CyberangriffErste HilfeIncident ResponseKMUNotfall

Wir wurden gehackt — Was jetzt? Erste Hilfe nach einem Cyberangriff

Schritt-für-Schritt-Anleitung für KMU nach einem Cyberangriff: Systeme isolieren, Beweise sichern, Behörden informieren, DSGVO-Meldepflicht erfüllen und den Betrieb wiederherstellen. Häufige Fehler vermeiden.

Es ist passiert. Der Bildschirm zeigt eine Erpressernachricht, die Kollegen melden sich nicht mehr an, oder der IT-Dienstleister ruft an und sagt: "Wir haben ein Problem." Ein Cyberangriff ist für viele KMU das schlimmste IT-Szenario — und leider kein seltenes Ereignis mehr.

Laut dem BSI-Lagebericht 2024 waren 43 % der deutschen Unternehmen im vorangegangenen Jahr von einem Cyberangriff betroffen. Entscheidend ist, was man in den ersten Stunden tut.

Schritt 1: Ruhe bewahren und Lage einschätzen

Panik ist der schlechteste Ratgeber. Bevor irgendetwas geklickt oder abgeschaltet wird:

Sofortfragen:

  • Welche Systeme sind betroffen? (Einzelner PC, Server, ganzes Netz?)
  • Läuft der Angriff noch? (Aktive Verbindungen, laufende Verschlüsselung?)
  • Welche Daten könnten kompromittiert sein? (Kundendaten, Finanzen, Zugangsdaten?)

Wer einen Incident Response Plan hat — gut. Wer nicht: Ab jetzt alles dokumentieren. Datum, Uhrzeit, Beobachtung, wer was gemacht hat. Notizblock oder privates Handy reichen für den Anfang.

Schritt 2: Betroffene Systeme isolieren

Ziel ist, den Schaden zu begrenzen — ohne dabei Beweise zu vernichten.

Was zu tun ist:

  • Betroffene Computer und Server vom Netzwerk trennen: Netzwerkkabel ziehen oder WLAN deaktivieren
  • NICHT sofort ausschalten (Ausnahme: laufende Dateiverschlüsselung, die aktiv Daten zerstört)
  • Netzwerksegmente trennen, falls vorhanden (managed Switch: betroffene VLANs deaktivieren)
  • VPN-Zugänge und Fernwartungssoftware sofort deaktivieren

Was man nicht tun sollte:

  • Keine befallenen Systeme "mal eben neu aufsetzen" — Beweise werden vernichtet
  • Keine verdächtigen Dateien öffnen oder anklicken
  • Keine Lösegeldzahlung vor einer Rücksprache mit Behörden und Spezialisten

Schritt 3: Beweise sichern

Bevor irgendetwas geändert wird, Beweise sichern:

  • Speicherabbilder (Memory Dumps) von laufenden Systemen, falls technisch möglich
  • Log-Dateien kopieren: Windows Event Logs, Linux-Systemlogs (/var/log/), Firewall-Logs, Nginx-Access-Logs
  • Screenshots von allem Ungewöhnlichen: Erpressernachrichten, unbekannte Prozesse, offene Verbindungen
  • Netzwerk-Logs vom Router oder Firewall sichern
  • Alle Zeitstempel dokumentieren

Diese Beweise braucht man für Behörden, Versicherungen und die spätere forensische Analyse. Einmal überschrieben, sind sie unwiederbringlich verloren.

Binary System Services – Managed Security für KMU

Schritt 4: Behörden informieren

Bundesamt für Sicherheit in der Informationstechnik (BSI): Das BSI bietet eine kostenlose Erstberatung für Cyberangriffe: bsi.bund.de — Stichwort "Cyber-Sicherheitsnetz". Für kritische Infrastrukturen besteht zudem eine Meldepflicht.

Polizei: Cyberkriminalität ist strafbar. Strafanzeige erstatten — bei jedem Landeskriminalamt gibt es spezialisierte Cybercrime-Abteilungen. Die Anzeige ist auch für Versicherungsleistungen relevant.

Datenschutzbehörde: Falls personenbezogene Daten betroffen sind (und das sind sie fast immer), greift Art. 33 DSGVO: Meldung an die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden. Diese Frist gilt ab dem Moment, in dem das Unternehmen von der Verletzung Kenntnis erlangt — nicht ab dem tatsächlichen Angriff.

Die Meldung kann initial unvollständig sein ("wir wissen noch nicht das Ausmaß") und wird nachträglich ergänzt. Keine Meldung ist schlimmer als eine unvollständige.

Schritt 5: Betroffene Personen informieren (Art. 34 DSGVO)

Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellt, müssen diese direkt informiert werden — "unverzüglich", so die DSGVO.

Hohes Risiko bedeutet in der Praxis: Kreditkartendaten, Gesundheitsdaten, Passwörter, Daten von Kindern, oder wenn eine Identitätsdiebstahl-Gefahr besteht.

Die Information an Betroffene muss enthalten:

  • Was ist passiert?
  • Welche Daten sind betroffen?
  • Was tut das Unternehmen dagegen?
  • Was können Betroffene selbst tun?

Keine Marketing-Sprache, keine Verharmlosung. Klar, ehrlich, konkret.

Schritt 6: Interne Kommunikation

Mitarbeiter brauchen klare Anweisungen:

  • Welche Systeme dürfen/sollen nicht verwendet werden?
  • Welche Kommunikationskanäle sind noch sicher? (Falls E-Mail-Server kompromittiert: auf private Handys oder sichere Messenger ausweichen)
  • Wer ist die interne Ansprechperson?
  • Was sagen Mitarbeiter, wenn Kunden fragen?

Keine Gerüchte, keine Panik — aber auch keine Vertuschung. Wer intern offen kommuniziert, verhindert, dass Informationen unkontrolliert nach außen dringen.

Schritt 7: Wiederherstellung aus Backup

Erst wenn die forensische Sicherung abgeschlossen und die Angriffsstelle verstanden ist, beginnt die Wiederherstellung.

Voraussetzungen für eine sichere Wiederherstellung:

  • Backup ist nicht kompromittiert (Ransomware verschlüsselt oft auch verbundene Backup-Laufwerke)
  • Das Einfallstor ist identifiziert und geschlossen (sonst beginnt der Angriff erneut)
  • Alle Zugangsdaten wurden geändert (Passwörter, API-Keys, SSH-Keys)
  • Systeme werden neu aufgesetzt, nicht nur "bereinigt"

Wer offline Backups hat (externe Festplatte, Band, Cloud-Backup mit Versionierung), ist klar im Vorteil. Backups, die dauerhaft mit dem System verbunden sind, bieten bei Ransomware kaum Schutz.

Häufige Fehler, die den Schaden vergrößern

  1. Sofort neu aufsetzen ohne forensische Sicherung — Ursache bleibt unbekannt, passiert wieder
  2. Lösegeld zahlen ohne Rücksprache — keine Garantie auf Entschlüsselung, Ermutigung zu weiteren Angriffen
  3. 72-Stunden-Frist ignorieren — Bußgelder nach DSGVO können fünfstellig werden
  4. Betroffene nicht informieren — nachträglicher Vertrauensverlust ist größer als sofortige Transparenz
  5. Keine Kommunikation mit Spezialisten — Laien-Forensik vernichtet oft Beweise

Prävention: Was man jetzt tun sollte

Ein Angriff ist verarbeitet, der Betrieb läuft wieder. Jetzt ist der Moment, Konsequenzen zu ziehen:

  • Backup-Strategie nach 3-2-1-Regel implementieren (3 Kopien, 2 Medien, 1 offline)
  • Multi-Faktor-Authentifizierung für alle externen Zugänge
  • Netzwerksegmentierung
  • Mitarbeiter-Schulungen zu Phishing
  • Incident Response Plan schriftlich festhalten

Wer auf professionelle Unterstützung setzen möchte, bevor der Ernstfall eintritt, findet im Bereich DSGVO-konforme Webentwicklung und Sicherheit weitere Hinweise zur Prävention — oder spricht direkt mit uns über ein Managed Security Setup.

Mehr zu Managed Security