Hackerangriff – was tun? So reagieren Sie richtig
Ein Hackerangriff trifft Unternehmen oft völlig unerwartet und kann innerhalb weniger Minuten massive Schäden verursachen. In solchen Situationen zählt jede Minute, denn je schneller Sie reagieren, desto besser lassen sich Schäden begrenzen. Sie sind von einem Hackerangriff betroffen und fragen sich, was zu tun ist? Wir bieten Ihnen konkrete Sofortmaßnahmen und einen klaren Handlungsplan für den Ernstfall.
Was machen bei einem Hackerangriff? Sofortmaßnahmen im Überblick
Bei einem Cybersicherheitsvorfall ist schnelles und koordiniertes Handeln entscheidend. Sie fragen sich bei einem Hackerangriff, was zu tun ist? Folgende Schritte unterstützen Sie bei der Eindämmung.
1. Systeme isolieren
Im ersten Schritt gilt es, kompromittierte Systeme so schnell wie möglich zu isolieren. Trennen Sie betroffene Systeme vom Netzwerk, indem Sie jegliche Netzwerkverbindungen kappen. Aktivieren Sie – falls vorhanden – vorbereitete Notfall-Segmentierungen im Netzwerk, um kritische Bereiche abzuschotten. Wichtig: Fahren Sie betroffene Systeme nicht einfach herunter – hierdurch können flüchtige Daten verloren gehen, die für die nachfolgende forensische Analyse von großer Bedeutung sind. Isolieren statt ausschalten!
2. IT-Sicherheitsverantwortliche informieren
Informieren Sie parallel dazu interne Stellen wie den IT- oder Informationssicherheitsbeauftragten Ihres Unternehmens. Diese koordinieren die nächsten Schritte, priorisieren Maßnahmen und binden weitere Fachstellen ein. Übersteigt der Angriff die internen Kompetenzen, sollte externe Hilfe hinzugezogen werden. Unser Incident Response Service unterstützt Sie rund um die Uhr mit forensischer Spurensicherung und konkreten Sofortmaßnahmen.
3. Vorfall dokumentieren
Eine lückenlose Dokumentation ist für die spätere Analyse, mögliche rechtliche Schritte und die Verbesserung Ihrer Sicherheitsmaßnahmen entscheidend. Erstellen Sie eine präzise Chronologie aller Beobachtungen und Maßnahmen mit genauen Zeitstempeln. Sichern Sie alle relevanten Beweise, indem Sie Speicherabbilder (Images) betroffener Systeme erstellen, Logdateien sichern und Screenshots von Anomalien anfertigen, bevor Änderungen vorgenommen werden.
4. Zugänge sperren und Passwörter ändern
Sperren Sie umgehend alle verdächtigen oder kompromittierten Benutzerkonten, um weiteren unautorisierten Zugriff zu verhindern. Ändern Sie Passwörter nicht nur für offensichtlich betroffene, sondern für alle Systeme und verwenden Sie ausschließlich einzigartige Passwörter. Nutzen Sie wo immer möglich Zwei- bzw. Multi-Faktor-Authentifizierung.
Unternehmen gehackt – und jetzt?
Nachdem die ersten Sofortmaßnahmen zur Eindämmung eines Hackerangriffs getroffen wurden, ist es wichtig, weitere Schritte einzuleiten und relevante Stellen zu informieren. Die Meldepflichten unterscheiden sich je nach Art und Umfang des Vorfalls.
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Für Betreiber kritischer Infrastrukturen (KRITIS), Unternehmen im besonderen öffentlichen Interesse (UBI) sowie Unternehmen nach NIS-2 gilt eine Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI. Die Meldefrist beträgt in der Regel 24 Stunden ab Kenntnis des Vorfalls. Die Meldung erfolgt über das Meldeportal des BSI und umfasst technische Details zum Angriff, betroffene Systeme, mögliche Auswirkungen sowie erste Maßnahmen zur Eindämmung.
- Landesdatenschutzbehörde: Bei Verletzungen des Schutzes personenbezogener Daten greift die Meldepflicht nach Art. 33 DSGVO. In solchen Fällen muss die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden informiert werden. Dabei sind Art und Umfang der Datenpanne, potenzielle Risiken sowie eingeleitete Maßnahmen transparent darzulegen.
- Polizei bzw. Zentrale Ansprechstellen Cybercrime (ZAC): Bei einem vorsätzlichen Angriff sollte grundsätzlich Strafanzeige gestellt werden – unabhängig davon, ob ein Schaden entstanden ist. Die zentralen Ansprechstellen Cybercrime der Polizei bieten Unternehmen kompetente Hilfe bei der Anzeigeerstattung und der Kommunikation mit den Ermittlungsbehörden.
- Versicherung (Cyber-Versicherung, ggf. Betriebsausfallversicherung): Sofern eine Cyber-Versicherung besteht, sollte diese umgehend informiert werden. Viele Policen enthalten Meldefristen, deren Nichteinhaltung zum Verlust des Versicherungsschutzes führen kann.
- Kunden, Geschäftspartner oder Lieferanten: Bei einem Hackerangriff sind nicht nur Sie selbst betroffen, sondern möglicherweise auch Ihre Geschäftsbeziehungen. Informieren Sie Ihre Kunden, Partner und Lieferanten zeitnah, wenn externe Systeme kompromittiert wurden oder ein Risiko besteht. Mit einer transparenten Kommunikation wirken Sie einem Vertrauensverlust entgegen.
Systeme nach einem Hackerangriff bereinigen & wiederherstellen
Nach einem Hackerangriff ist die gründliche Bereinigung und Wiederherstellung der Systeme entscheidend. Wichtig ist, dass jedes kompromittierte System identifiziert und die Bedrohung vollständig beseitigt wurde – werden die Systeme zu früh wiederhergestellt, kann es sein, das Cyberkriminelle durch sogenannte Persistence Mechanisms weiterhin Zugriff haben – diese können beispielsweise in Form von Rootkits, Backdoors oder Scheduled Tasks vorliegen.
Neben der technischen Wiederherstellung gilt es, aus dem Vorfall zu lernen. Wie konnte der Angriff überhaupt erfolgen? Wo lagen Schwächen in der Prävention, in der Detektion oder in den organisatorischen Abläufen? Als vom BSI zertifizierter APT-Response-Dienstleister unterstützt Intersoft consulting Unternehmen umfassend bei der Bewältigung und Nachbereitung von Cyberangriffen. Unser Team unterstützt Sie mit professionellem IT-Security-Management und Incident Management, um Sie optimal auf zukünftige IT-Notfälle vorzubereiten. Darüber hinaus decken wir potenzielle Schwachstellen, über die sich Hacker Zugriff verschafft haben könnten, mittels Schwachstellenanalysen und Penetrationstests für Unternehmen auf.
FAQs – Was tun bei einem Hackerangriff?
Was ist bei einem Cyberangriff zu tun?
Sie fragen sich angesichts eines Hackerangriffs, was zu tun ist? Hier gilt es, schnell zu handeln: Trennen Sie betroffene Systeme sofort vom Netzwerk und informieren Sie Ihre internen IT-Sicherheitsverantwortlichen. Dokumentieren Sie alle Beobachtungen und sichern Sie Beweise. Sperren Sie verdächtige Zugänge und ändern Sie Passwörter. Ziehen Sie bei Bedarf externe Spezialisten hinzu.
An wen wende ich mich bei einem Cybersicherheitsvorfall?
Wenden Sie sich zuerst an Ihre IT- oder Informationssicherheitsbeauftragten. Liegt ein schwerwiegender Vorfall vor oder fehlt intern die nötige Expertise, sollten Sie externe Hilfe hinzuziehen. intersoft consulting steht Ihnen als BSI-zertifizierter APT-Response-Dienstleister rund um die Uhr zur Seite.
Ist ein Hackerangriff meldepflichtig?
Ja. Sobald personenbezogene Daten betroffen sind, müssen Sie den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden (Art. 33 DSGVO). Als Betreiber kritischer Infrastrukturen oder NIS-2-relevantes Unternehmen sind Sie zusätzlich verpflichtet, den Vorfall innerhalb von 24 Stunden an das BSI zu melden. Darüber hinaus sollten Sie Ihre Cyber-Versicherung und – je nach Fall – auch die Polizei informieren.
Ihr Unternehmen wird durch eine Cyberattacke bedroht?
Weitere spannende Beiträge
-
- News
Mitre ATT&CK: Verteidigung gegen Cyberbedrohungen
Zum BeitragDas MITRE ATT&CK Framework ist in der IT-Sicherheitsbranche als umfassende Wissensdatenbank etabliert, die sich auf TTPs konzentriert: Taktiken, Techniken und Prozeduren. Diese Datenbank beschreibt die Methoden, die Angreifer bei Cyberangriffen anwenden. Der folgende Artikel erklärt, wie diese Wissensdatenbank aufgebaut ist und wie sie zur Sicherung der IT-Infrastruktur genutzt werden kann. Struktur des ATT&CK Frameworks MITRE, […]
-
- News
Darknet Monitoring: So schützen Sie Ihr Unternehmen vor Cyber-Bedrohungen
Zum BeitragCyberkriminelle nutzen das Darknet als bevorzugten Handelsplatz für gestohlene Unternehmensdaten. Dieses verborgene Netzwerk ist nur mit spezieller Software in Form eines eigenen Browsers (TOR) zugänglich und bietet einen idealen Raum für illegale Aktivitäten und den Austausch sensibler Informationen. Ein großer Teil des Datenverkehrs wird dabei durch Botnetze erzeugt. Wir erläutern in diesem Artikel die Funktionsweise […]
-
- News
CVSS Scoring System: Ihr Wegweiser zur Schwachstellenbewertung
Zum BeitragDie Herausforderung wächst: NIST meldete kürzlich, dass im Jahr 2024 32 % mehr Schwachstellen eingereicht wurden als im Vorjahr. Angesichts dieser zunehmenden Anzahl von Sicherheitslücken benötigen Unternehmen einen verlässlichen Maßstab zur Bewertung ihrer Dringlichkeit. Das Common Vulnerability Scoring System (CVSS) stellt genau diesen standardisierten Rahmen zur Verfügung und ermöglicht die systematische Bewertung des Schweregrads von […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
Immer up to date:
unser IT-Forensik-Newsletter.
