Allgemein

Hackerangriff: Was tun? Dein praxisnaher Notfallplan für den Ernstfall

Montagmorgen, der erste Kaffee ist gerade durchgelaufen – und plötzlich geht nichts mehr. Deine Mitarbeiter melden panisch, dass sie sich nicht mehr anmelden können. Auf einem Bildschirm prangt eine bedrohliche Nachricht mit einer Lösegeldforderung. Ein klassischer Hackerangriff, der den Betrieb lahmlegt. In diesem Moment zählt jede Minute, denn deine ersten Reaktionen entscheiden, ob der Schaden beherrschbar bleibt oder zur Existenzkrise wird.

Die ersten Minuten nach dem Hackerangriff: Was jetzt wirklich zählt

Stell dir vor, du kommst ins Büro und nichts funktioniert. Die Server sind nicht erreichbar, die Buchhaltungssoftware startet nicht und eine Kollegin meldet eine seltsame Nachricht auf ihrem PC. Dein erster Impuls? Vielleicht der Griff zum Hauptschalter, um alles abzuschalten. Aber genau das kann ein fataler Fehler sein.

In dieser chaotischen Phase ist ein klares, strukturiertes Vorgehen überlebenswichtig. Es geht nicht darum, in Hektik zu verfallen, sondern die richtigen Sofortmaßnahmen einzuleiten. Das oberste Ziel ist, die Ausbreitung des Angriffs im Netzwerk sofort zu stoppen – und zwar, ohne dabei wichtige digitale Spuren zu vernichten, die wir später für die Analyse brauchen.

Systeme isolieren, aber mit System

Der erste, alles entscheidende Schritt ist die kontrollierte Isolation. Das bedeutet nicht, wahllos Stecker zu ziehen. Stattdessen musst du die betroffenen Systeme gezielt, aber sicher vom Netzwerk trennen.

  • Netzwerkkabel ziehen: Bei den betroffenen Computern und Servern ist das Ziehen des LAN-Kabels die schnellste und sicherste Methode, um sie vom Rest des Netzwerks zu kappen.
  • WLAN deaktivieren: Bei Laptops oder anderen Geräten, die per WLAN verbunden sind, muss das WLAN sofort ausgeschaltet werden. Am besten direkt am Gerät, zum Beispiel über den Flugmodus.
  • Wichtig: Nicht herunterfahren! Fahre die betroffenen Systeme auf keinen Fall herunter und starte sie nicht neu. Dabei gehen flüchtige Daten im Arbeitsspeicher (RAM) verloren, die für eine forensische Untersuchung – also die digitale Spurensuche – absolut entscheidend sind.

Diese Maßnahmen verhindern, dass sich eine Ransomware – das ist die Schadsoftware, die deine Daten verschlüsselt – weiter auf andere Geräte, Server oder im schlimmsten Fall sogar auf deine Backups ausbreiten kann.

Das nachfolgende Schaubild fasst die drei wichtigsten Sofortmaßnahmen zusammen, die du nach der Entdeckung eines Angriffs sofort umsetzen solltest.

Flussdiagramm der Sofortmaßnahmen bei einem Hackerangriff: 1. Isolieren, 2. Melden, 3. Sichern.

Die Grafik zeigt es ganz klar: Zuerst die Systeme vom Netzwerk isolieren, dann den Vorfall an Experten melden und schließlich die Beweise für die Analyse sichern.

Wer muss informiert werden? Die richtige Kommunikation

Sobald die akute Ausbreitung gestoppt ist, beginnt die interne Kommunikation. Wer muss was wissen? Hier ist eine klare Checkliste, um den Überblick zu behalten und keine Zeit zu verlieren.

Checkliste Sofortmaßnahmen beim Hackerangriff

Aktion Warum ist das wichtig? Wer ist verantwortlich?
IT-Dienstleister informieren Nur Experten können den Angriff analysieren und die richtigen Gegenmaßnahmen einleiten. Geschäftsführer oder IT-Verantwortlicher
Team anweisen Verhindert, dass Mitarbeiter aus Panik falsche Schritte einleiten (z. B. Neustarts). Geschäftsführer oder Abteilungsleiter
Externe Zugänge sperren Blockiert Angreifern den Weg zurück ins System, falls sie noch eine Verbindung haben. IT-Dienstleister oder interner Admin
Passwörter zurücksetzen Verhindert die weitere Nutzung kompromittierter Zugangsdaten. Beginne mit Admin-Konten! IT-Dienstleister oder interner Admin
Dokumentation starten Notizen zu Zeitpunkten, Symptomen und Meldungen sind für Analyse und Versicherung entscheidend. Jeder Mitarbeiter, der etwas bemerkt hat

Gib deinem Team klare Anweisungen: Niemand darf auf eigene Faust versuchen, etwas zu „reparieren“ oder Daten aus einem Backup wiederherzustellen. Das kann alles nur noch schlimmer machen.

Die Bedrohung ist realer, als viele Geschäftsführer glauben. Aktuelle Zahlen zeigen, dass in Deutschland rund 1.300 Hackerangriffe pro Woche auf Unternehmen stattfinden. Zwei Drittel der Firmen befürchten sogar, dass ein Cyberangriff ihre Existenz bedrohen könnte.

Unser Tipp aus der Praxis: Dokumentiere von der ersten Minute an wirklich alles. Wann wurde der Angriff bemerkt? Welche Systeme zeigen welche Symptome? Welche Fehlermeldungen erscheinen auf den Bildschirmen? Diese Notizen sind später Gold wert, sowohl für die technische Analyse als auch für Meldungen an Behörden oder deine Versicherung.

Ein gut vorbereiteter Notfallplan ist in so einer Situation unbezahlbar. Wie du einen solchen Plan erstellst, kannst du in unserem Artikel über die Disaster-Recovery-Plan Vorlage nachlesen. Er hilft dir, schon im Vorfeld die richtigen Weichen zu stellen, damit du im Ernstfall nicht bei null anfangen musst.

Die digitale Spurensuche verstehen

Sobald die erste Panik verflogen und die Systeme sicher vom Netzwerk getrennt sind, fängt die eigentliche Detektivarbeit an. Jetzt geht es ans Eingemachte: Wo genau sind die Angreifer eingedrungen? Und, noch wichtiger, was haben sie in deinen Systemen angerichtet? Keine Sorge, du musst nicht selbst zum IT-Forensiker werden. Aber es ist entscheidend, dass du verstehst, warum dieser Schritt über das Überleben deines Unternehmens entscheiden kann.

Mann bei der digitalen Spurensuche, konzentriert vor zwei Computermonitoren mit Code und Daten.

Der größte Fehler, den du jetzt machen kannst, ist, auf eigene Faust mit dem „Aufräumen“ anzufangen. Natürlich ist der Impuls verständlich, schnell wieder handlungsfähig zu sein. Doch jeder Versuch, verdächtige Dateien zu löschen, Systeme neu zu starten oder Programme zu entfernen, vernichtet wertvolle digitale Spuren. Diese Spuren sind wie Fingerabdrücke an einem Tatort – ohne sie ist eine professionelle Aufklärung des Angriffs praktisch unmöglich.

Ein Fall aus der Praxis: die ungesicherte Homeoffice-Verbindung

Wir hatten erst vor Kurzem den Fall einer Steuerkanzlei hier im Emsland. Eines Morgens waren sämtliche Server verschlüsselt, die Telefone standen nicht mehr still. Nachdem wir die Systeme nach unserem bewährten Schema isoliert hatten, starteten wir die Analyse. Eigentlich war die Kanzlei gut aufgestellt: eine solide Firewall, aktuelle Virenscanner. Wo also war die Lücke?

Die digitale Spurensuche führte uns ziemlich schnell zu einer Remote-Desktop-Protokoll (RDP) Verbindung. Das ist eine gängige Technik, die es Mitarbeitern ermöglicht, von zu Hause auf ihren Büro-PC zuzugreifen. In diesem Fall war die Verbindung eines Mitarbeiters im Homeoffice unzureichend abgesichert und direkt aus dem Internet erreichbar. Die Angreifer hatten über Monate hinweg Passwörter ausprobiert, bis sie irgendwann den richtigen Schlüssel fanden.

Diese Erkenntnis war aus zwei Gründen Gold wert:

  1. Die Sicherheitslücke schließen: Wir wussten jetzt ganz genau, welches Tor wir verriegeln mussten, um einen erneuten Angriff über denselben Weg auszuschließen.
  2. Die Meldung an die Behörden: Für die Meldung nach der DSGVO ist es essenziell, den Angriffsvektor zu kennen. Nur so konnte die Kanzlei den Vorfall präzise bei der Datenschutzbehörde melden und lückenlos nachweisen, welche Gegenmaßnahmen ergriffen wurden.

Was Log-Dateien uns verraten

Um den genauen Tathergang nachzuvollziehen, sind Log-Dateien unsere wichtigste Informationsquelle. Stell dir diese wie das Logbuch eines Schiffskapitäns vor, das jede noch so kleine Aktion an Bord festhält. Wir werten dabei verschiedene Protokolle systematisch aus:

  • Firewall-Logs: Sie zeigen uns, welche Verbindungen von außen ins Netzwerk kamen. Hier sahen wir die unzähligen, verdächtigen Anmeldeversuche auf den RDP-Port der Kanzlei.
  • Server-Logs: Diese Protokolle verraten, wann sich welcher Benutzer am Server angemeldet hat und welche Dateien und Programme ausgeführt wurden. So konnten wir den exakten Zeitpunkt der Verschlüsselung und die Ausbreitung der Schadsoftware nachverfolgen.
  • Microsoft 365 Logs: Immer mehr Angriffe zielen auf Cloud-Dienste ab. Die Protokolle von Microsoft 365 zeigen uns verdächtige Anmeldungen aus dem Ausland oder ob E-Mail-Postfächer kompromittiert wurden, um Phishing-Mails an deine Kunden zu versenden.

Die forensische Analyse dient nicht nur der reinen Aufklärung. Ihr Hauptziel ist es, sicherzustellen, dass die Angreifer keine Hintertüren (Backdoors) im System hinterlassen haben. Erst wenn wir absolut sicher sind, dass alle Spuren des Angreifers beseitigt sind, können wir mit der sicheren Wiederherstellung der Daten beginnen.

Ohne diese gründliche Analyse läufst du Gefahr, ein Backup auf ein kompromittiertes System einzuspielen. Das wäre so, als würdest du nach einem Einbruch die Haustür reparieren, aber den Dieb übersehen, der sich noch im Keller versteckt. Die digitale Spurensuche stellt sicher, dass dein Unternehmen nach dem Angriff auf einem sauberen und wirklich sicheren Fundament wieder aufgebaut wird.

Daten sicher aus dem Backup wiederherstellen

Nach dem ersten Schock und der digitalen Spurensuche kommt endlich ein Lichtblick: Du hast Backups! Das ist oft die entscheidende Rettung für dein Unternehmen. Doch bevor du jetzt überstürzt handelst, lass uns kurz innehalten. Ein unüberlegt eingespieltes Backup kann nämlich den Angreifer gleich mit wiederherstellen oder dich in dieselbe Falle tappen lassen.

Ein Techniker prüft mit einem Tablet einen Serverschrank für sichere Wiederherstellung.

Die sichere Wiederherstellung ist ein chirurgischer Eingriff, kein wildes Kopieren von Daten. Es geht darum, deine sauberen Daten auf ein garantiert sauberes, neues Fundament zu setzen. Nur so stellst du sicher, dass du die Tür für den Angreifer endgültig zuschlägst und nicht in ein paar Wochen wieder am selben Punkt stehst.

Das Desaster im Netzwerk-Backup

Stell dir einen mittelständischen Produktionsbetrieb bei Papenburg vor, den wir nach einem Angriff betreut haben. Das Unternehmen hatte vorbildlich tägliche Backups gemacht. Das Problem war nur: Das Backup-System war als normales Laufwerk im selben Netzwerk eingebunden wie alle anderen Server.

Die Ransomware hat sich im Netzwerk ausgebreitet, das Backup-Laufwerk gefunden und einfach alles mitverschlüsselt. Die Sicherungen waren da, aber komplett unbrauchbar. Dieser Fall aus unserer Praxis zeigt drastisch, warum die reine Existenz von Backups nicht ausreicht. Es kommt entscheidend darauf an, wie und wo sie aufbewahrt werden.

Aus solchen bitteren Erfahrungen leiten wir eine goldene Regel ab, die wir jedem unserer Kunden ans Herz legen.

Die 3-2-1-Backup-Regel: Deine digitale Lebensversicherung

Diese Strategie ist simpel, aber extrem wirkungsvoll. Sie besagt, dass du immer…

  • drei Kopien deiner Daten haben solltest,
  • auf zwei unterschiedlichen Medien (z. B. NAS-System und Cloud) und
  • eine Kopie extern, also physisch getrennt vom Unternehmensstandort, aufbewahren musst.

Diese externe Kopie ist dein Joker. Sie kann ein Offline-Medium sein, das nach der Sicherung vom Netz getrennt wird, oder ein Backup in einer Cloud, das durch seine Architektur vor direktem Zugriff durch Schadsoftware geschützt ist. Wäre diese Regel bei dem Betrieb in Papenburg umgesetzt worden, hätte der Hackerangriff zwar immer noch stattgefunden, aber die Wiederherstellung der Daten wäre nur eine Frage von Stunden, nicht von Wochen gewesen.

Falls du tiefer in dieses Konzept eintauchen möchtest, haben wir alles Wichtige in unserem Artikel zur 3-2-1-Backup-Regel zusammengefasst.

Der saubere Schnitt vor der Wiederherstellung

Bevor du auch nur eine einzige Datei zurückspielst, muss das Fundament stimmen. Das bedeutet: Spiele das Backup niemals auf ein System zurück, das vom Angriff betroffen war. Selbst wenn es vermeintlich „gesäubert“ wurde, kann niemand zu 100 % garantieren, dass nicht doch irgendwo eine Hintertür des Angreifers schlummert.

Der richtige Weg sieht so aus:

  1. Systeme komplett neu aufsetzen: Die betroffenen Server und Arbeitsplätze müssen vollständig plattgemacht und mit einem sauberen Betriebssystem neu installiert werden. Das ist der einzige Weg, um sicherzustellen, dass keine Reste der Schadsoftware zurückbleiben.
  2. Sicherheitslücken schließen: Bevor das neue System ans Netz geht, muss die in der Analyse gefundene Sicherheitslücke geschlossen werden. War es ein schwaches Passwort? Eine offene RDP-Verbindung? Jetzt ist der Moment, diesen Fehler endgültig zu beheben.
  3. Backup überprüfen: Bevor Daten zurückgespielt werden, muss die Sicherung selbst verifiziert werden. Wir prüfen, ob das Backup wirklich sauber und frei von Schadcode ist und ob die Daten konsistent sind.

Erst wenn diese drei Schritte abgeschlossen sind, beginnt die eigentliche Wiederherstellung der Daten auf die frisch aufgesetzten, sicheren Systeme.

Teste deine Backups, bevor der Ernstfall eintritt

Ein Backup, das noch nie getestet wurde, ist eigentlich kein Backup – es ist eine reine Hoffnung. Wir sehen es immer wieder bei neuen Kunden: Sicherungen laufen seit Jahren, aber niemand hat je versucht, daraus Daten wiederherzustellen. Regelmäßige Tests sind kein „Nice-to-have“, sie sind überlebenswichtig.

Plane mindestens einmal im Quartal einen Testlauf. Dabei musst du nicht dein ganzes System lahmlegen. Es reicht oft schon, stichprobenartig wichtige Dateien oder eine komplette Datenbank auf einem separaten Testsystem wiederherzustellen. Nur so weißt du, dass im Ernstfall alles reibungslos funktioniert und du nicht vor einer bösen Überraschung stehst.

Kommunikation und Meldepflichten meistern

Ein Hackerangriff ist weitaus mehr als nur ein technisches Problem. In dem Moment, in dem du feststellst, dass Kundendaten oder andere personenbezogene Informationen betroffen sind, betrittst du ein rechtliches und kommunikatives Minenfeld. Stell dir vor, du führst eine Arztpraxis in Leer und jemand hat sich Zugriff auf deine Patientendatenbank verschafft. Ab jetzt tickt eine unsichtbare Uhr.

Ein falscher Schritt in der Kommunikation kann mehr Schaden anrichten als der Angriff selbst. Deine Kunden, Mandanten und Geschäftspartner vertrauen dir ihre sensibelsten Daten an. Dieses Vertrauen ist dein wertvollstes Kapital. Jetzt musst du beweisen, dass du auch in der Krise verantwortungsvoll und professionell handeln kannst.

Die 72-Stunden-Frist der DSGVO

Sobald personenbezogene Daten ins Spiel kommen, schlägt die Stunde der Datenschutz-Grundverordnung (DSGVO). Das Gesetz ist hier gnadenlos klar: Du hast exakt 72 Stunden Zeit, um die Datenpanne an die zuständige Aufsichtsbehörde zu melden. Die Frist beginnt, sobald du von dem Vorfall Kenntnis erlangt hast – nicht erst, wenn du alle Details kennst.

Was muss in so eine Meldung rein?

  • Art des Vorfalls: Was ist konkret passiert? Handelt es sich um Ransomware, einen Datendiebstahl oder etwas anderes?
  • Betroffene Daten: Welche Art von Informationen ist betroffen? Geht es um Kontaktdaten, Gesundheitsdaten oder vielleicht Finanzinformationen?
  • Anzahl der Betroffenen: Versuche, die Zahl der betroffenen Personen so genau wie möglich zu schätzen.
  • Mögliche Folgen: Welche Risiken drohen den Betroffenen jetzt? Könnte es zu Identitätsdiebstahl oder Betrug kommen?
  • Ergriffene Maßnahmen: Was hast du bereits unternommen, um den Schaden einzudämmen und den Vorfall aufzuklären?
  • Ansprechpartner: Wer ist in deinem Unternehmen die Kontaktperson für die Behörde (in der Regel der Datenschutzbeauftragte)?

Diese Meldung muss Hand und Fuß haben. Genau deshalb ist die forensische Analyse, die wir zuvor besprochen haben, so entscheidend. Ohne zu wissen, was genau passiert ist, kannst du keine ordnungsgemäße Meldung machen. Ein Verstoß gegen die Meldepflicht kann empfindliche Bußgelder nach sich ziehen. Mehr zu den möglichen Konsequenzen erfährst du in unserem Beitrag über Strafen bei einem DSGVO-Verstoß.

Interne und externe Kommunikation – ohne Panik zu verbreiten

Parallel zur Meldung an die Behörde musst du die Kommunikation steuern, sowohl intern im Team als auch nach außen zu Kunden und Partnern. Hier ist absolutes Fingerspitzengefühl gefragt.

Kommunikation mit dem Team:
Informiere deine Mitarbeiter – klar, sachlich und ohne Vorwürfe. Jeder muss wissen, was passiert ist und welche Schritte nun folgen. Betone, dass jetzt alle an einem Strang ziehen müssen. Leg unmissverständlich fest, wer im Unternehmen sprechen darf und wer der zentrale Ansprechpartner für alle Rückfragen ist. So verhinderst du Gerüchte und Chaos.

Kommunikation mit Kunden und Partnern:
Sind Kundendaten betroffen, bist du unter Umständen verpflichtet, deine Kunden direkt zu informieren. Das gilt insbesondere dann, wenn für sie durch den Datenverlust ein hohes Risiko entsteht. Sei hier transparent, aber vermeide Panikmache.

Formuliere deine Nachricht an betroffene Kunden ehrlich und direkt. Erkläre, was passiert ist, welche Daten betroffen sein könnten und was du aktiv tust, um das Problem zu lösen. Gib konkrete Handlungsempfehlungen, wie die Änderung von Passwörtern, und biete eine zentrale Anlaufstelle für Fragen.

Ein proaktiver und ehrlicher Umgang kann verloren gegangenes Vertrauen wiederherstellen. Zu schweigen oder die Situation zu beschönigen, zerstört es für immer. Das wird umso wichtiger, wenn man sich die Zahlen ansieht: Schon 2026 erreichte die Zahl der Cyber-Angriffe auf deutsche Unternehmen ein alarmierendes Niveau. Pro Woche wurden durchschnittlich 1.223 Hackerangriffe registriert. Besonders der Bildungssektor war mit 2.885 wöchentlichen Angriffen extrem stark betroffen. Mehr dazu, wie die Angriffszahlen auf Unternehmen steigen, erfahren Sie auf it-sicherheit.de.

Deine IT für die Zukunft sicher machen

Ein überstandener Hackerangriff ist ein teuer erkaufter, aber extrem wertvoller Weckruf. Der größte Fehler, den du jetzt machen kannst? Einfach zur Tagesordnung übergehen. Denn eines ist sicher: Nach dem Angriff ist immer auch vor dem nächsten Angriff. Sieh den Vorfall als Chance, endlich aufzuräumen und deine IT-Sicherheit nachhaltig auf sichere Beine zu stellen.

Es geht dabei nicht um blinden Aktionismus. Es geht darum, aus der reaktiven Rolle der Feuerwehr herauszukommen und eine vorausschauende, kluge Sicherheitsstrategie für dein Unternehmen zu entwickeln. Vergiss die simplen Tipps wie „starke Passwörter“ – die sind zwar wichtig, aber eben nur ein winziger Baustein. Ein ganzheitliches Konzept für ein KMU wie deines braucht deutlich mehr.

Mehr als nur eine Firewall

Eine professionelle Firewall bildet das Fundament deiner Verteidigung – aber nur, wenn sie auch richtig konfiguriert und gemanagt wird. Ich sehe es in der Praxis immer wieder: Unternehmen kaufen eine teure Box, stellen sie ins Rack und belassen es bei den Werkseinstellungen. Das ist, als würdest du eine massive Stahltür einbauen, aber den Schlüssel unter die Fußmatte legen.

Eine moderne Firewall muss aktiv betreut werden. Das bedeutet für uns konkret:

  • Regelmäßige Updates: Die Firmware muss immer aktuell sein, um auch die neuesten Angriffsmethoden abwehren zu können.
  • Sinnvolle Regeln: Wir definieren ganz genau, welcher Datenverkehr in dein Netzwerk hinein- und hinausdarf. Alles andere wird konsequent blockiert.
  • Proaktives Monitoring: Die Protokolle der Firewall verraten verdächtige Aktivitäten. Wenn diese laufend überwacht werden, erkennen wir einen Angriff oft, bevor er überhaupt Schaden anrichten kann.

Aus der Praxis: Proaktives Monitoring

Bei einem Handwerksbetrieb aus Hesel konnten wir genau das beobachten. Unsere Systeme schlugen Alarm, weil es nachts wiederholt Zugriffsversuche aus dem Ausland auf einen ihrer Server gab. Der Angriff selbst wurde zwar von der Firewall blockiert, das Muster war aber trotzdem alarmierend.

Wir haben sofort den Geschäftsführer kontaktiert, die Zugriffe analysiert und die Ursache gefunden: ein altes, nicht mehr genutztes Fernwartungs-Tool stellte eine potenzielle Schwachstelle dar. Wir haben es umgehend entfernt und die Firewall-Regeln noch weiter verschärft. Ohne dieses proaktive Monitoring hätte der Angreifer vielleicht nur wenige Tage später eine andere Lücke gefunden.

Der Mensch als stärkste Verteidigungslinie

Technische Maßnahmen sind das eine. Aber die größte Schwachstelle und gleichzeitig deine stärkste Verteidigung sind deine Mitarbeiter. Ein Angreifer muss keine komplexe Firewall knacken, wenn er einen Mitarbeiter dazu bringen kann, ihm einfach die Tür aufzuschließen. Genau hier setzen Phishing und Social Engineering an.

Phishing ist der Versuch, über gefälschte E-Mails, Webseiten oder Nachrichten an Zugangsdaten zu gelangen. Social Engineering geht noch einen Schritt weiter und manipuliert Menschen psychologisch, um sie zur Preisgabe vertraulicher Informationen zu bewegen.

Die beste Technik ist nutzlos, wenn ein Mitarbeiter auf eine täuschend echt aussehende E-Mail klickt und sein Microsoft 365 Passwort auf einer gefälschten Seite eingibt. Deshalb sind regelmäßige und praxisnahe Schulungen für dein Team kein nettes Extra, sondern absolut überlebenswichtig. Deine Mitarbeiter müssen lernen, verdächtige E-Mails zu erkennen und im Zweifel lieber einmal zu viel nachzufragen.

Multi-Faktor-Authentifizierung (MFA) als Pflichtprogramm

Selbst wenn ein Passwort doch einmal gestohlen wird, gibt es eine extrem wirksame Schutzschicht: die Multi-Faktor-Authentifizierung (MFA). Hierbei reicht das Passwort allein nicht mehr für die Anmeldung aus. Es wird ein zweiter Faktor benötigt, zum Beispiel ein Code aus einer App auf dem Smartphone des Mitarbeiters.

Wir empfehlen dringend, MFA für alle wichtigen Zugänge zu aktivieren. Das gilt insbesondere für:

  • Microsoft 365: Der Zugang zu E-Mails, Teams und SharePoint ist für Angreifer das Einfallstor Nummer eins.
  • VPN-Zugänge: Homeoffice-Zugänge müssen besonders gut geschützt werden.
  • Buchhaltungs- und ERP-Systeme: Hier lagern die Kronjuwelen deines Unternehmens.

Die Einführung von MFA ist eine der effektivsten und kostengünstigsten Maßnahmen, um die Sicherheit sofort und massiv zu erhöhen. Ein wesentlicher Bestandteil eines widerstandsfähigen IT-Systems ist die robuste Datensicherheit. Sie schützt nicht nur vor externen Bedrohungen, sondern stellt auch sicher, dass interne Prozesse und der Umgang mit sensiblen Informationen klar geregelt sind.

Die Bedrohungslage spitzt sich weiter zu. Eine Studie des Zentrums für Europäische Wirtschaftsforschung (ZEW) zeigte, dass bereits 2026 jeder siebte IT-Dienstleister und jeder achte Industriebetrieb in Deutschland Opfer von Cyberkriminalität wurde. Ein nachhaltiges Sicherheitskonzept, das Technik, Prozesse und den Faktor Mensch vereint, ist keine Option mehr – es ist eine Notwendigkeit für jedes Unternehmen, das in Zukunft sicher agieren will.

Die brennendsten Fragen nach einem Hackerangriff

Wenn der erste Schock verdaut ist, kreisen die Gedanken. Die Unsicherheit lähmt und als Geschäftsführer brauchst du jetzt vor allem eines: klare, verständliche Antworten, um die richtigen Entscheidungen für dein Unternehmen zu treffen. Aus unserer Erfahrung im Krisenmanagement wissen wir, dass es immer wieder dieselben drängenden Fragen sind, die uns gestellt werden. Hier sind die Antworten – direkt aus der Praxis.

Soll ich das Lösegeld zahlen?

Plötzlich leuchtet die Forderung der Angreifer auf dem Bildschirm. Sie versprechen eine schnelle, einfache Lösung: Zahle, und du bekommst deine Daten zurück. Es ist nur allzu verständlich, diesen Strohhalm ergreifen zu wollen, nur um den Betrieb so schnell wie möglich wieder ans Laufen zu bekommen. Unsere Antwort darauf ist aber immer dieselbe, basierend auf unzähligen Fällen, die wir betreut haben: Zahle auf keinen Fall das Lösegeld.

Warum wir da so unmissverständlich sind?

  • Du hast keinerlei Garantie. Du verhandelst mit Kriminellen. Ob du nach der Zahlung wirklich einen funktionierenden Schlüssel bekommst, steht in den Sternen. Wir haben schon zu oft erlebt, dass nach der Zahlung einfach Funkstille herrschte.
  • Du finanzierst das Verbrechen. Jede Zahlung macht dieses „Geschäftsmodell“ profitabler und finanziert direkt die nächsten Angriffe – vielleicht sogar auf ein befreundetes Unternehmen.
  • Du wirst zur Zielscheibe. Unternehmen, die einmal gezahlt haben, landen auf einer Liste. Sie gelten als zahlungswillig. Die Wahrscheinlichkeit, dass du in Zukunft erneut angegriffen wirst, steigt dadurch massiv.

Die Angreifer haben dir bereits bewiesen, dass sie skrupellos sind. Ihnen jetzt dein Geld anzuvertrauen, ist die denkbar schlechteste Option. Der einzig verlässliche Weg führt über die Wiederherstellung aus einem sauberen, von der IT getrennten Backup.

Zahlt meine Cyberversicherung überhaupt?

Viele Unternehmer wiegen sich in falscher Sicherheit, weil sie eine Cyberversicherung abgeschlossen haben. Doch das böse Erwachen kommt oft im Schadensfall. Versicherungen sind keine All-inclusive-Pakete – sie zahlen nur, wenn du deine Hausaufgaben gemacht hast.

Eine lückenlose Dokumentation des Vorfalls und aller ergriffenen Maßnahmen ist absolute Pflicht. Ohne einen professionellen Forensik-Bericht und ein detailliertes Protokoll lehnen Versicherer die Kostenübernahme oft rundheraus ab.

Versicherer prüfen knallhart, ob du deiner Sorgfaltspflicht nachgekommen bist. Fehlten grundlegende Schutzmaßnahmen wie eine professionelle Firewall, regelmäßige und getestete Backups oder die Multi-Faktor-Authentifizierung (MFA)? Dann kann die Versicherung die Leistung wegen grober Fahrlässigkeit verweigern. Eine Police ist kein Freifahrtschein, sondern an glasklare Bedingungen geknüpft.

Wie lange stehen wir jetzt still?

Das ist die Frage, die jedem Geschäftsführer unter den Nägeln brennt. Eine pauschale Antwort wäre unseriös, aber unsere Praxiserfahrung gibt uns eine realistische Einschätzung. Die Dauer hängt immer vom Ausmaß des Schadens, der Qualität deiner Backups und der Komplexität deiner IT-Landschaft ab.

Der Prozess zur Wiederherstellung läuft typischerweise in drei Phasen ab:

  1. Analyse & Eindämmung (ca. 1–3 Tage): Die ersten Tage sind für die digitale Spurensuche reserviert. Wir müssen exakt verstehen, wie die Angreifer eingedrungen sind, um diese Sicherheitslücke endgültig zu schließen.
  2. Neuaufbau der Systeme (ca. 2–5 Tage): Wir setzen betroffene Systeme komplett neu auf. Das ist zeitaufwendig, aber absolut notwendig, um versteckte Hintertüren der Angreifer zu eliminieren.
  3. Datenwiederherstellung (ca. 1–2 Tage): Sind die Systeme sauber, spielen wir die Daten aus einem verifizierten Backup zurück. Dieser Schritt geht meist vergleichsweise schnell.

Realistisch betrachtet musst du bei einem größeren Angriff also mit einem Betriebsstillstand von mindestens einer Woche rechnen, bis die wichtigsten Systeme wieder laufen. Es ist ein Marathon, kein Sprint.

Lesetipps:

Ransomware Angriff: Was tun? Dein Notfallplan für den Ernstfall Disaster Plan Recovery: Dein Notfallplan für den Ernstfall IT-Notfallplan erstellen: Deine praxisnahe Anleitung für den Ernstfall Praxiserprobte Disaster Recovery Plan Vorlage für den Ernstfall
Alle Beiträge