fairlane.systems

INCIDENT RESPONSE · SICHERHEIT & BETRIEB

Incident-Response-Playbook: 6-Phasen-Modell nach NIST SP 800-61 für KMU

Strukturierte Reaktion auf Sicherheitsvorfälle in sechs Phasen, mit DSG-konformer 72-Stunden-Meldung an den EDÖB und Werkzeugen wie TheHive, Wazuh und MISP.

Recherche & Faktencheck: · Stand: 2026-05

Was ist ein Incident-Response-Playbook?

Ein Incident-Response-Playbook ist ein vorab geschriebener, in der Schublade liegender Ablaufplan für den Moment, in dem ein IT-Sicherheitsvorfall die Geschäftstätigkeit eines Treuhandbüros, einer Anwaltskanzlei oder eines KMU bedroht. Der weltweite De-facto-Standard ist die NIST Special Publication 800-61 Revision 2, eine Empfehlung der US-amerikanischen National Institute of Standards and Technology. Sie definiert sechs Phasen: Vorbereitung, Detektion und Analyse, Eindaemmung, Beseitigung, Wiederherstellung und Lessons Learned. Der Plan ist nicht ein 200-seitiges Dokument, sondern eine Sammlung von kurzen, durchsetzbaren Checklisten pro Vorfalltyp (Ransomware, Datenleak, Phishing-Erfolg, kompromittierter Account, LLM-Daten-Leak).

Die Pflicht zur strukturierten Vorbereitung kommt seit dem 1. September 2023 in der Schweiz aus dem revidierten Datenschutzgesetz (DSG). Artikel 24 verpflichtet Verantwortliche, eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, so rasch als möglich dem EDÖB zu melden. Die Praxis hat sich auf 72 Stunden nach Kenntnisnahme eingependelt, analog zur DSGVO Artikel 33. Ohne Playbook ist diese Frist nicht zu halten.

Warum es zählt

Ohne Playbook reagiert ein KMU im Vorfall improvisiert. Improvisation kostet Stunden, in denen Schaden wächst, Beweise verloren gehen und Meldefristen verstreichen. Das Schweizer DSG sieht zwar keine direkten Bussen für verspätete Meldung vor, doch das Reputationsrisiko und die zivilrechtliche Haftung sind real. In der EU sind verspätete oder unterlassene Meldungen unter DSGVO mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes bedroht.

Konkret für ein Treuhandbüro: Bei einem Ransomware-Vorfall am Freitagabend muss am Montag eine Kommunikation an Mandanten stehen, am Mittwoch die Meldung an den EDÖB. Ohne vorgefertigte Templates, ohne Kontaktliste der zuständigen kantonalen Datenschutzbeauftragten, ohne klare Rollen-Verteilung im 5-Personen-Team ist das nicht leistbar.

Für KI-Betreiber kommt 2026 eine neue Vorfall-Kategorie hinzu: LLM-Incidents. Eine schlecht abgesicherte Prompt-Injection kann ein Modell veranlassen, Mandantendaten an Dritte zu leaken. Eine Halluzination kann einem Mandanten Schaden zufügen, der haftungsrelevant ist. Schatten-KI im Büro (Mitarbeiter nutzen ChatGPT mit Mandantendaten) ist ein Compliance-Bruch nach Berufsgeheimnis StGB 321. Das Playbook muss diese Vorfälle kennen.

Wie das 6-Phasen-Modell funktioniert

Phase 1 - Vorbereitung. Vor jedem Vorfall werden die Voraussetzungen geschaffen. Dazu gehören: eine aktuelle Kontaktliste mit EDÖB-Hotline (058 462 43 95), den zuständigen kantonalen Datenschutzbeauftragten, der Kantonspolizei oder Bundespolizei (NCSC für kritische Infrastruktur), dem eigenen Cyber-Versicherer und IT-Forensik-Partnern. Dazu gehören auch Kommunikations-Templates für Mandanten, Mitarbeiter, Aufsichtsbehörden und Medien. Dazu gehört ein bootfähiges Forensik-Kit auf USB-Stick: SIFT Workstation, Velociraptor-Client, Wireshark, dd, Autopsy. Die Rollen sind klar verteilt: Incident Commander (typisch Geschäftsführer oder CISO), Communications Lead, Tech Lead, Legal Lead, Recorder.

Phase 2 - Detektion und Analyse. Vorfälle werden über Monitoring, EDR-Agenten (Wazuh, CrowdStrike Falcon), SIEM-Alerts oder Mitarbeiter-Meldungen erkannt. TheHive Project ist 2026 die führende Open-Source-Incident-Plattform für die Triage und Fall-Verwaltung; Cortex ergänzt sie um automatische IOC-Analyse (Hash-Lookups bei VirusTotal, AbuseIPDB, MalwareBazaar). MISP teilt Threat-Intel mit anderen Schweizer Organisationen über die Swiss-MISP-Community.

Phase 3 - Eindaemmung. Sofortmassnahmen, die den Schaden begrenzen, ohne Beweise zu zerstören. Bei Ransomware: betroffene Hosts vom Netzwerk trennen, aber nicht ausschalten (RAM-Forensik erhalten). Bei Account-Kompromittierung: Passwörter rotieren, Sessions invalidieren, MFA-Pflicht durchsetzen. Bei Datenleak: Exfiltrations-Kanal blockieren, Zugriffe protokollieren.

Phase 4 - Beseitigung. Wurzelursache eliminieren: Malware entfernen, Schwachstelle patchen, kompromittierte Accounts löschen oder neu aufsetzen, Backdoor-Mechanismen suchen.

Phase 5 - Wiederherstellung. Backup-Restore mit verifizierter Sauberkeit (Mounting in isoliertem Netzwerk, Antivirus-Scan vor Produktiv-Schaltung), Monitoring intensiviert in den ersten 72 Stunden nach Restore, Mandanten informiert.

Phase 6 - Lessons Learned. Post-Mortem innerhalb von 14 Tagen, schriftliches Protokoll der Zeitachse, Identifikation der Schwachstellen, Update des Playbooks. NIST betont, dass diese Phase die einzige ist, die langfristig die Reife der Organisation steigert.

Playbook in 6 Schritten aufsetzen

  1. 01Asset-Inventar: welche Daten, welche Systeme, welche Vertraulichkeitsstufen, welche gesetzlichen Pflichten je Datenkategorie.
  2. 02Rollen besetzen: Incident Commander, Tech Lead, Communications Lead, Legal Lead, Recorder mit Vertretung pro Rolle.
  3. 03Kontaktliste: EDÖB, kantonaler Datenschutzbeauftragter, NCSC, Cyber-Versicherer, IT-Forensik-Partner, Hauptmandanten, Medien-Sprecher.
  4. 04Templates: Meldung an EDÖB (Online-Formular vorbereiten), Mandanten-Mail je Vorfalltyp, interner Mitarbeiter-Brief, Medien-Statement.
  5. 05Tools-Kit: TheHive Project plus Cortex deployen (Docker), Wazuh-Agent auf allen Servern, MISP-Beitritt bei Swiss-MISP-Community prüfen.
  6. 06Tabletop-Exercise: zwei Mal pro Jahr ein Vorfall-Szenario durchspielen, Lessons Learned ins Playbook einarbeiten.

Wann ein Playbook anlegen

Ein Playbook ist Pflicht-Lektuere für jedes Unternehmen, das (a) personenbezogene Daten verarbeitet (DSG-Pflicht zur Meldung), (b) Geschäftsbücher digital führt (OR 957a Aufbewahrungspflicht), oder (c) unter Berufsgeheimnis tätig ist (StGB 321, BGFA für Anwälte, MedBG für Ärzte).

Konkrete Anwendungssituationen: Ein Treuhandbüro ab 3 Mitarbeitern, das Lohnbuchhaltung für Mandanten führt. Eine Anwaltskanzlei mit Mandantenstamm und elektronischer Akte. Ein Architekturbüro, das Pläne und Honorarvereinbarungen digital ablegt. Eine Versicherungsagentur mit Kundendaten in CRM. Eine Arztpraxis mit elektronischer Krankengeschichte. Ein E-Commerce-KMU mit Kreditkartendaten.

Auch ein einzelner KI-Beratungsdienstleister, der einen LLM-Bot für einen Mandanten betreibt, sollte ein Mini-Playbook haben - schon weil der Mandant es vor Auftragsbeginn verlangen wird.

Wann ein Playbook nicht reicht

Ein Playbook ist kein Ersatz für technische Schutzmassnahmen. Wenn keine Backups laufen, kein Monitoring vorhanden ist, keine MFA durchgesetzt wird und Patch-Management fehlt, dann fehlt dem Playbook das Fundament. Schritte wie Wiederherstellung aus Backup setzen voraus, dass das Backup existiert und getestet ist.

Ein Playbook ist auch kein Ersatz für Übung. Ein Plan, der nie geprobt wurde, scheitert beim ersten Ernstfall. NIST empfiehlt mindestens jährliche Tabletop-Exercises: das Team spielt einen Vorfall durch, ohne ihn real zu inszenieren, und prüft, ob das Playbook trägt. Erfahrungswert aus 2026: 60 Prozent der KMU-Playbooks fallen beim ersten Tabletop-Test durch (veraltete Kontakte, fehlende Zugriffsrechte des Tech-Lead während Ferienabwesenheit, kein Backup-Mediation-Vertrag).

Für Organisationen mit hohem Risiko (Banken, Versicherungen, kritische Infrastruktur unter NCSC-Geltung) reicht ein Selbstbau-Playbook nicht. Hier sind FINMA-Rundschreiben, SECO-IKS-Anforderungen und ISO/IEC 27035 anzuwenden, dazu professionelle Incident-Response-Retainer mit garantierten SLA.

Vor- und Nachteile

STÄRKEN

  • Erfüllt DSG Art. 24 und DSGVO Art. 33 Meldepflichten in 72 Stunden
  • Reduziert improvisations-bedingten Schaden im Ernstfall um Faktor 3 bis 10
  • Schafft Vertrauen bei Mandanten und Versicherern (Cyber-Police-Voraussetzung)
  • Erschliesst Reife-Sprung in der Organisation durch Lessons-Learned-Phase

SCHWÄCHEN

  • Initialer Aufwand 3 bis 8 Personentage je nach Komplexität der Organisation
  • Wartungsaufwand: zwei Tabletop-Exercises pro Jahr, Kontaktlisten-Pflege
  • Ohne technisches Fundament (Backup, Monitoring, MFA) wirkungslos
  • Akzeptanz im Team braucht klare Geschäftsführungs-Rückendeckung

Häufige Fragen

Ist eine Meldung an den EDÖB immer nötig?

Nein. DSG Art. 24 verlangt die Meldung nur bei einer Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Beispiel: Diebstahl eines Laptops mit verschlüsselter Festplatte und ohne Zugang ist meist nicht hoch-risikoreich. Diebstahl einer unverschlüsselten Mandantenakten-Datenbank schon. Die Risiko-Einschätzung muss dokumentiert sein, auch wenn keine Meldung erfolgt - das ist Teil der Rechenschaftspflicht.

Was kostet ein TheHive plus Cortex Setup?

Beide sind quelloffen unter AGPL v3 (TheHive 5) und LGPL (Cortex). Hardware-Bedarf für ein 10-Personen-KMU: ein Docker-Host mit 4 vCPU, 8 GB RAM, 100 GB Disk - ca. CHF 25/Monat bei Hetzner. Setup-Aufwand: 2 bis 4 Personentage. Kommerzielle TheHive Cloud (StrangeBee) startet bei EUR 250/Monat für kleine Teams, lohnt sich ab ca. 50 Vorfällen/Jahr.

Wie sieht ein LLM-Incident konkret aus?

Beispielfall Mai 2026: Ein Treuhand-Chatbot mit RAG über Mandantenakten beantwortet eine geschickte Prompt-Injection-Anfrage eines unbekannten Nutzers mit Auszügen aus einer fremden Mandantenakte. Das ist gleichzeitig DSG-Verletzung (Art. 24), Berufsgeheimnis-Bruch (StGB 321) und potenziell EU-AI-Act-relevant. Eindaemmung: Chatbot offline, Audit-Log analysieren, betroffene Mandanten ermitteln. Meldung an EDÖB in 72 Stunden, Mandanten-Information sofort, Post-Mortem mit Refactoring des System-Prompts und zusätzlicher Output-Sanitisierung.

Wie oft muss das Playbook aktualisiert werden?

Mindestens nach jedem Tabletop-Test und nach jedem realen Vorfall in der Lessons-Learned-Phase. Zusätzlich anlasslos einmal pro Jahr: Kontaktlisten aktualisieren, neue Bedrohungslagen aufnehmen (z.B. neue Phishing-Varianten, neue Ransomware-Familien). Bei grösseren regulatorischen Änderungen (z.B. EU AI Act, FADP-Revision) gezielter Review.

Verwandte Themen

LOGGING · SICHERHEIT & BETRIEBLogging und Audit-Trail: revisionsfeste Protokollierung nach OR Art. 957a für KMUFIREWALL · SICHERHEIT & BETRIEBFirewall und CrowdSec: mehrschichtiger Schutz für KMU-Server 2026DSFA · COMPLIANCEDSFA für KI-Systeme: Datenschutz-Folgenabschätzung nach revDSG Art. 22 und DSGVO Art. 35STGB 321 · COMPLIANCEBerufsgeheimnis (StGB Art. 321) und KI-Nutzung: Was Anwälte, Notare, Ärzte und Revisoren beachten müssenMANAGED · SERVICEManaged Service & Monitoring: Wir betreiben es weiter, Sie nutzen esGRAFANA · TECH-STACKGrafana, Prometheus, Loki: Monitoring-Stack für Container-Apps und LLM-Workflows

Quellen

  1. NIST SP 800-61 Rev. 2 - Computer Security Incident Handling Guide · 2026-04
  2. EDÖB - Meldung von Datenschutz-Verletzungen (Verfahren und Online-Formular) · 2026-05
  3. BSI IT-Grundschutz DER.2.1 Behandlung von Sicherheitsvorfällen · 2026-03
  4. TheHive Project 5 - Documentation (StrangeBee) · 2026-05
  5. NCSC Schweiz - Bundesamt für Cybersicherheit, Meldung von Vorfällen · 2026-04

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen