cyberversicherung.ch Notfall

cyberversicherung.ch

Cyberangriff: Was tun? Notfallplan für Schweizer KMU

Konkreter Ablauf für die ersten 15 Minuten, 4 Stunden und 24 Stunden nach einem Cyberangriff – inklusive druckbarem Ein-Seiten-Notfallplan und Vorfallsprotokoll.

Veröffentlicht: Lesezeit: 7 Min. Quellen: 3 Geprüft von:
Auf dieser Seite

Sofortantwort

Bei einem Cyberangriff zählen drei Ziele: Ausbreitung begrenzen, Beweise erhalten und den Betrieb kontrolliert stabilisieren. Alarmieren Sie die interne Notfallorganisation, isolieren Sie betroffene Systeme gemäss Incident-Response-Plan und beginnen Sie sofort ein Zeit- und Entscheidungsprotokoll. Starten Sie Systeme nicht unkoordiniert neu, löschen Sie nichts und kommunizieren Sie über einen sicheren, nötigenfalls externen Kanal.

Die folgende Zeitachse ist ein operativer Ablauf, keine allgemeine gesetzliche Frist. Ob und wann EDÖB, BACS, Polizei, Aufsicht, Versicherer oder Vertragspartner informiert werden müssen, ist separat zu prüfen.

Die ersten 15 Minuten

  1. Alarm auslösen. IT-Verantwortliche, Geschäftsleitung und definierte Stellvertretungen über den vorbereiteten Kanal erreichen.
  2. Ausbreitung begrenzen. Betroffene Geräte und Segmente vom Netzwerk trennen; kompromittierte Fernzugänge sperren. Nicht eigenmächtig zurücksetzen oder neu installieren.
  3. Backups schützen. Noch nicht betroffene Sicherungen und Management-Zugänge vor dem Zugriff der Angreifer abschirmen.
  4. Protokoll starten. Entdeckungszeit, Meldende, sichtbare Symptome, Systeme und jede Massnahme mit Uhrzeit festhalten.
  5. Sichere Kommunikation nutzen. Bei möglicher E-Mail-Kompromittierung nicht über dasselbe Konto oder denselben Chat koordinieren.

Wenn Menschen, medizinische Versorgung, industrielle Sicherheit oder andere kritische Prozesse gefährdet sind, gilt der dafür vorbereitete Sicherheits- und Kontinuitätsplan vor diesem allgemeinen Leitfaden.

Innerhalb von 4 Stunden

Lagebild und Beweissicherung

  • Betroffene Identitäten, Geräte, Server, Cloud-Dienste, Standorte und Daten eingrenzen.
  • Logs, verdächtige Nachrichten, Dateinamen, Zeitstempel und technische Indikatoren sichern.
  • Bei fehlender eigener Kompetenz qualifizierte Incident-Response- und Forensik-Fachleute beiziehen.
  • Wiederaufsetzen und Wiederherstellung erst mit Forensik beziehungsweise Polizei koordinieren, wenn Beweise relevant sein können.

Externe Hilfe und finanzielle Begrenzung

  • Versicherungsnummer, Notfallhotline, zugelassene Dienstleister und Zustimmungsvorbehalte prüfen; den Vorfall nach den Vertragsregeln früh melden.
  • Bei Fehlüberweisungen oder kompromittierten Bankzugängen die Bank unverzüglich über eine bekannte Nummer kontaktieren.
  • Bei möglicher Straftat die zuständige Kantonspolizei einbeziehen. Das BACS empfiehlt, auch versuchte Cybervorfälle zu melden.
  • Kritische Geschäftsprozesse auf geprüfte Notverfahren umstellen und jede Ausnahme genehmigen lassen.

Innerhalb von 24 Stunden

  1. Meldepflichten entscheiden und dokumentieren. Art. 24 DSG, BACS-Unterstellung, Branchenaufsicht, Verträge und Auslandbezug getrennt prüfen.
  2. Kommunikation festlegen. Mitarbeitende, Kunden und Partner nur mit bestätigten Fakten, klaren Handlungsanweisungen und einem benannten Kontakt informieren.
  3. Wiederanlauf planen. Angriffsweg schliessen, Identitäten absichern, saubere Systeme aufbauen und Daten nur aus geprüften Sicherungen zurückspielen.
  4. Schaden erfassen. Ausfall, Mehrkosten, externe Leistungen und Entscheidungen laufend belegen; Kosten nicht allein aus dem Gedächtnis rekonstruieren.
  5. Nächsten Lageentscheid terminieren. Verantwortliche, offene Fragen, Risiken und Freigabekriterien schriftlich festhalten.

EDÖB und BACS nicht verwechseln

PrüfungZeitpunktKernfrage
EDÖB, Art. 24 DSGso rasch als möglich, wenn meldepflichtigFührt eine Verletzung der Datensicherheit voraussichtlich zu einem hohen Risiko für betroffene Personen?
BACS, gesetzliche Pflichtinnert 24 Stunden nach EntdeckungIst die Organisation eine erfasste kritische Infrastruktur und der Angriff meldepflichtig?
BACS, freiwillige Meldungmöglichst frühKann die Meldung zur Lagebeurteilung und Warnung anderer beitragen?

Die allgemeine Schweizer DSG-Meldung hat keine pauschale 72-Stunden-Frist. Für international tätige Unternehmen können daneben ausländische Regeln gelten. Details erklärt der Ratgeber zur Meldepflicht.

Druckbarer Ein-Seiten-Notfallplan und Vorfallsprotokoll

Der folgende Abschnitt ist für A4 optimiert. Mit Ctrl/⌘ + P wird nur der Notfallplan gedruckt. Drucken Sie ihn vorsorglich aus, ergänzen Sie Namen und Nummern und bewahren Sie ihn ausserhalb der produktiven IT auf.

Cyber-Notfallplan für die erste Stunde

Organisation: · Version/Datum: · Verantwortlich:

3 · Erstes Lagebild

4 · Vorfallsprotokoll

Was Sie im Vorfall vermeiden sollten

  • kompromittierte Geräte weiterverwenden, um «noch schnell» Daten zu kopieren;
  • Systeme löschen, neu starten oder zurücksetzen, bevor Beweise und Wiederanlauf abgestimmt sind;
  • über vermutlich kompromittierte Konten oder Geräte koordinieren;
  • unbestätigte Ursachen, Täter oder Datenabflüsse öffentlich behaupten;
  • externe Kosten ohne Prüfung der notwendigen Sofortmassnahme und der vertraglichen Freigabe beauftragen;
  • eine sichere Wiederherstellung mit einer blossen Rückkehr zur Verfügbarkeit verwechseln.

Welche Rolle hat die Cyberversicherung?

Je nach Vertrag kann eine Cyberversicherung Notfallkoordination, Forensik, Rechtsberatung, Krisenkommunikation, Datenwiederherstellung, Betriebsunterbruch oder Haftpflicht erfassen. Der Versicherungsschutz ist nicht automatisch: Auslöser, Limiten, Sublimiten, Selbstbehalt, Wartefrist, Sicherheitsvorgaben, Dienstleisterwahl und Zustimmungspflichten sind im konkreten Vertrag zu prüfen.

Halten Sie deshalb Police und Notfallnummer offline bereit. Der Deckungsleitfaden zeigt, welche Vertragsstellen vor dem Vorfall geklärt werden sollten.

Offizielle Quellen

Inhaltlich geprüft am 18. Juli 2026. Dieser Ratgeber ersetzt weder einen auf das Unternehmen abgestimmten Incident-Response-Plan noch technische, rechtliche oder versicherungsbezogene Einzelfallberatung.

BTAG Versicherungsbroker AG · Bern

Haben Sie Fragen zu Cyberversicherungen?

BTAG klärt Ihr Risikoprofil und legt eine allfällige Courtage vor dem Abschluss transparent offen. Die Anfrage verpflichtet zu keinem Abschluss.

Geprüfte Primärquellen
Courtage wird offengelegt