· Rexoma Team · IT-Sicherheit  · 5 min read

Cyberangriff auf KMU: Die ersten 24 Stunden nach einem Sicherheitsvorfall

Ein Cyberangriff ist kein theoretisches Szenario mehr – er trifft KMU täglich. Wer die ersten 24 Stunden richtig handelt, begrenzt den Schaden erheblich.

Ein Cyberangriff ist kein theoretisches Szenario mehr – er trifft KMU täglich. Wer die ersten 24 Stunden richtig handelt, begrenzt den Schaden erheblich.

Ein Cyberangriff auf Ihr Unternehmen ist keine Frage des Ob, sondern des Wann. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) war 2023 knapp die Hälfte aller kleinen und mittleren Unternehmen in Deutschland von Cyberangriffen betroffen. Was die meisten davon unterscheidet, die glimpflich davonkommen, von denen, die wochenlang lahmliegen: die Reaktionsgeschwindigkeit in den ersten Stunden.

Dieser Leitfaden zeigt Ihnen, was in den ersten 24 Stunden nach einem erkannten Sicherheitsvorfall zu tun ist – praktisch, strukturiert, ohne Panik.

Warum die ersten Stunden entscheidend sind

Ransomware verschlüsselt Daten nicht sofort nach dem Einbruch. Angreifer bewegen sich oft tagelang unbemerkt im Netzwerk, bevor sie zuschlagen – sie nennen das “Living off the Land”. Der Moment, in dem Sie einen Angriff bemerken, ist meist nicht der Beginn, sondern der Höhepunkt. Genau deshalb zählt jede Minute, sobald Sie Verdacht schöpfen.

Fehler in dieser Phase – falsch isolierte Systeme, überschriebene Logs, voreilige Neuinstallationen – vernichten Beweise, erschweren die Aufklärung und können versicherungsrechtliche sowie DSGVO-Meldepflichten gefährden.

Sofortmaßnahmen: Die erste Stunde

1. Ruhe bewahren und Lagebild erstellen

Bevor Sie irgendetwas abschalten: Sammeln Sie zunächst Informationen. Was genau haben Sie bemerkt? Welche Systeme sind betroffen? Gibt es Hinweise auf die Angriffsart – Ransomware-Notiz, unbekannte Prozesse, gesperrte Benutzerkonten?

Notieren Sie Datum, Uhrzeit und Symptome. Diese Dokumentation ist später für Versicherung, Behörden und Forensiker unverzichtbar.

2. Betroffene Systeme isolieren – aber nicht abschalten

Trennen Sie kompromittierte Geräte sofort vom Netzwerk: Netzwerkkabel ziehen, WLAN deaktivieren. Schalten Sie die Systeme jedoch nicht aus – im RAM können sich flüchtige Beweise befinden (laufende Prozesse, Netzwerkverbindungen, Verschlüsselungsschlüssel), die bei einem Shutdown unwiederbringlich verloren gehen.

Ausnahme: Läuft aktiv ein Verschlüsselungsvorgang und Sie können ihn so stoppen, ist das Abschalten sinnvoll.

3. Passwörter ändern und Zugänge sperren

Ändern Sie sofort alle administrativen Passwörter – insbesondere für:

  • Active Directory / Azure AD (Entra ID)
  • VPN-Zugänge und Remote-Desktop
  • Cloud-Dienste wie Microsoft 365, Google Workspace
  • Backupsysteme und NAS-Geräte

Falls ein Mitarbeiterkonto kompromittiert wurde: sperren, nicht löschen. Gelöschte Konten erschweren die forensische Auswertung.

4. Backup-Zustand sichern

Prüfen Sie unmittelbar: Sind Ihre Backups noch intakt? Moderne Ransomware-Gruppen greifen gezielt Backupsysteme an, bevor sie den eigentlichen Angriff starten. Falls Ihre Backups ebenfalls verschlüsselt oder gelöscht sind, ändert das die gesamte Strategie.

Offline-Backups auf Wechselmedien oder in einer getrennten Cloud-Umgebung sind in diesem Moment Gold wert.

Die ersten sechs Stunden: Eskalation und Meldepflichten

Krisenteam aktivieren

In einem KMU bedeutet das oft: Geschäftsführung informieren, externen IT-Dienstleister anrufen, gegebenenfalls Rechtsanwalt einschalten. Wer ist erreichbar? Wer trifft Entscheidungen?

Legen Sie eine Kommunikationsliste an. Wichtig: Nutzen Sie für die interne Kommunikation zunächst keine möglicherweise kompromittierten Systeme – also kein Unternehmens-E-Mail, kein Slack auf betroffenen Geräten. Greifen Sie auf Mobiltelefone oder private E-Mail-Konten zurück.

DSGVO-Meldepflicht beachten

Sind personenbezogene Daten betroffen, beginnt die Uhr zu laufen: Die DSGVO schreibt vor, dass eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden muss – in Sachsen ist das der Sächsische Datenschutzbeauftragte (SADB). Eine Meldung “so schnell wie möglich” nach bestem Wissen ist besser als gar keine.

Dokumentieren Sie deshalb von Beginn an: Was wissen Sie wann? Welche Daten sind potenziell betroffen?

Strafanzeige erstatten

Cyberangriffe sind Straftaten. Erstatten Sie Anzeige – entweder bei Ihrer lokalen Polizei oder direkt bei der Zentralen Ansprechstelle Cybercrime (ZAC) des LKA Sachsen. Die ZAC berät Unternehmen kostenfrei und kann bei der Spurensicherung helfen.

Nach sechs Stunden: Schadenseingrenzung und Analyse

Forensische Sicherung

Bevor Sie Systeme bereinigen oder neu aufsetzen, sollten Festplattenabbilder (forensische Images) erstellt werden. Diese sind notwendig für die Ursachenanalyse, für die Versicherung und möglicherweise für ein späteres Strafverfahren.

Beauftragen Sie einen spezialisierten IT-Forensiker oder IT-Dienstleister. In Dresden und Sachsen gibt es entsprechende Anbieter – ostdeutsche KMU sollten vorab Kontakte bereithalten, damit im Ernstfall keine Zeit mit Recherchen verloren geht.

Angriffsvektor verstehen

Wie sind die Angreifer reingekommen? Häufige Eintrittspforten:

  • Phishing-E-Mail mit infiziertem Anhang oder Link
  • Kompromittierte Fernwartungssoftware (aktuell: SimpleHelp, TeamViewer, AnyDesk)
  • Ungepatchte Schwachstellen in öffentlich erreichbaren Diensten (VPN, RDP, Firewall)
  • Gestohlene Zugangsdaten aus früheren Datenlecks

Ohne Kenntnis des Angriffsvektors riskieren Sie eine erneute Kompromittierung nach der Bereinigung. Das ist der häufigste Fehler: Systeme neu aufsetzen, ohne den Eintrittspunkt geschlossen zu haben.

Log-Auswertung

Firewall-Logs, Windows Event Logs, VPN-Zugriffsprotokolle – all das hilft, die Angreiferbewegungen nachzuvollziehen. Falls Sie kein zentrales SIEM (z. B. Wazuh) betreiben, können die Logs dezentral auf den einzelnen Systemen liegen. Sichern Sie diese, bevor Systeme abgeschaltet oder neu installiert werden.

Wiederherstellung: Die richtigen Prioritäten

Nicht alle Systeme müssen gleichzeitig wiederhergestellt werden. Priorisieren Sie:

  1. Kommunikationsinfrastruktur – E-Mail, Telefon, Videokonferenz
  2. Geschäftskritische Anwendungen – ERP, Buchhaltung, Warenwirtschaft
  3. Interne Infrastruktur – Active Directory, Fileserver, Backupsystem
  4. Nebensysteme – Drucker, sekundäre Werkzeuge

Stellen Sie Systeme nur aus verifizierten, sauberen Backups wieder her – nicht aus einem Backup, das möglicherweise ebenfalls kompromittiert ist.

Praxistipp: Incident-Response-Checkliste vorbereiten

Die besten Ergebnisse erzielen Unternehmen, die vor einem Angriff wissen, was zu tun ist. Erstellen Sie jetzt eine einfache Checkliste mit:

  • Notfallkontakte (IT-Dienstleister, Anwalt, Versicherung, ZAC Sachsen, SADB)
  • Zugang zu Offline-Backups und Wiederherstellungsanleitung
  • Liste kritischer Systeme und deren Abhängigkeiten
  • Vorlage für DSGVO-Meldung

Diese Checkliste gehört ausgedruckt in den Serverraum – nicht nur digital gespeichert.

Unterstützung in Dresden gesucht?

Rexoma IT begleitet KMU in Dresden und Sachsen durch Sicherheitsvorfälle: von der ersten Einschätzung über die forensische Analyse bis zur sicheren Wiederherstellung. Wir helfen auch dabei, Incident-Response-Pläne zu erstellen, bevor der Ernstfall eintritt. Kontaktieren Sie uns für ein unverbindliches Gespräch – wir kennen die Anforderungen ostdeutscher KMU aus der Praxis.

FAQ: Cyberangriff auf KMU

Soll ich bei einem Ransomware-Angriff das Lösegeld zahlen? Behörden und BSI raten davon ab. Eine Zahlung garantiert keine vollständige Datenwiederherstellung, finanziert kriminelle Strukturen und kann rechtliche Konsequenzen haben (z. B. Zahlungen an sanktionierte Gruppen). Prüfen Sie zuerst Backup-Optionen.

Wann muss ich einen Cyberangriff melden? Sind personenbezogene Daten betroffen, besteht eine DSGVO-Meldepflicht gegenüber dem Sächsischen Datenschutzbeauftragten innerhalb von 72 Stunden. Unabhängig davon sollte bei Straftaten Anzeige bei der Polizei oder der ZAC Sachsen erstattet werden.

Was kostet ein Cyberangriff ein mittelständisches Unternehmen durchschnittlich? Das BSI und der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) schätzen, dass ein Sicherheitsvorfall bei einem KMU durchschnittlich 50.000 bis 200.000 Euro kostet – inklusive Ausfallzeiten, IT-Kosten und Reputationsschäden.

Muss ich nach einem Angriff alle Systeme neu aufsetzen? Nicht zwangsläufig, aber oft empfehlenswert. Systeme, die nachweislich nicht kompromittiert wurden, können nach gründlicher Überprüfung weitergenutzt werden. Kompromittierte Systeme sollten aus verifizierten Backups wiederhergestellt oder neu aufgesetzt werden.

Was ist der wichtigste Schutz vor Cyberangriffen? Keine Einzelmaßnahme schützt vollständig. Die wirksamste Kombination für KMU: regelmäßige Offline-Backups, Multi-Faktor-Authentifizierung für alle externen Zugänge, aktuell gepatchte Systeme und Mitarbeiter-Schulungen zu Phishing. Ein IT-Sicherheitsaudit hilft, den aktuellen Stand zu bewerten.

Back to Blog

Related Posts

View All Posts »