CompliantDeskCompliantDesk
Blog
Sicherheit24. April 20268 min

Cyberangriff auf dein Unternehmen: Was du in den ersten 24 Stunden tun musst

David Oberholzner|CompliantDesk

Cyberangriff auf dein Unternehmen: Was du in den ersten 24 Stunden tun musst

Es ist Montagmorgen. Du öffnest deinen Laptop — und siehst einen roten Bildschirm. Oder alle Dateien haben plötzlich eine fremde Dateiendung. Oder ein Mitarbeiter ruft an: "Ich komme nicht mehr ins System."

Ein Cyberangriff. Mitten in deinem Unternehmen.

Was jetzt passiert — in den nächsten Stunden — entscheidet über Ausmaß, Kosten und rechtliche Konsequenzen. Die meisten KMU haben keinen Notfallplan. Dieser Artikel gibt dir einen.

Zuerst: Ruhe bewahren und nicht überstürzt handeln

Der erste Impuls ist verständlich: alles sofort abschalten, Systeme neu starten, Dateien öffnen um zu prüfen ob sie noch lesbar sind.

Das ist falsch. Und kann den Schaden erheblich vergrößern.

Ransomware verbreitet sich oft still im Netzwerk bevor sie sich bemerkbar macht. Wer in Panik Systeme neu startet, verliert möglicherweise forensische Spuren die für die Aufklärung und Versicherung wichtig sind. Wer infizierte Systeme weiter nutzt, gibt dem Angreifer mehr Zeit.

Erster Schritt: Verschaffe dir einen Überblick bevor du handelst.

Die ersten 2 Stunden: Eindämmen

Netzwerk trennen

Trenne betroffene Systeme sofort vom Netzwerk — aber nicht durch Ausschalten, sondern durch Ziehen des Netzwerkkabels oder Deaktivieren des WLANs. Das stoppt die Ausbreitung ohne forensische Daten zu zerstören.

Frage: Welche Systeme sind betroffen? Welche noch nicht?

Ausmaß einschätzen

  • Sind einzelne Arbeitsplätze betroffen oder Server?
  • Ist das Backup-System erreichbar?
  • Haben Angreifer Zugang zu E-Mails oder Cloud-Diensten?
  • Gibt es Hinweise auf Datenabfluss?

Kommunikation sichern

Wenn E-Mail-Systeme kompromittiert sind — kommuniziere über alternative Kanäle. Privates Smartphone, persönliche E-Mail-Adressen, Telefon.

Wichtig: Kommuniziere intern klar aber diskret. Nicht jeder Mitarbeiter muss sofort alles wissen — aber die Führungsebene und IT-Verantwortlichen müssen im Bild sein.

Stunde 2-4: Die Pflichtmeldungen

Das ist der Teil den die meisten KMU vergessen — oder bewusst ignorieren. Das ist ein Fehler mit rechtlichen Konsequenzen.

DSGVO-Meldepflicht: 72 Stunden

Wenn bei dem Angriff personenbezogene Daten betroffen sind — Kundendaten, Mitarbeiterdaten, E-Mail-Adressen — bist du nach DSGVO verpflichtet, den Vorfall innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde zu melden.

72 Stunden klingen lang. Sind es nicht — vor allem wenn du mitten in der Schadensbehebung steckst.

Zuständig für Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Bundesweite Meldestelle: Bundesdatenschutzbeauftragter

Die Meldung muss nicht vollständig sein — aber sie muss erfolgen. Nachgelieferte Informationen sind möglich.

BSI melden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Meldestelle für Cybervorfälle. Auch wenn keine gesetzliche Pflicht besteht — eine Meldung hilft dem BSI bei der Lageerfassung und kann dir Informationen über bekannte Angriffsmuster liefern.

BSI Meldestelle: bsi.bund.de

Cyberversicherung informieren

Wenn du eine Cyberversicherung hast — informiere sie sofort. Viele Policen haben enge Meldefristen. Wer zu spät meldet riskiert Leistungsausschluss.

Die Versicherung kann oft auch einen Incident-Response-Dienstleister vermitteln.

Stunde 4-12: Aufklären und dokumentieren

Forensische Sicherung

Bevor du Systeme bereinigst oder neu aufsetzt — sichere forensische Spuren. Das bedeutet: Speicherabbilder (Memory Dumps), Log-Dateien, Screenshot des Angriffsbefunds.

Das ist wichtig für:

  • Strafanzeige
  • Versicherungsleistung
  • Verstehen wie der Angreifer reingekommen ist

Wenn du keinen IT-Dienstleister hast der das kann — ruf einen an. Kosten jetzt sind günstiger als fehlende Beweise später.

Angriffspunkt identifizieren

Wie ist der Angreifer reingekommen? Die häufigsten Einfallstore bei KMU:

  • Phishing-E-Mail mit schadhaftem Anhang oder Link
  • Kompromittiertes Passwort (oft aus einem anderen Datenleck)
  • Ungepatchte Software mit bekannter Sicherheitslücke
  • Fernzugriff ohne Multi-Faktor-Authentifizierung (RDP, VPN)
  • Infizierter USB-Stick oder externes Gerät

Ohne diese Frage zu beantworten — kannst du nicht sicher sein dass der Angreifer nach der Bereinigung wirklich draußen ist.

Strafanzeige erstatten

Cyberangriffe sind Straftaten. Eine Anzeige bei der Polizei ist sinnvoll — auch wenn die Aufklärungsquote gering ist. Sie ist Voraussetzung für viele Versicherungsleistungen und hilft den Behörden bei der Lageerfassung.

Zuständig: Zentrale Ansprechstellen Cybercrime der Landeskriminalämter (ZAC). In Bayern: LKA Bayern, ZAC.

Stunde 12-24: Wiederherstellung planen

Backup prüfen

Jetzt ist der Moment wo sich zeigt ob Backups wirklich funktionieren. Wichtige Fragen:

  • Wann wurde zuletzt gesichert?
  • Ist das Backup von der Ransomware verschlüsselt worden?
  • Wie lange dauert die Wiederherstellung?

Offline-Backups (externe Festplatten, Bandlaufwerke, die nicht dauerhaft verbunden sind) sind oft die einzige Möglichkeit nach einem Ransomware-Angriff.

Prioritäten setzen

Was muss zuerst wieder laufen? Nicht alles gleichzeitig wiederherstellen — das dauert zu lang und schafft neue Fehler.

Typische Priorität: Kommunikationssysteme (E-Mail, Telefon) → Kerngeschäftssysteme (ERP, CRM) → Arbeitsplätze.

Kunden und Partner informieren

Je nach Ausmaß des Angriffs musst du Kunden informieren — vor allem wenn deren Daten betroffen sein könnten. Das ist unangenehm aber notwendig. Wer selbst informiert bevor es durch andere bekannt wird, bewahrt mehr Vertrauen als wer es verschweigt.

Was du heute schon vorbereiten kannst

Ein Cyberangriff trifft immer unerwartet. Aber wie gut du vorbereitet bist entscheidet über den Schaden.

Die wichtigsten Vorbereitungsmaßnahmen:

Notfallkontakte dokumentieren — IT-Dienstleister, Datenschutzbehörde, Cyberversicherung, BSI. Nicht erst im Ernstfall suchen.

Backup-Konzept testen — Wann wurde das Backup zuletzt wiederhergestellt? Nicht nur gesichert — wiederhergestellt.

MFA aktivieren — Multi-Faktor-Authentifizierung für alle externen Zugänge. Das stoppt den häufigsten Angriffsvektor.

Incident Response Plan — Eine einseitige Übersicht: Wer macht was bei einem Vorfall? Wer entscheidet? Wer kommuniziert nach außen?

Mitarbeiter sensibilisieren — Der häufigste Einstiegspunkt sind Phishing-E-Mails. Mitarbeiter die solche erkennen sind die erste Verteidigungslinie.

Fazit

Ein Cyberangriff ist kein seltenes Ereignis mehr. 43 Prozent aller Angriffe weltweit zielen auf KMU — weil sie weniger gut geschützt sind als Konzerne, aber trotzdem wertvolle Daten haben.

Die ersten 24 Stunden entscheiden. Wer einen Plan hat handelt ruhig und effektiv. Wer keinen hat verliert wertvolle Zeit — und zahlt am Ende mehr.

Bereite dich heute vor. Nicht weil ein Angriff sicher kommt — sondern weil die Vorbereitung einfacher ist als die Reaktion.

CompliantDesk hilft KMU dabei, einen Incident Response Plan zu erstellen, Maßnahmen zu dokumentieren und im Ernstfall nachweisen zu können dass man vorbereitet war.

Jetzt kostenlos starten →

Bereit für weniger Excel
und mehr Struktur?

CompliantDesk bündelt NIS2, DSGVO, ISO 27001 in einem Tool - mit automatischen Folgeschritten aus Ihren Checks.

Jetzt CompliantDesk testen

Weiterlesen

Alle Artikel
Regulierung

AI Act, NIS2, DSGVO: Wie KMU den Compliance-Dschungel 2025 überleben

AI Act, NIS2 und DSGVO gleichzeitig — wie KMU den Compliance-Dschungel strukturiert angehen und Synergien zwischen den Regulierungen nutzen.

24. April 20269 min
Lesen
Praxis

Mein Kunde fragt nach einem Datenschutznachweis — was jetzt?

Immer mehr Auftraggeber verlangen Datenschutznachweise von ihren Lieferanten. Was genau wird gefordert, was reicht aus — und wie reagierst du professionell?

24. April 20266 min
Lesen