Frag in einem typischen Schweizer KMU mit 30 Mitarbeitenden, wer im Notfall was tut, wenn morgen die Buchhaltungs-Software nicht mehr startet und alle Lohndaten verschlüsselt sind. Du bekommst Schweigen, ein «das macht dann unser IT-Partner» oder einen Notfallplan, der vor drei Jahren mal in einem Word-Dokument festgehalten wurde und seither niemand mehr gefunden hat. Genau auf diese Realität antwortet das Bundesamt für Cybersicherheit (BACS) seit dem 18. Mai 2026 mit einem neuen Hilfsmittel.
Was das BACS bereitstellt
Unter der Bezeichnung «Notfallkonzept für KMU» liegt seit dieser Woche ein Paket bereit: ein einfaches Modell-Konzept, ein einseitiges Notfallblatt zum Aushängen, ein detaillierterer Notfallplan zum Anpassen, plus ein Erklärvideo. Alles in Deutsch und Französisch, online unter ncsc.admin.ch.
Das Modell deckt vier Bereiche ab:
- Krisenorganisation. Wer entscheidet im Vorfall? Wer ist Stellvertretung? Wer informiert welche Stakeholder?
- Krisenkommunikation. Wer spricht mit Mitarbeitenden, mit Kunden, mit Medien, mit Behörden? Was wird wann gesagt?
- Notfallkontakte. Die zentrale Telefonliste: IT-Partner, Versicherung, BACS-Meldestelle, kantonale Polizei, eventuell ein Krisenkommunikations-Berater.
- Konkrete Massnahmen. Wie isoliert man kompromittierte Systeme? Wann werden welche Daten aus dem Backup zurückgespielt? Wann gehen Kunden-zugewandte Systeme wieder online?
Im September 2026 ergänzt das BACS das Paket mit zwei einstündigen Online-Schulungen (2. und 9. September, je 12:00 bis 13:00 Uhr, deutsch und französisch). Brownbag-Format — wenig Aufwand, niedrige Einstiegshürde.
Wo das Hilfsmittel hilft
Die Stärke des BACS-Pakets liegt im strukturellen Rahmen. Wer noch nie ein Notfallkonzept geschrieben hat, bekommt eine saubere Vorlage und muss nicht bei null anfangen. Das einseitige Notfallblatt zum Aushängen ist praktisch — am schwarzen Brett, im IT-Raum, an der Empfangstheke. Wer im Krisenmoment denkt «wo war nochmal die Telefonnummer der Versicherung», ist froh um Papier an der Wand.
Der Modell-Ansatz schliesst auch eine andere Lücke: das Konzept als Diskussions-Grundlage mit dem IT-Partner. Wer einmal mit seinem Dienstleister die vier Bereiche durchgegangen ist und sich auf konkrete Zuständigkeiten geeinigt hat, hat 80 Prozent der Wirkung schon erreicht.
Wo das Hilfsmittel Dich nicht entlastet
Drei Punkte, die das BACS-Paket nicht löst:
1. Die Übung. Ein Notfallkonzept, das nie geübt wurde, funktioniert im Ernstfall nicht. Stress, fehlende Routine, unklare Zuständigkeiten — alles, was im Konzept klar steht, löst sich im Vorfall auf. Mindestens ein Tabletop-Test pro Jahr ist Pflicht: alle Beteiligten zusammen, ein realistisches Szenario, zwei Stunden Durchspielen, schriftliches Auswertungs-Protokoll.
2. Die technische Vorbereitung. Krisen-Kommunikation hilft nicht, wenn das Backup nicht funktioniert oder die Wiederherstellungs-Prozedur nie getestet wurde. Vor dem Notfallkonzept kommt die Backup-Strategie. Vor der Krisenkommunikations-Liste kommt eine erreichbare Hotline beim IT-Partner. Vor allem kommt die Frage: Was bedeutet «Recovery Time Objective» für Dein Unternehmen, und kann der aktuelle Betrieb das einhalten?
3. Die Haftungs-Frage. Wer entscheidet im Vorfall über Lösegeld? Wer haftet, wenn personenbezogene Daten weg sind? Wer schreibt die Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten? Diese Fragen sind im BACS-Modell angeschnitten, aber jede konkrete Antwort hängt von Rechtsform, Versicherung und Branche ab. Hier kommst Du ohne juristische und versicherungstechnische Beratung nicht aus.
Konkrete Schritte für die nächsten vier Wochen
- Woche 1: Das BACS-Modell herunterladen, das einseitige Notfallblatt mit den eigenen Kontakten füllen. Eine Stunde Arbeit.
- Woche 2: Mit dem IT-Partner einen 90-Minuten-Termin ansetzen. Die vier Bereiche durchgehen. Wo gibt es Lücken? Wo widersprechen sich Annahmen?
- Woche 3: Das ausgefüllte Konzept an alle Mitarbeitenden mit Krisenfall-Rolle. Empfangsbestätigung einholen, Kommentare einsammeln, einarbeiten.
- Woche 4: Einen Termin für den ersten Tabletop-Test fixieren — am besten in den nächsten drei Monaten. Wer das Datum nicht macht, macht den Test nicht.
Was UCC Pro hier macht
Wir begleiten KMU bei genau dieser Übung: vom Notfallkonzept über die Backup-Strategie bis zum durchgespielten Wiederherstellungs-Szenario. Die technische Komponente — eine AirGap-fähige Sicherung über UCC Secure Vault — schliesst die häufigste Lücke, an der KMU-Notfallpläne 2026 scheitern: das Backup, das im Ernstfall mitverschlüsselt ist. Wenn Du das Konzept aufsetzen oder den ersten Tabletop-Test durchspielen willst, ist der Kontakt der erste Schritt; zur AirGap-Komponente direkt unter UCC Secure Vault.
Drei Sätze zum Mitnehmen
Das BACS-Hilfsmittel ist eine saubere Vorlage und ein guter Anfang — die Arbeit beginnt aber dort, wo das Konzept gegen die eigene IT-Realität antritt. Wer nie übt, hat im Ernstfall trotzdem Chaos. Und wer das Backup nicht im Griff hat, braucht den Notfallplan gar nicht erst aufzuhängen.
Quellen: Bundesamt für Cybersicherheit BACS, Meldung «Notfallkonzept für KMU» vom 18. Mai 2026; Modell-Konzept und Hilfsmittel unter ncsc.admin.ch/notfallkonzept.