Montag, 07:52 Uhr. Sie kommen ins Büro, schalten Ihren Rechner ein – und sehen nichts als eine rote Maske mit einer Forderung: 80.000 Franken in Bitcoin, zahlbar innerhalb von 48 Stunden. Alle Dateien verschlüsselt. Das Telefon klingelt. Ihre Mitarbeitenden können nicht arbeiten.

Kein Schritt-für-Schritt-Plan. Keine Kontaktnummer. Keine Ahnung, wo man anfangen soll.

Dieses Szenario ist kein Horrorszenario aus einem Film. Es trifft Schweizer KMU jede Woche – durchschnittlich über 1.100 Mal. Die entscheidende Frage ist nicht ob Ihr Unternehmen angegriffen wird, sondern wann. Und vor allem: Was tun Sie in den ersten 60 Minuten?

Genau diese Minuten entscheiden darüber, ob ein Angriff einen kontrollierten Vorfall bleibt – oder Ihr Unternehmen in eine existenzielle Krise stürzt.

Cyberangriff was tun – Warum die ersten 60 Minuten alles entscheiden

Moderne Ransomware-Angriffe – und das ist das Heimtückische – haben zu dem Zeitpunkt, an dem Sie sie bemerken, oft bereits stunden- oder tagelang in Ihrem Netzwerk gewirkt. Daten wurden bereits kopiert, Backups sabotiert, Rückfalltüren eingebaut.

Was Sie in der ersten Stunde tun – oder eben nicht tun – bestimmt:

  • Wie weit sich der Angriff noch ausbreitet
  • Ob und welche Daten gerettet werden können
  • Wie schnell Sie den Betrieb wiederherstellen
  • Ob Sie Ihre rechtlichen Meldepflichten erfüllen – und Bussen vermeiden

Hier sind die fünf Massnahmen, die jetzt zählen.

Massnahme 1: Isolieren – sofort und konsequent

Das Wichtigste zuerst: Unterbrechen Sie die Verbindung. Betroffene Geräte müssen sofort vom Netzwerk getrennt werden – Netzwerkkabel raus, WLAN deaktivieren. Nicht herunterfahren, nicht neu starten.

Warum keinen Neustart? Weil viele Ransomware-Programme beim Neustart weitere Schadroutinen aktivieren. Der laufende Arbeitsspeicher könnte ausserdem wertvolle forensische Spuren enthalten, die Ihnen später helfen.

Konkret bedeutet das:

  • Alle betroffenen PCs, Laptops und Server physisch vom Netzwerk trennen
  • WLAN-Router und Switches abschalten, wenn der Umfang unklar ist
  • VPN-Zugänge und Cloud-Verbindungen sperren

Ja, das bedeutet Betriebsstillstand. Aber ein gewählter, kontrollierter Stillstand ist besser als ein unkontrollierter, der sich stundenlang ausbreitet und immer mehr Systeme erfasst.

Massnahme 2: Den Krisenstab alarmieren

Ein Cyberangriff ist keine reine IT-Angelegenheit. Er ist eine Unternehmenskrise. Deshalb müssen jetzt genau die richtigen Menschen informiert werden – schnell, gezielt und über sichere Kommunikationswege.

Wen Sie jetzt kontaktieren:

  • Geschäftsführung: Entscheidungen müssen sofort getroffen werden können
  • IT-Verantwortliche / IT-Dienstleister: Technische Sofortmassnahmen einleiten
  • Rechtsabteilung oder Anwalt: Haftungsfragen und Meldepflichten klären
  • Versicherung: Falls eine Cyber-Police besteht, muss diese sofort informiert werden – Fristen gelten!

Wichtig: Kommunizieren Sie intern über Mobiltelefone oder persönliche E-Mail-Adressen. Wenn Ihre Unternehmens-E-Mail kompromittiert ist, sehen die Angreifer möglicherweise mit – und können Ihre Gegenmassnahmen antizipieren.

Falls Sie noch keinen IT-Notfallplan mit klar definierten Ansprechpersonen haben: Das ist einer der häufigsten Fehler, den wir bei Schweizer KMU sehen. Und einer der einfachsten, den man beheben kann – bevor es zu spät ist.

Massnahme 3: Beweise sichern – nichts löschen

Der Instinkt vieler Geschäftsführer ist verständlich: alles sofort bereinigen, neu aufsetzen, zurück zur Normalität. Das ist fast immer ein Fehler.

Forensische Spuren – Logdateien, Prozesslisten, Netzwerkverbindungen – sind Gold wert. Sie helfen zu verstehen:

  • Wie die Angreifer hereingekommen sind (damit Sie diese Lücke schliessen können)
  • Welche Daten möglicherweise gestohlen wurden
  • Ob noch aktive Bedrohungen im Netzwerk lauern

Was Sie sichern sollten:

  • Screenshots aller Fehlermeldungen und Erpressungsnachrichten
  • Systemlogs und Event-Viewer-Einträge (wenn noch zugänglich)
  • Liste aller betroffenen Systeme
  • Zeitstempel: Wann wurde der Angriff bemerkt? Welche Aktionen wurden wann durchgeführt?

Massnahme 4: Behörden informieren und Meldepflichten einhalten

Das neue Schweizer Datenschutzgesetz (nDSG) ist seit September 2023 in Kraft. Es verpflichtet Unternehmen, Datenpannen – also unbefugte Zugriffe auf Personendaten – dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖBU) zu melden. Bei schwerem Risiko müssen auch Betroffene informiert werden.

Unabhängig davon empfiehlt sich eine Meldung beim Nationalen Zentrum für Cybersicherheit (NCSC). Das NCSC unterstützt Unternehmen kostenlos, gibt Empfehlungen und koordiniert bei grösseren Vorfällen – auch mit den Strafverfolgungsbehörden.

Checkliste Meldepflichten:

  • NCSC melden: www.ncsc.admin.ch/meldung – kostenlos, empfohlen
  • EDÖBU melden: Bei Datenpannen mit Personendaten und hohem Risiko (Pflicht gemäss nDSG)
  • Strafanzeige: Bei der kantonalen Strafverfolgungsbehörde (Kantonspolizei / Staatsanwaltschaft)
  • Versicherung: Cyber-Versicherung (falls vorhanden) umgehend kontaktieren

Massnahme 5: Strukturierte Wiederherstellung – nicht einfach drüber installieren

Viele KMU machen jetzt den nächsten Fehler: Sie nehmen das nächste verfügbare Backup, stellen alles wieder her – und sind eine Woche später wieder infiziert. Weil die Hintertür noch offen ist. Weil das Backup selbst bereits kompromittiert war.

Eine strukturierte Wiederherstellung bedeutet:

  1. Vollständige forensische Analyse zuerst: Wie sind die Angreifer reingekommen? Welche Systeme sind betroffen?
  2. Backup-Integrität prüfen: Nicht jedes Backup ist sauber. Offline-Backups ausserhalb des Netzwerks sind der Goldstandard.
  3. Systeme neu aufsetzen: Betroffene Maschinen nie einfach säubern – vollständig neu aufsetzen.
  4. Schritt für Schritt wiederherstellen: Kritische Systeme zuerst, Überwachung bei jeder Phase.
  5. Sicherheitslücke schliessen: Erst wenn die Eintrittspforte bekannt und geschlossen ist, geht man in den Normalbetrieb.

Die bittere Wahrheit: Was die meisten KMU in diesem Moment nicht haben

Sie haben diese fünf Massnahmen gelesen und denken vielleicht: „Logisch. Das wüssten wir auch so.“

Aber wenn um 7:52 Uhr der Bildschirm rot wird und das Telefon klingelt – dann handeln die wenigsten so. Laut der aktuellen Schweizer Cyberstudie haben nur 30 % der KMU einen dokumentierten IT-Notfallplan. Nur jedes fünfte Unternehmen führt regelmässige Sicherheitsaudits durch.

Was im Ernstfall fehlt:

  • Eine klare Notfallkontaktliste (wer ruft wen an, über welchen Kanal?)
  • Ein off-site oder offline Backup, das nachweislich funktioniert
  • Ein externer Ansprechpartner mit Incident-Response-Kompetenz
  • Mitarbeitende, die wissen, was sie tun müssen – und was nicht

Das Gute: Keines dieser Elemente ist besonders teuer oder aufwendig. Es braucht einfach jemanden, der es einmal richtig aufbaut.

Fazit: Vorbereitung schlägt Reaktion

Ein Cyberangriff ist kein Technologieproblem. Es ist ein Managementproblem – und ein Vorbereitungsproblem. Die oben genannten fünf Massnahmen können den Schaden im Ernstfall massiv begrenzen. Aber sie wirken zehnmal effizienter, wenn sie vorher geübt, dokumentiert und ins Team eingespielt sind.

Ein Ransomware-Angriff kostet ein Schweizer KMU im Durchschnitt über eine Million Franken – inklusive Betriebsausfall, Wiederherstellungskosten und Reputationsschäden. Die Kosten für einen professionellen Notfallplan? Ein Bruchteil davon.

Ihr KMU hat noch keinen IT-Notfallplan?

Wir erstellen mit Ihnen gemeinsam einen praxistauglichen Incident-Response-Plan – inklusive Notfallkontakten, Kommunikationsprotokoll und Backup-Strategie. Damit Sie im Ernstfall wissen, was zu tun ist.

➤ Jetzt kostenloses Erstgespräch vereinbaren

Häufige Fragen (FAQ)

Soll ich das Lösegeld zahlen?

Die offizielle Empfehlung von NCSC und Strafverfolgungsbehörden lautet: Nein. Eine Zahlung garantiert weder die Rückkehr Ihrer Daten noch, dass Sie nicht erneut angegriffen werden. Ausserdem finanzieren Sie damit weitere kriminelle Aktivitäten. Es gibt Ausnahmefälle – diese sollten aber immer mit einem Fachmann und Ihrem Anwalt besprochen werden.

Wie schnell muss ich eine Datenpanne melden?

Das nDSG schreibt keine exakte Frist vor, verlangt aber eine Meldung „möglichst rasch“. Als Orientierung gilt: innerhalb von 72 Stunden nach Entdeckung – analog zur EU-DSGVO. Warten Sie nicht.

Kann ich meinen Betrieb während eines Angriffs weiterlaufen lassen?

Nicht-betroffene Systeme dürfen weitergenutzt werden, sofern deren Isolation sichergestellt ist. Aber im Zweifel: Lieber einen halben Tag freiwillig stoppen als eine Woche unfreiwillig.

Share This Story, Choose Your Platform!

Related Posts

Cyber Security Beratung Schweiz 2026: Was KMU wirklich brauchen – und was sie vermeiden sollten
Cyber Security Beratung Schweiz 2026: Was KMU wirklich brauchen – und was sie vermeiden sollten

Cyber Security Beratung Schweiz 2026: Was KMU wirklich brauchen – und was sie vermeiden sollten

April 16th, 2026|0 Comments
Digitale Forensik in der Schweiz: Handy, Computer und Beweissicherung für Unternehmen

Digitale Forensik in der Schweiz: Handy, Computer und Beweissicherung für Unternehmen

März 21st, 2026|0 Comments
IT-Audit in der Schweiz: Der komplette Leitfaden für Unternehmen 2026
IT-Audit in der Schweiz: Der komplette Leitfaden für Unternehmen 2026

IT-Audit in der Schweiz: Der komplette Leitfaden für Unternehmen 2026

März 21st, 2026|0 Comments