Cyberangriff – Was tun? Der Notfall-Guide für Unternehmen

Inhalt in Kürze

• Ruhe bewahren, aber schnell handeln: Die ersten Stunden nach einem Cyberangriff entscheiden über das Schadensausmaß. Ein strukturiertes Vorgehen ist wichtiger als Aktionismus.
• Systeme isolieren, nicht abschalten: Trennen Sie betroffene Systeme vom Netzwerk, aber fahren Sie sie nicht herunter – forensische Spuren gehen sonst verloren.
• Meldepflichten beachten: 72 Stunden DSGVO (Datenschutzbehörde), 24 Stunden NIS2 (BSI). Die Fristen laufen ab Kenntnis des Vorfalls.
• Krisenstab einrichten: Geschäftsführung, IT, Datenschutzbeauftragter und ggf. externe Spezialisten müssen sofort zusammenkommen.
• Dokumentation ab Minute 1: Alles dokumentieren – Zeitpunkte, Entscheidungen, Maßnahmen. Das brauchen Sie für Behörden, Versicherung und ggf. Strafanzeige.

---

Es ist Dienstagnachmittag, 14:32 Uhr. Ihre Buchhalterin ruft in der IT an: Auf ihrem Bildschirm erscheint ein Text in gebrochenem Deutsch. Alle Dateien seien verschlüsselt. Für die Entschlüsselung soll sie 2,5 Bitcoin an eine Wallet-Adresse überweisen. Die Deadline: 48 Stunden.

Das ist kein Szenario aus einem Film. Das passiert jeden Tag in deutschen Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet von durchschnittlich 250.000 neuen Schadprogramm-Varianten pro Tag. Ransomware-Angriffe und Cyberattacken auf Unternehmen haben sich seit 2020 vervierfacht — Hacker und Cyberkriminelle werden dabei immer professioneller. Und der durchschnittliche Schaden für ein mittelständisches Unternehmen liegt bei über 200.000 Euro – Umsatzausfälle und Reputationsschäden nicht eingerechnet. Dass Unternehmen jeder Größe zum Ziel werden können, zeigen die aktuellen Lageberichte des BSI eindrücklich.

Dieser Artikel ist Ihr Notfall-Guide mit konkreten Handlungsempfehlungen. Er erklärt Schritt für Schritt, was Sie tun müssen, wenn Ihr Unternehmen angegriffen wird – und was Sie vorher tun sollten, damit es nicht so weit kommt. Ob Hackerangriff, Ransomware oder Datenverlust: Nach einem erfolgreichen Angriff zählt jede Minute. Betroffene Unternehmen, die vorbereitet sind, begrenzen den Folgeschaden erheblich.

Die ersten 60 Minuten – Sofortmaßnahmen

Die ersten 60 Minuten nach der Entdeckung eines Cyberangriffs sind entscheidend. Jede Minute zählt. Aber: Panik ist der schlechteste Berater. Atmen Sie durch und arbeiten Sie diese Checkliste ab.

Schritt 1: Ruhe bewahren und Überblick verschaffen (Minute 0–5)

Bevor Sie irgendetwas tun: Verstehen Sie, was passiert ist.

• Was sehen Sie? Verschlüsselte Dateien? Erpresserbrief? Ungewöhnliche Anmeldeaktivitäten? Ausgefallene Systeme?
• Welche Systeme sind betroffen? Ein einzelner Rechner? Mehrere Arbeitsplätze? Server? Das gesamte Netzwerk?
• Seit wann? Ist der Angriff gerade erst passiert oder läuft er bereits seit Stunden oder Tagen?

Notieren Sie Ihre Beobachtungen sofort – mit genauem Zeitstempel. Diese erste Dokumentation ist die Grundlage für alles Weitere.

Schritt 2: Betroffene Systeme isolieren (Minute 5–15)

Trennen Sie betroffene Systeme sofort vom Netzwerk. Das verhindert die Ausbreitung der Schadsoftware auf weitere IT-Systeme und begrenzt den Schaden.

• Netzwerkkabel ziehen — Geräte vom Netzwerk getrennt halten, bis die Bereinigung abgeschlossen ist
• Betroffene Geräte vom Unternehmensnetzwerk trennen, insbesondere Systeme, die mit dem Internet verbunden sind
• WLAN-Zugang der betroffenen Geräte am Router/Switch sperren

Schritt 3: Krisenstab einrichten (Minute 15–30)

Informieren Sie sofort die relevanten Personen und bilden Sie einen Krisenstab:

Rolle	Person	Aufgabe
Geschäftsführung	CEO / Geschäftsführer	Entscheidungsbefugnis, Kommunikation nach außen
IT-Leitung	Interner oder externer IT-Verantwortlicher	Technische Analyse und Eindämmung
Datenschutzbeauftragter	Interner oder externer DSB	Bewertung der Meldepflichten (DSGVO, NIS2)
Kommunikation	PR / Marketing	Kommunikation mit Kunden, Partnern, Presse
Rechtsabteilung	Jurist oder externer Anwalt	Rechtliche Bewertung, Strafanzeige

Falls Sie keinen internen IT-Spezialisten haben: Kontaktieren Sie sofort Ihren IT-Dienstleister. Falls Sie keinen Datenschutzbeauftragten haben: Kontaktieren Sie einen sofort – er ist in den nächsten 72 Stunden unverzichtbar.

Schritt 4: Dokumentation starten (ab Minute 0, fortlaufend)

Ab der ersten Sekunde gilt: Alles dokumentieren. Nutzen Sie ein einfaches Dokument oder Notizbuch (kein betroffenes System!) und notieren Sie:

• Zeitpunkt jeder Beobachtung und jeder Maßnahme
• Wer hat was entschieden und warum?
• Welche Systeme sind betroffen, welche nicht?
• Screenshots (mit Handy, nicht am betroffenen System)
• Wer wurde wann informiert?

Diese Dokumentation brauchen Sie für die Behördenmeldung, für die Versicherung und für eine mögliche Strafanzeige.

Stunde 1 bis 24 – Analyse und Eindämmung

Nachdem die Sofortmaßnahmen umgesetzt sind, beginnt die Phase der detaillierten Analyse und Eindämmung.

Schritt 5: Art des Angriffs identifizieren

Verschiedene Angriffstypen erfordern unterschiedliche Reaktionen:

Ransomware (Erpressung durch Verschlüsselung):

• Dateien sind verschlüsselt, Erpresserbrief fordert Lösegeld — eine typische Attacke von Cyberkriminellen
• Niemals bezahlen – es gibt keine Garantie für die Entschlüsselung, und Sie finanzieren weitere Angriffe. Die Erpressung endet selten nach der ersten Zahlung
• Prüfen Sie auf nomoreransom.org, ob ein kostenloses Entschlüsselungstool verfügbar ist
• Backups prüfen – sind sie intakt und nicht ebenfalls verschlüsselt?

Phishing / Kontenübernahme:

• E-Mail-Konto oder Cloud-Account wurde übernommen
• Sofort: Passwörter zurücksetzen, alle Sessions beenden, MFA prüfen
• Prüfen, ob Weiterleitungsregeln oder Löschregeln eingerichtet wurden
• Audit-Logs sichern

Datenleck / Datenabfluss:

• Daten wurden gestohlen und möglicherweise veröffentlicht
• Umfang des Datenabflusses bestimmen: Welche Daten? Welche Personen? Welcher Zeitraum?
• Besonders kritisch bei personenbezogenen Daten oder Geschäftsgeheimnissen

DDoS-Angriff:

• Systeme sind durch Überlastung nicht erreichbar
• Hosting-Provider / ISP informieren
• DDoS-Mitigation aktivieren (falls vorhanden)

Schritt 6: Ausmaß des Schadens bestimmen

Beantworten Sie systematisch diese Fragen:

• Welche Systeme sind kompromittiert?
• Welche Daten sind betroffen – insbesondere: personenbezogene Daten?
• Wie viele Personen sind potenziell betroffen?
• Sind Backups verfügbar und intakt?
• Ist der Angreifer noch im System aktiv?
• Gibt es Hinweise auf Datenabfluss?

Schritt 7: Passwörter und Zugänge sichern

Unabhängig von der Art des Angriffs:

• Alle Passwörter für betroffene Systeme und Accounts ändern
• Admin-Zugänge besonders prüfen und neu absichern
• MFA für alle kritischen Systeme aktivieren (falls noch nicht geschehen)
• VPN-Zugänge prüfen und bei Verdacht sperren
• Externe Zugänge (Lieferanten, Dienstleister) temporär deaktivieren

Die Meldepflichten – was Sie wann an wen melden müssen

Bei einem Cyberangriff können mehrere Meldepflichten gleichzeitig greifen. Die wichtigsten:

DSGVO – Meldung an die Datenschutzbehörde (72 Stunden)

Wenn personenbezogene Daten betroffen sind – und das ist bei Cyberangriffen und IT-Sicherheitsvorfällen fast immer der Fall – müssen Sie nach Art. 33 DSGVO die zuständige Aufsichtsbehörde (Datenschutzaufsichtsbehörde) innerhalb von 72 Stunden nach Kenntnis des Vorfalls informieren. Datenschutzverletzungen durch Cyberkriminalität sind meldepflichtig.

Die Meldung muss enthalten:

• Art der Datenschutzverletzung
• Kategorien und ungefähre Anzahl betroffener Personen
• Kategorien und ungefähre Anzahl betroffener Datensätze
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen

In Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) zuständig. Die Meldung erfolgt über ein Online-Formular.

NIS2 – Meldung an das BSI (24 Stunden)

Wenn Ihr Unternehmen unter NIS-2 fällt, gelten zusätzlich die Meldepflichten des NIS2UmsuCG:

• 24 Stunden: Frühwarnung an das BSI
• 72 Stunden: Detaillierte Meldung mit Bewertung
• 1 Monat: Abschlussbericht mit Ursachenanalyse

Strafanzeige bei der Polizei

Eine Strafanzeige ist nicht verpflichtend, aber dringend empfohlen. Zuständig sind:

• Die Zentrale Ansprechstelle Cybercrime (ZAC) Ihres Bundeslandes
• In Hamburg: ZAC Hamburg
• Die Anzeige sichert Ihnen auch den Nachweis gegenüber Versicherungen

Betroffene Personen informieren (Art. 34 DSGVO)

Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bedeutet, müssen Sie diese direkt und unverzüglich informieren. Ihr Datenschutzbeauftragter bewertet, ob dieser Fall vorliegt.

Die Wiederherstellung – zurück zum Normalbetrieb

Nachdem der Angriff eingedämmt und die Meldepflichten erfüllt sind, beginnt die Wiederherstellung.

Schritt 8: Bereinigung der Systeme

• Betroffene Systeme vollständig neu aufsetzen (nicht nur "säubern" – Schadsoftware kann sich verstecken). IT-Forensiker sollten zuvor alle Datenträger und Logdaten sichern
• Betriebssysteme und Software von verifizierten Quellen neu installieren
• Alle Patches und Updates einspielen — insbesondere die Schwachstelle schließen, über die der Angriff erfolgte
• Systeme erst nach vollständiger Bereinigung wieder ans Netzwerk anschließen
• Passwort-Richtlinien verschärfen und alle Zugangsdaten erneuern

Schritt 9: Daten aus Backups wiederherstellen

• Backup-Integrität prüfen (sind die Backups sauber oder ebenfalls kompromittiert?)
• Daten aus dem letzten sauberen Backup wiederherstellen
• Prüfen, welche Daten zwischen letztem Backup und Angriff verloren gegangen sind
• Falls keine Backups vorhanden: Datenrettungsspezialisten einschalten

Schritt 10: Schrittweise Wiederinbetriebnahme

• Systeme einzeln und kontrolliert wieder in Betrieb nehmen
• Monitoring verstärken – der Angreifer könnte Hintertüren hinterlassen haben
• Besonderes Augenmerk auf die ersten 72 Stunden nach Wiederinbetriebnahme

Nach dem Angriff – Lessons Learned

Ein Cyberangriff ist eine Katastrophe. Aber auch eine Chance, die eigene Sicherheit grundlegend zu verbessern.

Post-Incident-Analyse durchführen

Innerhalb von zwei Wochen nach dem Vorfall sollten Sie eine strukturierte Nachbereitung durchführen:

• Was war der Angriffsvektor? Wie ist der Angreifer eingedrungen?
• Welche Sicherheitslücken wurden ausgenutzt?
• Was hat gut funktioniert, was nicht?
• Welche Maßnahmen hätten den Angriff verhindern oder eindämmen können?
• Was muss sich ändern?

Maßnahmenplan erstellen

Aus der Analyse leiten Sie konkrete Maßnahmen ab:

• Backup-Strategie überprüfen und verbessern – 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 offsite. Regelmäßige Wiederherstellungstests.
• Mitarbeiterschulungen durchführen – Phishing ist der häufigste Angriffsvektor. Regelmäßige Awareness-Schulungen und Phishing-Simulationen senken das Risiko erheblich.
• Incident-Response-Plan erstellen oder aktualisieren – Damit beim nächsten Mal jeder weiß, was zu tun ist. Nicht erst im Ernstfall überlegen.
• Netzwerksegmentierung einführen – Damit sich ein Angriff nicht ungehindert im gesamten Netzwerk ausbreiten kann.
• MFA flächendeckend einführen – Für alle Systeme, nicht nur für E-Mail.
• Patch-Management etablieren – Sicherheitsupdates zeitnah einspielen, nicht erst "wenn es passt".

Vorsorge: So bereiten Sie sich auf den Ernstfall vor

Der beste Zeitpunkt, sich auf einen Cyberangriff vorzubereiten, ist bevor er passiert. Diese Maßnahmen sollten Sie jetzt umsetzen:

1. Notfallplan und Incident-Response-Plan erstellen Dokumentieren Sie, wer im Ernstfall was tut. Kontaktlisten (auch offline verfügbar!), Eskalationswege, Zuständigkeiten. Der Notfallplan sollte auch Szenarien für Folgeangriffe berücksichtigen. Mehr dazu auf unserer Seite Incident Response.

2. Notfall-Kontaktliste pflegen Drucken Sie eine Liste mit allen relevanten Kontakten aus – IT-Dienstleister, Datenschutzbeauftragter, Versicherung, Rechtsanwalt, BSI, Datenschutzbehörde, ZAC. Im Ernstfall haben Sie möglicherweise keinen Zugriff auf digitale Kontakte.

3. Regelmäßige Backups mit Wiederherstellungstests Ein Backup, das nie getestet wurde, ist kein Backup. Testen Sie mindestens vierteljährlich, ob Ihre Daten tatsächlich wiederhergestellt werden können.

4. IT-Sicherheit und Cybersicherheit professionell aufstellen Lassen Sie Ihre IT-Infrastruktur von spezialisierten Experten oder IT-Forensikern bewerten. Eine professionelle IT-Sicherheitsberatung identifiziert Schwachstellen und Sicherheitsrisiken, bevor Angreifer sie finden. Auf unserer Seite IT-Sicherheit finden Sie einen Überblick über alle relevanten Maßnahmen. Cybersecurity ist keine einmalige Investition, sondern ein fortlaufender Prozess — das Thema Cybersicherheit betrifft Unternehmen jeder Größe.

5. Cyberversicherung prüfen Eine Cyberversicherung deckt Kosten für Forensik, Rechtsberatung, PR-Kommunikation und Betriebsunterbrechung im Schadensfall ab. Aber: Die Versicherung verlangt Mindeststandards bei Ihrer IT-Sicherheit. Jedes ungelöste Sicherheitsrisiko kann zum Leistungsausschluss führen. Ohne MFA, Backup-Konzept und Patch-Management bekommen Sie keinen Vertrag – oder keine Leistung im Schadensfall.

6. Mitarbeitende schulen Der Mensch ist nach wie vor das häufigste Einfallstor. Regelmäßige Schulungen zu Phishing, Social Engineering und sicherem Umgang mit IT-Systemen sind die wirksamste Einzelmaßnahme.

Zusammenfassung: Die Notfall-Checkliste

Zeitpunkt	Maßnahme	Verantwortlich
Minute 0–5	Überblick verschaffen, Beobachtungen dokumentieren	Erstentdecker
Minute 5–15	Betroffene Systeme vom Netzwerk isolieren	IT
Minute 15–30	Krisenstab einrichten, Schlüsselpersonen informieren	Geschäftsführung
Stunde 1–4	Art und Ausmaß des Angriffs analysieren	IT / Forensik
Stunde 1–4	Passwörter und Zugänge sichern	IT
Stunde 4–8	Datenschutzbeauftragten einbinden, Meldepflichten bewerten	DSB
Innerhalb 24h	Frühwarnung an BSI (bei NIS2-Betroffenheit)	Geschäftsführung / DSB
Innerhalb 72h	Meldung an Datenschutzbehörde (bei personenbezogenen Daten)	DSB
Innerhalb 72h	Betroffene Personen informieren (bei hohem Risiko)	Geschäftsführung / DSB
Tag 2–7	Bereinigung und Wiederherstellung der Systeme	IT
Woche 2–3	Post-Incident-Analyse und Maßnahmenplan	Krisenstab

Häufige Fragen (FAQ)

Soll ich bei Ransomware das Lösegeld bezahlen?

Nein. Das BSI, das BKA und alle relevanten Sicherheitsbehörden raten dringend davon ab. Es gibt keine Garantie, dass Sie nach der Zahlung den Entschlüsselungsschlüssel erhalten. Zudem finanzieren Sie damit weitere Angriffe. Prüfen Sie stattdessen, ob ein kostenloses Entschlüsselungstool verfügbar ist (nomoreransom.org) und stellen Sie Daten aus Backups wieder her.

Muss ich bei jedem Cyberangriff die Datenschutzbehörde informieren?

Nicht bei jedem, aber bei den meisten. Sobald personenbezogene Daten betroffen sein könnten – und das ist bei E-Mail-Kompromittierung, Ransomware auf Fileservern oder Datenbankangriffen fast immer der Fall – greift die 72-Stunden-Meldefrist nach Art. 33 DSGVO. Im Zweifel gilt: lieber melden als nicht melden. Ihr Datenschutzbeauftragter hilft bei der Bewertung.

Wer zahlt die Kosten eines Cyberangriffs?

Ohne Cyberversicherung tragen Sie alle Kosten selbst: Forensik, IT-Wiederherstellung, Rechtsberatung, Betriebsunterbrechung, mögliche Bußgelder. Eine Cyberversicherung deckt viele dieser Kosten ab, verlangt aber Mindeststandards bei Ihrer IT-Sicherheit. Prüfen Sie Ihren Versicherungsschutz jetzt – nicht erst nach dem Angriff.

Wie schnell kann mein Unternehmen nach einem Ransomware-Angriff wieder arbeiten?

Das hängt entscheidend von Ihrer Backup-Strategie ab. Mit aktuellen, getesteten Backups und einem Wiederherstellungsplan rechnen Sie mit 2–5 Werktagen für die grundlegende Wiederherstellung. Ohne Backups kann es Wochen dauern – und manche Daten sind unwiederbringlich verloren.

Soll ich einen Cyberangriff öffentlich machen?

Das kommt auf die Situation an. Wenn Kundendaten betroffen sind, müssen Sie die betroffenen Personen ohnehin informieren (Art. 34 DSGVO bei hohem Risiko). Eine proaktive, transparente Kommunikation wird von Kunden und Partnern in der Regel besser aufgenommen als ein späteres Bekanntwerden. Stimmen Sie die Kommunikation mit Ihrem Rechtsanwalt und Datenschutzbeauftragten ab.

Welche Arten von Cyberangriffen treffen Unternehmen am häufigsten?

Die häufigsten Attacken sind Ransomware (Daten verschlüsseln und Lösegeld erpressen), Phishing (Zugangsdaten stehlen), Business Email Compromise (gefälschte Geschäfts-E-Mails) und DDoS-Angriffe (Systeme durch Überlastung lahmlegen). Hacker nutzen dabei oft Schwachstellen in veralteter Software oder mangelndes Sicherheitsbewusstsein der Mitarbeitenden als Einfallstor. Eine möglichst schnelle Erkennung und Eindämmung ist entscheidend, um den Schaden im Schadensfall zu begrenzen.

Was ist IT-Forensik und wann brauche ich einen IT-Forensiker?

IT-Forensik ist die systematische Analyse des Angriffs — sie klärt, wie die Angreifer eingedrungen sind, welche Unternehmensdaten betroffen sind und ob Daten verschlüsselt wurden oder abgeflossen sind. Ein IT-Forensiker sichert Beweise auf allen Datenträgern, rekonstruiert den Angriffsverlauf und erstellt einen Bericht, den Sie für die Datenschutzbehörde, die Strafanzeige beim LKA und Ihre Cyberversicherung benötigen. Insbesondere bei Ransomware, bei der Dateien verschlüsselt wurden und eine Lösegeldzahlung gefordert wird, ist die IT-Forensik unverzichtbar, um verlorene Daten zu identifizieren und die Wiederherstellung vorzubereiten. Auch Kunden und Geschäftspartner erwarten nach Sicherheitsvorfällen eine professionelle Analyse des Angriffs.

Wie kann ich die Cybersicherheit meines Unternehmens nach einem Vorfall verbessern?

Jeder Sicherheitsvorfall bietet die Chance, die Cybersicherheit grundlegend zu stärken. Beginnen Sie mit der Post-Incident-Analyse: Wie sind die Angreifer eingedrungen, welche Systeme waren betroffen, wie groß war der Schaden? Daraus leiten Sie konkrete Maßnahmen ab — zum Beispiel verschlüsselte Kommunikation, Netzwerksegmentierung oder regelmäßige Penetrationstests. Das BSI empfiehlt, einen strukturierten Incident-Response-Plan zu erstellen und mindestens jährlich zu testen. Eine professionelle Cybersicherheitsberatung hilft Ihnen, die Lehren aus dem Vorfall systematisch in ein nachhaltiges Schutzkonzept zu überführen.