Cyberkrisen meistern – mit den richtigen Strukturen erfolgreich handeln (Teil 2)

3. September 2025
|In Netzwerk, Cloud, Endpoint, IoT
|Von Albert Hilgenberg

Das Cyber Crisis Management (CCM)-Team: Herzstück einer strukturierten Krisenbewältigung

Ein gut funktionierendes Cyber Crisis Management (CCM)-Team ist der zentrale Pfeiler jeder echten Cyberkrise – also einer Situation, die wesentliche Auswirkungen auf das Unternehmen haben kann, sei es finanziell, strategisch oder regulatorisch. Anders als bei einem einzelnen Vorfall reicht es hier nicht, dass ein Team lediglich technische Massnahmen koordiniert. Vielmehr müssen operative, kommunikative und strategische Entscheidungen schnell und gemeinsam getroffen werden. Deshalb ist die direkte Einbindung der Geschäftsleitung (GL) im CCM-Team unerlässlich: Sie trägt die Gesamtverantwortung für finanzielle, rechtliche und strategische Risiken und kann in der Krise sofort Entscheidungen über Eskalationen, Budgetfreigaben oder Kommunikationsstrategien treffen.

Das CCM-Team ist kein starrer Apparat, sondern ein flexibles, klar definiertes Einsatzteam. Jedes Mitglied kennt seine Rolle, seine Befugnisse und die Schnittstellen zu anderen Verantwortlichen. Zusammen bilden sie die zentrale Steuerungsinstanz für technische Massnahmen, operative Abläufe, regulatorische Meldungen und strategische Entscheidungen.

Kernfunktionen des CCM-Teams

Die Aufgaben des CCM-Teams lassen sich in mehreren Bereichen zusammenfassen. Zunächst ist das Team für die operative Steuerung und Entscheidungsfindung verantwortlich. In akuten Situationen müssen Massnahmen rasch priorisiert und Risiken bewertet werden. Regelmässige Lagebesprechungen stellen sicher, dass alle Beteiligten abgestimmt sind, Entscheidungen transparent dokumentiert werden und die nächsten Schritte klar definiert sind.

Gleichzeitig sorgt das Team für die Koordination zwischen Abteilungen und externen Stakeholdern. Dazu gehören IT, Security, Legal, PR und Management, ebenso wie Behörden, Aufsichtsbehörden und Versicherungen. Ein klarer Informationsfluss verhindert Doppelarbeit, reduziert Unsicherheiten und sorgt dafür, dass alle Beteiligten jederzeit auf dem gleichen Stand sind.

Die Kommunikation ist ein weiterer zentraler Aspekt: Das Team steuert interne und externe Botschaften, nutzt vorbereitete Kommunikationsvorlagen und passt Informationen gezielt an unterschiedliche Zielgruppen an. So können Unsicherheiten reduziert und konsistente Aussagen sichergestellt werden.

Schliesslich erfüllt das CCM-Team eine psychologische Entlastungsfunktion. Rollen, Verantwortlichkeiten und Eskalationswege sind klar definiert. Externe Experten können Konflikte entschärfen, Entscheidungsdruck verteilen und das Team entlasten – insbesondere, wenn Schuldgefühle oder Stressreaktionen drohen, die Entscheidungen blockieren könnten.

Rollen und Verantwortung

Das CCM-Team besteht aus verschiedenen Kernrollen, die zusammenarbeiten:

  • Die Geschäftsleitung (GL) ist direkt eingebunden, um Entscheidungen über strategische Risiken, Budget und Kommunikation sofort treffen zu können. Sie stellt sicher, dass operative Massnahmen im Einklang mit der Gesamtverantwortung stehen.
  • Der Teamleiter / Incident Commander koordiniert operative Massnahmen, moderiert Lagebesprechungen und sorgt dafür, dass die strategischen Entscheidungen der GL schnell umgesetzt werden.
  • Der Security Lead ist verantwortlich für die Analyse, Eindämmung und Behebung des Cybervorfalls.
  • Der IT/Infrastructure Lead steuert technische Systeme und stellt Betriebs- und Wiederherstellungsmassnahmen sicher.
  • Der Kommunikationsbeauftragte steuert interne und externe Kommunikation und sorgt dafür, dass Botschaften konsistent und klar an alle Zielgruppen gelangen.
  • Der Legal/Compliance Officer kümmert sich um regulatorische Meldungen, Koordination mit Behörden und Versicherungen sowie rechtliche Beratung.
  • Externe Berater bringen nicht nur Spezialwissen ein, sondern übernehmen auch die Unterstützung bei Koordination, Kommunikation und korrekten Meldungsverpflichtungen. Sie wirken neutral, entlasten das Team psychologisch und stellen sicher, dass alle regulatorischen Anforderungen eingehalten werden.

Entscheidungsprozesse und Handlungswege

Ein CCM-Team arbeitet effizient, wenn Entscheidungswege und Eskalationsstufen klar definiert sind. In einer Krise erfolgt zunächst die schnelle Initialbewertung: Das Team sammelt Informationen, bewertet Dringlichkeit und mögliche Auswirkungen. Anschliessend werden Massnahmen priorisiert – technisch, operativ, kommunikativ und regulatorisch.

Die Umsetzung erfolgt durch die zuständigen Teammitglieder, während in regelmässigen Lagebesprechungen Status, Entscheidungen und nächste Schritte dokumentiert und bewertet werden. Strategische Entscheidungen, die finanzielle, regulatorische oder unternehmensweite Konsequenzen haben, werden sofort mit der GL abgestimmt. So wird sichergestellt, dass Verantwortung und Entscheidungskompetenz immer dort liegen, wo sie hingehören.

Vorbereitung und Training

Die Vorbereitung ist entscheidend: Ein CCM-Team sollte regelmässig Trainings und Simulationen durchführen, um Routine und Resilienz im Umgang mit Stresssituationen zu entwickeln. Das Playbook definiert Rollen, Prozesse, Eskalationswege und Kommunikationsvorlagen. Zudem wird die Einbindung externer Expertise im Vorfeld festgelegt, um fachliche und regulatorische Unterstützung zu sichern sowie psychologische Entlastung zu bieten.

Psychologische Wirkung

Neben organisatorischer Effizienz erfüllt das CCM-Team auch eine wichtige psychologische Funktion. Klare Rollen, Befugnisse und Eskalationswege entlasten die Einzelnen, Schuldzuweisungen werden reduziert und die Teamresilienz gestärkt. Die direkte Einbindung der GL sorgt zusätzlich dafür, dass Entscheidungen mit weitreichenden Konsequenzen sofort getroffen werden können, ohne zusätzlichen Druck auf operative Mitglieder.

Kommunikation und Informationsmanagement: Das CCM-Team steuert den Informationsfluss

In einer echten Cyberkrise reicht es nicht aus, dass technische Massnahmen koordiniert werden. Information ist Macht – und gleichzeitig Risiko. Wer informiert ist, kann schnell Entscheidungen treffen, wer falsche oder verspätete Informationen erhält, gerät unter Druck. Das Cyber Crisis Management (CCM)-Team übernimmt hier die zentrale Rolle: Es steuert den Informationsfluss intern und extern, sorgt dafür, dass Entscheidungen transparent kommuniziert werden, und gewährleistet, dass regulatorische und rechtliche Anforderungen eingehalten werden.

Interne Kommunikation

Die interne Kommunikation beginnt innerhalb des CCM-Teams selbst. Regelmässige Lagebesprechungen sind dabei das Herzstück: Hier werden aktuelle Informationen aus allen Bereichen zusammengetragen, Prioritäten gesetzt und Entscheidungen dokumentiert. So entsteht ein einheitlicher Informationsstand, der sicherstellt, dass alle Teammitglieder wissen, welche Massnahmen wann umgesetzt werden müssen.

Ausserhalb des CCM-Teams müssen Informationen an Mitarbeitende, Abteilungen und das Management klar, verständlich und empathisch weitergegeben werden. Es geht darum, Unsicherheiten zu reduzieren und gleichzeitig zu vermeiden, dass unnötige Panik entsteht. Kommunikationsbotschaften sollten vorbereitet sein, unterschiedliche Zielgruppen berücksichtigen und in einem festen Takt verteilt werden.

Externe Kommunikation und Stakeholder-Management

Parallel zur internen Kommunikation kümmert sich das CCM-Team um externe Stakeholder wie Kunden, Partner, Aufsichtsbehörden, Versicherungen oder die Medien. Hier gilt: Transparenz, Konsistenz und Verlässlichkeit sind entscheidend. Das Team stellt sicher, dass Meldungen fristgerecht und korrekt erfolgen, Botschaften konsistent bleiben und relevante Informationen gezielt weitergegeben werden – ohne operative Details preiszugeben, die das Unternehmen unnötig belasten könnten.

Dokumentation und Informationsmanagement

Ein zentraler Bestandteil der Kommunikation ist die lückenlose Dokumentation. Alle Entscheidungen, Massnahmen und kommunizierten Botschaften müssen nachvollziehbar protokolliert werden. Dies dient mehreren Zwecken:

  • Nachweis für regulatorische Anforderungen und Aufsichtsbehörden.
  • Grundlage für spätere Lessons Learned und die Verbesserung des Playbooks.
  • Minimierung von Missverständnissen zwischen Teammitgliedern und externen Stakeholdern.

Effektives Informationsmanagement bedeutet auch, dass die Informationskanäle klar strukturiert sind. Wer informiert wen, wann und in welcher Form – diese Fragen sollten im Playbook definiert und in Lagebesprechungen regelmässig überprüft werden.

Psychologische Wirkung einer klaren Kommunikationsstruktur

Transparente und strukturierte Kommunikation wirkt sich unmittelbar auf die psychologische Stabilität der Mitarbeitenden und Verantwortlichen aus. Wer weiss, welche Informationen verfügbar sind, welche Entscheidungen bevorstehen und wie diese eskaliert werden, kann rational handeln. Das reduziert Stress, minimiert Fehlentscheidungen und sorgt dafür, dass das Team trotz hoher Belastung handlungsfähig bleibt.

Die direkte Einbindung der GL in das CCM-Team verstärkt diesen Effekt zusätzlich: Strategische Entscheidungen werden sofort getroffen, operative Teammitglieder sind entlastet, und das Vertrauen in die Prozesse steigt deutlich.

Playbook: Leitfaden für strukturierte Krisenbewältigung

Ein Cyber Crisis Playbook ist das Rückgrat jeder erfolgreichen Krisenbewältigung. Es bündelt Prozesse, Rollen, Eskalationswege, Kommunikationsregeln und Entscheidungsstrukturen in einem klaren Leitfaden, auf den sich das CCM-Team jederzeit stützen kann. In der Hitze einer Krise kann kein Team improvisieren – ohne Playbook drohen Verzögerungen, Fehlentscheidungen und zusätzliche Belastung auf das Team.

Struktur und Inhalt eines Playbooks

Das Playbook sollte die folgenden Elemente enthalten, ohne dass jedes Unternehmen es identisch umsetzen muss:

  • Rollen und Verantwortlichkeiten: Wer ist für welche Aufgaben zuständig? Wer trifft Entscheidungen? Welche Eskalationswege existieren?
  • Entscheidungsprozesse: Wie werden Informationen gesammelt, bewertet und priorisiert? Welche Kriterien bestimmen das Vorgehen?
  • Kommunikationspläne: Welche Botschaften gehen an interne und externe Stakeholder? In welchem Takt werden Updates bereitgestellt? Welche Vorlagen existieren?
  • Regulatorische Anforderungen: Welche Meldungen an Behörden oder Versicherungen sind vorgeschrieben? Wer ist verantwortlich für die fristgerechte Einhaltung?
  • Lagebesprechungen: Ablauf, Frequenz und Teilnehmerstruktur für interne Abstimmungen.

Das Playbook ist kein starres Dokument, sondern ein lebendiger Leitfaden, der regelmässig überprüft, angepasst und trainiert werden muss. Nur so bleibt es praxisnah und wirksam.

Vorbereitung und Training

Die Wirksamkeit eines Playbooks hängt von kontinuierlicher Vorbereitung ab:

  • Simulationen und Übungen: Szenarien durchspielen, Abläufe testen, Schwachstellen identifizieren.
  • Regelmässige Updates: Anpassung an neue Bedrohungen, technische Veränderungen oder organisatorische Strukturen.
  • Integration in Trainingsprogramme: Teammitglieder und GL werden mit Prozessen, Eskalationswegen und Kommunikationsplänen vertraut gemacht.

Nur durch regelmässiges Training wird das Playbook zu einem praktischen Werkzeug, das das CCM-Team befähigt, in einer echten Krise schnell und sicher zu handeln.

Checklisten – das operative Rückgrat

Ein zentrales Element eines erfolgreichen Playbooks sind Checklisten. Sie sorgen dafür, dass in der Hektik der Krise keine wichtigen Schritte vergessen werden und Entscheidungen strukturiert erfolgen. Checklisten können in verschiedene Kategorien unterteilt werden:

Vorbereitende Checklisten (präventiv)

    • Regelmässige Überprüfung kritischer Systeme und Backups
    • Aktualisierung von Kontaktdaten aller Stakeholder, Dienstleister und Behörden
    • Trainings- und Übungsplan für das CCM-Team
    • Sicherstellung, dass alle Teammitglieder Zugriff auf das Playbook haben

Akute Krisen-Checklisten

    • Erste Lagebewertung: Welche Systeme, Daten und Prozesse sind betroffen?
    • Technische Sofortmassnahmen: Isolation betroffener Systeme, Logs sichern, Notfallzugänge aktivieren
    • Kommunikationsmassnahmen: Wer wird wann informiert, interne vs. externe Kommunikation, Medienmanagement
    • Regulatorische Schritte: Behördenmeldungen, Versicherungsbenachrichtigung, Compliance-Prüfungen

Nachbereitungs-Checklisten

    • Dokumentation aller Massnahmen und Entscheidungen
    • Lessons Learned: Ursachenanalyse, Optimierung des Playbooks
    • Wiederherstellung und Test aller Systeme

Praxisbeispiel: In einer simulierten Cyberkrise nutzte ein CCM-Team die Golden Hour dank einer gut vorbereiteten Checkliste effektiv. Innerhalb der ersten 90 Minuten wurden die betroffenen Systeme isoliert, relevante Stakeholder informiert und die Meldung an die Aufsichtsbehörden vorbereitet. Dadurch liess sich eine Eskalation verhindern und der Betrieb rasch wiederherstellen.

Checklisten machen das Playbook praktisch handhabbar, auch unter Stress. Sie geben dem Team Sicherheit und Orientierung, stellen sicher, dass keine kritischen Schritte vergessen werden, und ermöglichen schnelle, koordinierte Entscheidungen. So wird das Playbook zu einem lebendigen Werkzeug, dass das Team wirklich unterstützt, anstatt nur theoretisch existieren zu müssen.

Lessons Learned & kontinuierliche Verbesserung: Cyberresilienz stärken

Eine Cyberkrise endet nicht mit der Wiederherstellung der Systeme oder dem Abklingen des Vorfalls. Sie liefert vielmehr wertvolle Erkenntnisse, die genutzt werden sollten, um die Resilienz des Unternehmens langfristig zu erhöhen. Nach jeder Krise beginnt deshalb die Phase der systematischen Nachbereitung.

Direkt nach der Krise analysiert das CCM-Team, welche Massnahmen erfolgreich waren und wo es Verbesserungspotenzial gibt. Jede Entscheidung, jede Kommunikationsmassnahme und jeder Prozessschritt wird kritisch betrachtet. Gab es Verzögerungen oder Informationslücken? Waren die Zuständigkeiten klar verteilt, oder kam es zu Überlastungen einzelner Teammitglieder? Auch die interne und externe Kommunikation wird bewertet: Wurden Botschaften verständlich und konsistent übermittelt, oder entstanden Missverständnisse? Die dokumentierten Erkenntnisse bilden die Grundlage für alle weiteren Massnahmen.

Auf Basis dieser Analyse wird das Playbook angepasst. Rollen und Aufgabenbeschreibungen werden optimiert, Entscheidungsprozesse überprüft und Eskalationswege gegebenenfalls neu definiert. Auch Kommunikationspläne werden überarbeitet, um Botschaften noch zielgerichteter, konsistenter und schneller weitergeben zu können. Lagebesprechungen und Abstimmungsroutinen werden so strukturiert, dass das Team effizienter zusammenarbeitet und schnell auf neue Entwicklungen reagieren kann.

Damit die gewonnenen Erkenntnisse wirksam werden, werden sie in Trainings und Simulationen integriert. Szenarien, die während der Krise aufgetreten sind oder neu identifiziert wurden, werden durchgespielt. Das Team trainiert so die Reaktionsfähigkeit, übt den Umgang mit Stresssituationen und verbessert die Entscheidungswege in realitätsnahen Übungen. Auf diese Weise bleibt das Playbook nicht nur ein theoretisches Dokument, sondern ein praktisches Werkzeug, das in der Krise tatsächlich Sicherheit und Orientierung bietet.

Die kontinuierliche Anpassung der Prozesse schafft eine Kultur der Verbesserung. Unternehmen, die aus jeder Krise lernen, stärken ihre Handlungsfähigkeit, erhöhen das Vertrauen innerhalb des Teams und reduzieren Risiken bei zukünftigen Vorfällen. Jede Krise wird so nicht nur bewältigt, sondern liefert Impulse, um beim nächsten Mal noch besser vorbereitet zu sein.

Cyber Crisis Management als Schlüssel zur Unternehmensresilienz

Cyberkrisen betreffen längst nicht mehr nur grosse Konzerne – auch KMU in der Schweiz und der DACH-Region sind davon betroffen. Sie können finanzielle, strategische und regulatorische Risiken nach sich ziehen und erfordern ein strukturiertes Vorgehen, um Handlungsfähigkeit und das Überleben von Unternehmen zu sichern.

Ein durchdachtes CCM-Team bildet das Herzstück jeder Krisenbewältigung. Mit klar definierten Rollen, Entscheidungswegen und regelmässigen Lagebesprechungen steuert es operative Massnahmen, koordiniert Kommunikation und stellt sicher, dass strategische Entscheidungen schnell und fundiert getroffen werden. Die direkte Einbindung der Geschäftsleitung garantiert kurze Entscheidungswege und trägt zur Stabilität des Teams bei.

Die Kombination aus strukturiertem Informationsmanagement, einem lebendigen Playbook und regelmässigen Trainings schafft Handlungsfähigkeit, reduziert Risiken und sorgt dafür, dass Lessons Learned unmittelbar in Verbesserungen umgesetzt werden. Auf diese Weise wird jede Krise nicht nur bewältigt, sondern auch genutzt, um Prozesse, Kommunikation und Teamarbeit langfristig zu stärken.

Kerngedanke: Cyber Crisis Management ist ein kontinuierlicher Prozess. Wer Rollen, Prozesse und Kommunikation sorgfältig vorbereitet und regelmässig trainiert, erhöht nachhaltig die Widerstandsfähigkeit des Unternehmens – und kann selbst in kritischen Situationen ruhig, entschlossen und handlungsfähig reagieren.

Albert Hilgenberg

Albert Hilgenberg ist CISO bei AVANTEC und verantwortet Themen rund um IT-Sicherheit, Cyberrisiken und digitale Resilienz. IT-Sicherheit prägt ihn seit vielen Jahren in unterschiedlichen Rollen, mit Fokus auf der Schnittstelle von Business und Technologie. In seiner Freizeit verbringt er gerne Zeit mit der Familie oder unternimmt Ausfahrten mit dem Motorrad.

Kommentieren

Privacy Preference Center

Privacy Preferences