Sofortmassnahmen — erste 60 Minuten
Diesen Plan ausdrucken und physisch aufbewahren. Im Notfall kann die IT-Umgebung nicht erreichbar sein.
Ruhe bewahren. Kein übereiltes Handeln — falsche Schritte können Beweise vernichten.
Betroffene Systeme isolieren — Netzwerk trennen (Kabel ziehen oder WLAN aus), aber NICHT ausschalten.
Geschäftsleitung informieren (Kontakt unten). Keine Kommunikation per E-Mail — System könnte kompromittiert sein.
IT-Verantwortlichen / IT-Dienstleister anrufen (Kontakt unten).
Nichts löschen, nichts deinstallieren — Beweise sichern für Forensik und Versicherung.
Passworte ändern für kritische Konten — von einem sicheren, nicht betroffenen Gerät.
Backup-Status prüfen: Wann war das letzte Backup? Ist es offline und unberührt?
Dokumentieren: Datum, Uhrzeit, betroffene Systeme, beobachtete Symptome — handschriftlich.
Notfallkontakte
| Rolle | Name | Telefon (privat) | Verfügbarkeit |
|---|
| Geschäftsleitung | | | |
| IT-Verantwortlicher intern | | | |
| IT-Dienstleister extern | | | |
| Cyberversicherung (Schadennummer) | | | |
| Rechtsanwalt / Datenschutzbeauftragter | | | |
| NCSC (Nationales Zentrum für Cybersicherheit) | Meldeformular | ncsc.admin.ch | 24/7 online |
| Kantonspolizei Cybercrime | | | |
Meldepflichten — was, bis wann?
| Situation | Meldepflichtig an | Frist | Erledigt |
|---|
| Personendaten betroffen (revDSG Art. 24) | FDPB (datenschutz.ch) | So rasch wie möglich | |
| Betrug / Erpressung | Kantonspolizei | Sofort | |
| Cyberversicherung | Versicherung (Schadennummer) | Gem. Police (meist 24–72h) | |
| Kunden informiert (falls Daten betroffen) | Betroffene Kunden | Gem. revDSG | |
Backup-Inventar
| System / Daten | Backup-Ort | Letztes Backup (Datum) | Je getestet? |
|---|
| | | |
| | | |
| | | |
| | | |
Wichtig: Backups müssen offline oder air-gapped sein. Ein Backup das am selben Netzwerk hängt ist bei Ransomware ebenfalls verschlüsselt.