Zurück zum Blog
IT-Infrastruktur

Cyber-Incident-Response-Plan Schweiz 2026: 24h-Meldepflicht ans BACS sauber erfüllen

Seit dem 1. April 2025 verpflichtet das revidierte ISG kritische Betreiber zur Meldung von Cybervorfällen innert 24 Stunden ans BACS. KMU als Lieferanten geraten via Vertragsklauseln mit in die Pflicht – und brauchen einen Plan, der nicht nur compliant ist, sondern im Ernstfall wirklich funktioniert.

Autor: Gian Marco Ma Mai 2026 13 Min. Lesezeit

Kurz vorweg: Seit dem 1. April 2025 verpflichtet das revidierte Informationssicherheitsgesetz (ISG) Betreiber kritischer Infrastrukturen, schwerwiegende Cybervorfälle innert 24 Stunden ans Bundesamt für Cybersicherheit (BACS, Nachfolger des NCSC) zu melden. Für klassische KMU besteht keine direkte gesetzliche Pflicht – aber via Lieferketten (Spital-Zulieferer, IT-Dienstleister für Energieversorger, Treuhänder von Banken) kommt die 24h-Frist über vertragliche Klauseln auf jedes zweite Schweizer KMU zu. Wer dann keinen Incident-Response-Plan hat, verliert Kunden, nicht nur Daten.

Wer muss in der Schweiz melden?

Direktverpflichtet (ISG Art. 74b)

Energie- und Wasserversorger, Spitäler, Banken/Versicherungen unter FINMA-Aufsicht, Telecom-Anbieter, Behörden Bund/Kantone/Gemeinden, grosse Cloud- und Rechenzentrums-Anbieter, Hersteller von Hard-/Software mit gewisser Marktrelevanz.

24h ab Entdeckung an BACS, Nachmeldung 14 Tage

Indirekt verpflichtet

IT-Dienstleister, MSPs, Cloud-Reseller, Softwarehäuser, Treuhänder, Anwälte, Lieferanten von Kritischen Infrastrukturen – via vertragliche Klauseln, FINMA-Outsourcing-RS oder Lieferkettenanforderungen (NIS2-Wirkung auf CH-Sublieferanten).

Wie vertraglich vereinbart, oft 24–72h

Freiwillige Meldung

Jedes Unternehmen, jede Privatperson kann Cybervorfälle freiwillig ans BACS melden – vertraulich, ohne juristische Konsequenzen, mit Anspruch auf Lagebild-Rückmeldung. Empfohlen ab CHF 10’000 Schaden.

Keine Frist, je früher desto besser

Was zählt als meldepflichtiger Vorfall?

Meldepflichtig sind Cybervorfälle, welche die Verfügbarkeit, Integrität oder Vertraulichkeit kritischer Daten oder Systeme gefährden. Konkret sechs Kategorien, an denen sich das BACS-Meldeportal orientiert:

  • Ransomware-Befall: Verschlüsselung von Daten oder Systemen, unabhängig davon ob Lösegeld gezahlt wird oder Backups greifen.
  • Datenleck mit Personendaten: Unbefugte Kenntnisnahme oder Abfluss von Personendaten – parallel ans EDÖB zu melden gemäss revDSG Art. 24.
  • Denial-of-Service (DoS/DDoS): Ausfälle, die Geschäftsbetrieb oder Versorgung beeinträchtigen.
  • Erpressungsversuch: Drohung mit Veröffentlichung oder Sabotage, auch ohne erfolgreiche Verschlüsselung (Double-/Triple-Extortion).
  • Unbefugter Zugriff: Kompromittiertes Admin-Konto, gestohlene Tokens, Webshell auf einem Server – auch ohne sichtbaren Schaden.
  • Manipulation: Veränderte Inhalte, manipulierte Steuersysteme (OT/IoT), unerlaubte Software-Installation auf Produktivsystemen.

Der 6-Phasen-IR-Plan (NIST CSF / ISO 27035)

1

Vorbereitung (Preparation)

Alles, was vor dem Ernstfall stehen muss: Rollen, Kontakte, Tools, Backups, Schulungen.

Konkret: Notfallkontaktliste auf Papier, Out-of-Band-Kommunikation (Signal-Gruppe, Threema Work), MDR-/EDR-Lizenzen, immutable Backup, Forensik-Retainer, Tabletop-Übung halbjährlich.
2

Erkennung (Detection & Analysis)

Cybervorfälle früh und richtig erkennen – nicht erst, wenn das Personal nicht mehr arbeiten kann.

Konkret: EDR/XDR mit 24/7-SOC-Anbindung, M365 Defender Alerts, Firewall-Logs ins SIEM, anonyme Hinweisbox für Mitarbeitende, klare Triage in P1/P2/P3 innert 60 Minuten.
3

Eindämmung (Containment)

Den Schaden stoppen, ohne Beweise zu zerstören. Kurzfristig isolieren, mittelfristig saubere Architektur wiederherstellen.

Konkret: Betroffene Endpoints via EDR isolieren (Netzwerk-Quarantäne), Admin-Tokens widerrufen, MFA für alle Konten erzwingen, VPN-Zugänge sperren, kritische Server-Snapshots ziehen vor Reboot.
4

Beseitigung (Eradication)

Malware, Persistenz, Hintertüren restlos entfernen. Erfahrungsgemäss bleiben sonst Zugänge des Angreifers im Active Directory zurück.

Konkret: AD-Tier-0-Reset (KRBTGT zweimal rotieren), GPOs auditieren, Scheduled Tasks prüfen, betroffene Systeme neu installieren statt bereinigen, alle Service-Account-Passwörter rotieren.
5

Wiederherstellung (Recovery)

Geschäftsbetrieb in definierter Reihenfolge wieder hochfahren – kritische Systeme zuerst, mit Monitoring.

Konkret: Recovery-Reihenfolge gemäss BIA (Business Impact Analyse): Identity → Mail → ERP → Fileservices → Sekundärsysteme. Verstärktes Monitoring für 30 Tage, Backup-Wiederherstellung aus immutable Snapshot.
6

Lessons Learned (Post-Incident)

Innert 14 Tagen Nachmeldung ans BACS und intern Schwachstelle adressieren. Ohne diesen Schritt ist der nächste Vorfall vorprogrammiert.

Konkret: Post-Mortem-Workshop mit GL, IT, Datenschutz, externem Forensiker. Massnahmenkatalog mit Verantwortlichen und Fristen, Plan-Update, neue Tabletop-Übung im Folgequartal.

Erkennungs- und Response-Tools im Vergleich

ToolStärkeSchweiz-SupportPreis ab/Endpoint/MtMDR-Service
Microsoft Defender XDRTiefe M365-Integration, Identity-Korrelation, automatisierte UntersuchungÜber Schweizer Microsoft-Partner, EU-Data-BoundaryCHF 5.40 (E5 Security Add-on)Optional (Defender Experts)
SentinelOne SingularityBeste autonome Antwort (Rollback Ransomware), Cross-PlatformMehrere CH-Partner, deutschsprachiger SupportCHF 6–9Vigilance MDR optional
CrowdStrike Falcon GoLeichtgewichtiger Agent, exzellente Threat-Intel, fast DetectionCH-Partner, EU-Cloud, deutscher SupportCHF 8–12Falcon Complete
Sophos MDRKMU-fokussiert, deutschsprachig, integriert mit Firewall/MailSophos DACH, viele CH-ResellerCHF 7–10Inklusive (24/7 SOC)
Arctic WolfConcierge-Modell, Co-Managed SOC, breite Tool-IntegrationEU-Operations, CH-Partner wachsendCHF 10–14Inklusive (Kerngeschäft)
HuntressMSP-freundlich, persistente Foothold-Detection, sehr gutes Preis-LeistungÜber MSPs, englischsprachiger SOCCHF 3–5Inklusive (24/7)

Preise Stand Mai 2026, exkl. MwSt., Listenpreise – Bundles über CH-Distributoren (Boll, Also, Ingram) reduzieren teils 15–25 %. Für KMU ohne eigenes Security-Team führt fast immer kein Weg an einem MDR-Service vorbei: ein EDR ohne dahinterstehenden 24/7-SOC wird nachts oder am Wochenende schlicht niemand anschauen.

Der 24h-Melde-Workflow im Detail

T0

Vorfall erkannt

EDR-Alert, Mitarbeitermeldung, Kundenanfrage, Erpressungsschreiben – Quelle ist egal, Reaktion startet.

Konkret: Incident-Ticket öffnen, Severity grob einschätzen, IR-Lead über Out-of-Band-Kanal (Signal/Telefon) alarmieren.
T+1h

Triage abgeschlossen

Innert 60 Minuten muss klar sein: Echter Vorfall ja/nein, betroffener Scope, Severity-Klasse, sofortige Containment-Massnahmen.

Konkret: P1 (kritisch) → CISO/GL informiert, Forensik-Partner aktiviert. P2 → IR-Team intern, GL informiert. P3 → IR-Team, normale Eskalation.
T+3h

CISO/GL informiert, Krisenstab aktiv

Geschäftsleitung übernimmt strategische Entscheide (Kommunikation, Lösegeld-Frage, Cyber-Versicherung), IT die Technik.

Konkret: Krisenstab kommt zusammen (physisch oder Out-of-Band), Cyber-Versicherer telefonisch informieren (24h-Frist im Vertrag), Anwaltskanzlei mit Datenschutz-Mandat einbinden.
T+24h

BACS-Meldung eingereicht

Via cyberbacs.admin.ch das Erstmeldeformular einreichen – auch wenn noch nicht alle Details bekannt sind.

Konkret: Schweregrad, betroffene Systeme/Daten, vermuteter Angriffsvektor, getroffene Sofortmassnahmen, Kontakt für Rückfragen. Vertraulichkeitsstufe wählen.
T+24–72h

EDÖB-Meldung falls Personendaten betroffen

Bei Datenleck mit hohem Risiko für Betroffene parallel ans EDÖB melden (revDSG Art. 24), je nach Sachlage auch direkt an Betroffene.

Konkret: EDÖB-Online-Formular, Risikoabschätzung, geplante Massnahmen, ggf. Direktinformation der Betroffenen via Mail/Brief.
T+1–7 Tage

Strafanzeige bei Kantonspolizei

Bei mutmasslichem Cybercrime ist Strafanzeige sinnvoll – sichert Versicherungsleistung und schreckt Folgeangriffe ab.

Konkret: Anzeige bei Kapo oder Bundespolizei, je nach Tatort – Forensik-Bericht als Beweis, Sicherung der Logs gemäss StPO.
T+14 Tage

BACS-Nachmeldung & Post-Mortem

Vertiefte Meldung mit Ursachen, Auswirkungen und gewonnenen Erkenntnissen – Pflicht für Direktmeldepflichtige, empfehlenswert für alle.

Konkret: Detaillierter Vorfall-Report, Lessons Learned dokumentiert, IR-Plan aktualisiert, neue Massnahmen im Backlog mit Verantwortlichen.

IR-Plan-Vorlage: 10 Kapitel, die nicht fehlen dürfen

  • 1. Geltungsbereich & Definitionen: Welche Standorte, Tochterfirmen, Systeme, Datenklassen sind abgedeckt? Was zählt als "Incident" vs. "Event"?
  • 2. Rollen & Verantwortlichkeiten: IR-Lead, Krisenstab, CISO, Kommunikationsverantwortlicher, Datenschutzbeauftragter, externer Forensiker – Namen, Stellvertreter, Telefon, Out-of-Band-Kanal.
  • 3. Kommunikations-Kaskade: Eskalationsmatrix nach Severity, Intervalle, Templates für interne und externe Statements (Kunden, Medien, Behörden).
  • 4. Detection-Quellen: EDR/XDR, SIEM, Mail-Gateway, Firewall, M365-Audit-Log, Mitarbeiter-Hotline – inkl. Verantwortliche und Reaktionszeiten.
  • 5. Containment-Playbooks: Mindestens für Ransomware, Phishing-Erfolg, AD-Kompromittierung, Datenleck und DDoS – als Schritt-für-Schritt-Anweisung.
  • 6. Forensik-Partner: Vertraglich gebundener Dienstleister mit garantierter Reaktionszeit (4h/8h/24h), NDA vorab unterzeichnet, Bankverbindung hinterlegt.
  • 7. Recovery-Reihenfolge: Priorisierung gemäss BIA, RTO/RPO pro System, immutable Backup-Quelle, Wiederanlauf-Tests dokumentiert.
  • 8. Externe Kommunikation: Templates für BACS-Meldung, EDÖB-Meldung, Kundenmail, Pressemitteilung, Mitarbeiterinfo – vorab juristisch geprüft.
  • 9. Aufzeichnungspflicht & Beweissicherung: Wer protokolliert was wann (Incident-Tagebuch), wie werden Logs forensisch gesichert (Chain of Custody), Aufbewahrung mindestens 1 Jahr.
  • 10. Tabletop-Übungen: Halbjährlich, mit wechselnden Szenarien (Ransomware, Datenleck, Insider, Lieferanten-Hack), Protokoll und Massnahmen daraus.

Typische Stolpersteine

  • Plan im Schrank: Das schönste 60-Seiten-Dokument hilft nichts, wenn es nie geübt wurde und im Ernstfall niemand weiss, wo es liegt. Quartalsweise Kurz-Drills sind Pflicht.
  • Kein Tabletop: Ohne Trockenübung wissen GL und IT nicht, wer welche Entscheidung trifft. Halbjährlich, 2–3 Stunden, mit externem Moderator – das deckt mehr Schwächen auf als ein Pen-Test.
  • Keine Out-of-Band-Kommunikation: Wenn Mail und Teams kompromittiert sind, kommunizieren Sie nicht mehr darin. Signal-Gruppe oder Threema Work mit privaten Handys – vorab aufgesetzt.
  • Backup nicht getrennt: Backups, die mit Domänen-Admin-Konten erreichbar sind, werden mitverschlüsselt. Immutable Tier (S3 Object Lock, Veeam Hardened Linux Repo, Tape) ist zwingend.
  • Kein Forensik-Partner auf Abruf: Wer am Tag X erst eine Anwaltskanzlei und einen Forensiker suchen muss, verliert 24–72 Stunden. Retainer-Vertrag (CHF 2’000–5’000/Jahr) ist gut investiertes Geld.
  • Kommunikationsplan fehlt: Kunden und Medien melden sich innert Stunden. Ohne abgestimmte Sprachregelung entstehen widersprüchliche Aussagen, die später teurer kosten als der Vorfall selbst.
  • Cyber-Versicherung nicht alarmiert: Viele Policen verlangen Meldung innert 24–48h. Versäumt heisst: Leistung gestrichen.
  • Wiederherstellung ohne Tests: Backup ist nicht Restore. Mindestens halbjährlich vollständigen Restore eines kritischen Systems testen.

Kostenkalkulation: Was kostet IR-Readiness?

PositionKleine KMU (10–30 MA)Mittlere KMU (30–100 MA)
IR-Plan-Erstellung (Workshop, Dokument, Playbooks, Templates)CHF 5’000–8’000CHF 10’000–15’000
Tabletop-Übung (halbjährlich, extern moderiert)CHF 2’000/ÜbungCHF 3’500/Übung
Forensik-Retainer (garantierte Reaktion, NDA)CHF 2’000–3’000/JahrCHF 3’000–5’000/Jahr
EDR/XDR-Lizenzen (pro Endpoint/Monat)CHF 5–9CHF 5–9
MDR-Service 24/7 (pro Endpoint/Monat)CHF 8–14CHF 8–14
Forensik-Stundensatz im ErnstfallCHF 250–400/hCHF 250–400/h

Vergleichen Sie diese Zahlen mit den Kosten eines tatsächlichen Vorfalls: Ein Ransomware-Befall kostet ein mittleres Schweizer KMU laut BACS-Lagebild 2025 im Mittel CHF 150’000–400’000 (Betriebsunterbruch, Forensik, Wiederherstellung, Reputationsverlust), Lösegeld nicht eingerechnet. Ein IR-Plan plus Retainer plus MDR-Service amortisiert sich entsprechend bereits beim ersten verhinderten Tag Stillstand.

Fazit: Pflicht für die einen, Wettbewerbsvorteil für die anderen

Die 24h-Meldepflicht ans BACS trifft direkt nur die kritischen Sektoren – aber die Lieferkettenklauseln ziehen jedes zweite Schweizer KMU mit hinein. Wer 2026 ohne dokumentierten IR-Plan in eine Ausschreibung beim Spital, beim EVU oder bei einer Bank geht, wird zunehmend ausgeschlossen.

Wichtiger als Compliance-Theater: Ein IR-Plan, der im Ernstfall funktioniert. Das heisst geübt, mit Forensik-Partner auf Abruf, mit Out-of-Band-Kommunikation, mit immutable Backup und einem MDR-Service, der nachts den Alert sieht. Die Investition liegt im niedrigen fünfstelligen Bereich pro Jahr – ein Bruchteil eines einzelnen Ransomware-Tags.

IR-Plan aufsetzen & Tabletop-Übung

Wir erarbeiten Ihren Incident-Response-Plan inklusive Playbooks, schulen Ihr Team im Tabletop und vermitteln einen vertraglich gebundenen Forensik-Partner – damit Sie die 24h-Frist im Ernstfall halten.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen