Cyberkrisen meistern – mit den richtigen Strukturen erfolgreich handeln (Teil 1)

Cyberkrisen sind längst kein Problem mehr nur für Grosskonzerne: Sie können jedes Unternehmen treffen – vom kleinen Betrieb bis zum internationalen Konzern – auch in der Schweiz und der gesamten DACH-Region. Aktuelle Zahlen verdeutlichen die wachsende Bedrohungslage: Allein 2024 wurden beim NCSC über 63’000 Cybervorfälle in der Schweiz gemeldet – ein neuer Höchststand. Die Entwicklung zeigt klar nach oben, und die Auswirkungen betreffen Unternehmen jeder Grösse und Branche, wobei die Wiederherstellung der Systeme oft Wochen dauert und Produktions- sowie Lieferketten empfindlich gestört werden.

In der gesamten DACH-Region zeigt sich ein ähnliches Bild: 2023 stieg die Zahl schwerer Sicherheitsvorfälle in Deutschland, Österreich und der Schweiz um über 35 %, mit spürbaren Auswirkungen auf kritische Infrastrukturen, Dienstleistungen und Geschäftsprozesse. Gleichzeitig steigen die regulatorischen Anforderungen: Behörden verlangen schnelle, präzise Meldungen – teilweise innerhalb von 24 Stunden – und auch Kunden, Partner sowie interne Stakeholder erwarten transparente und verlässliche Informationen.

Kunden verlieren das Vertrauen, die Produktion steht still, unternehmenskritische Abläufe stocken – und nicht selten markiert der Cyberangriff den Wendepunkt zwischen Überleben und Insolvenz.

Besonders entscheidend ist die erste Phase nach Entdeckung einer Cyberkrise, typischerweise innerhalb der ersten zwei bis vier Stunden. In dieser Zeit werden die Weichen gestellt: Wie behält das Team den Überblick? Welche Handlungsfelder haben höchste Priorität? Welche Kommunikationskanäle müssen sofort besetzt werden? Es geht nicht darum, jede technische Herausforderung sofort zu lösen, sondern darum, Orientierung zu gewinnen, Entscheidungsprozesse zu strukturieren und die Situation gezielt einzuschätzen.

Dieser Beitrag teilt Erkenntnisse, Ansätze und bewährte Prinzipien, die Unternehmen in dieser kritischen Phase unterstützen. Er liefert Orientierung, zeigt zentrale Handlungsfelder auf und beleuchtet die psychologische Dimension, die oft übersehen wird. So können Führungskräfte und Teams ein besseres Verständnis dafür entwickeln, wie man eine Cyberkrise handlungsfähig und strukturiert gestaltet – und welche Faktoren über den weiteren Verlauf mitentscheiden können.

Cyberkrisen sind selten nur technische Herausforderungen. Vielmehr treffen sie jene Menschen mit voller Wucht, die täglich für den Betrieb und die Sicherheit der Systeme verantwortlich sind. Dabei spielt es keine Rolle, ob es sich um ein grosses Unternehmen, ein KMU oder einen Betreiber kritischer Infrastrukturen handelt – der psychologische Druck betrifft alle Rollen: vom Management über IT-Leitende und Engineers bis hin zu Systemadministratoren und Mitarbeitenden in der operativen Sicherheit.

Wenn Mitarbeitende glauben, dass sie durch eigenes Handeln oder Unterlassungen zur Entstehung oder Verschärfung eines Vorfalls beigetragen haben, entstehen intensive Schuldgefühle und Ängste. Gleichzeitig schwebt oft die Sorge über mögliche berufliche Konsequenzen, wie Repressalien oder sogar Jobverlust, über den Köpfen der Verantwortlichen. Studien zeigen beispielsweise, dass nach einem Ransomware-Angriff etwa 25 % der CISOs ihren Posten verlieren ([1] Sophos, 2021). Doch nicht nur CISOs, sondern auch die Führungsebene, IT-Leiter, Engineers oder Systemadministratoren sind betroffen – jede Rolle, die Entscheidungen vor oder während einer Krise treffen muss, ist potenziell belastet.

Unter diesem Druck treten verschiedene psychologische Reaktionen auf, die die Krisenbewältigung erschweren:

• Überkompensation und Hektik: Verantwortliche versuchen, Fehler schnell wiedergutzumachen, was zu übereilten Entscheidungen führen kann.
• Vermeidung von Verantwortung: Aus Angst vor Schuldzuweisungen werden Entscheidungen verschoben oder delegiert, selbst wenn schnelle Reaktionen entscheidend sind.
• Tunnelblick: Unter Stress konzentrieren sich Mitarbeitende auf wenige bekannte Lösungswege und übersehen alternative Optionen oder Risiken.
• Fehlerhafte Kommunikation: Emotionale Belastung kann dazu führen, dass Informationen unvollständig, verzögert oder widersprüchlich weitergegeben werden.

Diese Reaktionen wirken nicht isoliert, sondern verstärken jede organisatorische Unsicherheit und jede Lücke in der Vorbereitung, wodurch sich die Krise schneller verschärfen kann ([2] Porcelli & Delgado, 2017).

Die psychologische Belastung einzelner beeinflusst die Dynamik des gesamten Teams. Typische Folgen sind:

• Misstrauen und Intransparenz: Fehler werden nicht offen angesprochen, stattdessen werden Schuldige gesucht, anstatt Probleme gemeinsam zu lösen.
• Rückzug einzelner Teammitglieder: Verringert die verfügbare Kapazität und verlangsamt sowohl den Informationsfluss als auch Entscheidungsprozesse.
• Stigmatisierung: Untergräbt das Vertrauen im Team; Informationen werden zurückgehalten oder Mitarbeitende handeln nicht mehr proaktiv.

In Kombination können diese Faktoren zu Entscheidungsblockaden, Verzögerungen und ineffektiven Massnahmen führen.

Ein weiterer entscheidender Faktor ist der klassische Interessenkonflikt zwischen CIO und CISO. Wenn der CISO organisatorisch dem CIO unterstellt ist, können Prioritäten verschoben werden: Während der CIO oft stark auf Systemverfügbarkeit, schnelle Lieferung und operative Ziele fokussiert, trägt der CISO die Verantwortung für die Sicherheit.

Dieser Konflikt erzeugt Stress auf mehreren Ebenen:

• Für den CISO: Sorge, dass Sicherheitsentscheidungen als hinderlich oder risikoreich wahrgenommen werden, kann zu Entscheidungshemmungen führen.
• Für die IT-Leitung/CIO: Druck, Lieferziele zu erreichen, kann dazu führen, dass Sicherheitsbedenken ignoriert oder delegiert werden.
• Für das Team: Widersprüchliche Prioritäten erzeugen Unsicherheit und erhöhen Schuldgefühle sowie Konfliktpotenzial.

Die Reaktion besteht oft darin, Schuldige zu suchen, anstatt Probleme konstruktiv zu lösen. Sicherheitsvorfälle werden dann teilweise dem CISO oder der Sicherheitsabteilung angelastet. Schuldgefühle, Angst vor Karriereverlust oder die Sorge, eigenes Versagen zu kaschieren, verstärken den Druck auf alle Beteiligten und können Fehlentscheidungen, Verzögerungen oder Misskommunikation auslösen.

Studien zeigen, dass die organisatorische Unabhängigkeit des CISO nicht nur technische Effektivität erhöht, sondern auch psychologische Entlastung schafft: Berichtet der CISO direkt an den CEO oder den Vorstand, sinkt der Druck, operative Entscheidungen rechtfertigen oder Schuldabwehrmechanismen entwickeln zu müssen ([3] Cisco, 2023).

Ein klar strukturiertes Cyber Crisis Management (CCM)-Team und ein flexibles Playbook sind zentrale Instrumente, um psychologischen Druck zu reduzieren. Sie sorgen dafür, dass Entscheidungen nicht nur auf dem Wissen einzelner beruhen, sondern auf klaren Abläufen, Transparenz und gegenseitiger Unterstützung.

• Klare Rollen und Verantwortlichkeiten: Jedes Teammitglied weiss, welche Entscheidungen es treffen darf – Unsicherheit wird reduziert.
• Transparente Kommunikations- und Eskalationswege: Entscheidungen werden schnell und nachvollziehbar weitergegeben.
• Strukturierte Abläufe im Playbook: Bieten Orientierung für Prioritäten, Entscheidungsprozesse und Handlungsoptionen, ohne die Verantwortung einzelner aufzuheben.
• Simulationen und Trainings: Bereiten das Team auf Stresssituationen vor, erhöhen die Resilienz und stärken das Vertrauen in Entscheidungen.
• Mentale Unterstützung und Pausen: Regelmässige Check-ins und kurze Pausen während der Krise helfen, Überlastung zu vermeiden.

Diese Massnahmen ermöglichen es dem Team, auch unter hohem Druck handlungsfähig zu bleiben und effektiv zu agieren.

In vielen Organisationen zeigt sich, dass externe Expertise helfen kann, interne Spannungen abzufedern. Bestehen Interessenkonflikte oder stehen Mitarbeitende bzw. das Management stark unter Druck, bietet eine neutrale Perspektive von aussen sowohl taktische als auch strategische Unterstützung.

• Entlastung von Entscheidungsdruck, da externe Experten objektive Bewertungen liefern.
• Verminderung interner Schuldzuweisungen durch neutrale Beratung.
• Unterstützung bei Kommunikations- und Eskalationsprozessen, um klare Abläufe zu gewährleisten.
• Spezialistenwissen einbringen: Für viele Unternehmen ist IT-Security oder die Krisenbewältigung von Cybervorfällen nicht das Kerngeschäft – hier fehlen oft interne Experten. Externe Berater bringen genau dieses Fachwissen ein, nach dem Prinzip: „Schuster, bleib bei deinen Leisten“.
• Vorbereitung und akute Krisenbewältigung: Externe Expertise kann sowohl im Vorfeld – bei Trainings, Simulationen und Aufbau eines CCM-Teams – als auch während einer tatsächlichen Cyberkrise wertvolle Unterstützung bieten, um Entscheidungen zu entlasten, Prioritäten zu setzen und die Handlungsfähigkeit des Teams zu sichern.

Diese externe Perspektive ergänzt die interne Vorbereitung durch CCM-Team und Playbook und sorgt dafür, dass das Team auch unter hohem Druck effektiv, ruhig und strukturiert agieren kann.

Stell dir vor: Es ist Freitagabend, die IT meldet ungewöhnliche Aktivitäten auf zentralen Systemen. Server reagieren seltsam, kritische Anwendungen sind nicht erreichbar, und erste Mitarbeitende berichten von verdächtigen Meldungen. Die ersten Minuten nach Entdeckung einer Cyberkrise sind entscheidend – sie bilden die sogenannte „Golden Hour“, die Phase, in der die Weichen für die weitere Bewältigung gestellt werden.

In der Golden Hour geht es nicht darum, sofort jede technische Herausforderung zu lösen. Viel wichtiger ist:

1. Orientierung gewinnen – Klarheit darüber, was genau passiert, welche Systeme betroffen sind und welche Auswirkungen zu erwarten sind.
2. Prioritäten setzen – Welche Aufgaben müssen zuerst erledigt werden, um Schaden zu begrenzen? Welche Kommunikationskanäle müssen sofort besetzt werden?
3. Rollen und Verantwortlichkeiten aktivieren – Alle Beteiligten müssen wissen, wer Entscheidungen trifft, wer informiert wird und wer beratend unterstützt.

Diese Phase dauert typischerweise die ersten zwei bis vier Stunden nach Entdeckung, kann aber je nach Umfang und Komplexität der Krise variieren.

In dieser Phase übernimmt das Cyber Crisis Management Team (CCM-Team) die Steuerung der Krise, trifft priorisierte Entscheidungen und sorgt dafür, dass das Team strukturiert vorgeht. Es geht weniger darum, jede technische Herausforderung sofort zu lösen, sondern darum, Orientierung zu gewinnen, Handlungsfähigkeit zu sichern und erste Massnahmen klar zu koordinieren.

Parallel dazu ist es entscheidend, dass die Kommunikationswege klar sind: Intern müssen Mitarbeitende Orientierung erhalten, damit keine Unsicherheit entsteht; extern müssen Partner oder Kunden zeitnah informiert werden, ohne dass falsche Informationen verbreitet werden. Ein konsistenter Kommunikationsrhythmus, z. B. erste Updates nach 30–60 Minuten und regelmässige Folgemeldungen, schafft Vertrauen und reduziert Spekulationen.

Die Golden Hour ist nicht nur technisch und organisatorisch herausfordernd, sondern auch psychologisch belastend. Teams erleben Stress, Unsicherheit und Zeitdruck. Typische Effekte:

• Tunnelblick, wenn alle nur eine mögliche Ursache verfolgen.
• Entscheidungsmüdigkeit, wenn zu viele Entscheidungen gleichzeitig getroffen werden müssen.
• Kommunikationsstress, der Empathie und Klarheit reduzieren kann.

Bewährte Ansätze: kurze Rotationen, klar definierte Pausen, Buddy-Systeme und Checklisten für zentrale Aufgaben. So bleibt das Team handlungsfähig, konzentriert und resilient.

Stell dir vor, ein zentraler Server wird kompromittiert und kritische Geschäftsprozesse stehen still. Innerhalb der ersten Stunde wird das CCM-Team aktiviert und schafft klaren Überblick, setzt Prioritäten und bereitet erste Kommunikation vor – ohne dass bereits alle technischen Details gelöst sein müssen.

So entsteht innerhalb der Golden Hour Orientierung und Kontrolle, während parallel die operative Arbeit und weiterführende Analysen laufen. Die Krise ist damit keineswegs vorbei, aber die Weichen für eine strukturierte, handlungsfähige Bewältigung sind gestellt.

Den zweiten Teil dieser Blog-Serie finden Sie hier: Cyberkrisen meistern – mit den richtigen Strukturen erfolgreich handeln (Teil 2) – Tec-Bite