Jeder Cyberangriff beginnt gleich: mit den richtigen ersten Minuten

Ob Ransomware, Datenleck, DDoS oder CEO-Fraud – die ersten Maßnahmen nach einem Cyberangriff sind in vielen Punkten identisch. Wer in der Krise erst überlegen muss, verliert wertvolle Zeit. Diese Checkliste gibt Geschäftsführern und IT-Verantwortlichen einen klaren Handlungsrahmen für jeden Angriffstyp.

Universelle Sofortmaßnahmen – Die ersten 60 Minuten

🚨

Cyberangriff? Jetzt Soforthilfe erhalten.

24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.

0800 - 292 37 24 Kontaktformular

Diese Schritte gelten unabhängig davon, welche Art von Cyberangriff vorliegt:

  1. Ruhe bewahren und Überblick verschaffen – Panik führt zu Fehlentscheidungen. Klären Sie zunächst: Was genau ist passiert? Welche Systeme sind betroffen? Seit wann bestehen die Symptome? Dokumentieren Sie alles mit Zeitstempeln.
  2. Incident-Response-Experten kontaktieren – Je früher professionelle Hilfe eingebunden wird, desto besser. Externe Spezialisten verfügen über die Erfahrung und Werkzeuge, die im Ernstfall den Unterschied machen.
  3. Betroffene Systeme isolieren – nicht abschaltenDas ist der häufigste und teuerste Fehler: Systeme werden in Panik heruntergefahren. Damit gehen flüchtige forensische Beweise unwiederbringlich verloren. Stattdessen: Netzwerkkabel ziehen, WLAN deaktivieren, aber Geräte laufen lassen.
  4. Beweise sichern – Screenshots anfertigen (Fehlermeldungen, Erpresserschreiben, verdächtige E-Mails). Logfiles sichern (Firewall, Server, Mail-Gateway, Active Directory). Zeitstempel aller Beobachtungen notieren. Nichts löschen, verändern oder neu installieren.
  5. Krisenstab einberufen – An den Tisch gehören: Geschäftsführung, IT-Leitung, Datenschutzbeauftragter, ggf. Rechtsabteilung und Kommunikationsverantwortlicher. Klare Rollen und Entscheidungswege definieren.
  6. Kommunikationskanäle prüfen – Sind Ihre E-Mail-Systeme kompromittiert? Kommunizieren Sie im Zweifel über alternative Kanäle – persönlich, per Telefon oder über einen separaten Messaging-Dienst.

Schnellreferenz nach Angriffstyp

Ransomware

# Maßnahme Priorität
1 Betroffene Systeme sofort vom Netzwerk trennen, um Ausbreitung zu stoppen Sofort
2 Erpresserschreiben fotografieren, aber keinesfalls bezahlen ohne Expertenrat Sofort
3 Backup-Systeme auf Integrität prüfen (sind Backups ebenfalls verschlüsselt?) Hoch
4 Active Directory auf Kompromittierung untersuchen Hoch
5 Prüfen, ob Daten vor der Verschlüsselung exfiltriert wurden (Double Extortion) Hoch

Datenleck / Hack

# Maßnahme Priorität
1 Art und Umfang der betroffenen Daten identifizieren Sofort
2 Alle Zugangsdaten und Passwörter der betroffenen Systeme ändern Sofort
3 Multi-Faktor-Authentifizierung sofort aktivieren, wo noch nicht vorhanden Hoch
4 DSGVO-Meldefrist prüfen (72 Stunden, siehe Meldepflichten unten) Hoch
5 Prüfen, ob Daten im Darknet aufgetaucht sind Mittel

DDoS-Angriff

# Maßnahme Priorität
1 Internet-Provider kontaktieren und um Upstream-Filterung bitten Sofort
2 DDoS-Mitigation-Dienst aktivieren oder Emergency Onboarding anfordern Sofort
3 Prüfen, ob der DDoS-Angriff ein Ablenkungsmanöver für einen anderen Angriff ist Hoch
4 Traffic-Muster dokumentieren für spätere Analyse und Strafanzeige Mittel
5 Kritische Dienste priorisieren, wenn nicht alles geschützt werden kann Mittel

CEO-Fraud / Business Email Compromise

# Maßnahme Priorität
1 Überweisung sofort bei der Bank stoppen lassen Sofort
2 Empfängerbank über den Betrug informieren (über Ihre Bank) Sofort
3 Betroffene E-Mail-Konten auf Kompromittierung prüfen Hoch
4 Alle Mitarbeiter mit Zahlungsbefugnis warnen, keine weiteren Anweisungen auszuführen Hoch
5 E-Mail-Header der betrügerischen Nachricht sichern Mittel

Phishing / Kompromittierte Zugangsdaten

# Maßnahme Priorität
1 Passwort des betroffenen Kontos sofort ändern Sofort
2 Prüfen, welche Systeme mit den kompromittierten Credentials erreichbar sind Sofort
3 Aktive Sitzungen des betroffenen Kontos beenden Hoch
4 Alle Mitarbeiter warnen, ähnliche E-Mails nicht zu öffnen Hoch
5 E-Mail-Filter aktualisieren, um weitere Phishing-Mails zu blockieren Mittel

Meldepflichten – Fristen im Überblick

Regelwerk Frist An wen? Gilt für
DSGVO (Art. 33) 72 Stunden Datenschutz-Aufsichtsbehörde Verletzung personenbezogener Daten
DSGVO (Art. 34) Unverzüglich Betroffene Personen direkt Bei hohem Risiko für Betroffene
NIS2 (Frühwarnung) 24 Stunden BSI Wesentliche/wichtige Einrichtungen
NIS2 (Detailmeldung) 72 Stunden BSI Wesentliche/wichtige Einrichtungen
NIS2 (Abschluss) 1 Monat BSI Wesentliche/wichtige Einrichtungen
Strafanzeige Keine Frist ZAC des LKA Empfohlen – je schneller, desto besser

Kommunikation im Krisenfall

Interne Benachrichtigung

Informieren Sie Ihre Mitarbeiter zeitnah, sachlich und mit klaren Handlungsanweisungen:

  • Was ist passiert (so viel wie nötig, so wenig wie möglich)
  • Was müssen Mitarbeiter jetzt tun (Passwörter ändern, verdächtige E-Mails melden etc.)
  • Wer ist Ansprechpartner für Rückfragen
  • Keine eigenmächtigen Maßnahmen ergreifen

Externe Kommunikation

  • Kunden und Partner informieren, wenn deren Daten betroffen sind
  • Keine voreiligen Stellungnahmen an Presse oder Social Media
  • Kommunikation mit Behörden über definierte Ansprechpartner
  • Bei Bedarf externe Krisenkommunikation hinzuziehen

Was Sie NICHT tun sollten

Fehler Warum nicht?
Nicht bezahlen Lösegeldzahlung garantiert keine Datenwiederherstellung und finanziert weitere Angriffe. Zumindest nicht ohne professionelle Beratung.
Nicht selbst verhandeln Kommunikation mit Angreifern erfordert Erfahrung und Strategie.
Systeme nicht einfach neu aufsetzen Damit vernichten Sie Beweise, die für die Forensik und Strafverfolgung entscheidend sind.
Nicht vertuschen Meldepflichten ignorieren führt zu erheblichen Bußgeldern. Transparenz begrenzt den Reputationsschaden.
Nicht allein handeln Cyberangriffe sind komplex. Interne IT-Teams sind selten auf Incident Response spezialisiert.
Keine Schuldzuweisungen Im Krisenfall zählt Zusammenarbeit, nicht Fehlersuche.

Vorbereitung: Bevor es passiert

Die beste Checkliste nützt wenig, wenn sie erst im Ernstfall zum ersten Mal gelesen wird. Bereiten Sie sich vor:

  • Incident-Response-Plan erstellen und alle Beteiligten kennen ihre Rolle
  • Notfallkontakte griffbereit haben – Incident-Response-Dienstleister, Rechtsanwalt, Datenschutzbeauftragter, Versicherung
  • Regelmäßige Übungen durchführen – Tabletop Exercises simulieren Szenarien ohne reales Risiko
  • Backups testenein Backup, das nie getestet wurde, ist kein Backup
  • Cyber-Versicherung prüfen – Deckungsumfang und Meldepflichten im Voraus klären

Weiterführende Informationen

Diese Checkliste rettet keine Daten – aber sie rettet Zeit

Und Zeit ist der entscheidende Faktor bei einem Cyberangriff. Drucken Sie diese Checkliste aus. Hängen Sie sie in Ihr IT-Büro. Besprechen Sie sie mit Ihrem Team. Denn wenn der Ernstfall eintritt, muss jeder Handgriff sitzen.