Square IT AG Logo - Managed IT Services in Zug und Zürich
    Zurueck zum Blog
    Cybersecurity

    Cyberangriff im KMU: Notfallplan fuer die ersten 24 Stunden

    22. Maerz 2026
    9 min Lesezeit
    Square IT Team
    Cyberangriff Notfallplan fuer KMU

    Die Panik ist verstaendlich. Eine Mitarbeiterin meldet merkwuerdige E-Mails. Ein Server antwortet nicht mehr. Oder auf der Festplatte erscheint ploetzlich eine Meldung: Ihre Dateien sind verschluesselt. Bitte ueberweisen Sie...

    Wenn ein Cyberangriff passiert, zaehlt nicht die Hektik. Es zaehlt die richtige Reihenfolge. Die naechsten 24 Stunden entscheiden, wie schnell Ihr KMU wieder hochkommt und wie viel Schaden tatsaechlich entstanden ist.

    Die wichtigste Regel im Ernstfall

    Erst eindaemmen, dann reparieren. Nicht sofort alles wieder hochfahren. Nicht sofort alles loeschen und neu aufsetzen. Erst klaeren: Wie weit ist der Angreifer gekommen? Wie stoppe ich ihn? Dann erst die Wiederherstellung starten.

    Stunde 1: Nicht alles ist verloren

    Viele KMU machen denselben Fehler: Sie drehen alles um, bevor sie verstehen, was passiert ist. Das verschlimmert die Situation nur. Diese vier Schritte gehoeren in die erste Stunde.

    1. Betroffene Geraete trennen, aber nicht neu starten

    Ist ein Geraet kompromittiert, ziehen Sie sofort das Netzwerkkabel oder schalten Sie WLAN aus. Nicht neu starten. Das loescht wichtige Spuren, die spaeter fuer Forensik, Versicherung und Wiederherstellung gebraucht werden.

    2. Kompromittierte Konten sperren, aber gruendlich

    Ein neues Passwort ist der erste Schritt, aber nicht ausreichend. Ihr IT-Partner muss zusaetzlich pruefen, ob der Angreifer:

    • neue E-Mail-Weiterleitungen oder Postfachregeln angelegt hat,
    • verdaechtige OAuth-Apps autorisiert hat,
    • noch aktive Sessions besitzt,
    • aus ungewoehnlichen Laendern zugegriffen hat.

    Mit blossem Passwortwechsel sieht man das nicht.

    3. Krisenstab bilden, jetzt

    Geschaeftsfuehrung, IT-Partner und eine Person aus dem Finanzbereich. Mehr nicht. Nicht die ganze Firma einweihen. Das erzeugt Chaos und Panik. Diese drei Personen entscheiden die naechsten Schritte.

    4. Erste Beweise sichern

    Was wurde gesehen? Wann? Welche Geraete oder Konten? Dokumentieren Sie es mit Screenshots und kurzen Notizen. Diese Informationen brauchen Sie spaeter fuer Behoerden, Cyberversicherung und IT-Analyse.

    Was Sie auf keinen Fall tun sollten

    • Systeme neu aufsetzen (noch nicht)
    • Log-Dateien loeschen
    • Kompromittierte E-Mail-Postfaecher aufraeumen
    • Panisch alle Mitarbeitenden gleichzeitig informieren

    Stunde 2 bis 4: Lagebild aufbauen

    Jetzt brauchen Sie ein echtes Bild der Lage. Nicht alles muss sofort wieder laufen, nur die wirklich kritischen Dinge. Vier Fragen entscheiden ueber die naechsten Stunden.

    Wer ist betroffen?

    Nur ein Arbeitsplatz oder auch Server und Cloud-Dienste? Welche Daten waren erreichbar?

    Wurden Daten abgezogen?

    Das Schlimmste: nicht nur verschluesselt, sondern kopiert. Kunden- und Mitarbeiterdaten?

    Sind Backups intakt?

    Wann war die letzte saubere Sicherung? Sind Offline-Kopien vorhanden?

    Sind Zahlungen in Gefahr?

    Wurden Rechnungen mit neuer IBAN versendet? Koennten Zahlungsfreigaben missbraucht werden?

    Wer macht was im Krisenstab?

    IT

    IT-Partner oder interne IT

    Isoliert betroffene Systeme, prueft wie weit der Angreifer kam, plant die Wiederherstellung.

    EUR

    Finanzverantwortliche Person

    Sperrt Konten und Karten mit der Bank, prueft offene Rechnungen und verdaechtige Transaktionen.

    GL

    Geschaeftsleitung

    Trifft Entscheidungen, setzt Prioritaeten, zieht bei Bedarf Anwalt oder Datenschutzbeauftragte bei.

    Stunde 5 bis 24: Wiederanlauf in der richtigen Reihenfolge

    Nicht alles gleichzeitig hochfahren. Das produziert nur neue Probleme. Eine klare Priorisierung spart Stunden.

    1

    Kommunikation und E-Mail

    Ihr KMU funktioniert nicht, wenn niemand erreichbar ist. E-Mail und Telefonie zuerst wiederherstellen.

    2

    Zahlungsprozesse und Banking

    Rechnungen muessen raus, Konten gesichert sein. Das ist das taegliche Brot des Geschaefts.

    3

    Geschaeftsdaten und Kundenzugriff

    Dateiablagen, CRM-Systeme und alles, was Kunden direkt nutzen.

    4

    Nebensysteme und Spezialtools

    Komfortfunktionen und sekundaere Anwendungen folgen zuletzt.

    Was Ihre Mitarbeitenden jetzt wissen muessen

    • Welche Systeme sind aktuell noch tabu?
    • Welche neuen Passwoerter oder Login-Wege gelten?
    • Wen sprechen sie bei Problemen direkt an?

    Klare Antworten beruhigen. Wenn das Team versteht, was Sache ist, arbeitet es konstruktiv mit statt eigene Workarounds zu suchen, die das Problem noch vergroessern.

    Die haeufigsten Fehler und was sie kosten

    Zu lange zuwarten

    Vielleicht ist es ja nur ein Fehler, denkst du. Nein. Zwei Stunden Verzoegerung koennen den Schaden verzehnfachen.

    Systeme vorschnell neu aufsetzen

    Das zerstoert Spuren. Forensik wird unmoeglich, die Cyberversicherung braucht aber Beweise.

    Nur das Passwort zuruecksetzen

    Bei Microsoft 365 zu wenig: Weiterleitungen, OAuth-Apps und alte Sessions bleiben sonst aktiv.

    Kunden zu spaet informieren

    Sind Kundendaten betroffen, muessen Sie zeitnah kommunizieren, sachlich, aber ehrlich.

    IT-Partner zu spaet einbinden

    Wie beim Arzt nach einem Unfall: je schneller, desto besser das Ergebnis.

    Loesegeld unueberlegt zahlen

    Keine Garantie auf Entschluesselung, oft folgt eine zweite Forderung. Immer mit Profis abwaegen.

    Vorbereitung vor dem Ernstfall

    Die echte Versicherung gegen einen Cyberangriff ist Vorbereitung. Vier Punkte gehoeren in jedes KMU.

    Gepruefte Backups

    Nicht irgendeine Sicherung, sondern getestete Offline-Kopien mit klarer Wiederherstellungszeit.

    Multi-Faktor-Authentifizierung

    Pflicht fuer alle wichtigen Konten: E-Mail, Banking, Admin- und Cloud-Zugaenge.

    Klare Zustaendigkeiten

    Wer macht was im Ernstfall? Aufgeschrieben, nicht im Kopf einzelner Personen.

    Jaehrlicher Notfall-Test

    Einmal pro Jahr durchspielen, was bei einem echten Angriff passieren wuerde.

    Zusammen ergibt das einen Disaster Recovery Plan. Klingt gross, ist aber einfach: Sie wissen vorher, was im Notfall zu tun ist und muessen es nicht improvisieren. Mehr dazu in unserem Artikel zu Cybersecurity fuer KMU.

    Das passiert mir nicht: ein gefaehrlicher Irrtum

    Genau das dachte eine Baeckereikette mit 30 Mitarbeitenden, bis Ransomware ihr Buchungssystem lahmlegte. Oder ein Treuhandbuero, dem Phishing-Mails die gesamte Mandantenliste kosteten. Es ist nicht die Frage, ob es passiert. Sondern wann, und wie schnell Sie wieder handlungsfaehig sind.

    Sind Sie fuer den Ernstfall vorbereitet?

    Wir pruefen Ihre Backup-, Notfall- und Security-Aufstellung und erstellen mit Ihnen einen konkreten Notfallplan. Kostenlose Erstberatung fuer Schweizer KMU.

    +41 41 560 21 00Beratung anfragen

    Fazit

    Ein Cyberangriff trifft jedes KMU frueher oder spaeter. Entscheidend ist nicht, ihn um jeden Preis zu verhindern. Sondern in den ersten Stunden die richtige Reihenfolge zu kennen: eindaemmen, Lagebild aufbauen, gezielt wiederanlaufen. Wer Backups, MFA und einen klaren Notfallplan vorbereitet hat, kommt in 24 Stunden zurueck. Wer improvisiert, oft erst nach Tagen.

    Square IT begleitet Schweizer KMU sowohl praeventiv als auch im Ernstfall mit Managed Backup, Monitoring und einem belastbaren Notfallplan.

    Cyberangriff KMU
    Incident Response
    Notfallplan
    Ransomware
    Cybersecurity
    IT Notfall
    KMU Schweiz
    Alle Blog-ArtikelCybersecurity fuer KMU

    Wir verwenden Cookies

    Wir verwenden Cookies und ähnliche Technologien, um Ihnen das bestmögliche Erlebnis auf unserer Website zu bieten. Einige Cookies sind notwendig für die Funktionalität der Website, andere helfen uns bei der Analyse und Verbesserung.