Konzept für die koordinierte Bewältigung von Cybervorfällen

27.10.2025 - Die umfassende Vernetzung digitaler Systeme führt dazu, dass sich Cybervorfälle unmittelbar auf eine Vielzahl von Organisationen auswirken können. Für eine erfolgreiche Bewältigung organisationsübergreifender Vorfälle braucht es ein koordiniertes Vorgehen aller betroffenen Akteure aus Wirtschaft, Kantonen und Bund. Das Bundesamt für Cybersicherheit (BACS) hat ein Konzept erarbeitet, welches aufzeigt, wie sich der Bund organisiert, um die koordinierte Vorfallbewältigung sicherzustellen.

Cybervorfälle können weitreichende Folgen haben. Neben den unmittelbaren Folgen der Funktionsausfälle und Betriebsstörungen bei den Betroffenen selbst, können sie auch die Cybersicherheit von Dritten gefährden. Dies ist dann der Fall, wenn Daten oder Informatikmittel betroffen sind, welche von mehreren Akteuren genutzt werden. In solchen Fällen ist es entscheidend, dass alle betroffenen Stellen in die Vorfallbewältigung einbezogen werden. Unternehmen, Bund und Kantone müssen rasch und abgestimmt zusammenarbeiten. Dabei spielen klare Zuständigkeiten und ein transparentes Vorgehen eine zentrale Rolle, denn je schneller klar ist, wer welche Aufgaben übernimmt, desto besser lässt sich der Schaden begrenzen. Mit dem Inkrafttreten des Informationssicherheitsgesetzes (ISG) im Jahr 2024 sowie der Cybersicherheitsverordnung (CSV) und der Verordnung über die Krisenorganisation der Bundesverwaltung (KOBV) im Jahr 2025 wurden rechtliche Grundlagen zur Klärung der Aufgaben und Zuständigkeiten geschaffen.

Auf der Grundlage dieser Rechtsgrundlagen hat das BACS ein Konzept erarbeitet, welches aufzeigt, wie die koordinierte Vorfallbewältigung ausgestaltet wird. Kernelement des Konzepts ist ein vierstufiges Modell zur Einstufung von Cybervorfällen: gering, moderat, erheblich und kritisch. Die Beurteilung erfolgt dabei aus einer gesamtgesellschaftlichen Perspektive. Ausschlaggebend ist, wie viele Organisationen in der Schweiz betroffen sind und welche Auswirkungen der Cybervorfall auf Wirtschaft und Bevölkerung hat. Je nach Einstufung werden unterschiedliche Koordinationsprozesse aktiviert und spezifische Organisationen in die Vorfallbewältigung eingebunden. Bei Vorfällen der Stufe «gering» ist keine Koordination durch das BACS vorgesehen. Bei Vorfällen der Stufe «moderat» unterstützt das BACS die betroffenen Organisationen subsidiär und bei der Stufe «erheblich» übernimmt es eine aktive Rolle in der Koordination. Bei Vorfällen, welche die Stufe «kritisch» erreichen erfolgt schliesslich ein Antrag an den Bundesrat zur Einsetzung eines Krisenstabs gemäss den in der KOBV dafür vorgesehenen Prozesse. Die Systematik zur Einstufung von Cybervorfällen stellt sicher, dass die Massnahmen dem tatsächlichen Ausmass des Vorfalls angemessen sind und Ressourcen gezielt eingesetzt werden. Die Einstufung bleibt flexibel und kann sich im Verlauf eines Vorfalls ändern, da das Ausmass von Cyberangriffen oft erst im Laufe der Analyse vollständig sichtbar wird.

Die Prozesse der koordinierten Vorfallbewältigung werden bereits gelebt. Vorfälle der Stufen «gering» und «moderat» gehören zum Alltag und die Zusammenarbeit des BACS mit Betreiberinnen kritischer Infrastrukturen und Behörden des Bundes und der Kantone sind gut eingespielt. Die Prozesse bei Vorfällen der Stufen «erheblich» und «kritisch» sind dank den nun bestehenden rechtlichen Grundlagen definiert. Die Zuständigkeiten und Aufgaben sind aber nicht allen Akteuren im gleichen Aussmass bekannt und die Prozesse müssen sich noch besser etablieren. Das nun vorliegende Konzept soll dazu einen Beitrag leisten. Das BACS wird es nutzen, um transparent über die Aufgaben und Zuständigkeiten bei der koordinierten Vorfallbewältigung zu informieren.