Hackerangriff – was tun? So reagieren Sie richtig
Ein Hackerangriff trifft Unternehmen oft völlig unerwartet und kann innerhalb weniger Minuten massive Schäden verursachen. In solchen Situationen zählt jede Minute, denn je schneller Sie reagieren, desto besser lassen sich Schäden begrenzen. Sie sind von einem Hackerangriff betroffen und fragen sich, was zu tun ist? Wir bieten Ihnen konkrete Sofortmaßnahmen und einen klaren Handlungsplan für den Ernstfall.
Was machen bei einem Hackerangriff? Sofortmaßnahmen im Überblick
Bei einem Cybersicherheitsvorfall ist schnelles und koordiniertes Handeln entscheidend. Sie fragen sich bei einem Hackerangriff, was zu tun ist? Folgende Schritte unterstützen Sie bei der Eindämmung.
1. Systeme isolieren
Im ersten Schritt gilt es, kompromittierte Systeme so schnell wie möglich zu isolieren. Trennen Sie betroffene Systeme vom Netzwerk, indem Sie jegliche Netzwerkverbindungen kappen. Aktivieren Sie – falls vorhanden – vorbereitete Notfall-Segmentierungen im Netzwerk, um kritische Bereiche abzuschotten. Wichtig: Fahren Sie betroffene Systeme nicht einfach herunter – hierdurch können flüchtige Daten verloren gehen, die für die nachfolgende forensische Analyse von großer Bedeutung sind. Isolieren statt ausschalten!
2. IT-Sicherheitsverantwortliche informieren
Informieren Sie parallel dazu interne Stellen wie den IT- oder Informationssicherheitsbeauftragten Ihres Unternehmens. Diese koordinieren die nächsten Schritte, priorisieren Maßnahmen und binden weitere Fachstellen ein. Übersteigt der Angriff die internen Kompetenzen, sollte externe Hilfe hinzugezogen werden. Unser Incident Response Service unterstützt Sie rund um die Uhr mit forensischer Spurensicherung und konkreten Sofortmaßnahmen.
3. Vorfall dokumentieren
Eine lückenlose Dokumentation ist für die spätere Analyse, mögliche rechtliche Schritte und die Verbesserung Ihrer Sicherheitsmaßnahmen entscheidend. Erstellen Sie eine präzise Chronologie aller Beobachtungen und Maßnahmen mit genauen Zeitstempeln. Sichern Sie alle relevanten Beweise, indem Sie Speicherabbilder (Images) betroffener Systeme erstellen, Logdateien sichern und Screenshots von Anomalien anfertigen, bevor Änderungen vorgenommen werden.
4. Zugänge sperren und Passwörter ändern
Sperren Sie umgehend alle verdächtigen oder kompromittierten Benutzerkonten, um weiteren unautorisierten Zugriff zu verhindern. Ändern Sie Passwörter nicht nur für offensichtlich betroffene, sondern für alle Systeme und verwenden Sie ausschließlich einzigartige Passwörter. Nutzen Sie wo immer möglich Zwei- bzw. Multi-Faktor-Authentifizierung.
Unternehmen gehackt – und jetzt?
Nachdem die ersten Sofortmaßnahmen zur Eindämmung eines Hackerangriffs getroffen wurden, ist es wichtig, weitere Schritte einzuleiten und relevante Stellen zu informieren. Die Meldepflichten unterscheiden sich je nach Art und Umfang des Vorfalls.
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Für Betreiber kritischer Infrastrukturen (KRITIS), Unternehmen im besonderen öffentlichen Interesse (UBI) sowie Unternehmen nach NIS-2 gilt eine Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI. Die Meldefrist beträgt in der Regel 24 Stunden ab Kenntnis des Vorfalls. Die Meldung erfolgt über das Meldeportal des BSI und umfasst technische Details zum Angriff, betroffene Systeme, mögliche Auswirkungen sowie erste Maßnahmen zur Eindämmung.
- Landesdatenschutzbehörde: Bei Verletzungen des Schutzes personenbezogener Daten greift die Meldepflicht nach Art. 33 DSGVO. In solchen Fällen muss die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden informiert werden. Dabei sind Art und Umfang der Datenpanne, potenzielle Risiken sowie eingeleitete Maßnahmen transparent darzulegen.
- Polizei bzw. Zentrale Ansprechstellen Cybercrime (ZAC): Bei einem vorsätzlichen Angriff sollte grundsätzlich Strafanzeige gestellt werden – unabhängig davon, ob ein Schaden entstanden ist. Die zentralen Ansprechstellen Cybercrime der Polizei bieten Unternehmen kompetente Hilfe bei der Anzeigeerstattung und der Kommunikation mit den Ermittlungsbehörden.
- Versicherung (Cyber-Versicherung, ggf. Betriebsausfallversicherung): Sofern eine Cyber-Versicherung besteht, sollte diese umgehend informiert werden. Viele Policen enthalten Meldefristen, deren Nichteinhaltung zum Verlust des Versicherungsschutzes führen kann.
- Kunden, Geschäftspartner oder Lieferanten: Bei einem Hackerangriff sind nicht nur Sie selbst betroffen, sondern möglicherweise auch Ihre Geschäftsbeziehungen. Informieren Sie Ihre Kunden, Partner und Lieferanten zeitnah, wenn externe Systeme kompromittiert wurden oder ein Risiko besteht. Mit einer transparenten Kommunikation wirken Sie einem Vertrauensverlust entgegen.
Systeme nach einem Hackerangriff bereinigen & wiederherstellen
Nach einem Hackerangriff ist die gründliche Bereinigung und Wiederherstellung der Systeme entscheidend. Wichtig ist, dass jedes kompromittierte System identifiziert und die Bedrohung vollständig beseitigt wurde – werden die Systeme zu früh wiederhergestellt, kann es sein, das Cyberkriminelle durch sogenannte Persistence Mechanisms weiterhin Zugriff haben – diese können beispielsweise in Form von Rootkits, Backdoors oder Scheduled Tasks vorliegen.
Neben der technischen Wiederherstellung gilt es, aus dem Vorfall zu lernen. Wie konnte der Angriff überhaupt erfolgen? Wo lagen Schwächen in der Prävention, in der Detektion oder in den organisatorischen Abläufen? Als vom BSI zertifizierter APT-Response-Dienstleister unterstützt Intersoft consulting Unternehmen umfassend bei der Bewältigung und Nachbereitung von Cyberangriffen. Unser Team unterstützt Sie mit professionellem IT-Security-Management und Incident Management, um Sie optimal auf zukünftige IT-Notfälle vorzubereiten. Darüber hinaus decken wir potenzielle Schwachstellen, über die sich Hacker Zugriff verschafft haben könnten, mittels Schwachstellenanalysen und Penetrationstests für Unternehmen auf.
FAQs – Was tun bei einem Hackerangriff?
Was ist bei einem Cyberangriff zu tun?
Sie fragen sich angesichts eines Hackerangriffs, was zu tun ist? Hier gilt es, schnell zu handeln: Trennen Sie betroffene Systeme sofort vom Netzwerk und informieren Sie Ihre internen IT-Sicherheitsverantwortlichen. Dokumentieren Sie alle Beobachtungen und sichern Sie Beweise. Sperren Sie verdächtige Zugänge und ändern Sie Passwörter. Ziehen Sie bei Bedarf externe Spezialisten hinzu.
An wen wende ich mich bei einem Cybersicherheitsvorfall?
Wenden Sie sich zuerst an Ihre IT- oder Informationssicherheitsbeauftragten. Liegt ein schwerwiegender Vorfall vor oder fehlt intern die nötige Expertise, sollten Sie externe Hilfe hinzuziehen. intersoft consulting steht Ihnen als BSI-zertifizierter APT-Response-Dienstleister rund um die Uhr zur Seite.
Ist ein Hackerangriff meldepflichtig?
Ja. Sobald personenbezogene Daten betroffen sind, müssen Sie den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden (Art. 33 DSGVO). Als Betreiber kritischer Infrastrukturen oder NIS-2-relevantes Unternehmen sind Sie zusätzlich verpflichtet, den Vorfall innerhalb von 24 Stunden an das BSI zu melden. Darüber hinaus sollten Sie Ihre Cyber-Versicherung und – je nach Fall – auch die Polizei informieren.
Weitere spannende Beiträge
-
- News
Eindringlinge erkennen: Die Rolle von RDP-Logs in der digitalen Forensik
Zum BeitragIn der heutigen Welt kämpfen Organisationen und Einzelpersonen kontinuierlich gegen Cyberkriminalität, die darauf abzielt, Systeme zu infiltrieren und vertrauliche Informationen zu stehlen oder zu manipulieren. In diesem stetigen Kampf hat sich die IT-Forensik als ein unverzichtbares Werkzeug etabliert, um Angreifer zu identifizieren, ihre Methoden zu verstehen und Sicherheitslücken zu schließen. Diese Systeme ermöglichen es Angreifern, infizierte Geräte aus der Ferne zu steuern und sensible Daten zu exfiltrieren. In diesem Beitrag beleuchten wir die Funktionsweise, Risiken und Schutzmaßnahmen rund um C2.
-
- News
Command and Control (C2): Die unsichtbare Gefahr im Netz
Zum BeitragDie digitale Welt birgt zahlreiche Gefahren, von denen viele im Verborgenen arbeiten. Eine besonders heimtückische Bedrohung geht von sogenannten Command and Control (C2) Strukturen aus. Diese Systeme ermöglichen es Angreifern, infizierte Geräte aus der Ferne zu steuern und sensible Daten zu exfiltrieren. In diesem Beitrag beleuchten wir die Funktionsweise, Risiken und Schutzmaßnahmen rund um C2.
-
- News
Checkliste IT-Notfallplan: So schützen Sie Ihr Unternehmen
Zum BeitragEin IT-Notfallplan ist ein unverzichtbares Werkzeug, um im Ernstfall schnell und kontrolliert auf Störungen der IT-Infrastruktur zu reagieren. Angesichts der steigenden Zahl von Cyberangriffen und technischen Ausfällen ist es entscheidend, vorbereitet zu sein.
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
