Verwaltungsrats-Lexikon

Cyber Incident Response

Systematische Reaktion auf Cybervorfälle mit Detection, Containment, Eradication, Recovery und Lessons Learned sowie Meldepflichten und Krisenkommunikation.

Definition

Cyber Incident Response ist die systematische Reaktion auf Cybervorfälle mit dem Ziel, den Schaden zu begrenzen, den Normalbetrieb wiederherzustellen und aus dem Vorfall zu lernen. Sie umfasst die Vorbereitung, die operative Reaktion und die Nachbearbeitung.

Cyber Incident Response ist heute eine eigenständige Disziplin mit Spezialisten (CSIRT-Teams, Forensiker, Verhandler), Tools (SIEM, SOAR, EDR) und Prozessen. Sie ist Teil eines reifen Cyber-Governance-Frameworks und in regulierten Branchen verbindlich.

Phasen (NIST SP 800-61)

1. Preparation

  • Incident Response Plan mit Rollen, Eskalation, Kommunikation.
  • CSIRT-Team mit definierten Aufgaben.
  • Tools (SIEM, SOAR, EDR, Forensik-Infrastruktur).
  • Awareness-Trainings.
  • Tabletop-Übungen und Drills.
  • Backup mit Air-Gap.
  • Vertragsverhältnisse mit externen Forensik-Dienstleistern und Verhandlern.

2. Detection and Analysis

  • Detection durch SIEM, EDR, Threat Intelligence, Anomalie-Detection.
  • Klassifikation nach Schweregrad und Typ.
  • Erste Analyse zur Wirkung und Ausbreitung.
  • Aktivierung des Incident Response Teams.
  • Falls notwendig Aktivierung des Krisenstabs.

3. Containment, Eradication and Recovery

  • Containment: Eindämmung zur Verhinderung weiterer Ausbreitung.
  • Eradication: Beseitigung der Bedrohung (Malware, kompromittierte Accounts, Schwachstellen).
  • Recovery: Wiederherstellung des Normalbetriebs aus sauberen Backups, Validierung der Integrität.

4. Post-Incident Activity

  • Lessons Learned mit Krisenstab und IT.
  • Root-Cause-Analyse.
  • Plan-Anpassung.
  • Reporting an Audit Committee und VR.
  • Externe Berichterstattung bei regulatorischen Pflichten.

Vorfall-Typen

Malware und Ransomware

  • Verbreitung durch Phishing, Drive-by, Schwachstellen.
  • Ransomware mit Verschlüsselung und Lösegeldforderung.
  • Datenexfiltration als zweite Erpressungs-Schiene (Double Extortion).

Datenexfiltration

  • Diebstahl von Personendaten, Geschäftsgeheimnissen.
  • Verkauf im Dark Web oder Erpressung.
  • DSGVO- und DSG-Implikationen.

Account Compromise

  • Phishing, Brute Force, Credential Stuffing.
  • Privilegierte Accounts als Hochrisiko.
  • Lateral Movement durch das Netzwerk.

Supply-Chain-Angriffe

  • Kompromittierung durch Lieferanten oder Software-Provider.
  • Verteilung über Updates oder Dienste.

DDoS

  • Verfügbarkeits-Attacken auf Web- und Service-Infrastruktur.

CEO-Fraud und Business Email Compromise

  • Social Engineering mit gefälschten E-Mails oder Deepfake-Stimmen.

Insider-Vorfälle

  • Absichtliche oder versehentliche Datenlecks durch Mitarbeitende.

Rechtsgrundlage

Schweiz

  • OR Art. 716a Abs. 1 Ziff. 3: Risiko-Management.
  • OR Art. 717: Sorgfaltspflicht.
  • ISG (Informationssicherheitsgesetz): seit 2024 mit 24h-Meldepflicht für kritische Infrastrukturen an NCSC/BACS.
  • DSG Art. 24: Meldepflicht bei Datenschutzverletzungen mit Risiko für Betroffene.
  • FINMA-Rundschreiben Operationelle Risiken: für Banken und Versicherungen mit zusätzlichen Pflichten.

Internationale Wirkung

  • GDPR Art. 33 und 34: 72-Stunden-Meldepflicht an Aufsichtsbehörden bei EU-Bezug.
  • NIS2 (EU): umfassende Cybersicherheits-Pflichten für kritische Sektoren.
  • DORA (EU): Digital Operational Resilience für Finanzdienstleister.

Standards

  • NIST SP 800-61: Computer Security Incident Handling Guide.
  • ISO/IEC 27035: Information Security Incident Management.
  • SANS Incident Response Framework.

Meldepflichten

NCSC/BACS (Schweiz)

  • 24-Stunden-Meldepflicht für Cyberangriffe auf kritische Infrastrukturen.
  • Seit ISG-Inkrafttreten 2024.
  • Definition kritischer Infrastrukturen in Verordnung.

EDÖB (Schweiz)

  • Bei Datenschutzverletzungen mit Risiko für Betroffene (DSG Art. 24).
  • So rasch als möglich.
  • Inhalts-Anforderungen in DSG und DSV.

Betroffene Personen

  • Bei hohem Risiko Information der Betroffenen direkt (DSG Art. 24 Abs. 3).
  • GDPR Art. 34 bei EU-Bezug.

Ad-hoc-Publizität (SIX)

  • Bei börsenkotierten Gesellschaften bei kursrelevanten Vorfällen.

FINMA, Swissmedic, weitere

  • Branchenspezifische Meldepflichten.

Strafanzeige

  • Bei strafrechtlich relevanten Tatbeständen.

Krisenstabs-Aktivierung

Bei materiellen Vorfällen wird der erweiterte Krisenstab aktiviert:

Zusammensetzung

  • Krisenstabsleitung (CEO oder COO).
  • IT (CIO, CISO).
  • Legal (General Counsel).
  • Communications.
  • HR.
  • Externe Forensik und Anwälte bei Bedarf.

Aufgaben

  • Strategische Steuerung der Reaktion.
  • Kommunikations-Entscheide.
  • Behörden-Kontakt.
  • Stakeholder-Information.
  • Ressourcen-Allokation.

Operativer Rhythmus

  • Tägliche Stand-ups.
  • Status-Reporting an Top-Management und VR.
  • Dokumentation aller Entscheide.

Forensik und Beweissicherung

Forensik ist zentral für Aufklärung und potenzielle rechtliche Schritte:

  • Sicherung der Spuren: Logs, Speicher-Images, Netzwerk-Captures.
  • Chain of Custody: dokumentierte Beweis-Übergabe.
  • Forensische Analyse: Eindringweg, Bewegung, Daten-Abfluss.
  • Vermeidung von Premature Eradication: Beseitigung kann Spuren zerstören.
  • Externe Spezialisten für komplexe Fälle.

Krisenkommunikation

Cybervorfälle sind Reputationsereignisse:

Stakeholder

  • Mitarbeitende zuerst und detaillierter.
  • Kunden mit klaren Handlungsoptionen.
  • Lieferanten und Partner.
  • Investoren.
  • Behörden.
  • Medien strukturiert.

Grundprinzipien

  • Schnell, konsistent, faktenklar, empathisch.
  • Keine Spekulation.
  • Verantwortungs-Übernahme.
  • Konkrete Handlungs-Optionen für Betroffene.

Vorbereitete Bausteine

  • Statement-Templates.
  • FAQ-Listen.
  • Kontaktwege.

Ransomware-spezifisches Vorgehen

Ransomware ist heute dominantes Bedrohungsmodell:

Sofortige Massnahmen

  • Isolation infizierter Systeme.
  • Trennung Backup-Konnektivität (gegen Ausbreitung).
  • Aktivierung Air-Gap-Backups.

Strategische Entscheidung

  • Lösegeld zahlen oder nicht?
  • Empfehlung: nicht zahlen wenn vermeidbar (keine Garantie, Bestätigung des Modells, mögliche Sanktionen).
  • Spezialisierte Verhandler einbeziehen bei Bedarf.

Wiederherstellung

  • Aus sauberen Backups.
  • Validierung der Integrität.
  • Schwachstellen schliessen.

Meldepflichten

  • NCSC, EDÖB, ggf. FINMA, Strafanzeige.

VR-Verantwortung

Der VR muss:

  • Cyber Incident Response Plan verabschieden.
  • Krisenstabs-Strukturen einfordern.
  • Eigene Rolle im Krisenfall klären (insbesondere VRP).
  • Reporting zu materiellen Vorfällen unverzüglich erhalten.
  • Krisenkommunikation strategisch begleiten.
  • Lessons Learned würdigen.
  • Investitionen in Cyber-Resilienz prüfen.
  • Ad-hoc-Pflicht beachten bei börsenkotierten Gesellschaften.

Praxis Schweiz

Banken und Versicherungen

FINMA verlangt formale Incident Response Pläne mit Tests. SOC und CSIRT als Standard. Cyber-Übungen mit Red Teams. Ad-hoc und FINMA-Meldepflichten.

Pharma und Medtech

GxP-Implikationen bei Datenintegrität. Swissmedic-Meldepflichten bei sicherheitsrelevanten Vorfällen.

Industrie

Operationelle Technologie (OT) als zusätzliches Angriffsziel. Konvergenz von IT und OT bringt neue Risiken.

KMU

Häufig externe MSSP (Managed Security Service Provider) oder MDR (Managed Detection and Response). Pragmatische Incident Response Pläne. Bewusstsein dank Pandemie und ISG-Pflichten gestiegen.

Häufige Fehler

  • Fehlende Vorbereitung mit veralteten Plänen.
  • Unklare Eskalations-Wege.
  • Fehlende Übungen mit Realismus.
  • Premature Eradication ohne forensische Spuren.
  • Verspätete oder fehlende Behörden-Meldung.
  • Verharmlosende oder verspätete Kommunikation.
  • Vernachlässigung interner Kommunikation an Mitarbeitende.
  • Fehlende Krisenstabs-Aktivierung mit isolierter IT-Behandlung.
  • Vermischung von Forensik und Kommunikation.
  • Fehlende Lessons Learned mit Wiederholungsrisiko.

Aktuelle Trends

  • Ransomware-Spezialisierung mit Verhandlern als Standard.
  • MDR-Services als Standard für KMU und Konzerne.
  • SOAR-Plattformen mit automatisierter Reaktion.
  • Threat Intelligence Integration in Incident Response.
  • Cyber Insurance mit Vorgaben an Incident Response.
  • NIS2 und DORA mit verschärften Pflichten.
  • Generative AI als Angriffs-Werkzeug und Verteidigungs-Tool.

Abgrenzung

  • Cyber-Governance ist strategische Steuerung, Incident Response ist operative Reaktion.
  • BCM ist breiter, Cyber Incident Response ist Spezialfall.
  • Krisenmanagement ist generisch, Cyber Incident Response ist cyber-spezifisch.
  • Forensik ist Methode, Teil der Incident Response.
  • SOC (Security Operations Center) ist Detection-Funktion, oft Teil des CSIRT-Setups.

Häufige Fragen

Was ist Cyber Incident Response?
Cyber Incident Response ist die systematische Reaktion auf Cybervorfälle: Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Lessons Learned. Ziel ist die schnelle Begrenzung des Schadens, die Wiederherstellung des Normalbetriebs und das Lernen für die Zukunft. Es umfasst auch Meldepflichten an Behörden, Krisenkommunikation und Zusammenarbeit mit Forensik-Spezialisten und Strafverfolgungsbehörden.
Welche Phasen hat Cyber Incident Response?
NIST SP 800-61 definiert vier Phasen: Preparation (Vorbereitung mit Plan, Team, Tools), Detection and Analysis (Erkennung und Klassifikation), Containment, Eradication and Recovery (Eindämmung, Beseitigung, Wiederherstellung), Post-Incident Activity (Lessons Learned, Plan-Anpassung). Andere Frameworks (SANS) nutzen ähnliche Strukturen mit teilweise sechs Phasen.
Welche Meldepflichten gelten in der Schweiz?
Seit 2024 NCSC-Meldepflicht (BACS) für Cyberangriffe auf kritische Infrastrukturen innerhalb von 24 Stunden gemäss ISG. EDÖB-Meldepflicht bei Datenschutzverletzungen mit Risiko für Betroffene (DSG Art. 24), so rasch als möglich. Bei börsenkotierten Gesellschaften Ad-hoc-Publizitätspflicht bei kursrelevanten Vorfällen. FINMA-Meldepflichten bei Banken und Versicherungen. Branchenspezifisch (Swissmedic etc.) ergänzend.
Welche Rolle hat das CSIRT?
Das Computer Security Incident Response Team (CSIRT) ist das operative Team für Vorfälle. Es kann intern oder extern (Managed Service) sein. Aufgaben: 24/7-Bereitschaft, Detection und Analyse, Containment, Forensik, Wiederherstellung, Reporting. Bei grossen Vorfällen wird ein erweiterter Krisenstab aktiviert mit Top-Management, Legal, Communications, HR.
Was ist Containment?
Containment ist die Eindämmung des Vorfalls zur Verhinderung weiterer Ausbreitung. Massnahmen: Netzwerksegmente isolieren, kompromittierte Systeme vom Netz nehmen, Zugriffsrechte sperren, Backup-Konnektivität trennen (gegen Ransomware-Ausbreitung), Kommunikationswege sichern. Containment muss schnell sein, aber forensische Spuren bewahren. Premature Eradication kann Aufklärung verhindern.
Welche Rolle hat der Verwaltungsrat?
Der VR muss Cyber Incident Response Plan verabschieden, Krisenstabs-Strukturen einfordern, eigene Rolle im Krisenfall klären (insbesondere VRP), Reporting zu materiellen Vorfällen unverzüglich erhalten, Krisenkommunikation strategisch begleiten, Lessons Learned würdigen, Investitionen in Cyber-Resilienz prüfen. Bei börsenkotierten Gesellschaften Ad-hoc-Pflicht beachten.
Wie geht man bei Ransomware vor?
Sofortige Isolation der infizierten Systeme, Aktivierung Backup mit Air-Gap-Daten, forensische Analyse zur Schwere und Datenfluss, Verhandlungs-Diskussion (Empfehlung: nicht zahlen, wenn vermeidbar, da keine Garantie und Bestätigung des Modells), Wiederherstellung aus Backup, parallel Meldepflichten, Strafanzeige, Kommunikation an betroffene Stakeholder. Spezialisierte Verhandler einbeziehen bei komplexen Fällen.
Welche Fehler treten häufig auf?
Häufig sind fehlende Vorbereitung mit veralteten Plänen, unklare Eskalations-Wege, fehlende Übungen, Premature Eradication ohne forensische Spuren, verspätete oder fehlende Behörden-Meldung, verharmlosende oder verspätete Kommunikation, Vernachlässigung interner Kommunikation, fehlende Krisenstabs-Aktivierung, Vermischung von Forensik und Kommunikation, fehlende Lessons Learned, isolierte IT-Behandlung ohne Top-Management.

Verwandte Einträge

  • Cyber-GovernanceVerantwortung des Verwaltungsrats für die Steuerung von Cyberrisiken, Schutzkonzepten, Meldewegen und Resilienz.
  • BCM (Business Continuity Management)Systematische Vorbereitung und Steuerung der Geschäftskontinuität bei Krisen, Ausfällen und Katastrophen mit Plänen, Strukturen, Übungen und Tests.
  • KrisenmanagementSystematische Steuerung einer Gesellschaft in akuten Bedrohungssituationen — strategische, operative und kommunikative Verantwortung des Verwaltungsrats.
  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →