Ein Cybervorfall beginnt selten spektakulär. Keine Sirenen. Kein sofortiger Totalausfall. Oft ist es ein kleiner Hinweis, ein ungewöhnlicher Login, eine Meldung eines Mitarbeitenden oder ein System, das sich plötzlich anders verhält. Doch genau in diesen ersten Stunden entscheidet sich, ob ein Vorfall beherrschbar bleibt oder zur Krise wird.

Die Realität aus vielen Projekten zeigt: Nicht der Angriff selbst ist das grösste Problem. Sondern die fehlende Entscheidungsfähigkeit in den ersten 24 bis 72 Stunden.

Was im Cybervorfall wirklich zählt

Warum die ersten 72 Stunden entscheidend sind

Ein Cybervorfall ist kein reines IT-Thema. Er ist eine Führungsaufgabe. Denn in den ersten 24–72 Stunden müssen Entscheidungen getroffen werden, die direkte Auswirkungen auf den Geschäftsbetrieb haben:

  • Systeme abschalten – ja oder nein?
  • Kunden informieren – wann und wie?
  • Behörden einbeziehen – sofort oder später?
  • Betrieb aufrechterhalten oder kontrolliert herunterfahren?

Diese Entscheidungen sind selten technisch eindeutig. Sie sind immer eine Abwägung zwischen Risiko, Zeitdruck und Geschäftsfolgen. Genau hier zeigt sich, ob ein Unternehmen vorbereitet ist. Viele Organisationen unterschätzen diesen Moment – bis sie ihn erleben.

Typische Muster aus der Praxis

In der Theorie sind viele Unternehmen gut aufgestellt. Auf dem Papier existieren:

  • Notfallpläne
  • Rollen und Verantwortlichkeiten
  • Dokumentierte Prozesse

Doch im Ernstfall zeigt sich ein anderes Bild:

  1. Unklare Entscheidungswege – Wer darf Systeme vom Netz nehmen? Wer trägt die Verantwortung für den Produktionsstillstand?
  2. Zeitverlust durch Abstimmung – Anstatt zu handeln, wird diskutiert. Wertvolle Stunden vergehen.
  3. Fokus auf Technik statt Wirkung – Die IT analysiert Logs während der Geschäftsbetrieb bereits gefährdet ist.
  4. Kommunikationslücken – Geschäftsleitung, IT und Fachbereiche arbeiten nicht synchron.

Das Ergebnis: Nicht der Angriff eskaliert, sondern die Unsicherheit.

Die drei Phasen der ersten 72 Stunden

1. Phase: Erkennen und Einordnen (0–24 Stunden)

Ziel: Klarheit schaffen

In dieser Phase geht es nicht um Perfektion, sondern um Orientierung.

Entscheidend ist:

  • Ist es ein echter Sicherheitsvorfall oder ein Fehlalarm?
  • Welche Systeme sind betroffen?
  • Besteht akuter Handlungsbedarf?

Praxis-Erfahrung:

Viele Unternehmen verlieren hier Zeit, weil sie versuchen, den Vorfall vollständig zu verstehen. Das ist ein Fehler. In dieser Phase reicht eine fundierte Einschätzung, um erste Massnahmen einzuleiten.

2. Phase: Entscheiden und Stabilisieren (24–48 Stunden)

Ziel: Kontrolle gewinnen

Jetzt wird es kritisch. Die ersten strategischen Entscheidungen stehen an:

  • Systeme isolieren oder weiter betreiben?
  • Zugänge sperren?
  • Externe Unterstützung hinzuziehen?

Hier zeigt sich die grösste Schwäche vieler Organisationen: Es fehlt die Entscheidungsroutine unter Druck. Entscheidungen werden vertagt, Verantwortlichkeiten hinterfragt, Risiken unterschätzt.

Dabei gilt:

Eine schnelle, pragmatische Entscheidung ist oft besser als die perfekte Entscheidung zu spät.

3. Phase: Steuern und Kommunizieren (48–72 Stunden)

Ziel: Stabilität und Vertrauen sichern

Sobald die Situation unter Kontrolle ist, rückt ein anderer Faktor in den Fokus: Kommunikation.

  • Intern: Mitarbeitende informieren und Handlungsfähigkeit sicherstellen
  • Extern: Kunden, Partner, Behörden situativ einbinden
  • Strategisch: Vertrauen schützen

Praxis-Erfahrung: Viele Unternehmen unterschätzen die Wirkung von Kommunikation. Ein Vorfall wird nicht nur technisch bewertet, sondern auch daran, wie transparent und souverän damit umgegangen wird.

Was erfolgreiche Unternehmen anders machen

Aus der Praxis lassen sich klare Muster erkennen. Unternehmen, die Vorfälle gut bewältigen, haben nicht zwingend bessere Technik. Sie haben bessere Vorbereitung.

1. Klare Entscheidungsstruktur

  • Wer entscheidet was?
  • Wer trägt welches Risiko?

Diese Fragen sind vorab geklärt und nicht erst im Ernstfall.

2. Geübte Abläufe

Notfallpläne existieren nicht nur auf Papier. Sie werden getestet:

  • Tabletop-Übungen
  • Szenarien-Trainings
  • Entscheidungs-Simulationen

3. Gemeinsames Verständnis zwischen Management und IT

Technik und Geschäftsführung sprechen dieselbe Sprache. Das ist entscheidend. Denn ein Cybervorfall ist immer beides:

  • ein technisches Ereignis
  • ein geschäftliches Risiko

4. Fokus auf Wirkung statt Perfektion

Es geht nicht darum, alles sofort zu lösen. Sondern darum:

  • Schaden zu begrenzen
  • Betrieb zu stabilisieren
  • Zeit zu gewinnen

Die grösste Fehleinschätzung

Viele Unternehmen glauben:

„Wir reagieren dann, wenn es passiert.“

Doch genau das funktioniert nicht. Warum? Weil ein Cybervorfall unter Zeitdruck stattfindet. Und unter Druck greifen Menschen nicht auf Dokumente zurück, sondern auf Routinen. Wenn diese fehlen, entsteht Unsicherheit. Und Unsicherheit ist im Cybervorfall der grösste Risikofaktor.

Leitfaden für die ersten 72 Stunden im Cybervorfall

Ein pragmatischer Überblick für die Praxis:

Innerhalb der ersten 24 Stunden

  • Vorfall identifizieren und grob einordnen
  • Incident-Team aktivieren
  • Erste Schutzmassnahmen einleiten

Innerhalb von 48 Stunden

  • Betroffene Systeme stabilisieren
  • Entscheidungsstruktur aktiv leben
  • Externe Unterstützung prüfen

Innerhalb von 72 Stunden

  • Kommunikationsstrategie umsetzen
  • Auswirkungen bewerten
  • nächste Schritte definieren

Vorbereitung ist keine Option, sondern Voraussetzung

Ein Cybervorfall ist keine Frage des „Ob“, sondern des „Wann“. Die entscheidende Frage ist:

Wie handlungsfähig ist Ihr Unternehmen in den ersten 72 Stunden?

Denn genau dort entsteht Resilienz. Nicht in Konzepten. Nicht in Tools. Sondern in der Fähigkeit, unter Druck die richtigen Entscheidungen zu treffen.

Wenn Sie Ihre Organisation ehrlich einschätzen:

  • Wer trifft im Ernstfall die ersten Entscheidungen?
  • Wie schnell wären Sie handlungsfähig?
  • Und wann haben Sie das zuletzt getestet?