Ein Cyberangriff trifft die meisten Unternehmen unvorbereitet. Nicht weil die Bedrohung unbekannt wäre, sondern weil der Ernstfall nie konkret durchgespielt wurde. Laut IBM Cost of a Data Breach Report 2024 betragen die durchschnittlichen Kosten eines Datenlecks USD 4.88 Millionen – ein Anstieg von 10% gegenüber dem Vorjahr. Entscheidend ist die Reaktionsgeschwindigkeit: Breaches, die innerhalb von 200 Tagen erkannt und eingedämmt werden, kosten durchschnittlich USD 3.93 Millionen. Dauert es länger, steigen die Kosten auf USD 4.95 Millionen – eine Differenz von über einer Million Dollar.
Die ersten 24 Stunden nach der Entdeckung eines Angriffs bestimmen den weiteren Verlauf. Jede Fehlentscheidung in dieser Phase vergrössert den Schaden exponentiell. Dieser Beitrag beschreibt, was in diesen kritischen Stunden passieren muss – und was auf keinen Fall passieren darf.
Das NIST-Framework als Leitplanke
NIST SP 800-61 definiert den anerkannten Standard für Incident Response mit vier Phasen: Preparation, Detection & Analysis, Containment/Eradication/Recovery und Post-Incident Activity. In der Praxis sind diese Phasen nicht strikt sequentiell – in den ersten 24 Stunden laufen Detection, Analysis und Containment oft parallel. Entscheidend ist, dass jede Phase bewusst durchlaufen wird und nicht im Chaos untergeht.
Die ersten 24 Stunden – Schritt für Schritt
1. Erkennung bestätigen
Ist es wirklich ein Sicherheitsvorfall? Nicht jede Anomalie ist ein Angriff. Ein ausgefallener Server, ein fehlerhaftes Update oder ein False Positive im SIEM können identische Symptome erzeugen. Bevor das Incident-Response-Team mobilisiert wird, muss eine qualifizierte Triage stattfinden: Welche Systeme sind betroffen? Gibt es Indicators of Compromise (IoCs)? Zeigen Logs ungewöhnliche Zugriffsmuster? Diese Erstbewertung sollte nicht länger als 30 bis 60 Minuten dauern.
2. Incident Response Team aktivieren
Sobald ein Vorfall bestätigt ist, wird das IR-Team aktiviert – idealerweise über einen vordefinierten Alarmierungsplan mit klaren Rollen. Wer leitet den Vorfall? Wer kommuniziert intern? Wer koordiniert technische Massnahmen? Wer ist der rechtliche Ansprechpartner? Wenn diese Fragen erst während des Vorfalls geklärt werden, verlieren Sie Stunden. IBM beziffert den Kostenvorteil von vorbereiteten IR-Teams auf durchschnittlich USD 248’000 pro Vorfall.
3. Eindämmung (Containment)
Die unmittelbare Priorität: Den Schaden begrenzen, ohne Beweise zu vernichten. Betroffene Systeme vom Netzwerk isolieren, kompromittierte Accounts sperren, laterale Bewegungsmöglichkeiten des Angreifers einschränken. Wichtig ist die Unterscheidung zwischen kurzfristiger Eindämmung (Netzwerk-Isolation) und langfristiger Eindämmung (temporäre Fixes, die den Betrieb ermöglichen, während die eigentliche Bereinigung vorbereitet wird).
4. Beweise sichern
Forensische Sicherung hat absolute Priorität – vor jeder Bereinigung. RAM-Dumps erstellen, bevor Systeme heruntergefahren werden. Logfiles sichern und auf Integrität prüfen. Festplatten-Images anfertigen. Netzwerk-Captures speichern. Die Chain of Custody muss von Anfang an dokumentiert werden, besonders wenn eine strafrechtliche Verfolgung oder Versicherungsansprüche in Betracht kommen. Wer zuerst bereinigt und dann analysiert, zerstört die Beweislage unwiderruflich.
5. Kommunikation steuern
Kommunikation während eines Vorfalls muss koordiniert und kontrolliert erfolgen. Intern: Geschäftsleitung informieren, betroffene Abteilungen benachrichtigen, einheitliche Sprachregelung festlegen. Extern: Kunden, Partner, allenfalls Medien – aber nur mit abgestimmten Informationen. Rechtlich: Datenschutzbeauftragter einbeziehen, Meldepflichten prüfen. Ein kritischer Punkt: Kommunizieren Sie nicht über potenziell kompromittierte Kanäle. Wenn der E-Mail-Server betroffen sein könnte, nutzen Sie alternative Kommunikationswege.
6. Meldepflichten einhalten
In der Schweiz gilt seit dem 1. April 2025 eine gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiber müssen Vorfälle innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) melden – verankert im Informationssicherheitsgesetz (ISG). Nach der Erstmeldung haben Unternehmen 14 Tage für einen vollständigen Bericht. Ab Oktober 2025 drohen bei Nichtmeldung Bussen bis CHF 100’000. Zusätzlich verlangt das nDSG (neues Datenschutzgesetz) die Meldung von Datenschutzverletzungen an den EDÖB, wenn ein hohes Risiko für betroffene Personen besteht. Wer unter die DSGVO fällt, hat 72 Stunden für die Meldung an die zuständige Aufsichtsbehörde.
7. Erste Analyse und Scoping
Parallel zur Eindämmung beginnt die Analyse: Wie ist der Angreifer eingedrungen? Welche Systeme sind tatsächlich kompromittiert? Welche Daten sind betroffen? Das Scoping bestimmt den Umfang des Vorfalls und damit den Aufwand für Eradication und Recovery. Ohne sauberes Scoping riskieren Sie, dass kompromittierte Systeme übersehen werden – und der Angreifer über einen nicht entdeckten Zugang zurückkehrt.
Die häufigsten Fehler in den ersten Stunden
Systeme sofort herunterfahren. Der natürliche Reflex – und einer der schädlichsten. Das Herunterfahren zerstört flüchtigen Speicher (RAM), in dem sich oft die wertvollsten forensischen Beweise befinden: aktive Netzwerkverbindungen, laufende Prozesse, entschlüsselte Daten, Malware im Arbeitsspeicher.
Über kompromittierte Kanäle kommunizieren. Wenn ein Angreifer im Netzwerk ist, liest er möglicherweise Ihre E-Mails und Teams-Nachrichten mit. Incident-Response-Kommunikation gehört auf separate, als sicher verifizierte Kanäle – private Mobiltelefone, Out-of-Band-Kommunikation.
Vorschnell Lösegeld zahlen. Bei Ransomware-Angriffen steht die Forderung sofort im Raum. Zahlung garantiert weder die Wiederherstellung der Daten noch verhindert sie eine erneute Attacke. Zudem können Zahlungen an sanktionierte Gruppen rechtliche Konsequenzen haben. Erst analysieren, dann entscheiden – und immer mit rechtlicher Beratung.
Bereinigen vor der Analyse. Wer Malware löscht, Passwörter ändert und Systeme neu aufsetzt, bevor die forensische Sicherung abgeschlossen ist, macht eine spätere Ursachenanalyse unmöglich. Ohne Root-Cause-Analyse bleibt die eigentliche Schwachstelle offen.
Warum der Plan vor dem Vorfall stehen muss
Incident Response unter Druck improvisieren funktioniert nicht. Die Organisationen mit den niedrigsten Breach-Kosten haben eines gemeinsam: einen getesteten Incident-Response-Plan. IBM zeigt, dass Unternehmen mit IR-Teams und regelmässig getesteten Plänen Vorfälle durchschnittlich 61 Tage schneller erkennen – und knapp eine Million Dollar weniger Schaden erleiden. Der Plan muss nicht perfekt sein. Er muss existieren, den Beteiligten bekannt sein und mindestens einmal jährlich in einer Tabletop-Übung durchgespielt werden.
Wie Zerberos Sie unterstützt
Wir helfen Ihnen, vor dem Ernstfall vorbereitet zu sein. In unserem Risk Assessment identifizieren wir Schwachstellen und bewerten Ihre aktuelle Sicherheitslage. Mit einer massgeschneiderten Security Roadmap definieren wir konkrete Massnahmen – inklusive Incident-Response-Planung. Und wenn es darauf ankommt, stehen wir als kompetenter Partner bereit. Kontaktieren Sie uns, bevor der Ernstfall eintritt.
Quellen
- NIST SP 800-61 Rev. 3: Incident Response Recommendations and Considerations for Cybersecurity Risk Management – csrc.nist.gov
- IBM: Cost of a Data Breach Report 2024 – ibm.com
- Bundesamt für Cybersicherheit BACS: Meldepflicht für Cyberangriffe – ncsc.admin.ch
- Informationssicherheitsgesetz ISG: Meldepflicht für kritische Infrastrukturen ab 1. April 2025 – admin.ch
- nDSG: Neues Datenschutzgesetz der Schweiz – fedpol.admin.ch