Erste Hilfe bei Cyberangriffen

Wenn Sie den Ver­dacht ha­ben, dass Ih­re Un­ter­neh­mens-IT ge­hackt wur­de, soll­ten Sie sich schnellst­mög­lich um pro­fes­sio­nel­le Un­ter­stüt­zung küm­mern – zum Bei­spiel durch Ih­ren IT-Dienst­leis­ter. Denn be­vor wei­te­re Maß­nah­men er­grif­fen wer­den, muss ge­klärt wer­den, ob sich die Ver­mu­tung ei­nes Cy­ber­an­griffs be­stä­ti­gen lässt oder ob es sich „nur“ um ei­nen tech­ni­schen De­fekt han­delt. Hek­ti­sche Maß­nah­men, et­wa das Lö­schen ver­däch­ti­ger Da­ten, kön­nen die Spu­ren­si­che­rung und die Pro­blem­lö­sung er­schwe­ren. Wich­tig: Wäh­rend sich ein po­ten­zi­ell in­fi­zier­tes Sys­tem noch im in­ter­nen Netz­werk be­fin­det oder mit dem In­ter­net ver­bun­den ist, soll­te kei­ne An­mel­dung mit pri­vi­le­gier­ten Nut­zer­kon­ten (Ad­mi­nis­tra­tor­kon­ten) er­fol­gen. Tipp: Die In­dus­trie- und Han­dels­kam­mer (IHK) hat ei­nen Leit­fa­den mit Kri­te­ri­en zu­sam­men­ge­stellt, an­hand de­rer Sie be­ur­tei­len kön­nen, ob Ihr IT-Dienst­leis­ter fit für das The­ma Cy­ber­si­cher­heit ist.

In­dem Sie ein be­trof­fe­nes Ge­rät oder Sys­tem vom Netz­werk und vom In­ter­net tren­nen, ver­hin­dern Sie, dass wei­te­re Ge­rä­te be­fal­len wer­den oder Schad­pro­gram­me aus dem In­ter­net nach­ge­la­den wer­den kön­nen. Wich­tig: Stop­pen Sie die Back­up-Pro­zes­se und tren­nen Sie die ent­spre­chen­den Da­ten­trä­ger bzw. Cloud­ver­bin­dun­gen vom Sys­tem, um die­se vor ei­ner In­fi­zie­rung und un­be­fug­tem Zu­griff zu schüt­zen. Las­sen Sie, ge­ge­be­nen­falls in Ab­spra­che mit Ih­ren IT- Ex­per­ten, An­ti­vi­ren-Scans lau­fen, um Schad­pro­gram­me zu iden­ti­fi­zie­ren.

Al­le In­for­ma­tio­nen rund um ei­nen Cy­ber­an­griff und die in der Fol­ge ein­ge­lei­te­ten Maß­nah­men soll­ten im Un­ter­neh­men an zen­tra­ler Stel­le ko­or­di­niert und do­ku­men­tiert wer­den – zum Bei­spiel auf ei­nem Rech­ner au­ßer­halb des Fir­men­netz­werks. Rich­ten Sie da­für ei­nen Kri­sen­stab ein. Die­sem soll­ten ne­ben in­ter­nen oder ex­ter­nen IT-Ex­per­ten auch Ent­schei­dungs­trä­ge­rin­nen und -trä­ger Ih­rer Fir­ma an­ge­hö­ren, ins­be­son­de­re die Ge­schäfts­füh­rung. Zu­dem soll­te ei­ne ver­ant­wort­li­che Per­son be­nannt wer­den. Das kann zum Bei­spiel Ihr in­ter­ner oder ex­ter­ner IT-Ver­ant­wort­li­cher oder ein Mit­glied der Ge­schäfts­füh­rung sein. Für die ent­spre­chen­de Kom­mu­ni­ka­ti­on soll­te ein Weg au­ßer­halb des Fir­men­netz­werks ge­fun­den wer­den, zum Bei­spiel über si­che­re pri­va­te E-Mail-Ac­counts.

In­for­mie­ren Sie schnellst­mög­lich Ih­re Mit­ar­bei­ten­den, um de­ren Wach­sam­keit hin­sicht­lich un­ge­wöhn­li­cher Ab­läu­fe in den di­gi­ta­len Un­ter­neh­mens­pro­zes­sen zu er­hö­hen. Tipp: Das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) hat ana­log zum be­kann­ten For­mat „Ver­hal­ten im Brand­fal­l“ ei­ne IT-Not­fall­kar­te ent­wi­ckelt. Sie kann beim BSI kos­ten­los her­un­ter­ge­la­den und dann aus­ge­druckt im Be­trieb ver­teilt und auf­ge­hängt wer­den.

Ver­su­chen Sie, al­le ver­füg­ba­ren In­for­ma­tio­nen über den An­griff auf Ih­re IT-Sys­te­me zu si­chern bzw. durch Ex­per­tin­nen und Ex­per­ten si­chern zu las­sen. Da­zu ge­hö­ren Log-Da­tei­en und Sys­tem­pro­to­kol­le so­wie ge­ge­be­nen­falls auch Screen­shots von Hin­wei­sen im Zu­sam­men­hang mit der Cy­ber­at­ta­cke.

Wenn Sie si­cher sind, Op­fer ei­ner Cy­ber­at­ta­cke ge­wor­den zu sein, mel­den Sie die­se den Be­hör­den. Ers­te An­lauf­stel­le für Un­ter­neh­men sind die Zen­tra­len An­sprech­stel­len Cy­ber­cri­me der Po­li­zei­en. Dort wird man Sie zum wei­te­ren Vor­ge­hen be­ra­ten. Wich­tig: Laut Ar­ti­kel 33 Da­ten­schutz-Grund­ver­ord­nung (DS­GVO) muss im Fal­le ei­ner Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Da­ten „der Ver­ant­wort­li­che (im Un­ter­neh­men, d  Re­dak­ti­on) un­ver­züg­lich und mög­lichst bin­nen 72 Stun­den, nach­dem ihm die Ver­let­zung be­kannt wur­de, die­se der zu­stän­di­gen Auf­sichts­be­hör­de mel­den, es sei denn, dass die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Da­ten vor­aus­sicht­lich nicht zu ei­nem Ri­si­ko für die Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen führ­t“. Dar­über hin­aus un­ter­lie­gen be­stimm­te Un­ter­neh­men, ins­be­son­de­re Be­trei­ber kri­ti­scher In­fra­struk­tu­ren, bei Cy­ber­an­grif­fen ei­ner ge­ne­rel­len Mel­de­pflicht. Mehr In­for­ma­tio­nen da­zu er­hal­ten Sie beim Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik.

Be­rei­ten Sie zeit­nah Stel­lung­nah­men vor, mit de­nen Sie Ih­re Kun­din­nen und Kun­den und an­de­re Ge­schäfts­part­ne­rin­nen und Ge­schäfts­part­ner so­wie falls er­for­der­lich die Öf­fent­lich­keit in­for­mie­ren. Be­ach­ten Sie da­bei auch mög­li­cher­wei­se ge­trof­fe­ne ge­son­der­te Ver­trags­re­ge­lun­gen mit ein­zel­nen Sta­ke­hol­dern. Ho­len Sie sich da­für ju­ris­ti­schen Rat, et­wa von ei­ner Fach­an­wäl­tin oder ei­nem Fach­an­walt für Da­ten­schutz­recht.