• Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • LÖSUNGEN
    • M365 Mail Security
    • Managed Certificates
    • 32Guards
    • AS4
  • RESSOURCEN
    • Dokumentation
    • Forum
    • Webcasts
    • Schulungen
    • Support
    • Software-Download
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
    • NFR-Lizenzen
  • UNTERNEHMEN
    • Kontakt
    • Referenzen
    • Team
    • Karriere
    • Events
    • Auszeichnungen
  • PREISE
  • BLOG
    • Blog
    • Newsletter-Abo
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Click to open the search input field Click to open the search input field Search
  • Menu Menu
  • Was tun nach Cyberangriff – die 5 ersten Schritte

Was tun nach einem Cyberangriff? Auf diese 5 Schritte kommt es an.

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer Redakteurhttps://www.linkedin.com/in/stefan-feist-23b257b0/–Auf LinkedIn vernetzen

Es kann jederzeit passieren: Ein Klick genügt, und schon ist der Computer infiziert, dann das Netzwerk und dann… Wenn der Rechner einfriert oder der Bildschirm schwarz wird oder eine Warnung anzeigt, dann stimmt etwas ganz und gar nicht. Sehr wahrscheinlich handelt es sich um einen Cyberangriff. Doch was müssen Sie konkret tun, wenn ein Cyberangriff erfolgreich war und Ihre IT-Umgebung betroffen ist, und welche gesetzlichen Regelungen müssen Sie beachten?

07.07.2023|zuletzt aktualisiert:16.08.2024

Die Beispiele Heise oder Landkreis Anhalt-Bitterfeld zeigen, was ein einziger Klick auf eine verseuchte E-Mail für Folgen haben kann. Ist das „Missgeschick“ dann passiert, gilt es, schnell zu handeln. Zeit für die Verarbeitung des ersten Schocks ist nicht vorhanden. Aber nicht jeder ist Experte für IT-Forensik, und gerade der „normale“ Angestellte ist in einer solchen Situation schnell überfordert. In diesem Artikel geben wir Ihnen einen Überblick zu den wichtigsten Maßnahmen, die Sie im Falle eines IT-Notfalls ergreifen müssen.

1. Ruhe bewahren

So bedrohlich die Situation auch ist, ab jetzt muss jeder Schritt gut überlegt sein (beziehungsweise bereits durchdacht sein, siehe unten). Falsches Handeln kann eine schlechte Situation noch weiter verschlimmern. Außerdem ist dies auch relevant für die spätere Spurensicherung. Sinnvoll ist es in jedem Fall, sich externe Hilfe durch IT-Forensiker und Incident-Response-Spezialisten zu holen (siehe unten).

2. Schaden begrenzen

Die vielleicht wichtigste Maßnahme zuerst: Stellen Sie sicher, dass sich niemand mit privilegierten Nutzerkonten (Administratorrechten) auf einem potenziell infizierten System anmeldet, während dieses sich noch im internen produktiven Netzwerk befindet oder mit dem Internet verbunden ist.

Als nächstes müssen Sie infizierte Rechner isolieren, um die Ausbreitung von Schadsoftware zu verhindern. Ziehen Sie also das Netzwerkkabel und unterbinden Sie WLAN-Verbindungen. Fahren Sie Geräte nicht herunter oder schalten Sie diese aus – dies könnte die Cyberkriminellen alarmieren und so die spätere Spurensuche erschweren.

Das BSI empfiehlt grundsätzlich, infizierte lokale Systeme als vollständig kompromittiert zu betrachten und später neu aufzusetzen. Auch sämtliche Zugangsdaten, die auf verseuchten Rechnern gespeichert sind oder später eingegeben wurden, sollten Sie als kompromittiert betrachten. Dies umfasst unter anderem Webbrowser, E-Mail-Clients, RDP/VNC-Verbindungen sowie andere Anwendungen wie PuTTY, FileZilla, WinSCP und andere.

Auch und gerade im Falle einer Kompromittierung des Active Directory (AD) empfiehlt das BSI, das gesamte Netzwerk als verseucht zu betrachten. Es muss dann im Nachgang neu aufgebaut werden.

3. Laufende Backups stoppen

Ein Backup wird Ihnen später nicht viel bringen, wenn auch dieses verseucht ist. Prüfen Sie auch, ob Sie über aktuelle und saubere Backups verfügen. Idealerweise bewahren Sie Ihre Backups offline auf.

4. Situation dokumentieren

Sammeln Sie Informationen darüber, wie die aktuelle Lage ist, was konkret bisher passiert ist und wie sich der Angriff bisher rekonstruieren lässt:

  • Welche Geräte sind betroffen?

  • Wann traten die Probleme auf?

  • Wie machte sich der Angriff an den betroffenen Geräten bemerkbar?

  • Welche Programme und Dokumente waren geöffnet?

  • Was ist genau passiert?

5. Externe Hilfe für die forensische Aufarbeitung beauftragen

IT-Forensiker und Incident-Response-Spezialisten helfen Ihnen dabei, alle relevanten Daten zu finden, digitale Spurensicherung durchzuführen und die Lage zu analysieren.

Dazu werden Netzwerk- und Systemprotokolle, Logdateien, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen gesichtet und ausgewertet. Auch Mitarbeitende und andere Zeugen werden möglicherweise befragt. So entsteht ein genaues Bild von Ausmaß und Art des Angriffs.

Diese Informationen sind nicht nur für die Aufarbeitung und spätere Wiederherstellung wichtig, sondern auch für das Stellen einer eventuellen späteren Strafanzeige.

Was, wenn ich erpresst werde?

Gehen Sie grundsätzlich nicht auf die Erpressung ein und zahlen Sie kein Lösegeld. Es ist sehr unsicher, ob dies ihr Problem lösen würde, und es motiviert Kriminelle dazu, neue Angriffe zu starten.

Welche Cyberangriffe sind meldepflichtig?

Angriffe müssen gemeldet werden, wenn relevante Datenschutzverletzungen vorliegen. In diesem Fall müssen Sie den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Melden Sie den Vorfall auch der Allianz für Cybersicherheit. Gemeldete Vorfälle werden dort anonymisiert erfasst und die Informationen genutzt, um andere Unternehmen zu warnen.

Zudem müssen Sie in besonders risikoträchtigen Fällen auch die konkret betroffenen natürlichen Personen, also beispielsweise Mitarbeiter, Kunden oder Newsletter-Empfänger in verständlicher Art über die betroffenen Dateninhalte, das Missbrauchspotenzial sowie die eigenen ergriffenen Schutzmaßnahmen informieren.

Betreiber kritischer Infrastrukturen und andere meldepflichtige Unternehmen unterliegen anderen Bestimmungen und müssen IT-Sicherheitsvorfälle in jedem Fall melden.

Nach dem Angriff ist vor dem Angriff

Es kommt nicht selten vor, dass Unternehmen mehrmals Opfer eines Cyberangriffs werden. Betrachten Sie einen IT-Vorfall deshalb immer auch als Möglichkeit, Lücken in Ihrer Umgebung zu finden und aus Fehlern zu lernen.

Beginnen Sie damit, Ihre IT-Systeme nach einem Cyberangriff besonders intensiv zu überwachen und außergewöhnliche Aktivitäten aufzuspüren. So können Sie erneute Angriffe verhindern.

Bereiten Sie sich auf den nächsten Angriff vor, in dem Sie den die Informationen aus dem nächsten Punkt beachten. Grundsätzlich gilt: Stillstand ist gefährlich – entwickeln Sie Ihre Umgebung und Ihre Prozesse kontinuierlich weiter.

Cyberattacke: Vorbereitung auf den Ernstfall

Eine Cyberattacke kann Sie jederzeit (wieder) treffen. Es ist deshalb wichtig, dass sie immer in der Position sind, schnell und zielsicher auf einen solchen Angriff zu reagieren. Ein gutes Notfallmanagement ist die hier die Grundlage. Stellen Sie sich die folgenden Fragen:

Organisation

Verantwortlichkeiten & Abläufe

Sind die Verantwortlichkeiten und Abläufe geklärt?

Eskalationslisten

Liegen Eskalationslisten vor, in denen interne und externe Ansprechpartner definiert sind?

Kommunikationsstrategie

Existiert eine mit der Unternehmenskommunikation abgestimmte Kommunikationsstrategie? Transparenz und eine offene Fehlerkultur sind notwendig, um auf Vorfälle zeitnah und effektiv zu reagieren und das Unternehmensimage zu schützen.

Proben Sie den Ernstfall.

Routine ist immer ein guter Weg um Ruhe zu bewahren.

Technik

NoSpamProxy

Nutzen Sie NoSpamProxy, um E-Mails mit schadhaftem Inhalt sicher abzuwehren.

Antivirenprogramme

Verwenden Sie Antivirenprogramme mit den aktuellsten Signatur-Updates

Firewall-Konfiguration

Konfigurieren Sie Ihre Firewall.

Intrusion-Detection-and-Prevention-Systeme

Nutzen Sie Intrusion-Detection-and-Prevention-Systeme.

Datensammlung in SIEM

Sammeln Sie die Daten in einem SIEM (Security Information and Event Management).

Security Assessments

Lassen Sie durch externe Dienstleister regelmäßig Security Assessments durchführen.

Patches & Updates

Spielen Sie Patches und Sicherheitsupdates zeitnah ein.

MFA

Richten Sie Multi-Faktor-Authentifizierung (MFA) ein.

Microsoft 365 Security

Nutzen Sie Produkte wie Microsoft Defender, Microsoft Intune oder Windows Hello for Business für optimale Microsoft 365 Security.

Sie haben NoSpamProxy noch nicht im Einsatz?

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an! 

NoSpamProxy kostenfrei testen
  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Sie benötigen Unterstützung?

Weitere Informationen rund um NoSpamProxy finden Sie in unserer Dokumentation und im Forum.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
RSS Feed Logo RSS Feed Logo Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten Preview
    Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten11.07.2025 - 12:07
  • SVG-Dateien im E-Mail-Anhang: Gefahr durch Schadcode Preview
    SVG-Datei im E-Mail-Anhang: Gefahr durch Schadcode04.07.2025 - 10:00
  • NoSpamProxy Update Banner
    NoSpamProxy Cloud Juni-Update: Rollout gestartet30.06.2025 - 06:00
IMPRESSUM • EULA • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
Link to: Workday-Spam: Eine neue Art von Spam hat den DACH-Raum fest im Griff Link to: Workday-Spam: Eine neue Art von Spam hat den DACH-Raum fest im Griff Workday-Spam: Eine neue Art von Spam hat den DACH-Raum fest im GriffWorkday Spam – Eine neue Art von Spam hat den DACH-Raum fest im Griff Preview Link to: 32Guards erhält staatliche Förderung Link to: 32Guards erhält staatliche Förderung BSFZ-Siegel32Guards erhält staatliche Förderung
Scroll to top Scroll to top Scroll to top