Die 24-Stunden-Meldepflicht an das BACS ist gesetzlich klar definiert. Was Unternehmen in diesen 24 Stunden operativ tun müssen, ist es nicht. Zwischen dem Moment der Entdeckung und der formellen Meldung liegen Entscheidungen, die über Schadenshöhe, Wiederherstellungszeit und regulatorische Konsequenzen entscheiden. Ein praktischer Leitfaden für den ersten Tag nach dem Vorfall.
Warum die ersten Stunden alles entscheiden
Die Schweizer Cyber-Statistik zeigt die Dimension des Problems. Im Jahr 2024 verzeichnete das BACS ca. 63.000 Cyber-Vorfälle – fast eine Verdoppelung gegenüber dem Vorjahr. Seit dem Inkrafttreten der ISG-Meldepflicht im April 2025 sind bis Februar 2026 allein 264 Angriffe auf kritische Infrastrukturen formell gemeldet worden. Ransomware macht einen erheblichen Teil davon aus.
Wer diese Statistiken liest und daraus etwa nur «das ist schlimm» schliesst, übersieht die wichtigere Botschaft: Ransomware ist kein theoretisches Risiko mehr, sondern ein operativer Normalzustand. Die Frage ist nicht mehr, ob ein Unternehmen getroffen wird, sondern wann – und vor allem: wie gut es auf diesen Moment vorbereitet ist.
Der tatsächliche Unterschied zwischen einem gut bewältigten Vorfall und einer Katastrophe liegt selten an der technischen Abwehr im Moment des Angriffs. Er liegt an den Entscheidungen der ersten Stunden danach. Wer in diesen Stunden planlos improvisiert, verliert Zeit, Daten und Handlungsfreiheit. Wer nach einem vorbereiteten Ablauf arbeitet, behält die Kontrolle.
Dieser Leitfaden beschreibt, was in den ersten 24 Stunden nach Entdeckung eines Ransomware-Angriffs konkret zu tun ist. Er ersetzt kein vollständiges Incident-Response-Playbook, aber er zeigt die kritischen Schritte und die typischen Fehler, die in Schweizer Unternehmen immer wieder auftreten.
Stunde 0 bis 1: Erkennen und isolieren
Der erste Hinweis auf einen Ransomware-Angriff ist selten die dramatische Lösegeldforderung auf dem Bildschirm. Häufiger sind es verdächtige Muster – Dateien, die sich plötzlich nicht mehr öffnen lassen, Backups, die fehlschlagen, Warnmeldungen aus dem Endpoint-Protection-System, Nutzer, die über ungewöhnliche Rechner-Verhaltensweisen klagen. In dieser Phase gibt es noch keine Gewissheit, nur Verdacht.
Der entscheidende Fehler in dieser Phase ist Abwarten. «Lass uns erst mal prüfen, ob das wirklich ein Problem ist» kostet typischerweise Stunden, in denen sich die Ransomware ungehindert ausbreitet. Moderne Ransomware-Varianten verschlüsseln in Minuten, nicht in Stunden.
Die drei Sofortmassnahmen in der ersten Stunde:
Erstens, betroffene Systeme vom Netzwerk trennen, aber eingeschaltet lassen. Ausschalten vernichtet flüchtige Forensik-Daten im RAM, die später für die Analyse kritisch sein können. Netzwerkkabel ziehen oder WLAN deaktivieren reicht. Cloud-Verbindungen, VPN-Tunnel und Remote-Desktop-Sessions ebenfalls kappen.
Zweitens, Backup-Systeme schützen. Ransomware-Gruppen zielen mittlerweile systematisch auf Backups, um das Lösegeld unvermeidbar zu machen. Wenn irgendein Verdacht besteht, dass die Backups kompromittiert sein könnten, trenne sie physisch oder logisch vom restlichen Netzwerk. Offline-Backups sind jetzt wertvoller als Gold.
Drittens, IT-Leitung und Geschäftsleitung informieren. Nicht später, nicht nach der ersten Analyse, sondern sofort. Die Geschäftsleitung muss von Anfang an eingebunden sein, weil die kommenden Entscheidungen finanzielle, rechtliche und reputationsbezogene Dimensionen haben, die nur sie treffen kann.
Stunde 1 bis 4: Triage und Eskalation
Jetzt wird aus dem Verdacht ein bestätigter Vorfall. Die nächsten drei Stunden dienen der Einschätzung des Schadens und der Aktivierung der richtigen Ressourcen.
Scope bestimmen: Wie viele Systeme sind betroffen? Welche Datenbestände sind verschlüsselt oder exfiltriert? Ist Active Directory kompromittiert? Sind Cloud-Systeme betroffen? Diese Fragen zu beantworten, braucht strukturierte Forensik, keine Spekulation. Ohne Scope-Kenntnis sind alle weiteren Entscheidungen Raten.
Externe Hilfe mobilisieren: Die meisten Schweizer KMU haben keine eigenen Forensik-Spezialisten. Der Anruf bei einem spezialisierten Incident-Response-Dienstleister gehört in diese Phase. Schweizer Anbieter wie InfoGuard, Kudelski Security, Compass Security, terreActive oder Redguard bieten 24/7-Reaktions-Services an, teilweise sogar mit «On-Demand»-Modellen, die ohne laufende Vertragskosten auskommen. Wer einen solchen Dienstleister erst im Moment der Krise sucht, verliert mehrere Stunden für Onboarding und rechtliche Rahmenbedingungen. Idealerweise existiert der Vertrag vorher.
Rechtliche Beratung aktivieren: Ransomware-Vorfälle haben mehrere rechtliche Dimensionen – Datenschutz (revDSG, DSGVO), Meldepflichten (ISG, FINMA bei Finanzunternehmen), Vertragsrechte gegenüber Kunden und Lieferanten, Versicherungsfragen. Ein Anwalt mit IT-Rechts-Expertise sollte spätestens jetzt einbezogen werden, ideal ist wiederum eine bestehende Beziehung.
Krisen-Team formieren: Kleine, klar definierte Gruppe mit klaren Rollen. Incident Commander, technischer Lead, Kommunikations-Lead, rechtlicher Lead, Geschäftsleitungs-Kontakt. In Schweizer KMU überlappen diese Rollen oft – wichtiger als saubere Trennung ist, dass jede Rolle explizit benannt ist und jeder weiss, wer welche Entscheidungen treffen darf.
Stunde 4 bis 12: Forensik und Beweissicherung
In diesen Stunden geht es darum, Fakten zu schaffen, die später sowohl operativ (Wiederherstellung) als auch rechtlich (Meldung, Versicherung, mögliche Strafverfolgung) relevant werden.
Forensische Images der betroffenen Systeme erstellen, bevor irgendetwas wiederhergestellt wird. Diese Images sind die Grundlage für die Analyse, wie der Angreifer ins System gekommen ist, welche Tools er verwendet hat, welche Daten er exfiltriert haben könnte. Ohne diese Forensik ist die spätere Meldung an das BACS unvollständig und der Versicherungsfall schwieriger durchzusetzen.
Indicators of Compromise sammeln und dokumentieren. IP-Adressen, Hash-Werte der Malware, verwendete Tools, C2-Server-Adressen, Benutzerkonten mit verdächtigen Aktivitäten. Diese Informationen sind einerseits für die Eindämmung wichtig, andererseits für die Meldung.
Angriffsvektor identifizieren. Wie ist die Ransomware ins Netzwerk gekommen? Phishing-E-Mail mit Anhang? Kompromittierter VPN-Zugang? Exploit einer ungepatchten Software? RDP-Brute-Force? Ohne Kenntnis des Eintrittsvektors kann das Loch nicht geschlossen werden, und die Gefahr besteht, dass die Wiederherstellung in einem noch infizierten Netzwerk stattfindet.
Die «No More Ransom»-Initiative von Europol und die Datenbank von ID Ransomware können helfen, die Ransomware-Variante zu identifizieren. Für einige bekannte Varianten existieren kostenlose Entschlüsselungs-Tools, die den Schaden erheblich reduzieren können. Das kostet zehn Minuten und kann Hunderttausende sparen.
Stunde 12 bis 24: Meldung und Kommunikation
Jetzt wird aus dem technischen Vorfall ein regulatorischer und kommunikativer Vorgang. Die 24-Stunden-Frist des BACS läuft ab dem Moment der Entdeckung – nicht ab dem Moment, in dem alles verstanden ist.
BACS-Meldung vorbereiten und einreichen. Die Meldung erfolgt über den Cyber Security Hub oder per E-Mail. Die erste Meldung muss nicht vollständig sein – nachträgliche Informationen können innerhalb von 14 Tagen ergänzt werden. Wichtig ist, dass die Meldung innerhalb der Frist erfolgt, auch wenn einige Details noch unklar sind.
Typische Pflichtangaben: Zeitpunkt der Entdeckung, betroffene Systeme und Dienste, bekannte technische Merkmale des Angriffs, bisher getroffene Massnahmen, Kontaktperson im Unternehmen. Ein vorbereitetes Meldeformular mit Platzhaltern spart in der Krise kritische Zeit.
Parallele Meldepflichten prüfen. Bei Datenschutzverletzungen läuft zusätzlich eine 72-Stunden-Frist zur Meldung an den EDÖB nach revDSG. Finanzunternehmen müssen die FINMA informieren. Börsenkotierte Unternehmen müssen prüfen, ob ein ad-hoc-Publizitätsereignis vorliegt. Unternehmen mit EU-Tochtergesellschaften müssen zusätzlich die nationalen NIS2-Meldepflichten beachten. Diese parallelen Pflichten dürfen nicht vergessen werden – sie haben teilweise eigene Fristen und Formate.
Interne Kommunikation steuern. Mitarbeitende werden merken, dass etwas nicht stimmt. Wer bis zum Nachmittag ohne Information gelassen wird, spekuliert oder informiert Dritte unkontrolliert. Eine klare, ehrliche interne Kommunikation – ohne Details zu technischen Schwachstellen – beugt Chaos vor. Die Botschaft sollte sein: Wir haben einen Sicherheitsvorfall, wir arbeiten daran, hier ist der temporäre Arbeitsmodus, hier ist die Kontaktperson für Fragen.
Externe Kommunikation vorbereiten, aber zurückhalten. Kunden, Lieferanten und Medien sollten erst informiert werden, wenn die Faktenlage stabil ist und die Botschaft abgestimmt ist. Zu frühe Kommunikation mit unvollständigen Informationen erzeugt Folgeprobleme. Zu späte Kommunikation erzeugt Vertrauensverlust. Der richtige Zeitpunkt liegt typischerweise zwischen 24 und 72 Stunden nach Entdeckung, abhängig vom Ausmass des Vorfalls.
Typische Fehler, die teuer werden
Aus der Erfahrung dokumentierter Schweizer Cyber-Vorfälle lassen sich einige wiederkehrende Muster erkennen, die den Schaden systematisch vergrössern.
Erster Fehler: Ausschalten statt Isolieren. Das Ausschalten betroffener Systeme löscht flüchtige Speicherinhalte, die für die Forensik entscheidend sein können. Isolation durch Netzwerktrennung ist fast immer die bessere Wahl.
Zweiter Fehler: Verzögerte Eskalation. Der Wunsch, das Problem «erst intern zu klären», bevor Geschäftsleitung, externe Experten oder Behörden informiert werden, kostet Stunden und verschlechtert die rechtliche Position. Die ISG-Meldefrist von 24 Stunden lässt keinen Spielraum für eine Testphase.
Dritter Fehler: Zahlung des Lösegelds ohne Beratung. Die Entscheidung, ob Lösegeld gezahlt wird oder nicht, ist komplex und hat finanzielle, rechtliche und ethische Dimensionen. Sie sollte niemals ohne rechtliche Beratung, Einbindung der Versicherung und Geschäftsleitungs-Entscheidung getroffen werden. In vielen Fällen ist die Zahlung rechtlich problematisch, wenn die Angreifergruppe auf Sanktionslisten steht. Das BACS und internationale Behörden raten generell von Zahlungen ab.
Vierter Fehler: Wiederherstellung auf kompromittierte Systeme. Backups in ein Netzwerk einzuspielen, das noch Reste der Angriffsinfrastruktur enthält, führt zur sofortigen Reinfektion. Vor der Wiederherstellung muss das gesamte Netzwerk bereinigt, Passwörter zurückgesetzt, Schwachstellen geschlossen und die Überwachung intensiviert sein.
Fünfter Fehler: Keine Dokumentation. Jeder Schritt, jede Entscheidung, jeder Kontakt muss protokolliert werden. Nicht nur für die rechtliche Absicherung, sondern auch für die spätere Aufarbeitung und die Verbesserung der eigenen Prozesse. In der Hitze des Vorfalls wird dieser Schritt oft vergessen und später schmerzhaft vermisst.
Vorbereitung vor dem Ernstfall
Das beste Playbook nützt nichts, wenn es erst im Moment der Krise gelesen wird. Die entscheidenden Vorbereitungen müssen vorher erfolgen.
Ein dokumentiertes Playbook, das konkret auf die eigenen Systeme und Prozesse zugeschnitten ist – nicht ein generisches Template. Die Rollen müssen mit echten Namen und Kontaktdaten belegt sein, nicht mit Funktionsbezeichnungen.
Vorverhandelte Verträge mit externen Incident-Response-Dienstleistern und IT-Rechtsanwälten. Der Anruf im Krisenfall sollte direkt in die Bearbeitung führen, nicht in eine Vertragsverhandlung.
Regelmässige Übungen – mindestens einmal jährlich eine Tabletop-Übung, in der das Krisen-Team durch ein realistisches Szenario geführt wird. Diese Übungen decken regelmässig Lücken auf, die im Ernstfall katastrophal wären.
Offline-Backups, die physisch oder logisch vom Produktivnetzwerk getrennt sind. Die 3-2-1-Regel bleibt der Goldstandard: drei Kopien, auf zwei verschiedenen Medien, davon eine offsite.
Ein vorbereitetes BACS-Meldeformular mit den immer gleichen Pflichtangaben, in dem nur noch die vorfalls-spezifischen Details ergänzt werden müssen. Das spart im Ernstfall mindestens eine Stunde.
Die Investition in diese Vorbereitung ist klein im Verhältnis zum möglichen Schaden eines unvorbereitet bewältigten Vorfalls. Und sie zahlt sich auch dann aus, wenn der Ernstfall nie eintritt – durch ein strukturiertes Verständnis der eigenen Risiken und Abhängigkeiten.
Die nüchterne Wahrheit
Ein Ransomware-Angriff ist keine Frage des Ob, sondern des Wann. Die Qualität der Reaktion hängt fast vollständig von der Vorbereitung ab, nicht von der Improvisationsfähigkeit im Moment der Krise. Unternehmen, die das verstanden haben, investieren in Playbooks, Übungen und externe Partnerschaften. Unternehmen, die es nicht verstanden haben, zahlen später – entweder in Form von Lösegeld, Wiederherstellungskosten, regulatorischen Bussen oder verlorenem Kundenvertrauen.
Die ISG-Meldepflicht seit April 2025 ändert daran nichts. Sie macht die Kosten eines schlecht bewältigten Vorfalls nur sichtbarer und erhöht den Druck, vorbereitet zu sein.
