Hackerangriff – was tun? So reagieren Sie richtig
Ein Hackerangriff trifft Unternehmen oft völlig unerwartet und kann innerhalb weniger Minuten massive Schäden verursachen. In solchen Situationen zählt jede Minute, denn je schneller Sie reagieren, desto besser lassen sich Schäden begrenzen. Sie sind von einem Hackerangriff betroffen und fragen sich, was zu tun ist? Wir bieten Ihnen konkrete Sofortmaßnahmen und einen klaren Handlungsplan für den Ernstfall.
Was machen bei einem Hackerangriff? Sofortmaßnahmen im Überblick
Bei einem Cybersicherheitsvorfall ist schnelles und koordiniertes Handeln entscheidend. Sie fragen sich bei einem Hackerangriff, was zu tun ist? Folgende Schritte unterstützen Sie bei der Eindämmung.
1. Systeme isolieren
Im ersten Schritt gilt es, kompromittierte Systeme so schnell wie möglich zu isolieren. Trennen Sie betroffene Systeme vom Netzwerk, indem Sie jegliche Netzwerkverbindungen kappen. Aktivieren Sie – falls vorhanden – vorbereitete Notfall-Segmentierungen im Netzwerk, um kritische Bereiche abzuschotten. Wichtig: Fahren Sie betroffene Systeme nicht einfach herunter – hierdurch können flüchtige Daten verloren gehen, die für die nachfolgende forensische Analyse von großer Bedeutung sind. Isolieren statt ausschalten!
2. IT-Sicherheitsverantwortliche informieren
Informieren Sie parallel dazu interne Stellen wie den IT- oder Informationssicherheitsbeauftragten Ihres Unternehmens. Diese koordinieren die nächsten Schritte, priorisieren Maßnahmen und binden weitere Fachstellen ein. Übersteigt der Angriff die internen Kompetenzen, sollte externe Hilfe hinzugezogen werden. Unser Incident Response Service unterstützt Sie rund um die Uhr mit forensischer Spurensicherung und konkreten Sofortmaßnahmen.
3. Vorfall dokumentieren
Eine lückenlose Dokumentation ist für die spätere Analyse, mögliche rechtliche Schritte und die Verbesserung Ihrer Sicherheitsmaßnahmen entscheidend. Erstellen Sie eine präzise Chronologie aller Beobachtungen und Maßnahmen mit genauen Zeitstempeln. Sichern Sie alle relevanten Beweise, indem Sie Speicherabbilder (Images) betroffener Systeme erstellen, Logdateien sichern und Screenshots von Anomalien anfertigen, bevor Änderungen vorgenommen werden.
4. Zugänge sperren und Passwörter ändern
Sperren Sie umgehend alle verdächtigen oder kompromittierten Benutzerkonten, um weiteren unautorisierten Zugriff zu verhindern. Ändern Sie Passwörter nicht nur für offensichtlich betroffene, sondern für alle Systeme und verwenden Sie ausschließlich einzigartige Passwörter. Nutzen Sie wo immer möglich Zwei- bzw. Multi-Faktor-Authentifizierung.
Unternehmen gehackt – und jetzt?
Nachdem die ersten Sofortmaßnahmen zur Eindämmung eines Hackerangriffs getroffen wurden, ist es wichtig, weitere Schritte einzuleiten und relevante Stellen zu informieren. Die Meldepflichten unterscheiden sich je nach Art und Umfang des Vorfalls.
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Für Betreiber kritischer Infrastrukturen (KRITIS), Unternehmen im besonderen öffentlichen Interesse (UBI) sowie Unternehmen nach NIS-2 gilt eine Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI. Die Meldefrist beträgt in der Regel 24 Stunden ab Kenntnis des Vorfalls. Die Meldung erfolgt über das Meldeportal des BSI und umfasst technische Details zum Angriff, betroffene Systeme, mögliche Auswirkungen sowie erste Maßnahmen zur Eindämmung.
- Landesdatenschutzbehörde: Bei Verletzungen des Schutzes personenbezogener Daten greift die Meldepflicht nach Art. 33 DSGVO. In solchen Fällen muss die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden informiert werden. Dabei sind Art und Umfang der Datenpanne, potenzielle Risiken sowie eingeleitete Maßnahmen transparent darzulegen.
- Polizei bzw. Zentrale Ansprechstellen Cybercrime (ZAC): Bei einem vorsätzlichen Angriff sollte grundsätzlich Strafanzeige gestellt werden – unabhängig davon, ob ein Schaden entstanden ist. Die zentralen Ansprechstellen Cybercrime der Polizei bieten Unternehmen kompetente Hilfe bei der Anzeigeerstattung und der Kommunikation mit den Ermittlungsbehörden.
- Versicherung (Cyber-Versicherung, ggf. Betriebsausfallversicherung): Sofern eine Cyber-Versicherung besteht, sollte diese umgehend informiert werden. Viele Policen enthalten Meldefristen, deren Nichteinhaltung zum Verlust des Versicherungsschutzes führen kann.
- Kunden, Geschäftspartner oder Lieferanten: Bei einem Hackerangriff sind nicht nur Sie selbst betroffen, sondern möglicherweise auch Ihre Geschäftsbeziehungen. Informieren Sie Ihre Kunden, Partner und Lieferanten zeitnah, wenn externe Systeme kompromittiert wurden oder ein Risiko besteht. Mit einer transparenten Kommunikation wirken Sie einem Vertrauensverlust entgegen.
Systeme nach einem Hackerangriff bereinigen & wiederherstellen
Nach einem Hackerangriff ist die gründliche Bereinigung und Wiederherstellung der Systeme entscheidend. Wichtig ist, dass jedes kompromittierte System identifiziert und die Bedrohung vollständig beseitigt wurde – werden die Systeme zu früh wiederhergestellt, kann es sein, das Cyberkriminelle durch sogenannte Persistence Mechanisms weiterhin Zugriff haben – diese können beispielsweise in Form von Rootkits, Backdoors oder Scheduled Tasks vorliegen.
Neben der technischen Wiederherstellung gilt es, aus dem Vorfall zu lernen. Wie konnte der Angriff überhaupt erfolgen? Wo lagen Schwächen in der Prävention, in der Detektion oder in den organisatorischen Abläufen? Als vom BSI zertifizierter APT-Response-Dienstleister unterstützt Intersoft consulting Unternehmen umfassend bei der Bewältigung und Nachbereitung von Cyberangriffen. Unser Team unterstützt Sie mit professionellem IT-Security-Management und Incident Management, um Sie optimal auf zukünftige IT-Notfälle vorzubereiten. Darüber hinaus decken wir potenzielle Schwachstellen, über die sich Hacker Zugriff verschafft haben könnten, mittels Schwachstellenanalysen und Penetrationstests für Unternehmen auf.
FAQs – Was tun bei einem Hackerangriff?
Was ist bei einem Cyberangriff zu tun?
Sie fragen sich angesichts eines Hackerangriffs, was zu tun ist? Hier gilt es, schnell zu handeln: Trennen Sie betroffene Systeme sofort vom Netzwerk und informieren Sie Ihre internen IT-Sicherheitsverantwortlichen. Dokumentieren Sie alle Beobachtungen und sichern Sie Beweise. Sperren Sie verdächtige Zugänge und ändern Sie Passwörter. Ziehen Sie bei Bedarf externe Spezialisten hinzu.
An wen wende ich mich bei einem Cybersicherheitsvorfall?
Wenden Sie sich zuerst an Ihre IT- oder Informationssicherheitsbeauftragten. Liegt ein schwerwiegender Vorfall vor oder fehlt intern die nötige Expertise, sollten Sie externe Hilfe hinzuziehen. intersoft consulting steht Ihnen als BSI-zertifizierter APT-Response-Dienstleister rund um die Uhr zur Seite.
Ist ein Hackerangriff meldepflichtig?
Ja. Sobald personenbezogene Daten betroffen sind, müssen Sie den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden (Art. 33 DSGVO). Als Betreiber kritischer Infrastrukturen oder NIS-2-relevantes Unternehmen sind Sie zusätzlich verpflichtet, den Vorfall innerhalb von 24 Stunden an das BSI zu melden. Darüber hinaus sollten Sie Ihre Cyber-Versicherung und – je nach Fall – auch die Polizei informieren.
Weitere spannende Beiträge
-
- News
Cyberangriff – was tun? Die wichtigsten Schritte im Überblick
Zum BeitragCyberbedrohungen haben sich in den letzten Jahren dramatisch verschärft. Cyberangriffe nehmen rasant zu, und treffen Unternehmen aller Größenordnungen. Studien zeigen, dass inzwischen fast jedes Unternehmen in Deutschland Zielscheibe von Cyberkriminellen geworden ist. Wenn Ihr Unternehmen betroffen ist, zählt jede Minute. Hier erfahren Sie, was bei einem Cyberangriff zu tun ist. Wir zeigen, was bei einem […]
-
- News
Cyberangriffe schnell abwehren – mit einem Incident Response Retainer
Zum BeitragIn der heutigen digital vernetzten Welt sind Cyberangriffe eine allgegenwärtige Bedrohung für Unternehmen aller Größenordnungen. Ein Plan für den Notfall, ein sogenannter Incident Response Retainer, bietet eine Lösung, die Unternehmen im Ernstfall schnelle und effektive Unterstützung ermöglicht. Dieser Artikel erklärt, wie ein Incident Response Retainer Ihr Unternehmen schützen kann. Was ist ein Incident Response Retainer? […]
-
- News
Conditional Access: Sicherheit durch Zugriffsbeschränkungen
Zum BeitragIn der heutigen Zeit schwebt über vielen Unternehmen die ständige Bedrohung, Ziel eines Angriffs auf ihre digitale Infrastruktur zu werden – ähnlich einem Damoklesschwert. Es gibt verschiedene Maßnahmen, um sich gegen solche Angriffe zu schützen. Eine besonders effektive Methode ist der „Bedingte Zugriff“, auch als „Conditional Access“ bekannt. Dieser Ansatz soll in diesem Beitrag genauer erläutert […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
