Cyberangriff – was tun? Die wichtigsten Schritte im Überblick
Cyberbedrohungen haben sich in den letzten Jahren dramatisch verschärft. Cyberangriffe nehmen rasant zu, und treffen Unternehmen aller Größenordnungen. Studien zeigen, dass inzwischen fast jedes Unternehmen in Deutschland Zielscheibe von Cyberkriminellen geworden ist. Wenn Ihr Unternehmen betroffen ist, zählt jede Minute. Hier erfahren Sie, was bei einem Cyberangriff zu tun ist. Wir zeigen, was bei einem Cyberangriff passiert, welche Sofortmaßnahmen jetzt entscheidend sind, wo Sie Hilfe erhalten, und worauf es im weiteren Verlauf ankommt.
Was tun im Ernstfall? Die wichtigsten Maßnahmen nach einem Cyberangriff
Betroffene Systeme isolieren
Isolieren Sie alle potenziell betroffenen Geräte sofort. Schränken Sie den physischen Zugang zu Desktopcomputern, Servern, Smartphones, USB-Sticks und anderen relevanten IT-Systemen ein. Trennen Sie kompromittierte Systeme im laufenden Betrieb vom Netzwerk. Das verhindert eine weitere Ausbreitung des Angriffs und bewahrt gleichzeitig wichtige Spuren.
So naheliegend es erscheinen mag, schalten Sie kompromittierte Geräte nicht aus, führen Sie keinen Neustart durch und vermeiden Sie alle Aktionen, die potenzielle Spuren löschen könnten. Vermeiden Sie jede unkoordinierte Handlung; behandeln Sie Ihre Systeme wie einen Tatort.
Krisenteam aktivieren
Informieren Sie die IT-Sicherheitsverantwortlichen oder aktivieren Sie Ihren internen Krisenplan. Falls kein formaler Plan existiert, bestimmen Sie eine verantwortliche Person als zentrale Koordinationsstelle. Diese Person koordiniert alle Sofortmaßnahmen.
Externe Unterstützung hinzuziehen
Sobald der Vorfall über die eigenen Ressourcen hinausgeht, sollte schnellstmöglich professionelle Hilfe hinzugezogen werden. Staatliche Stellen wie die Zentrale Anlaufstelle Cybersicherheit (ZAC) oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) bieten erste Orientierung und unterstützen bei Meldungen sowie behördlichen Vorgaben. Für die unmittelbare technische Eindämmung und Aufklärung des Angriffs sind jedoch spezialisierte Dienstleister entscheidend.
Als BSI-zertifizierter APT-Response-Dienstleister stehen wir Ihnen rund um die Uhr für eine sofortige Incident Response zur Verfügung. Unsere IT-Forensiker sind kurzfristig vor Ort oder remote einsatzbereit, analysieren den Vorfall umfassend, sichern digitale Spuren und leiten umgehend gezielte Gegenmaßnahmen ein.
Alle Maßnahmen dokumentieren
Führen Sie ein detailliertes Protokoll aller Handlungen. Dokumentieren Sie genau, wer wann wo Zugang zu den betroffenen Systemen hatte. Notieren Sie alle Beobachtungen mit exakten Zeitangaben: Welche Fehlermeldungen sind aufgetreten? Welche Anomalien wurden festgestellt? Welche Sofortmaßnahmen wurden ergriffen? Fotografieren Sie Bildschirme mit Fehlermeldungen, die lokalen Gegebenheiten und den Zustand der IT-Infrastruktur. Screenshots und Fotos können später als wichtige Beweismittel dienen.
Sicherheitsscans durchführen
Führen Sie vollständige Antiviren-Scans auf allen isolierten Systemen durch. Nutzen Sie spezialisierte Anti-Malware-Tools oder Endpoint Detection and Response (EDR)-Systeme wie, falls diese in Ihrem Unternehmen verfügbar sind. Diese ermöglichen u.a. das Identifizieren weitere kompromittierter Systeme und eine erste Analyse.
Vorfall aufklären
Sobald die unmittelbare Gefahr gebannt ist und die Systeme stabilisiert wurden, folgt die forensische Aufklärung des Vorfalls. Eine professionelle IT-Forensik ist sowohl für die Strafverfolgung als auch für die langfristige Verbesserung Ihrer IT-Sicherheit von entscheidender Bedeutung. Unser Team deckt im Rahmen der forensischen Analyse auf, wie die Angreifer in Ihr System eingedrungen sind, welche Methoden sie verwendet haben und welche Daten möglicherweise kompromittiert oder gestohlen wurden. Wir kommen Tätern mittels modernster Analysen Ihres Netzwerks auf die Spur und sichern alle Beweise.
Meldepflichten bei einem Cyberangriff prüfen
Ein Cyberangriff löst verschiedene gesetzliche Meldepflichten aus, die Sie unbedingt einhalten müssen. Je nach Art des Angriffs und Ihres Unternehmens sind unterschiedliche Stellen zu informieren.
- Datenschutzaufsichtsbehörde: Bei Verletzungen des Schutzes personenbezogener Daten müssen Sie die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung informieren. Die Meldung muss Art und Umfang der Datenpanne, potenzielle Risiken für Betroffene sowie bereits eingeleitete Gegenmaßnahmen enthalten.
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Unternehmen, die unter die NIS-2-Richtlinie fallen oder als Betreiber kritischer Infrastrukturen klassifiziert sind, müssen den Vorfall zusätzlich innerhalb von 24 Stunden an das BSI melden.
- Betroffene Personen: Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen müssen Sie die betroffenen Personen unverzüglich über die Datenpanne informieren. Die Benachrichtigung nach Art. 34 DSGVO muss in verständlicher Sprache erfolgen und konkrete Schutzmaßnahmen für die Betroffenen aufzeigen.
- Cyber-Versicherung: Informieren Sie unverzüglich Ihre Cyber-Versicherung (falls vorhanden) über die Notfall-Hotline, um Leistungsansprüche zu sichern und mögliche Kostenbeteiligungen zu klären.
Wiederherstellung und Lessons Learned nach einem Cyberangriff
Nach der akuten Krisenbewältigung gilt es, den Normalbetrieb geordnet wiederherzustellen und aus dem Vorfall nachhaltige Schlüsse zu ziehen. Nach der erfolgreichen Eindämmung und forensischen Aufklärung des Cyberangriffs folgt die systematische Wiederherstellung der betroffenen Systeme und Geschäftsprozesse. Beginnen Sie die Wiederherstellung erst, wenn Sie sicher sind, dass alle Schadsoftware entfernt und alle Sicherheitslücken geschlossen wurden.
Nutzen Sie den Angriff als Chance, die Sicherheitsarchitektur Ihres Unternehmens zu verbessern. Wir unterstützen Sie mit einer systematischen IT-Schwachstellenanalyse, die alle Ebenen Ihrer IT-Infrastruktur durchleuchtet und konkrete Handlungsempfehlungen gibt. Darüber hinaus sensibilisieren wir Ihre Mitarbeitenden im Rahmen von IT-Security Awareness Programmen für den Umgang mit Cyberbedrohungen.
Was passiert bei einem Cyberangriff eigentlich? Typischer Ablauf erklärt
Ein erfolgreicher Cyberangriff geschieht nicht von heute auf morgen. Hinter den spektakulären Systemausfällen und Lösegeldforderungen steht meist ein methodisches Vorgehen, das sich über Wochen oder sogar Monate erstreckt.
Phase 1: Reconnaissance – die Aufklärungsphase
Der Angriff beginnt lange bevor das erste System kompromittiert wird. In der Aufklärungsphase sammeln Cyberkriminelle systematisch Informationen über ihr Ziel. Sie durchforsten öffentlich zugängliche Quellen wie Unternehmenswebseiten, soziale Netzwerke und Stellenausschreibungen, um technische Details über die IT-Infrastruktur, verwendete Software oder Namen von Mitarbeitern zu ermitteln. Besonders wertvoll sind Informationen über Sicherheitslücken, veraltete Systeme oder ungeschützte Netzwerkzugänge.
Phase 2: Initial Access – der erste Einbruch
Mit den gesammelten Informationen verschaffen sich die Angreifer Zugang zum Zielsystem. Dies geschieht häufig über Phishing-E-Mails, die gezielt an bestimmte Mitarbeiter gerichtet sind und diese dazu bringen sollen, auf infizierte Anhänge zu klicken oder Zugangsdaten preiszugeben. Alternativ nutzen Cyberkriminelle bekannte Schwachstellen in veralteter Software oder schwach konfigurierte Remote-Zugänge wie VPN-Verbindungen.
Phase 3: Persistence – dauerhaften Zugang sichern
Die Angreifer installieren nun persistente Backdoors und andere Mechanismen, um auch nach Neustarts oder bei der Entdeckung einzelner Schwachstellen weiterhin Zugriff zu behalten. Sie richten Kommunikationskanäle zu ihren Command-and-Control-Servern ein und stellen sicher, dass sie das kompromittierte System auch langfristig kontrollieren können.
Sie bedienen sich dabei oftmals legitimer Systemtools und -prozesse, um ihre Aktivitäten zu tarnen. Diese Technik ist auch als „Living off the Land“ (LOTL) bekannt.
Phase 4: Privilege Escalation – Rechte ausweiten
Von ihrem anfänglichen Zugangspunkt aus erweitern die Cyberkriminelle systematisch ihre Berechtigungen. Sie nutzen weitere Sicherheitslücken oder gestohlene Anmeldedaten, um sich Administratorrechte zu verschaffen und Zugang zu sensibleren Bereichen des Netzwerks zu erhalten.
Phase 5: Lateral Movement – Ausbreitung im Netzwerk
Die Angreifer bewegen sich jetzt mit erweiterten Rechten horizontal durch das Netzwerk und kompromittieren weitere Systeme. Sie suchen nach wertvollen Daten, kritischen Servern oder Systemen, die für ihre eigentlichen Ziele relevant sind. Dieser Schritt kann sich über Wochen oder Monate hinziehen, ohne dass der Angriff bemerkt wird.
Phase 6: Data Exfiltration oder destructive Actions
In der finalen Phase führen die Cyberkriminelle ihre eigentlichen Ziele aus: Sie stehlen sensible Daten, installieren Ransomware zur Verschlüsselung wichtiger Dateien, manipulieren Systeme oder zerstören kritische Infrastrukturen.
Welche Folgen hat ein erfolgreicher Cyberangriff für betroffene Unternehmen?
Ein erfolgreicher Cyberangriff kann weitreichende und teils existenzbedrohende Folgen für Unternehmen haben. Häufig kommt der gesamte Geschäftsbetrieb zum Stillstand. Die Produktion kommt zum Erliegen, Kundendaten werden verschlüsselt oder gehen verloren, auch die interne Kommunikation kann massiv beeinträchtigt werden.
Wie gravierend ein solcher Angriff verlaufen kann und wie wichtig schnelles Handeln ist, zeigt ein aktueller Fall aus unserer Praxis. Hier breitete sich ein Ransomware-Angriff bei einer weltweit tätigen Reederei mit über 9.000 Mitarbeitern binnen Stunden auf die 30 internationalen Standorte aus. Der in Südostasien ausgelöste Angriff war im Begriff, sich über die gemeinsame IT-Infrastruktur auszuweiten und hätte ohne sofortiges Handeln das gesamte Unternehmen lahmgelegt. Durch unsere umgehende Incident Response konnten wir die deutschen Standorte binnen vier Tagen vollständig wiederherstellen. Andere Standorte des Unternehmens hatten weniger Glück und kämpfen bis heute mit den Folgen oder mussten ganz schließen.
FAQs – Weitere Fragen zu Cyberangriffen
Was ist ein Cyberangriff?
Ein Cyberangriff bezeichnet einen Angriff auf IT-Systeme, Netzwerke oder digitale Infrastrukturen, der das Ziel verfolgt, Schäden zu verursachen, Daten zu stehlen oder Systeme zu kompromittieren. Cyberkriminelle bedienen sich verschiedener Methoden wie Schadsoftware, Phishing oder Social Engineering, um sich unbefugt Zugang zu verschaffen. Die Motive für Cyberangriffe reichen von finanzieller Bereicherung über Wirtschaftsspionage bis hin zu politischen oder terroristischen Zielen.
Was ist bei einem Cyberangriff zu tun?
Bei einem Cyberangriff steht die sofortige Schadensbegrenzung an oberster Stelle: Trennen Sie kompromittierte Geräte vom Netzwerk und behandeln Sie die Systeme wie einen Tatort. Informieren Sie unverzüglich Ihr IT-Sicherheitsteam oder externe Incident-Response-Spezialisten, die den Angriff eindämmen und forensische Beweise sichern können. Führen Sie eine umfassende Dokumentation aller Beobachtungen durch und prüfen Sie die Integrität Ihrer Backup-Systeme, bevor Sie mit der Wiederherstellung beginnen.
Wie läuft ein Cyberangriff ab?
Bei einem Cyberangriff verschaffen sich Angreifer in der Regel über Phishing-E-Mails, Schwachstellen oder gestohlene Zugangsdaten Zugriff. Anschließend durchsuchen sie das Netzwerk nach wertvollen Daten oder kritischen Systemen. Danach erfolgt der eigentliche Angriff, bei dem je nach Absicht z. B. Systeme verschlüsselt oder Daten gestohlen werden.
Wer haftet bei einem Cyberangriff?
Grundsätzlich haften Unternehmen für Schäden, die durch unzureichende IT-Sicherheitsmaßnahmen entstehen. Das gilt insbesondere dann, wenn Datenschutzverstöße oder Verletzungen der IT-Sicherheitspflichten vorliegen. Bei Fahrlässigkeit oder Verstößen gegen die DSGVO können empfindliche Bußgelder verhängt werden. Eine Cyber-Versicherung kann finanzielle Folgen abfedern, diese übernimmt die Kosten jedoch nur, wenn die vereinbarten Sicherheitsstandards und Meldepflichten nachweislich eingehalten wurden.
Was ist der beste Schutz vor Hackern?
Der beste Schutz vor Cyberangriffen besteht in einem mehrstufigen Sicherheitskonzept, das technische Maßnahmen mit organisatorischen Prozessen und Mitarbeitersensibilisierung kombiniert. Halten Sie alle Systeme durch regelmäßige Updates aktuell, implementieren Sie Multifaktor-Authentifizierung und segmentieren Sie Ihr Netzwerk, um die Ausbreitung von Angriffen zu begrenzen. Schulen Sie Ihre Mitarbeiter regelmäßig darin, Phishing-Angriffen und Social Engineering zu erkennen.
Weitere spannende Beiträge
-
- News
Was tun bei einem DDoS-Angriff? Leitfaden für Unternehmen
Zum BeitragEin Distributed Denial of Service (DDoS)-Angriff kann den Geschäftsbetrieb innerhalb weniger Minuten zum Stillstand bringen. Diese Attacken zielen darauf ab, Server und Netzwerke zu überlasten, indem sie mit einer Vielzahl gleichzeitiger Anfragen förmlich überschwemmt werden. In betroffenen Unternehmen herrscht oftmals Ratlosigkeit – was passiert gerade, wie lange dauert der Ausfall an? Hier erfahren Sie die […]
-
- News
Business Email Compromise (BEC): Warum klassische E-Mail-Sicherheit nicht reicht
Zum BeitragBusiness Email Compromise gehört zu den finanziell folgenschwersten Bedrohungen in der heutigen Welt der Cybersicherheit. Allein im Jahr 2023, so die Zahlen des FBI, haben solche Angriffe Verluste von über 2,5 Milliarden US-Dollar verursacht. Das Tückische daran: BEC-Angriffe lassen sich kaum mit klassischen Indikatoren erkennen – es braucht weder Malware noch infizierte Links oder verdächtige […]
-
- News
Digitale Spuren auf Smartphones: Mobile Forensik in der Praxis
Zum BeitragSmartphones haben sich zu digitalen Schatzkammern entwickelt, die eine Vielzahl forensisch relevanter Daten enthalten. Die Geräte speichern fast alle Aktivitäten ihrer Nutzer und sind damit eine der größten ungeschützten Angriffsflächen für Unternehmen. Dieser Artikel beschreibt die forensisch relevanten digitalen Spuren auf Smartphones, bewährte Verfahren zur Datensicherung und -analyse sowie die Gewährleistung der gerichtlichen Verwertbarkeit. Darüber hinaus […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
