Ein schwerer IT-Sicherheitsvorfall – etwa durch Ransomware oder andere Schadsoftware – kann den gesamten Betrieb lahmlegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt in seinem Arbeitspapier, wie Unternehmen und Behörden in einer solchen Lage strukturiert und wirksam vorgehen können. Dieser Beitrag fasst die wichtigsten Sofortmaßnahmen kompakt zusammen.
Für Organisationen, die in einer solchen Situation nicht nur Informationen, sondern eine klare Entscheidungs- und Dokumentationsstruktur benötigen, steht ein praxisorientierter Leitfaden für IT-Sicherheitsvorfälle in den ersten 48 Stunden zur Verfügung.
Ruhe bewahren und strukturiert vorgehen
Ein Angriff wird oft überraschend entdeckt und breitet sich schnell aus. Besonders Ransomware zeigt ihre Wirkung häufig erst nach Tagen oder Wochen, die tatsächliche Verschlüsselung erfolgt oft nachts oder am Wochenende.
Das BSI betont:
Zunächst nicht überhastet handeln, sondern eine erste nicht-invasive Analyse durchführen, um den Überblick zu behalten.
Betroffene Systeme sofort isolieren – nicht herunterfahren
Sobald Hinweise auf Verschlüsselung oder aktive Schadsoftware bestehen, müssen betroffene Systeme schnellstmöglich vom Netz getrennt werden – physisch (Netzwerkkabel ziehen) oder logisch.
Wichtig:
- Keine Anmeldung mit Admin-Konten auf potenziell kompromittierten Systemen. Das erhöht das Risiko, dass Angreifer ihre Kontrolle ausweiten.
- Systeme nicht ordentlich herunterfahren, da dadurch Spuren überschrieben werden können. Bei Bedarf „hart“ ausschalten.
Angriffsweg identifizieren – Schnellschüsse vermeiden
Ein häufiger Fehler ist es, nur das erstentdeckte System zu bereinigen.
Das kann ein fataler Irrtum sein: Angreifer nutzen oft mehrere Brückenköpfe, während andere kompromittierte Systeme unauffällig bleiben. Wird nur ein einzelner Host „gereinigt“, kann der Angriff schnell erneut beginnen.
Daher:
- Angriffsweg analysieren
- Admin-Konten validieren
- Anmeldezeiten, DNS-Fehler und Firewall-Änderungen prüfen
Kommunikations- und Krisenmanagement aktivieren
Das BSI betont die Wichtigkeit einer koordinierten internen und externen Kommunikation. Dazu gehört:
- Einrichtung eines Krisenstabs
- Zentrale Steuerung von Informationen
- Keine Schuldzuweisungen, klare und wahrheitsgemäße Kommunikation
Eine ungeplante Kommunikation kann den Schaden erheblich vergrößern.
Gerade in dieser Phase ist es entscheidend, Rollen, Zuständigkeiten und getroffene Maßnahmen nachvollziehbar zu dokumentieren, um Entscheidungen intern und extern belegen zu können. Eine entsprechende Struktur ist Bestandteil des Leitfadens für den Umgang mit IT-Sicherheitsvorfällen in KMU.
Meldepflichten prüfen und erfüllen
Bei einem IT-Sicherheitsvorfall können verschiedene gesetzliche Pflichten greifen, insbesondere:
- DSGVO Art. 33: Meldung des Vorfalls an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden.
- DSGVO Art. 34: Benachrichtigung betroffener Personen, wenn ein hohes Risiko besteht.
- BSIG-Meldepflichten für KRITIS-Betreiber.
Dies gilt insbesondere, wenn Angreifer Daten kopiert haben – was laut BSI inzwischen Regelfall bei Ransomware ist.
Forensische Sicherung vor technischen Maßnahmen
Bevor Systeme verändert werden, sollten forensische Abbilder erstellt werden, um relevante Beweise zu sichern.
Das BSI weist darauf hin, dass jedes unbedachte Handeln auf kompromittierten Systemen Beweisdaten zerstören kann.
Wichtig:
- Arbeitsspeicherabbild sichern
- Danach Systeme hart ausschalten
- 1:1-Festplattenimages erstellen (keine simplen Backup-Tools nutzen)
Externe Unterstützung frühzeitig einbinden
Die meisten Organisationen stehen zum ersten Mal vor einem solchen Vorfall.
Das BSI empfiehlt daher ausdrücklich, frühzeitig externe Spezialisten hinzuzuziehen, z. B.:
- Forensik-Experten
- Dienstleister für Incident Response
- Polizei / Cybercrime-Ansprechstellen (ZAC)
Lösegeld nicht zahlen
Das BSI rät klar davon ab, auf Erpressungsversuche einzugehen.
Es gibt keine Garantie, dass ein funktionierender Schlüssel geliefert wird, und selbst nach einer Entschlüsselung müssen kompromittierte Systeme zwingend neu installiert werden.
Nachbereitung und Wiederaufbau
Nach dem akuten Vorfall müssen folgende Punkte erfolgen:
- Ursachenanalyse
- Langfristige Sicherheitsmaßnahmen
- Überarbeitung der Strukturen
- Mögliches Neuaufsetzen des gesamten Active Directories, wenn dieses kompromittiert wurde
- Lessons Learned & Verbesserungen für kommende Vorfälle
Fazit
Ein schwerer IT-Sicherheitsvorfall ist beherrschbar – wenn frühzeitig systematische Maßnahmen ergriffen werden. Das BSI zeigt klar:
Struktur schlägt Panik.
Eine vorab etablierte Struktur erleichtert es, im Ernstfall ruhig und handlungsfähig zu bleiben – insbesondere in den ersten 48 Stunden nach Bekanntwerden eines Vorfalls.
Isolieren, analysieren, dokumentieren, kommunizieren und erst dann bereinigen.
Für viele Organisationen ist die Unterstützung externer Experten entscheidend, um Schaden zu begrenzen und rechtliche Anforderungen sicher zu erfüllen.
Hat Ihnen der Beitrag gefallen?
Neue Fachbeiträge per E-Mail erhalten → Newsletter abonnieren