdeckungszeit, Meldende, sichtbare Symptome, Systeme und jede Massnahme mit Uhrzeit festhalten.
- Sichere Kommunikation nutzen. Bei möglicher E-Mail-Kompromittierung nicht über dasselbe Konto oder denselben Chat koordinieren.
Wenn Menschen, medizinische Versorgung, industrielle Sicherheit oder andere kritische Prozesse gefährdet sind, gilt der dafür vorbereitete Sicherheits- und Kontinuitätsplan vor diesem allgemeinen Leitfaden.
Innerhalb von 4 Stunden
Lagebild und Beweissicherung
- Betroffene Identitäten, Geräte, Server, Cloud-Dienste, Standorte und Daten eingrenzen.
- Logs, verdächtige Nachrichten, Dateinamen, Zeitstempel und technische Indikatoren sichern.
- Bei fehlender eigener Kompetenz qualifizierte Incident-Response- und Forensik-Fachleute beiziehen.
- Wiederaufsetzen und Wiederherstellung erst mit Forensik beziehungsweise Polizei koordinieren, wenn Beweise relevant sein können.
Externe Hilfe und finanzielle Begrenzung
- Versicherungsnummer, Notfallhotline, zugelassene Dienstleister und Zustimmungsvorbehalte prüfen; den Vorfall nach den Vertragsregeln früh melden.
- Bei Fehlüberweisungen oder kompromittierten Bankzugängen die Bank unverzüglich über eine bekannte Nummer kontaktieren.
- Bei möglicher Straftat die zuständige Kantonspolizei einbeziehen. Das BACS empfiehlt, auch versuchte Cybervorfälle zu melden.
- Kritische Geschäftsprozesse auf geprüfte Notverfahren umstellen und jede Ausnahme genehmigen lassen.
Innerhalb von 24 Stunden
- Meldepflichten entscheiden und dokumentieren. Art. 24 DSG, BACS-Unterstellung, Branchenaufsicht, Verträge und Auslandbezug getrennt prüfen.
- Kommunikation festlegen. Mitarbeitende, Kunden und Partner nur mit bestätigten Fakten, klaren Handlungsanweisungen und einem benannten Kontakt informieren.
- Wiederanlauf planen. Angriffsweg schliessen, Identitäten absichern, saubere Systeme aufbauen und Daten nur aus geprüften Sicherungen zurückspielen.
- Schaden erfassen. Ausfall, Mehrkosten, externe Leistungen und Entscheidungen laufend belegen; Kosten nicht allein aus dem Gedächtnis rekonstruieren.
- Nächsten Lageentscheid terminieren. Verantwortliche, offene Fragen, Risiken und Freigabekriterien schriftlich festhalten.
EDÖB und BACS nicht verwechseln
| Prüfung | Zeitpunkt | Kernfrage |
|---|---|---|
| EDÖB, Art. 24 DSG | so rasch als möglich, wenn meldepflichtig | Führt eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für betroffene Personen? |
| BACS, gesetzliche Pflicht | innert 24 Stunden nach Entdeckung | Ist die Organisation eine erfasste kritische Infrastruktur und der Angriff meldepflichtig? |
| BACS, freiwillige Meldung | möglichst früh | Kann die Meldung zur Lagebeurteilung und Warnung anderer beitragen? |
Die allgemeine Schweizer DSG-Meldung hat keine pauschale 72-Stunden-Frist. Für international tätige Unternehmen können daneben ausländische Regeln gelten. Details erklärt der Ratgeber zur Meldepflicht.
Druckbarer Ein-Seiten-Notfallplan und Vorfallsprotokoll
Der folgende Abschnitt ist für A4 optimiert. Mit Ctrl/⌘ + P wird nur der Notfallplan gedruckt. Drucken Sie ihn vorsorglich aus, ergänzen Sie Namen und Nummern und bewahren Sie ihn ausserhalb der produktiven IT auf.
A4 · offline ausfüllen · halbjährlich prüfen
Cyber-Notfallplan für die erste Stunde
Organisation: · Version/Datum: · Verantwortlich:
1 · Alarm und Schutz
- □ Notfallleitung und IT alarmiert
- □ Betroffene Systeme/Segmente isoliert
- □ Backups und Admin-Zugänge geschützt
- □ Kein unkoordinierter Neustart/Reset
- □ Sicherer Kommunikationskanal aktiviert
2 · Notfallkontakte
Notfallleitung:
IT/Forensik:
Versicherer/Police:
Bank/Polizei:
Recht/Datenschutz:
3 · Erstes Lagebild
| Entdeckt | Datum/Zeit: · durch: |
|---|---|
| Symptome | |
| Betroffen | Systeme/Daten/Standorte: |
| Auswirkung | Betrieb/Personen/Dritte: |
4 · Vorfallsprotokoll
| Zeit | Beobachtung/Massnahme | Person | Freigabe/Beleg |
|---|---|---|---|
Zeit: · Leitung:
□ Versicherer · □ BACS · □ EDÖB · □ Polizei · □ weitere
Was Sie im Vorfall vermeiden sollten
- kompromittierte Geräte weiterverwenden, um «noch schnell» Daten zu kopieren;
- Systeme löschen, neu starten oder zurücksetzen, bevor Beweise und Wiederanlauf abgestimmt sind;
- über vermutlich kompromittierte Konten oder Geräte koordinieren;
- unbestätigte Ursachen, Täter oder Datenabflüsse öffentlich behaupten;
- externe Kosten ohne Prüfung der notwendigen Sofortmassnahme und der vertraglichen Freigabe beauftragen;
- eine sichere Wiederherstellung mit einer blossen Rückkehr zur Verfügbarkeit verwechseln.
Welche Rolle hat die Cyberversicherung?
Je nach Vertrag kann eine Cyberversicherung Notfallkoordination, Forensik, Rechtsberatung, Krisenkommunikation, Datenwiederherstellung, Betriebsunterbruch oder Haftpflicht erfassen. Der Versicherungsschutz ist nicht automatisch: Auslöser, Limiten, Sublimiten, Selbstbehalt, Wartefrist, Sicherheitsvorgaben, Dienstleisterwahl und Zustimmungspflichten sind im konkreten Vertrag zu prüfen.
Halten Sie deshalb Police und Notfallnummer offline bereit. Der Deckungsleitfaden zeigt, welche Vertragsstellen vor dem Vorfall geklärt werden sollten.
Offizielle Quellen
- BACS: Cyberangriff – was tun? Informationen und Checklisten
- EDÖB: Leitfaden Data Breach nach Art. 24 DSG
- BACS: Meldepflicht für kritische Infrastrukturen
Inhaltlich geprüft am 18. Juli 2026. Dieser Ratgeber ersetzt weder einen auf das Unternehmen abgestimmten Incident-Response-Plan noch technische, rechtliche oder versicherungsbezogene Einzelfallberatung.