Was tun bei einem Cyber-Angriff: Die wichtigsten Sofortmaßnahmen

In der heutigen Zeit werden kleine und mittelständische Unternehmen (KMU) sowie öffentliche Betriebe, Kommunen und Verwaltungen zunehmend zum Ziel von Cyber-Angriffen. Einer Bitkom-Studie zufolge waren 81 % der Firmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen.

Bei einer Cyber-Attacke einen kühlen Kopf zu bewahren und die richtigen Maßnahmen einzuleiten, kann das Ausmaß des Schadens deutlich verringern. Wie verhalten sich Unternehmen bei einem Cyber-Angriff richtig? Welche Sofortmaßnahmen bei einem Cyber-Angriff helfen, das Schlimmste zu verhindern? Hier ist eine Aufstellung der vier wichtigsten Schritte für den Ernstfall.

Die erste Herausforderung besteht darin, ein klares Lagebild zu erhalten. Das kann durch das Beantworten von vier zentralen Fragen erreicht werden.

• Welche Systeme sind betroffen?
• Welche Anwendungen funktionieren noch?
• Wie erfolgt die interne Kommunikation mit den Mitarbeitenden?
• Was darf und muss extern kommuniziert werden?

Parallel dazu sollte sofort ein Krisenteam gebildet werden, das alle weiteren Schritte koordiniert. Es trifft sich in kurzen, regelmäßigen Abständen, bewertet die aktuelle Lage und trifft schnelle, fundierte Entscheidungen. Das Ziel besteht darin, nicht nur auf den Vorfall zu reagieren, sondern aktiv die Kontrolle zurückzugewinnen.

Da die eigene IT-Abteilung in solchen Situationen oft an ihre Grenzen stößt, ist es ratsam, spezialisierte Dienstleister wie IT-Forensiker oder Incident-Response-Teams frühzeitig einzubinden. Verfügt das Unternehmen über eine Cyberversicherung, kann und sollte zudem der 24/7-Notfallservice des Versicherers eingeschaltet werden. In diesem Rahmen erfolgt auch die offizielle Schadensmeldung und die Einbindung externer Spezialisten.

Von Beginn an ist eine lückenlose Dokumentation aller Ereignisse und Maßnahmen entscheidend. Sämtliche Auffälligkeiten, Veränderungen an den Systemen sowie getroffene Entscheidungen sollten sorgfältig festgehalten werden. Diese Aufzeichnungen sind unerlässlich für die spätere Analyse sowie die rechtliche Bewertung des Angriffs und die Durchsetzung möglicher Ansprüche gegenüber der Versicherung.

Nachdem die ersten Sofortmaßnahmen umgesetzt wurden, beginnt der zweite kritische Schritt: die Analyse des Angriffs und die Ableitung konkreter Gegenmaßnahmen. In diesem Schritt arbeitet die interne IT idealerweise Hand in Hand mit externen Notfallteams und gegebenenfalls auch mit den zuständigen Behörden.

Ein besonderes Augenmerk gilt dabei dem Angriffstyp. Handelt es sich um einen Ransomware-Angriff, steht zunächst die Frage im Raum, ob und wie sich verschlüsselte Daten wiederherstellen lassen. Infrage kommen hier etwa die Wiederherstellung aus gesicherten Backups oder der Einsatz von Entschlüsselungstools.

Parallel zur Analyse müssen bestehende Sicherheitslücken konsequent geschlossen werden. Dazu gehört beispielsweise das Zurücksetzen von kompromittierten Konten, das Einspielen aktueller Sicherheitspatches, die Deaktivierung potenziell gefährdeter Dienste sowie, in besonders kritischen Fällen, das vollständige Neuaufsetzen einzelner Systeme oder virtueller Umgebungen.

Ebenso wichtig ist die Kommunikation. Mitarbeitende müssen über den Vorfall informiert und für mögliche Folgeangriffe sensibilisiert werden. Nur so lässt sich verhindern, dass ein einmaliger Vorfall zum Einstiegspunkt für weitere Cyber-Angriffe wird.

Während das Notfallteam den Angriff untersucht und erste Maßnahmen einleitet, sollten auch die zuständigen Behörden eingebunden werden, wie etwa die Zentrale Anlaufstelle Cybercrime (ZAC), das Landeskriminalamt (LKA) oder das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Stellen unterstützen Unternehmen bei der forensischen Aufarbeitung des Vorfalls und sichern relevante Beweise, insbesondere im Hinblick auf eine mögliche Strafverfolgung.

Cyber-Angriffe wirken sich häufig auch auf Kunden oder Lieferketten aus. Kommt es etwa zu Betriebsunterbrechungen, Produktengpässen, Datenverlusten oder sogar zur Weiterverbreitung von Malware, sollten betroffene Parteien umgehend und proaktiv informiert werden. Nur so können sie ihrerseits reagieren und Folgeschäden sowie Reputationsverluste eindämmen. Positiv für Unternehmen mit Cyberversicherung: Die dabei entstehenden Kommunikationskosten sind in der Regel ebenfalls abgedeckt.

Bei einem Cyber-Angriff ist es essenziell, einen kühlen Kopf zu behalten und richtig zu handeln. Egal, um welche Art von Cyber-Angriff es sich handelt, Unternehmen sollten unverzüglich die folgenden vier Sofortmaßnahmen ergreifen:

• Infizierte Systeme unverzüglich vom Netzwerk trennen, um eine weitere Ausbreitung zu verhindern.
• Alle Maßnahmen und Beobachtungen lückenlos dokumentieren und potenzielle Beweismittel sichern.
• Einen Krisenstab einrichten und die Geschäftsführung regelmäßig und strukturiert über den Vorfall informieren.
• IT-Forensik und Incident-Response-Spezialisten frühzeitig hinzuziehen, um technische Analysen und Gegenmaßnahmen einzuleiten.

Eine prägnante Übersicht der TOP 12 Maßnahmen bei Cyber-Angriffen zum Herunterladen und Aufhängen im Betrieb stellt das BSI zur Verfügung.

Welche Maßnahmen sollten nach einer Cyber-Attacke unbedingt unternommen werden?

Nach einer Cyber-Attacke sollten betroffene Systeme sofort vom Netzwerk getrennt werden, um die Ausbreitung zu stoppen. Alle Schritte müssen lückenlos dokumentiert und Beweise gesichert werden. Ein Krisenstab koordiniert das Vorgehen und informiert die Geschäftsführung. Externe IT-Forensiker und Incident-Response-Experten sollten schnell eingebunden werden.

Wie lange dauert eine Cyber-Attacke?

Die Dauer eines Cyber-Angriffs variiert stark und kann von wenigen Minuten bis hin zu mehreren Wochen oder sogar Monaten reichen. Häufig agieren Angreifer über längere Zeit unbemerkt im System, um Daten auszuspähen oder Schwachstellen auszunutzen. Die aktive Phase eines Angriffs ist meist kurz, kann aber langanhaltende Schäden nach sich ziehen, etwa durch Ausfallzeiten oder Datenverlust.

Was tun im Falle eines Cyber-Angriffs?

Im Ernstfall gilt: Ruhe bewahren und strukturiert vorgehen. Systeme isolieren, Vorfall dokumentieren, Krisenteam aktivieren und externe Spezialisten (z. B. IT-Forensik und Incident Response) einbinden. Behörden und ggf. die Datenschutzaufsicht informieren. Besteht eine Cyberversicherung, sollte der 24/7-Notfalldienst kontaktiert werden.

Wie lange dauert es, bis ein Cyber-Angriff erkannt wird?

Viele Cyber-Angriffe bleiben über Wochen oder Monate unentdeckt. Laut IBM liegt die durchschnittliche Erkennungs- und Eindämmungsdauer bei rund 204 Tagen. Je besser die Überwachung (z. B. durch SIEM-Systeme, Log-Analyse und geschulte Mitarbeitende), desto schneller lässt sich ein Vorfall erkennen und eingrenzen und desto geringer ist der Gesamtschaden.

Wie erkennt man einen Cyber-Angriff?

Ein Cyber-Angriff zeigt sich oft durch ungewöhnliche Aktivitäten wie Login-Versuche, langsame Systeme, verdächtige Netzwerkverbindungen oder veränderte Dateien. Monitoring-Tools, SIEM-Systeme und Awareness im Team helfen, Angriffe frühzeitig zu erkennen und ihnen schnell gegenzusteuern.

Wie priorisiert man Sicherheitsvorfälle?

Die Priorisierung erfolgt meist anhand des sogenannten Incident-Response-Plans. Entscheidende Kriterien sind: Auswirkungen auf kritische Systeme, Datenverlust, rechtliche Meldepflichten und Reputationsrisiken. Eskalationsstufen helfen, klare Zuständigkeiten zu definieren, z. B. für Datenschutzverletzungen, Produktionsstillstand oder wirtschaftliche Schäden.

Wer sollte bei einem Cyber Incident informiert werden?

Zunächst müssen interne Stakeholder informiert werden: Geschäftsführung, IT-Leitung, Rechtsabteilung und Datenschutzbeauftragte. Je nach Art und Ausmaß des Vorfalls sind auch externe Stellen zu informieren, darunter Strafverfolgungsbehörden (z. B. LKA, ZAC), das BSI und bei DSGVO-relevanten Datenverlusten auch die zuständige Datenschutzaufsicht. Kunden und Geschäftspartner sollten transparent und zeitnah über den Vorfall in Kenntnis gesetzt werden, sofern sie vom Vorfall betroffen sind.