Incident-Response-Plan fuer KMU: Ein Praktischer Leitfaden fuer Schweizer Unternehmen
Warum die Meisten KMU Nicht auf einen Cyber-Vorfall Vorbereitet Sind
Hier ist eine Situation, die sich jede Woche in der Schweiz abspielt: Ein kleines Unternehmen entdeckt, dass seine Website gehackt wurde, Kundendaten gestohlen wurden oder Ransomware die Dateien verschluesselt hat. Der Inhaber fragt "was machen wir jetzt?" und niemand hat eine Antwort.
Es gibt keinen dokumentierten Plan. Es gibt keine designierte verantwortliche Person. Niemand weiss, wen man anrufen soll. Die Notfall-Hotline des IT-Anbieters laeuft auf die Mailbox. Stunden vergehen. Der Schaden wird groesser.
Laut einer Umfrage des Bundesamtes fuer Statistik erlebten ueber 36% der Schweizer Unternehmen im letzten Jahr einen Cyber-Vorfall. Fuer KMU im Tessin und in der gesamten Schweiz ist die Frage nicht ob ein Vorfall passieren wird, sondern wann. Einen Plan zu haben verhindert keine Vorfaelle, reduziert aber dramatisch den Schaden, die Ausfallzeit und die Kosten.
Die 6 Phasen der Incident Response
Phase 1: Vorbereitung
Ein Incident-Response-Team Benennen
Fuer ein KMU koennte das "Team" 2-3 Personen mit definierten Rollen sein:
- Incident-Koordinator: Die Person, die waehrend eines Vorfalls Entscheidungen trifft. Normalerweise der Geschaeftsfuehrer oder ein leitender Manager.
- Technischer Leiter: Die Person (oder externer Anbieter), die die technische Reaktion handhabt.
- Kommunikationsleiter: Die Person, die die Kommunikation mit Kunden, Mitarbeitern, Regulierungsbehoerden und Medien handhabt.
Kontaktliste Erstellen
Waehrend eines Vorfalls muessen Sie die richtigen Personen schnell erreichen. Bereiten Sie eine Kontaktliste vor (gedruckt, nicht nur digital):
- IT-Anbieter: Name, Telefon (Notfall), E-Mail, SLA-Details.
- Cybersecurity-Berater: fuer Untersuchung und Forensik.
- Rechtsbeistand: fuer regulatorische Pflichten.
- Cyber-Versicherer: Policennummer, Schadentelefon.
- NCSC (Nationales Zentrum fuer Cybersicherheit): report@ncsc.admin.ch, +41 58 462 29 19.
- Kantonspolizei: fuer Strafanzeigen.
- EDOEB (Eidgenoessischer Datenschutz- und Oeffentlichkeitsbeauftragter): fuer Meldungen unter dem nDSG.
Sicherstellen, Dass Backups Existieren und Getestet Sind
Backups sind das wirksamste Wiederherstellungswerkzeug. Aber nie getestete Backups sind keine Backups, sondern Hoffnungen. Ueberpruefen Sie: automatische taegliche Backups, an separatem Ort gespeichert, mindestens eine Kopie offline oder unveraenderbar, und Wiederherstellung in den letzten 6 Monaten getestet.
Phase 2: Identifikation
Haeufige Anzeichen eines Vorfalls
- Ungewoehnliche Login-Aktivitaet.
- Website-Defacement oder unautorisierte Inhaltsaenderungen.
- Kundenberichte ueber Phishing-E-Mails von Ihrer Domain.
- Unerwartete Systemverlangsamung oder Nichtverfuegbarkeit.
- Verschluesselte Dateien mit Loesegeldnachrichten auf Servern.
- Warnungen von Sicherheitsueberwachungstools.
Beweise Sichern
Bevor Sie Aenderungen vornehmen, sichern Sie Beweise: Screenshots, Logdateien, Zeitstempel. Starten Sie Systeme nicht neu, es sei denn es ist noetig.
Phase 3: Eindaemmung
- Betroffene Systeme isolieren: Kompromittierte Server vom Netzwerk trennen.
- Zugangsdaten aendern: Passwoerter fuer alle potenziell kompromittierten Konten zuruecksetzen.
- Angriffsvektor blockieren.
- Kompromittierte Zugriffstoken widerrufen.
Phase 4: Beseitigung
Identifizieren Sie die Grundursache. Haeufige Ursachen bei KMU: ungepatchtes CMS, kompromittierte Zugangsdaten, Phishing-Angriff, verwundbares Drittsoftware, fehlkonfigurierter Server.
Entfernen Sie alle boesartigen Dateien, Hinterturen und unautorisierten Konten. Stellen Sie saubere Versionen aus Backups wieder her. Aktualisieren Sie alle Software. Mehr zur Absicherung Ihres Website-Logins finden Sie in unserem Artikel zur Abwehr von Brute-Force-Angriffen.
Phase 5: Wiederherstellung
| Vorfalltyp | Typische Wiederherstellungszeit (KMU) | Schluesselfaktor |
|---|---|---|
| Website-Defacement | Stunden bis 1 Tag | Backup-Verfuegbarkeit |
| Ransomware | Tage bis Wochen | Backup-Qualitaet und -Abdeckung |
| Datenverletzung | Wochen bis Monate (inkl. Untersuchung) | Umfang der kompromittierten Daten |
| E-Mail-Kompromittierung (BEC) | Tage | Erkennungsgeschwindigkeit |
| DDoS-Angriff | Stunden | CDN/WAF-Faehigkeit |
Phase 6: Lessons Learned
Innerhalb von 2 Wochen nach der Loesung halten Sie ein Meeting mit allen Beteiligten ab. Beantworten Sie: Was ist passiert? Wie wurde es erkannt? Was hat gut funktioniert? Was hat nicht funktioniert? Was sollten wir anders machen?
Wen in der Schweiz Kontaktieren
NCSC (Nationales Zentrum fuer Cybersicherheit)
- Meldeformular: https://www.report.ncsc.admin.ch
- E-Mail: report@ncsc.admin.ch
- Telefon: +41 58 462 29 19
Kantonspolizei
Fuer Cybercrime-Anzeigen. Im Tessin verfuegt die Kantonspolizei ueber spezialisierte Cybercrime-Einheiten.
EDOEB (Eidgenoessischer Datenschutz- und Oeffentlichkeitsbeauftragter)
Unter dem neuen Datenschutzgesetz (nDSG, in Kraft seit 1. September 2023) muessen Datenschutzverletzungen, die ein hohes Risiko fuer die Persoenlichkeit oder die Grundrechte der betroffenen Personen darstellen, dem EDOEB so schnell wie moeglich gemeldet werden.
Meldepflichten unter nDSG und DSGVO
Schweizer nDSG
- Wer muss melden: Der Verantwortliche (typischerweise das Unternehmen).
- Wann melden: So schnell wie moeglich bei hohem Risiko.
- Melden an: EDOEB.
- Betroffene informieren: Erforderlich, wenn zu ihrem Schutz noetig.
EU DSGVO
Wenn Ihr Unternehmen Daten von EU/EWR-Einwohnern verarbeitet: Meldung innerhalb von 72 Stunden. Fuer Unternehmen im Tessin, die Kunden ueber die italienische Grenze bedienen, gelten beide Pflichten gleichzeitig.
Kommunikationsplan fuer Kunden
- Seien Sie transparent. Verbergen Sie den Vorfall nicht.
- Seien Sie sachlich. Berichten Sie, was Sie wissen und was Sie tun.
- Seien Sie proaktiv. Kontaktieren Sie betroffene Kunden direkt.
- Geben Sie umsetzbare Ratschlaege. Sagen Sie Kunden, was sie tun sollten.
Tabletop-Uebungen
Beispielszenario: Ransomware-Angriff
Montagmorgen, 8:15 Uhr. Ihr Bueroleiter versucht, Dateien auf dem geteilten Laufwerk zu oeffnen und sieht eine Nachricht, die 2 Bitcoin (ca. CHF 60.000) zur Entschluesselung fordert. Die Nachricht sagt, der Preis verdoppelt sich nach 48 Stunden. Alle Dateien auf dem geteilten Laufwerk sind verschluesselt. Ihre Website und E-Mail funktionieren noch.
Gehen Sie das Szenario durch: Wer uebernimmt die Fuehrung? Kontaktieren wir die Polizei? Bezahlen wir? Wie kommunizieren wir? Wann involvieren wir den Versicherer? Wie stellen wir aus dem Backup wieder her?
Fuehren Sie mindestens einmal jaehrlich eine Tabletop-Uebung durch. Wechseln Sie die Szenarien ab.
Naechste Schritte
Ein Incident-Response-Plan ist nur nuetzlich, wenn er vor dem Vorfall existiert. Einen nach einem Hack zu schreiben ist wie eine Feuerversicherung zu kaufen, nachdem das Gebaeude brennt.
Bei Envestis in Lugano helfen wir Schweizer KMU, praktische Incident-Response-Plaene zu erstellen, Tabletop-Uebungen durchzufuehren und die Sicherheitsmassnahmen umzusetzen, die die Wahrscheinlichkeit von Vorfaellen reduzieren. Lesen Sie unsere Sicherheits-Checkliste fuer KMU-Websites als Ausgangspunkt.
Wenn Sie Hilfe bei der Erstellung eines Incident-Response-Plans fuer Ihr Unternehmen benoetigen, oder wenn Sie gerade mit einem aktiven Vorfall umgehen, kontaktieren Sie uns. Vorbereitet zu sein kostet einen Bruchteil dessen, was die Wiederherstellung kostet, wenn man unvorbereitet ist.
Wollen Sie wissen, ob Ihre Website sicher ist?
Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.
Kostenloses Audit Anfordern