Die häufigsten Pain Points in der Incident Response – und wie Unternehmen sie lösen 

Weshalb gibt es überhaupt noch erfolgreiche Cyberangriffe? Die Gründe dafür sind oft banaler als vermutet und haben viel mit mangelnder Vorbereitung zu tun. Doch wo liegen die häufigen Pain Points bei der Incident Response, und wie lassen sie sich lösen? 

November 2025, Text: Andreas Heer, Bild: Swisscom           7 Min.

Selbst spektakuläre Cyberangriffe erweisen sich häufig als viel banaler, wenn man genauer hinschaut. Denn viele erfolgreiche Attacken nutzen bekannte Schwachstellen oder unsichere Konfigurationen. So berichtet der Data Breach Investigations Report 2025 (DBIR) von Verizon, dass 20 % der initialen Zugriffe über bekannte Schwachstellen erfolgten. Und etwa gleich viel über gestohlene Zugangsdaten, die nicht mit Zweifaktor-Authentifizierung (2FA) abgesichert waren. Karin Holzhauser, Threat Detection and Incident Response Expertin bei Swisscom, kann dies bestätigen. «Unsere Erfahrungswerte zeigen, dass die meisten Incidents auf Schwächen in der Multifaktor-Authentifizierung, dem Umgang mit Administratorenrechten und dem versäumten Patching kritischer Schwachstellen zurückzuführen sind.» 

Wenn die Angriffsvektoren bekannt sind, stellt sich die Frage, weshalb es immer noch so viele erfolgreiche Cyberangriffe gibt, auch in der Schweiz. Woran liegt es, dass die Incident Response (IR) nicht besser vorbereitet ist und solche Attacken abwehren kann? Dieser Artikel beleuchtet häufige Probleme oder «Pain Points» bei der Cybernotfall-Bewältigung und bietet praxiserprobte Lösungsansätze. 

Pain Point 1: unzureichende Notfallpläne 

Zuerst eine Begriffsklärung:

  • Ein Notfallplan oder Disaster Recovery Plan ist Bestandteil des Business Continuity Managements (BCM). Er sollte nicht nur Elementarschäden (Feuer, Wasser) behandeln, sondern spezifisch auch Cybervorfälle. 
  • Ein Incident Response Plan (IR-Plan) beschreibt das Vorgehen bei einem Cybervorfall, beispielsweise anhand der NIST Incident Response Recommendations. Er ist Bestandteil des Notfallplans.
     

In manchen Unternehmen fehlt es an einem aktuellen und erprobten Notfallplan. «Ein Cybervorfall wie zum Beispiel eine Ransomware-Attacke betrifft nicht nur die IT-Abteilung. Die Auswirkungen sind unternehmensweit spürbar. Darauf gilt es sich mit entsprechenden Plänen und Übungen vorzubereiten – insbesondere auf Managementebene», sagt Holzhauser.

Unklare Abläufe und Zuständigkeiten erschweren es, nach der Entdeckung eines Vorfalls richtig zu reagieren, erläutert Daniel Würsch, Product Portfolio Manager für Threat Detection and Response bei Swisscom: «Mangelnde Vorbereitung führt dazu, dass Unternehmen überhastet reagieren und zuerst selbst versuchen, den Vorfall einzudämmen. Dabei geht wertvolle Zeit verloren.» 

Ein mangelhafter Notfallplan ist auch Ursache der folgenden Pain Points. 

Pain Points in der Praxis: An den Swisscom Business Days ging es um die Aufarbeitung des Cybervorfalls bei der Swissmem Ausgleichskasse. 

Pain Point 2: Überforderung mit der Erstreaktion 

Ein Cybervorfall ist ein stressiger Moment. Es herrscht Hektik und Unsicherheit, und doch entscheiden die ersten Stunden, wie schnell und gut sich die Attacke eindämmen lässt. «In vielen Unternehmen herrscht Unklarheit, ab wann man eine Krise ausrufen sollte. Diese Unsicherheit bringt oft mit sich, dass erst verspätet wichtige Ressourcen aufgeboten werden», konstatiert Holzhauser. 

Denn in dieser Phase müssen die IR-Verantwortlichen Entscheidungen treffen, die den Geschäftsbetrieb massiv beeinträchtigen können. «Unklare Kompetenzen, etwa die Entscheidungsbefugnis, in der Krise ohne Rücksprache kritische Systeme zu isolieren und somit die Betriebsbereitschaft massgeblich zu beeinflussen, verzögern die Reaktion und führen zu zusätzlichen Risiken», beschreibt Holzhauser die Herausforderungen. «Wenn solche Themen erst in dieser Situation diskutiert werden müssen, geht wertvolle Zeit verloren.» 

Pain Point 3: Ressourcenmangel im Ernstfall 

Cybervorfälle kennen keine Bürozeiten – manchmal bewusst nicht. Die mangelnde Verfügbarkeit von Mitarbeitenden und der Geschäftsleitung erschwert die Reaktion. Und manchmal fehlt es auch an Fachwissen oder schlicht an Ressourcen, um die Situation selbst in den Griff zu kriegen. Also ist Unterstützung durch externe Partner gefragt. Doch auch die will geplant sein. Oder, wie es Holzhauser ausdrückt: «Das ist nicht der ideale Zeitpunkt, um herauszufinden, wie man einen Partner nach 18 Uhr noch erreicht.» 

Pain Point 4: Ein Cybervorfall ist kein reines IT-Problem 

Cybervorfälle zeigen Unternehmen spätestens in einer Krisensituation, wie sehr alle Unternehmensbereiche von einer funktionierenden IT abhängig sind und welches die Kronjuwelen eines Unternehmens sind. «Wir erleben häufig, dass Unternehmen nicht bewusst ist, wie sehr sich der Ausfall einer Applikation auf den Betrieb auswirkt und insbesondere, dass Isolationen oft die gewohnten internen Kommunikationskanäle ausser Kraft setzen», sagt Holzhauser. «Und es braucht einen guten Überblick über die IT-Landschaft, um mit den Massnahmen am richtigen Ort anzusetzen», ergänzt Würsch. 

Bei einem Cybervorfall stellen sich Fragen wie: 

  • Gibt es Meldepflichten, beispielsweise DSG/DSGVO, FINMA, DORA, NIS2, Datenschutzbehörden?
  •  Welche finanziellen Risiken entstehen durch den Cyberangriff und durch die Isolierung von Systemen? 
  • Wer administriert das Isolieren, Abschalten und Wiederherstellen von Systemen? 
  • Wer kommuniziert und informiert wann wen? 
  • Wer koordiniert die Incident Response? 
Informieren Sie sich über aktuelle Trends in der Cybersecurity und über relevante Bedrohungen.

Empfehlung 1: üben, üben, üben 

Die Vorbereitung ist das A und O der Incident Response. Unternehmen, die gut vorbereitet sind, haben bessere Chancen, den Schaden bei einem Cybervorfall einzudämmen. Dazu gehört, nicht nur einen Notfallplan zu besitzen und aktuell zu halten, sondern die Szenarien auch regelmässig zu üben. «Eine realitätsnahe Simulation einer Cyberkrise beinhaltet, dass das Krisenteam die volle Bandbreite seiner Zuständigkeiten wahrnimmt. So wird sichergestellt, dass auch dem Management die Tragweite eines Cyberincidents bewusst wird.», betont Holzhauser.  

Eine Möglichkeit sind sogenannte Tabletop Excercises (TTX)(öffnet ein neues Fenster), bei denen ein Cybervorfall gewissermassen am grünen Tisch durchgespielt wird – unter Einbezug aller notwendigen Bereiche. Was den Inhalt solcher Übungen angeht, so empfiehlt Würsch, möglichst realistische Szenarien durchzuspielen aus den Threat-Modellen des Unternehmens. 

Empfehlung 2: die Kommunikation vorbereiten 

Im Ernstfall ist die Kommunikation matchentscheidend. Einerseits geht es darum, den Austausch innerhalb des Krisenstabs sicherzustellen. Andererseits entscheidet die Kommunikation mit Behörden, Kunden und Partnern, ob ein Unternehmen das Vertrauen erhalten kann. 

Ein wichtiger Aspekt bei der Vorbereitung ist die Wahl der Kommunikationskanäle für den Ernstfall. Aber auch die Inhalte der Kommunikation lassen sich vorbereiten, beispielsweise an Kunden, die Öffentlichkeit oder bei Meldepflichten.  

Empfehlung 3: Security Awareness stärken 

Mitarbeitende sind oftmals das entscheidende Glied in der Kette. Als «first line of defence» tragen sie dazu bei, Cybervorfälle rechtzeitig zu erkennen. Hierzu müssen sie darauf sensibilisiert sein, Auffälligkeiten festzustellen und sich auch trauen, diese zu melden. «Kontinuierliche Schulungen sind ein wichtiges Instrument, um ein Sicherheitsbewusstsein unter den Mitarbeitenden zu entwickeln», empfiehlt Würsch.   

Empfehlung 4: das Netzwerk pflegen 

Eine wirksame Incident Response benötigt oft zusätzliches Fachwissen und menschliche Verstärkung. Sei es, dass Hard- und Software-Lieferanten einbezogen werden müssen oder externe Cybersecurity-Dienstleistungen. Dieses Netzwerk – inklusive Kontakte und Ansprechpartner im Krisenfall – bauen Unternehmen sinnvollerweise vor einem Vorfall auf. Das ist eine laufende Arbeit, betont Würsch: «Ein regelmässiger Austausch mit Partnern und Branchenvertretern kann helfen, Sicherheitsrisiken frühzeitig zu erkennen und mit geeigneten Massnahmen die Resilienz zu stärken.» 

Empfehlung 5: Wie sag ichs dem Chef? 

Dem Management die Notwendigkeit von Cybersecurity-Massnahmen bewusst zu machen, ist eine eigentliche Übersetzungsarbeit. «Cybersecurity ist besonders eindrucksvoll, wenn man die Auswirkungen eines Cybervorfalls am Beispiel von Gewinn- oder Umsatzauswirkungen aufzeigen kann», ergänzt Holzhauser. «Die jüngsten Beispiele aus der Automobilindustrie sowie von grossen Handelsunternehmen zeigen, dass eine Attacke an die Unternehmenssubstanz gehen kann.»  

Weitere interessante Artikel