Kurz vorweg: Der häufigste Satz nach einem Ransomware-Angriff in einem Schweizer KMU lautet: „Wir haben ein Backup – aber wir wissen nicht genau, wie wir es zurückspielen“. Backup ohne DR-Plan ist wie Feuerlöscher ohne Evakuierungsplan: theoretisch beruhigend, praktisch zu langsam. Die gute Nachricht: Ein wirksamer DR-Plan ist 20 Seiten, nicht 200 – und in 4 Wochen umgesetzt.
Die fünf Bausteine eines KMU-DR-Plans
Business Impact Analyse (BIA)
Welche Geschäftsprozesse sind wie kritisch? Welche Systeme tragen sie? Wie lange darf jeder Prozess maximal stehen, bevor existenzbedrohender Schaden entsteht?
RTO / RPO pro System
RTO = Recovery Time Objective (wie schnell wieder lauffähig). RPO = Recovery Point Objective (wieviel Datenverlust ist akzeptabel). Aus der BIA abgeleitet, nicht „pi mal Daumen“.
Wiederanlauf-Reihenfolge
Welches System wird zuerst hochgefahren – Mail, Domain, ERP, Bezahlsystem? Reihenfolge ergibt sich aus Abhängigkeiten und Geschäftsprozess-Priorität.
Verantwortlichkeiten & Eskalation
Wer entscheidet, dass „Disaster" deklariert wird? Wer leitet den Wiederanlauf? Wer kommuniziert mit Kunden, Versicherer, Behörden? Wer ist Stellvertreter, wenn die Hauptperson krank ist?
Übungs-Plan & Pflege
Ein DR-Plan, der nicht geübt wird, scheitert. Mind. 1× Jahr Tabletop, 1× Jahr technische Restore-Übung. Plan jährlich auf Aktualität prüfen (Mitarbeiter-Wechsel, neue Systeme).
Business Impact Analyse – Beispiel KMU 25 MA
| Prozess | Systeme | RTO | RPO | CHF/Stunde |
|---|---|---|---|---|
| Auftragsabwicklung | ERP, Mail, CRM | 4h | 1h | 450 |
| Buchhaltung & Faktura | Bexio/Abacus, DMS | 8h | 4h | 280 |
| Webshop / Bestellungen | Shopify/Woo, Zahlung | 2h | 30min | 900 |
| Lohnabrechnung (monatlich) | Lohn-Software, Bank-Anbindung | 24h | 24h | 160 |
| Telefon & Kommunikation | Teams Phone, Cloud-PBX | 4h | – | 180 |
| Marketing / Newsletter | CRM, Mail-Tool | 48h | 24h | 40 |
Die BIA ist die Basis für jede Investitionsentscheidung. Ein Webshop mit RTO 2h und CHF 900/h Schaden rechtfertigt redundante Hosting-Setups – die monatliche Newsletter-Plattform mit RTO 48h tut es nicht.
DR-Strategien: Was kostet was?
| Strategie | RTO | RPO | Kosten-Niveau |
|---|---|---|---|
| Nur Backup (3-2-1, lokal + Cloud) | 24–72h | 4–24h | tief (CHF 200–800/Monat) |
| Pilot-Light (kalter Standby) | 4–24h | 1–4h | mittel (CHF 800–2’500/Monat) |
| Warm Standby / Replikation | 15min–2h | < 30min | hoch (CHF 2’000–6’000/Monat) |
| Active-Active (multi-region) | < 5min | < 1min | sehr hoch (Faktor 2 Hosting) |
| DRaaS (Veeam, Azure Site Recovery) | 15min–4h | 5min–1h | mittel-hoch (CHF 12–30/VM/Monat) |
Für die meisten Schweizer KMU ist eine Kombination aus 3-2-1-Backup und Pilot-Light für die kritischen Systeme (Domain Controller, ERP, Mail) das wirtschaftliche Optimum. DRaaS ist für Cloud-zentrierte KMU oft die einfachste Lösung – Azure Site Recovery oder Veeam DRaaS.
DR-Plan in 4 Wochen aufbauen
- Woche 1: Business Impact Analyse durchführen – Workshop mit GL und Bereichsleitern, Top-10-Prozesse identifizieren, RTO/RPO grob festlegen.
- Woche 2: Technische Bestandsaufnahme – welche Backups laufen wirklich, welche Restore-Optionen existieren, wo sind Lücken (besonders SaaS-Backups: M365, Bexio, Salesforce).
- Woche 3: DR-Plan-Dokument erstellen – Krisenstab, Wiederanlauf-Reihenfolge, Runbook pro System (Schritt-für-Schritt-Anleitung), Notfall-Kontakte auf Papier.
- Woche 4: Tabletop-Übung mit der GL (2–3h, Szenario: Ransomware-Befall am Donnerstag um 14h). Anschliessend Plan justieren, Lücken schliessen, Übungs-Termine im Kalender festsetzen.
- Ab Monat 2: Erste technische Restore-Übung – eine kritische VM oder Datenbank vollständig wiederherstellen, Zeit messen, Lehren in den Plan einarbeiten.
Häufige Fehler im DR-Plan
- Kein SaaS-Backup: Microsoft 365, Bexio und Salesforce sichern nur einen Teil der Daten oder löschen nach 30–90 Tagen. Eigenes Backup-Tool nötig (Veeam für M365, Bexio Connector, Spanning).
- Domain Controller im selben Netz wie Ransomware-Angriff – mit Verschlüsselung weg. Lösung: Mind. ein DC im immutable Backup oder Cloud-replicat.
- Notfall-Kontakte nur im verschlüsselten System – wenn das System aus, sind sie nicht erreichbar. Lösung: Papier-Kopie im Tresor.
- Plan wird einmal geschrieben, nie aktualisiert – nach 18 Monaten stimmt nichts mehr. Lösung: Quartals-Review mit Owner, jährlich GL-Sign-off.
- Nur IT involviert – GL und Fachabteilungen wissen nichts vom Plan. Lösung: BIA und Tabletop-Übung mit GL und Bereichsleitern.
- Cyber-Versicherung verlangt DR-Übungs-Nachweise – ohne dokumentierte Tests kein Ersatz. Lösung: Übungsberichte archivieren, an Versicherer weiterleiten.
Fazit: Der Plan ist die halbe Miete
Disaster Recovery ist 2026 für Schweizer KMU keine Kür mehr. Cyber-Versicherungen verlangen Übungs-Nachweise, NIS2-Lieferanten erwarten dokumentierte Pläne, und die NCSC-Statistik zeigt: Wer nach Ransomware mehr als 5 Tage steht, hat ein massiv erhöhtes Insolvenz-Risiko. Ein 20-seitiger DR-Plan, einmal pro Jahr getestet, ist die Versicherung gegen genau dieses Szenario.
Wichtig: Der beste Plan ist der, der wirklich gelebt wird. Lieber ein einfacher 20-seitiger Plan, der jedes Jahr geübt wird, als ein 200-seitiges Compliance-Dokument, das niemand liest. Mit einer pragmatischen BIA, klaren RTO/RPO-Zielen und einer jährlichen Tabletop-Übung halbiert sich die effektive Wiederanlaufzeit – nachweislich.
DR-Plan aufsetzen lassen
Wir erstellen Ihre Business Impact Analyse, schreiben den DR-Plan, bauen die Wiederanlauf-Runbooks und führen die erste Tabletop-Übung mit Ihrer GL durch.
Beratung anfragen