Kleine und mittlere Unternehmen (KMU) werden immer häufiger Ziel von Cyber-Attacken. Dabei werden häufig Kundendaten und andere sensible Daten gestohlen, verändert, gelöscht oder verschlüsselt. Wie Unternehmen auf einen Cyber-Angriff reagieren sollten.
Erste Schritte nach Cyber-Angriff
Im Falle eines Cyber-Angriffs empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgendes Vorgehen:
- Trennen Sie Ihre Geräte bzw. die Unternehmens-IT vom Internet.
Für einzelne Geräte kann dies bedeuten, den Netzstecker zu ziehen oder WLAN-Dienste zu deaktivieren.
Bei der Unternehmens-IT kann dies über die Netzwerkkomponenten oder die Firewall des Unternehmens erfolgen.
Dadurch wird verhindert, dass der Angreifer seinen Angriff, z. B. eine Ransomware, steuern kann, und eine mögliche Datenexfiltration wird unterbunden. - Schalten Sie die vom Angriff betroffenen Computer und Geräte nicht aus und verändern Sie sie nicht. Dies kann die Arbeit der später hinzugezogenen IT-Forensiker oder Ermittler behindern.
Nicht auf Lösegeldforderungen von Cyber-Kriminellen eingehen
„Wenn Lösegeld gefordert wird, gehen Sie niemals darauf ein“, warnt das BSI. Denn es sei nicht sichergestellt, dass das betroffene Unternehmen nach Zahlung des Lösegeldes tatsächlich einen Entschlüsselungscode erhält.
Wichtiger ist es zunächst herauszufinden, wie sich die Angreifer Zugang zum System verschafft haben. Dieser Zugang muss geschlossen werden, sonst kann sich der Cyber-Angriff wiederholen.
Ist das Einfallstor gefunden und geschlossen, können die Backups der Unternehmensdaten zurückgespielt werden. Wichtig ist hier natürlich, dass die Datensicherung regelmäßig durchgeführt wird. Nun kann der Geschäftsbetrieb wieder aufgenommen werden.
Was bleibt: Wurden sensible Kundendaten gestohlen, können diese im Darknet landen oder an andere Kriminelle weitergegeben werden.
Lese-Tipp: Operation Endgame – größter Schlag gegen Cyberkriminalität
Nach Cyber-Attacke: Logbuch des Sicherheitsvorfalls erstellen
Das BSI empfiehlt außerdem, ein Logbuch zu erstellen. Dort sollten alle Aktionen und Ereignisse im Zusammenhang mit dem Sicherheitsvorfall dokumentiert werden. Jeder Eintrag des Dokuments sollte mindestens folgende Angaben enthalten:
- Uhrzeit und Datum des Ereignisses
- Namen der Person, die die Aktion vorgenommen hat oder über das Ereignis informiert wurde
- die Beschreibung der Aktion oder des Ereignisses.
Link-Tipp: Hilfestellungen des BSI bei einem IT-Sicherheitsvorfall
Rechtliche Aspekte eines Cyber-Angriffs
Wichtig für Unternehmen, die personenbezogene Daten verarbeiten und der Datenschutz-Grundverordnung unterliegen: Sie müssen bei einem Sicherheitsvorfall die zuständigen Datenschutzbeauftragten und ihre Kunden informieren.
Idealerweise gibt es bereits ein Konzept für die interne und externe Kommunikation, das bei einem Sicherheitsvorfall greift.
Darüber hinaus sollte nach einem Cyber-Angriff unbedingt Anzeige erstattet werden. Gute Ansprechpartner hierfür sind die „Zentralen Ansprechstellen Cybercrime (ZAC)“ der zuständigen Polizeibehörden.