Es ist Dienstagnachmittag, 14:32 Uhr. Ihre Buchhalterin ruft in der IT an: Auf ihrem Bildschirm erscheint ein Text in gebrochenem Deutsch. Alle Dateien seien verschlüsselt. Für die Entschlüsselung soll sie 2,5 Bitcoin an eine Wallet-Adresse überweisen. Die Deadline: 48 Stunden.
Das ist kein Szenario aus einem Film. Das passiert jeden Tag in deutschen Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet von durchschnittlich 250.000 neuen Schadprogramm-Varianten pro Tag. Ransomware-Angriffe und Cyberattacken auf Unternehmen haben sich seit 2020 vervierfacht — Hacker und Cyberkriminelle werden dabei immer professioneller. Und der durchschnittliche Schaden für ein mittelständisches Unternehmen liegt bei über 200.000 Euro – Umsatzausfälle und Reputationsschäden nicht eingerechnet. Dass Unternehmen jeder Größe zum Ziel werden können, zeigen die aktuellen Lageberichte des BSI eindrücklich.
Dieser Artikel ist Ihr Notfall-Guide mit konkreten Handlungsempfehlungen. Er erklärt Schritt für Schritt, was Sie tun müssen, wenn Ihr Unternehmen angegriffen wird – und was Sie vorher tun sollten, damit es nicht so weit kommt. Ob Hackerangriff, Ransomware oder Datenverlust: Nach einem erfolgreichen Angriff zählt jede Minute. Betroffene Unternehmen, die vorbereitet sind, begrenzen den Folgeschaden erheblich.
Die ersten 60 Minuten nach der Entdeckung eines Cyberangriffs sind entscheidend. Jede Minute zählt. Aber: Panik ist der schlechteste Berater. Atmen Sie durch und arbeiten Sie diese Checkliste ab.
Bevor Sie irgendetwas tun: Verstehen Sie, was passiert ist.
Notieren Sie Ihre Beobachtungen sofort – mit genauem Zeitstempel. Diese erste Dokumentation ist die Grundlage für alles Weitere.
Trennen Sie betroffene Systeme sofort vom Netzwerk. Das verhindert die Ausbreitung der Schadsoftware auf weitere IT-Systeme und begrenzt den Schaden.
Fahren Sie betroffene Systeme NICHT herunter und starten Sie sie NICHT neu. Im Arbeitsspeicher befinden sich möglicherweise forensische Spuren – Verschlüsselungsschlüssel, Netzwerkverbindungen, Prozessinformationen –, die beim Herunterfahren unwiederbringlich verloren gehen. Isolieren Sie die Systeme, aber lassen Sie sie laufen.
Informieren Sie sofort die relevanten Personen und bilden Sie einen Krisenstab:
| Rolle | Person | Aufgabe |
|---|---|---|
| Geschäftsführung | CEO / Geschäftsführer | Entscheidungsbefugnis, Kommunikation nach außen |
| IT-Leitung | Interner oder externer IT-Verantwortlicher | Technische Analyse und Eindämmung |
| Datenschutzbeauftragter | Interner oder externer DSB | Bewertung der Meldepflichten (DSGVO, NIS2) |
| Kommunikation | PR / Marketing | Kommunikation mit Kunden, Partnern, Presse |
| Rechtsabteilung | Jurist oder externer Anwalt | Rechtliche Bewertung, Strafanzeige |
Falls Sie keinen internen IT-Spezialisten haben: Kontaktieren Sie sofort Ihren IT-Dienstleister. Falls Sie keinen Datenschutzbeauftragten haben: Kontaktieren Sie einen sofort – er ist in den nächsten 72 Stunden unverzichtbar.
Ab der ersten Sekunde gilt: Alles dokumentieren. Nutzen Sie ein einfaches Dokument oder Notizbuch (kein betroffenes System!) und notieren Sie:
Diese Dokumentation brauchen Sie für die Behördenmeldung, für die Versicherung und für eine mögliche Strafanzeige.
Nachdem die Sofortmaßnahmen umgesetzt sind, beginnt die Phase der detaillierten Analyse und Eindämmung.
Verschiedene Angriffstypen erfordern unterschiedliche Reaktionen:
Ransomware (Erpressung durch Verschlüsselung):
Phishing / Kontenübernahme:
Datenleck / Datenabfluss:
DDoS-Angriff:
Beantworten Sie systematisch diese Fragen:
Unabhängig von der Art des Angriffs:
Bei einem Cyberangriff können mehrere Meldepflichten gleichzeitig greifen. Die wichtigsten:
Wenn personenbezogene Daten betroffen sind – und das ist bei Cyberangriffen und IT-Sicherheitsvorfällen fast immer der Fall – müssen Sie nach Art. 33 DSGVO die zuständige Aufsichtsbehörde (Datenschutzaufsichtsbehörde) innerhalb von 72 Stunden nach Kenntnis des Vorfalls informieren. Datenschutzverletzungen durch Cyberkriminalität sind meldepflichtig.
Die Meldung muss enthalten:
In Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) zuständig. Die Meldung erfolgt über ein Online-Formular.
Wenn Ihr Unternehmen unter NIS-2 fällt, gelten zusätzlich die Meldepflichten des NIS2UmsuCG:
Eine Strafanzeige ist nicht verpflichtend, aber dringend empfohlen. Zuständig sind:
Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bedeutet, müssen Sie diese direkt und unverzüglich informieren. Ihr Datenschutzbeauftragter bewertet, ob dieser Fall vorliegt.
Ihr externer Datenschutzbeauftragter übernimmt die Bewertung der Meldepflichten, unterstützt bei der Formulierung der Behördenmeldung und berät zur Kommunikation mit betroffenen Personen. Binden Sie ihn sofort ein – nicht erst nach 48 Stunden.
Nachdem der Angriff eingedämmt und die Meldepflichten erfüllt sind, beginnt die Wiederherstellung.
Ein Cyberangriff ist eine Katastrophe. Aber auch eine Chance, die eigene Sicherheit grundlegend zu verbessern.
Innerhalb von zwei Wochen nach dem Vorfall sollten Sie eine strukturierte Nachbereitung durchführen:
Aus der Analyse leiten Sie konkrete Maßnahmen ab:
Der beste Zeitpunkt, sich auf einen Cyberangriff vorzubereiten, ist bevor er passiert. Diese Maßnahmen sollten Sie jetzt umsetzen:
1. Notfallplan und Incident-Response-Plan erstellen Dokumentieren Sie, wer im Ernstfall was tut. Kontaktlisten (auch offline verfügbar!), Eskalationswege, Zuständigkeiten. Der Notfallplan sollte auch Szenarien für Folgeangriffe berücksichtigen. Mehr dazu auf unserer Seite Incident Response.
2. Notfall-Kontaktliste pflegen Drucken Sie eine Liste mit allen relevanten Kontakten aus – IT-Dienstleister, Datenschutzbeauftragter, Versicherung, Rechtsanwalt, BSI, Datenschutzbehörde, ZAC. Im Ernstfall haben Sie möglicherweise keinen Zugriff auf digitale Kontakte.
3. Regelmäßige Backups mit Wiederherstellungstests Ein Backup, das nie getestet wurde, ist kein Backup. Testen Sie mindestens vierteljährlich, ob Ihre Daten tatsächlich wiederhergestellt werden können.
4. IT-Sicherheit und Cybersicherheit professionell aufstellen Lassen Sie Ihre IT-Infrastruktur von spezialisierten Experten oder IT-Forensikern bewerten. Eine professionelle IT-Sicherheitsberatung identifiziert Schwachstellen und Sicherheitsrisiken, bevor Angreifer sie finden. Auf unserer Seite IT-Sicherheit finden Sie einen Überblick über alle relevanten Maßnahmen. Cybersecurity ist keine einmalige Investition, sondern ein fortlaufender Prozess — das Thema Cybersicherheit betrifft Unternehmen jeder Größe.
5. Cyberversicherung prüfen Eine Cyberversicherung deckt Kosten für Forensik, Rechtsberatung, PR-Kommunikation und Betriebsunterbrechung im Schadensfall ab. Aber: Die Versicherung verlangt Mindeststandards bei Ihrer IT-Sicherheit. Jedes ungelöste Sicherheitsrisiko kann zum Leistungsausschluss führen. Ohne MFA, Backup-Konzept und Patch-Management bekommen Sie keinen Vertrag – oder keine Leistung im Schadensfall.
6. Mitarbeitende schulen Der Mensch ist nach wie vor das häufigste Einfallstor. Regelmäßige Schulungen zu Phishing, Social Engineering und sicherem Umgang mit IT-Systemen sind die wirksamste Einzelmaßnahme.
| Zeitpunkt | Maßnahme | Verantwortlich |
|---|---|---|
| Minute 0–5 | Überblick verschaffen, Beobachtungen dokumentieren | Erstentdecker |
| Minute 5–15 | Betroffene Systeme vom Netzwerk isolieren | IT |
| Minute 15–30 | Krisenstab einrichten, Schlüsselpersonen informieren | Geschäftsführung |
| Stunde 1–4 | Art und Ausmaß des Angriffs analysieren | IT / Forensik |
| Stunde 1–4 | Passwörter und Zugänge sichern | IT |
| Stunde 4–8 | Datenschutzbeauftragten einbinden, Meldepflichten bewerten | DSB |
| Innerhalb 24h | Frühwarnung an BSI (bei NIS2-Betroffenheit) | Geschäftsführung / DSB |
| Innerhalb 72h | Meldung an Datenschutzbehörde (bei personenbezogenen Daten) | DSB |
| Innerhalb 72h | Betroffene Personen informieren (bei hohem Risiko) | Geschäftsführung / DSB |
| Tag 2–7 | Bereinigung und Wiederherstellung der Systeme | IT |
| Woche 2–3 | Post-Incident-Analyse und Maßnahmenplan | Krisenstab |
In der Praxis sehen wir immer wieder: Die Unternehmen, die einen Cyberangriff am besten überstehen, sind nicht die mit der teuersten Firewall. Es sind die, die vorher einen Plan hatten. Die wussten, wen sie anrufen müssen. Die ihre Backups getestet hatten. Vorbereitung schlägt Technologie – jedes Mal.
Nils OehmichenDatenschutzberater bei frag.hugo
Sie wollen vorbereitet sein, bevor es passiert?
Wir helfen Ihnen, einen Incident-Response-Plan zu erstellen, Ihre IT-Sicherheit zu bewerten und Ihre Mitarbeitenden zu schulen. Sprechen Sie mit uns – bevor der Ernstfall eintritt.
Erstgespräch buchen →Nein. Das BSI, das BKA und alle relevanten Sicherheitsbehörden raten dringend davon ab. Es gibt keine Garantie, dass Sie nach der Zahlung den Entschlüsselungsschlüssel erhalten. Zudem finanzieren Sie damit weitere Angriffe. Prüfen Sie stattdessen, ob ein kostenloses Entschlüsselungstool verfügbar ist (nomoreransom.org) und stellen Sie Daten aus Backups wieder her.
Nicht bei jedem, aber bei den meisten. Sobald personenbezogene Daten betroffen sein könnten – und das ist bei E-Mail-Kompromittierung, Ransomware auf Fileservern oder Datenbankangriffen fast immer der Fall – greift die 72-Stunden-Meldefrist nach Art. 33 DSGVO. Im Zweifel gilt: lieber melden als nicht melden. Ihr Datenschutzbeauftragter hilft bei der Bewertung.
Ohne Cyberversicherung tragen Sie alle Kosten selbst: Forensik, IT-Wiederherstellung, Rechtsberatung, Betriebsunterbrechung, mögliche Bußgelder. Eine Cyberversicherung deckt viele dieser Kosten ab, verlangt aber Mindeststandards bei Ihrer IT-Sicherheit. Prüfen Sie Ihren Versicherungsschutz jetzt – nicht erst nach dem Angriff.
Das hängt entscheidend von Ihrer Backup-Strategie ab. Mit aktuellen, getesteten Backups und einem Wiederherstellungsplan rechnen Sie mit 2–5 Werktagen für die grundlegende Wiederherstellung. Ohne Backups kann es Wochen dauern – und manche Daten sind unwiederbringlich verloren.
Das kommt auf die Situation an. Wenn Kundendaten betroffen sind, müssen Sie die betroffenen Personen ohnehin informieren (Art. 34 DSGVO bei hohem Risiko). Eine proaktive, transparente Kommunikation wird von Kunden und Partnern in der Regel besser aufgenommen als ein späteres Bekanntwerden. Stimmen Sie die Kommunikation mit Ihrem Rechtsanwalt und Datenschutzbeauftragten ab.
Die häufigsten Attacken sind Ransomware (Daten verschlüsseln und Lösegeld erpressen), Phishing (Zugangsdaten stehlen), Business Email Compromise (gefälschte Geschäfts-E-Mails) und DDoS-Angriffe (Systeme durch Überlastung lahmlegen). Hacker nutzen dabei oft Schwachstellen in veralteter Software oder mangelndes Sicherheitsbewusstsein der Mitarbeitenden als Einfallstor. Eine möglichst schnelle Erkennung und Eindämmung ist entscheidend, um den Schaden im Schadensfall zu begrenzen.
IT-Forensik ist die systematische Analyse des Angriffs — sie klärt, wie die Angreifer eingedrungen sind, welche Unternehmensdaten betroffen sind und ob Daten verschlüsselt wurden oder abgeflossen sind. Ein IT-Forensiker sichert Beweise auf allen Datenträgern, rekonstruiert den Angriffsverlauf und erstellt einen Bericht, den Sie für die Datenschutzbehörde, die Strafanzeige beim LKA und Ihre Cyberversicherung benötigen. Insbesondere bei Ransomware, bei der Dateien verschlüsselt wurden und eine Lösegeldzahlung gefordert wird, ist die IT-Forensik unverzichtbar, um verlorene Daten zu identifizieren und die Wiederherstellung vorzubereiten. Auch Kunden und Geschäftspartner erwarten nach Sicherheitsvorfällen eine professionelle Analyse des Angriffs.
Jeder Sicherheitsvorfall bietet die Chance, die Cybersicherheit grundlegend zu stärken. Beginnen Sie mit der Post-Incident-Analyse: Wie sind die Angreifer eingedrungen, welche Systeme waren betroffen, wie groß war der Schaden? Daraus leiten Sie konkrete Maßnahmen ab — zum Beispiel verschlüsselte Kommunikation, Netzwerksegmentierung oder regelmäßige Penetrationstests. Das BSI empfiehlt, einen strukturierten Incident-Response-Plan zu erstellen und mindestens jährlich zu testen. Eine professionelle Cybersicherheitsberatung hilft Ihnen, die Lehren aus dem Vorfall systematisch in ein nachhaltiges Schutzkonzept zu überführen.
Inhaltsverzeichnis
NIS-2-Richtlinie einfach erklärt: NIS2-Richtlinie zu Cybersicherheit und Informationssicherheit für Unternehmen. NIS 2 Pflichten, Sektoren, Meldepflichten und Umsetzung – was Sie jetzt wissen müssen.
WeiterlesenBSI Grundschutz klingt nach Behördendeutsch? Wir erklären, was hinter dem IT-Grundschutz-Kompendium steckt, wie es sich von ISO 27001 unterscheidet und wie KMU pragmatisch einsteigen.
WeiterlesenEin echter Fall aus der Praxis: M365-Konto gehackt trotz Multifaktor-Authentifizierung. So reagieren Sie richtig und schützen Ihr Unternehmen.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
