Die ersten Stunden nach einem Cyberangriff entscheiden über alles: wie weit sich der Schaden ausbreitet, ob Beweise für Strafanzeige und Versicherung erhalten bleiben, ob die gesetzlichen Meldefristen eingehalten werden und ob das Unternehmen überhaupt handlungsfähig bleibt.
Wer in diesem Moment ohne Plan agiert, verdoppelt den Schaden.
Das Wichtigste in Kürze:
- Betroffene Systeme sofort vom Netzwerk isolieren, aber niemals einfach ausschalten. Im flüchtigen Speicher liegen Beweise, die beim Abschalten verloren gehen.
- Beweise sichern, bevor irgendetwas bereinigt wird. Das ist der häufigste und teuerste Fehler: Unternehmen bereinigen Systeme und zerstören damit jede Grundlage für Strafanzeige und forensische Analyse.
- Externe IT-Forensiker und den 24/7-Notfallservice der Cyberversicherung sofort einschalten, nicht erst nach Tagen.
- Die gesetzlichen Meldefristen laufen ab dem Moment der Kenntnis: DSGVO 72 Stunden, NIS2-Frühwarnung 24 Stunden, DORA 4 Stunden bei Finanzunternehmen.
Phase 1: Stunden 0 bis 6, Kontrolle zurückgewinnen
Alles in dieser Phase hat ein Ziel: verhindern, dass der Angreifer weiteren Schaden anrichten kann, und gleichzeitig sichern, was für die Aufarbeitung gebraucht wird. Beides muss parallel passieren.
Betroffene Systeme isolieren, aber nicht ausschalten
Infizierte oder verdächtige Systeme müssen unverzüglich vom Netzwerk getrennt werden. Das gilt für PCs, Server und Cloud-Verbindungen. Das Ziel ist, die Ausbreitung zu stoppen, bevor der Angreifer weitere Systeme erreicht oder Daten exfiltriert.
Der entscheidende Unterschied: isolieren heißt nicht ausschalten. Im flüchtigen Speicher (RAM) aktiver Systeme liegen Spuren des Angreifers, die für die forensische Analyse unverzichtbar sind und beim Ausschalten unwiederbringlich verloren gehen. Systeme vom Netzwerk trennen, aber laufen lassen.
Beweise sichern, bevor irgendetwas bereinigt wird
Das ist der Schritt, den die meisten Unternehmen falsch machen. Der Impuls, die Systeme sofort zu bereinigen und den normalen Betrieb wiederherzustellen, ist verständlich. Er zerstört aber die Grundlage für alles, was danach kommt: Strafanzeige, forensische Ursachenanalyse, Versicherungsleistungen.
Folgendes muss vor jeder Bereinigung gesichert werden:
- Log-Dateien von Firewall, Server, EDR-System und Windows Event Logs
- RAM-Abbilder (Memory Dumps) kompromittierter Systeme
- Netzwerkprotokolle, NetFlow- und PCAP-Daten
- Betroffene Endgeräte physisch sicherstellen, nicht löschen
- Screenshots und Fotos von Fehlermeldungen und Ransomware-Screens
Die Dokumentation muss lückenlos und chronologisch erfolgen. Sie ist später für Datenschutzbehörden, Versicherungen, Polizei und im schlimmsten Fall für Gerichte notwendig.
Krisenteam einberufen
Ein Krisenstab mit festen Rollen muss sofort eingerichtet werden. Die Entscheidungsstrukturen im Normalbetrieb taugen im Notfall nicht – es braucht klare Zuständigkeiten:
| Rolle | Aufgabe |
| IT-Leiter / CISO | Technische Koordination, Systemanalyse |
| Geschäftsführung | Entscheidungsbefugnis, externe Kommunikation |
| Datenschutzbeauftragter | DSGVO-Meldepflichten prüfen |
| Rechtsanwalt extern | NIS2- und DSGVO-Compliance, Haftungsrisiken |
| IT-Forensiker extern | Beweissicherung, Ursachenanalyse |
| Kommunikationsverantwortlicher | Interne und externe Kommunikation |
Zugangsdaten sofort zurücksetzen
Alle administrativen Accounts und potenziell kompromittierte Benutzerkonten müssen sofort zurückgesetzt werden. Wenn Multi-Faktor-Authentifizierung noch nicht eingeführt ist: jetzt, sofort.
Phase 2: Stunden 6 bis 24, Melden und analysieren
In dieser Phase laufen technische Analyse und rechtliche Meldungen parallel. Beides ist gleich wichtig.
Externe Spezialisten einbinden
Die interne IT-Abteilung stößt im Angriffsfall regelmäßig an ihre Grenzen. Das ist keine Kritik, sondern Realität: Ein Cyberangriff ist kein normaler IT-Vorfall. Folgende externe Ressourcen sollten eingebunden werden:
- IT-Forensiker für digitale Spurensicherung, idealerweise BSI-akkreditierte Incident-Response-Dienstleister
- Den 24/7-Notfallservice der Cyberversicherung, falls vorhanden
- Die Transferstelle Cybersicherheit im Mittelstand unter transferstelle-cybersicherheit.de, die KMU kostenlose Notfallhilfe bietet
NIS2-Frühwarnung absetzen
Für NIS2-pflichtige Unternehmen gilt: Innerhalb von 24 Stunden nach Kenntnis des Vorfalls muss die Frühwarnung an das BSI über das Melde- und Informationsportal (mip.bund.de) abgesetzt werden. Auch wenn die forensische Analyse noch nicht abgeschlossen ist – die Meldung muss erfolgen. Das BSI-Prinzip lautet: Schnelligkeit vor Vollständigkeit.
Der Inhalt der Frühwarnung: vorläufige Einstufung des Vorfalls, erste Beschreibung der Störung, Verdacht auf böswillige Handlung, mögliche grenzüberschreitende Auswirkungen.
Cyberversicherung informieren
Sofort nach der vertraglichen Meldefrist, die in der Regel 24 bis 72 Stunden beträgt, den Schaden melden und den 24/7-Notfallservice aktivieren. Verspätete Meldung kann zur Leistungsablehnung führen.
Angriff analysieren
Parallel zu den Meldungen läuft die forensische Analyse. Sie soll klären:
- Welche Systeme sind betroffen?
- Welcher Angriffstyp liegt vor: Ransomware, Datenleck, DDoS, APT?
- Wie ist der Angreifer eingedrungen?
- Sind noch aktive Angriffsverbindungen vorhanden?
- Welche Daten wurden exfiltriert?
Phase 3: Stunden 24 bis 72, Rechtliche Meldungen absetzen
In diesem Zeitfenster müssen alle gesetzlichen Meldungen abgesetzt sein – parallel, nicht nacheinander.
DSGVO-Meldung an die Landesdatenschutzbehörde
Falls personenbezogene Daten betroffen sind, muss innerhalb von 72 Stunden die zuständige Datenschutzbehörde informiert werden. Die Meldung muss enthalten:
- Art der Datenschutzverletzung
- Kategorien und Anzahl der betroffenen Personen und Datensätze
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder geplante Abhilfemaßnahmen
- Kontaktdaten des Datenschutzbeauftragten
NIS2-Folgemeldung
Für NIS2-pflichtige Unternehmen: Aktualisierung der Frühwarnung mit erster belastbarer Bewertung, Schweregrad, Auswirkungen und ersten Kompromittierungsindikatoren.
Strafanzeige bei der Zentralen Ansprechstelle Cybercrime
Eine Strafanzeige bei der ZAC des zuständigen Landeskriminalamts erstatten. Die ZAC behandelt alle Informationen vertraulich und beeinträchtigt den laufenden Betrieb nicht. Eine Strafanzeige ist für Versicherungsleistungen oft notwendig und kann zur Täteridentifikation führen.
Betroffene Personen direkt informieren
Falls ein hohes Risiko für Betroffene besteht, schreibt Art. 34 DSGVO die unverzügliche direkte Benachrichtigung vor. Kunden, Mitarbeiter, Lieferanten müssen klar und verständlich informiert werden über die Art des Vorfalls, die wahrscheinlichen Folgen und die empfohlenen Schutzmaßnahmen, die sie selbst ergreifen können. Der größte Langzeitschaden entsteht nicht durch den technischen Angriff, sondern wenn Kunden von Datenlecks erst aus den Medien erfahren.
Phase 4: Tage 3 bis 30, Wiederherstellung und Nachbereitung
Systeme neu aufsetzen, nicht nur bereinigen
Das ist die wichtigste technische Entscheidung dieser Phase. Kompromittierte Systeme niemals einfach bereinigen und wieder online bringen. Das Risiko verbleibender Backdoors oder Schadsoftware ist zu hoch. Der richtige Weg:
- Backups zuerst auf Integrität prüfen: Angreifer kompromittieren oft auch Backups
- Systeme vollständig neu aufsetzen (Re-imaging), nicht nur bereinigen
- Sicherheitslücken schließen, bevor Systeme wieder ans Netz gehen
- Monitoring nach Wiederinbetriebnahme intensivieren
- Schrittweiser Neustart: zuerst kritische, dann weniger kritische Systeme
Ursachenanalyse abschließen
Die vollständige forensische Analyse muss klären: Wie ist der Angreifer eingedrungen? Wie lange war er im System (Dwell Time)? Welche Daten wurden exfiltriert oder verschlüsselt? Welche weiteren Systeme könnten kompromittiert sein?
Die Eintrittspunkte sind in den meisten Fällen Phishing-Mails, VPN-Lücken, gestohlene Zugangsdaten oder ungepatchte Schwachstellen. Wer den Eintrittspunkt nicht kennt, kann denselben Fehler nicht korrigieren.
NIS2-Abschlussbericht
Für NIS2-pflichtige Unternehmen: Ein Monat nach der Vorfallmeldung muss der ausführliche Abschlussbericht mit Ursachenanalyse und Abhilfemaßnahmen beim BSI eingereicht werden.
Lessons Learned und Sicherheitskonzept aktualisieren
Nach jedem Angriff gilt: Auswerten, was funktioniert hat und was nicht. Sicherheitskonzept überarbeiten, Mitarbeiterschulungen auffrischen, Incident-Response-Plan für das nächste Mal konkretisieren. Wer diesen Schritt überspringt, erlebt dieselbe Situation erneut.
Checkliste: Maßnahmen nach einer Cyber-Attacke
Stunden 0 bis 6: Sofortige Kontrolle
- Vorfall intern melden; Zeitpunkt schriftlich dokumentieren
- Betroffene Systeme vom Netzwerk isolieren, nicht ausschalten
- Beweise sichern: Logs, RAM-Abbild, Netzwerkprotokolle, Endgeräte
- Krisenteam einberufen; Rollen und Zuständigkeiten festlegen
- Alle Passwörter und Zugangsdaten zurücksetzen
- Externe IT-Forensiker einbinden
- Cyberversicherung anrufen (24/7-Notfallservice)
Stunden 6 bis 24: Melden und analysieren
- NIS2-Frühwarnung ans BSI absetzen (wenn betroffen, 24-Stunden-Frist)
- Cyberversicherung formell schaden melden (vertragliche Frist)
- Forensische Analyse des Angriffs starten
- Datenschutzbeauftragten und Rechtsanwalt einbinden
- Prüfen: Sind personenbezogene Daten betroffen?
Stunden 24 bis 72: Rechtliche Meldungen
- DSGVO Art. 33: Meldung an Landesdatenschutzbehörde
- NIS2-Folgemeldung ans BSI
- Strafanzeige bei der ZAC des LKA erstatten
- Betroffene Personen direkt informieren, soweit nach Art. 34 DSGVO erforderlich
- Bei Finanzunternehmen: DORA-Meldung an BaFin (4-Stunden-Frist bereits früher)
- Interne Mitarbeiter sachlich informieren
Tage 3 bis 30: Wiederherstellung und Abschluss
- Systeme vollständig neu aufsetzen, nicht nur bereinigen
- Backups auf Integrität prüfen, bevor sie eingespielt werden
- Sicherheitslücken schließen, schrittweiser Neustart
- Root-Cause-Analyse abschließen
- NIS2-Abschlussbericht ans BSI (1-Monatsfrist)
- Kunden und Partner informieren, soweit notwendig
- Lessons Learned dokumentieren; Sicherheitskonzept aktualisieren
- Mitarbeiterschulungen auffrischen
