Was tun nach einem Cyberangriff? Ein 48-Stunden-Leitfaden
Ein Cyberangriff kommt selten mit Vorwarnung – aber fast immer mit erheblichen Folgen.
Ob Ransomware, Phishing-Kampagne, kompromittierte Zugangsdaten oder ein gezielter
Advanced Persistent Threat: Die ersten 48 Stunden nach der Entdeckung sind
entscheidend. Sie bestimmen, ob der Schaden begrenzt oder vervielfacht wird.
Dieser Leitfaden zeigt, welche Maßnahmen Unternehmen in den ersten zwei Tagen
strukturiert umsetzen sollten, um Kontrolle zurückzugewinnen, regulatorische
Anforderungen zu erfüllen und langfristige Schäden zu minimieren.
Phase 1: Die ersten 0-6 Stunden – Kontrolle gewinnen
1. Incident Response Team aktivieren
Sobald ein Angriff vermutet oder bestätigt wird, muss das interne oder externe
Incident-Response-Team aktiviert werden. Klare Verantwortlichkeiten sind jetzt
entscheidend: IT, Geschäftsführung, Datenschutzbeauftragte und Kommunikation
müssen koordiniert handeln.
2. Systeme isolieren – aber nicht übereilt abschalten
Betroffene Systeme sollten sofort vom Netzwerk getrennt werden, um eine weitere
Ausbreitung zu verhindern. Wichtig: Systeme nicht vorschnell herunterfahren,
da dadurch wertvolle forensische Daten verloren gehen können.
3. Beweise sichern
Logfiles, Speicherabbilder, Netzwerkprotokolle und betroffene Endgeräte müssen
gesichert werden. Eine saubere Dokumentation ist essenziell – sowohl für die
Ursachenanalyse als auch für mögliche rechtliche Schritte.
Phase 2: 6-24 Stunden – Analyse und Stabilisierung
4. Art und Umfang des Angriffs bewerten
Welche Systeme sind betroffen? Wurden Daten exfiltriert? Handelt es sich um
Ransomware, Insider-Bedrohung oder kompromittierte Zugangsdaten? Eine präzise
Lageeinschätzung verhindert Fehlentscheidungen.
5. Zugangsdaten zurücksetzen
Alle administrativen Accounts sowie potenziell kompromittierte Benutzerkonten
müssen sofort zurückgesetzt werden. Multi-Factor-Authentication sollte – falls
noch nicht implementiert – umgehend eingeführt werden.
6. Interne Kommunikation strukturieren
Mitarbeitende müssen informiert werden – sachlich, transparent und ohne Panik.
Unkoordinierte Kommunikation kann Reputationsschäden verstärken.
Phase 3: 24-48 Stunden – Regulierung, Wiederherstellung und Strategie
7. Meldepflichten prüfen (z. B. DSGVO)
In vielen Fällen besteht eine gesetzliche Meldepflicht gegenüber Behörden.
Bei Datenschutzverletzungen müssen Aufsichtsbehörden in der Regel innerhalb
von 72 Stunden informiert werden. Eine juristische Prüfung ist hier unerlässlich.
8. Kunden und Partner informieren
Transparenz schafft Vertrauen. Falls Kundendaten betroffen sind, sollte die
Kommunikation proaktiv erfolgen – mit klaren Informationen zu Risiken und
empfohlenen Schutzmaßnahmen.
9. Systeme bereinigen und Wiederherstellung planen
Systeme sollten niemals ungeprüft wieder online gehen. Stattdessen:
- Backups auf Integrität prüfen
- Systeme neu aufsetzen statt nur „bereinigen“
- Sicherheitslücken schließen
- Monitoring intensivieren
Typische Fehler in den ersten 48 Stunden
- Zu frühes Wiederhochfahren kompromittierter Systeme
- Lösegeldzahlung ohne strategische Bewertung
- Unvollständige Dokumentation
- Fehlende externe Expertise
- Unkoordinierte Kommunikation gegenüber Presse oder Kunden
Nach den 48 Stunden: Resilienz stärken
Nach der akuten Phase beginnt die eigentliche Arbeit: Ursachenanalyse,
Verbesserung der Sicherheitsarchitektur, Schulungen und ein realistisches
Notfall-Szenario-Testing. Ein Cyberangriff sollte als Wendepunkt verstanden
werden – nicht nur als Krisensituation.
Fazit
Ein Cyberangriff ist kein rein technisches Problem, sondern eine
unternehmensweite Herausforderung. Wer in den ersten 48 Stunden strukturiert,
ruhig und strategisch handelt, kann Schäden erheblich begrenzen.
Entscheidend sind Vorbereitung, klare Prozesse und professionelle
Incident-Response-Strukturen.
Unser Tipp: Warten Sie nicht bis zum Ernstfall. Entwickeln Sie
einen klar definierten Incident-Response-Plan und testen Sie ihn regelmäßig.