Sofortmaßnahmen bei Cybervorfall

Cyberattacke: Checkliste für den Krisenfall

Bei einem Cybervorfall kann eine Checkliste mittelständischen Unternehmen die ersten Schritte der Krisenmanagement-Organisation und IT-Forensik aufzeigen. Dazu sind die Beurteilung der Lage und die Durchführung bestimmter Sofortmaßnahmen nötig. Dabei geben Checklisten einen ersten Überblick, ersetzen jedoch keinen Krisenmanagement-Plan.

Mann nach Cybervorfall vor Laptop

Im Krisenfall hilft eine Checkliste zur Durchführung bestimmter Sofortmaßnahmen.

Die Einschätzung des Krisenfalls

Eine Krise liegt laut dem Spezialversicherer Hiscox vor, wenn mindestens eine der folgenden Fragen mit „Ja“ beantwortet werden muss:

  • IT-Ausfall bedroht oder stört Geschäftsbetrieb erheblich, langfristige Folgen sind möglich.
  • Systeme bzw. Infrastruktur sind stark beschädigt bzw. beeinträchtigt.
  • Ein erfolgreicher schwerwiegender Hackerangriff ist erfolgt.
  • Ein schwerwiegender IT-basierter Betrugsfall ist aufgetreten.
  • Vertrauliche Informationen oder personenbezogene Daten sind in erheblichem Maß abgeflossen.
  • Es wurde ein meldepflichtiger Gesetzesverstoß begangen.
  • Ein hoher Reputationsschaden, z. B. durch Negativnachrichten, ist zu erwarten.

Erste Schritte nach einem Cyberangriff

  • Zusammenfassen der bekannten Fakten und bisher getroffenen Maßnahmen.
  • Es ist unverzüglich der Aufbau eines Teams zur Sicherheitsvorfallbehandlung anzugehen bzw. beim Service Provider einzufordern, der mit dem Ereignis betraut wird.
  • Anweisung des streng vertraulichen Umgangs mit allen im Zusammenhang mit dem Vorfall stehenden Informationen für alle an dem Vorfall beteiligten Personen. Diese Anweisung sollte man sich von allen Beteiligten schriftlich bestätigen lassen.

  • Es wird umgehend mit der Analyse begonnen: Identifikation des Angriffsvektors, der genutzten Angriffswerkzeuge, der direkt und indirekt betroffenen Systeme, der betroffenen Daten/Informationen, Beweissicherung und Empfehlungen von Maßnahmen.

    Dies ist ein Artikel aus unserer Print-Ausgabe 4/2019. Bestellen Sie ein kostenfreies Probe-Abo.


Wurden Systeme kompromittiert, greifen weitere Maßnahmen

  • Beweismittel nur durch qualifizierte IT-Forensiker sichern lassen.
  • Durch Spezialisten evaluieren lassen, welche Sicherheitsmaßnahmen zur sofortigen Absicherung erforderlich sind (etwa Änderung von Passwörtern, Aktualisierung von Systemen, Ergänzung von Firewall-Regeln etc.).

  • Auflisten der direkt und indirekt betroffenen Systeme.

Im Nachgang der genannten Maßnahmen greifen weitere Schritte. So sollte man bei einem offensichtlichen Datenabfluss sofort prüfen, ob die Verbindungen unverzüglich unterbrochen werden sollten. Wichtig kann es sein, das Beweismittel nur durch qualifizierte IT-Forensiker sichern zu lassen. Besteht überdies der Verdacht auf Ausspähung oder gibt es Ansätze von (Wirtschafts-)Spionage, können die Verfassungsschutzbehörden eingebunden werden.

Generell ist zu prüfen und abzuwägen, ob die Fachkompetenz der vorhandenen Mitarbeiter ausreicht oder ob auf externe Spezialisten (z. B. Computer-Emergency-Response-Teams, IT-Forensiker) zurückgegriffen bzw. ein spezifischer Austausch geführt werden soll. Liegen dann die ersten Erkenntnisse vor, ist eine erste juristische Würdigung des Vorfalls vorzunehmen, um unverzüglich die Ermittlungsbehörden einzuschalten oder abzuwägen, ob eine zivilrechtliche Strafverfolgung angestrebt werden soll.

Werden die Ermittlungsbehörden eingeschaltet, besteht jedoch gegebenenfalls nur noch eine begrenzte Kontrolle über die weitere Entwicklung. Soll eine Strafverfolgung ermöglicht werden, ist auf die durchgängige gerichtsfeste Beweiserhebung zu achten.

Steht ein Mitarbeiter in Verdacht, ist abzuwägen, ob dieser zumindest vorübergehend suspendiert wird. Dies gilt in gleicher Weise für Externe. Wichtig ist es dabei, den Personalbereich und den Betriebsrat einzubeziehen, sollte der vermutete Täter ein Mitarbeiter oder externer Mitarbeiter sein.

Überdies ist zu prüfen, ob bereits eine gesetzliche Meldepflicht besteht:

  • Datenschutzgesetz (Empfehlung innerhalb von sechs bis acht Stunden

  • IT-Sicherheitsgesetz

  • Vertragliche Verpflichtungen


Sollte noch keine Meldepflicht besteht, ist zu klären, ob das Cyberabwehrzentrum der Bundesregierung, das IT-Lagezentrum des Bundesamts für Sicherheit in der Informationstechnik oder sonstige Meldestellen über den Vorfall informiert werden sollen.

Regeln für die Kommunikation

Bei einem Cybervorfall ist eine Kommunikationsstrategie gemäß der Vorgaben zur Krisenkommunikation zu erstellen. Hierbei ist seitens der Verantwortlichen grundsätzlich abzuwägen, ob und wie viel des eigentlichen Vorfalls intern und öffentlich kommuniziert werden soll. Es kann aus ermittlungstaktischen Gründen sinnvoll sein, die Kommunikation auf einen vertrauenswürdigen Kreis zu beschränken.

Zunächst gilt zu klären, welche Interessengruppen wann und wie mit in die Kommunikation einzubeziehen sind. Sollte eine Meldepflicht bestehen, muss die entsprechende Meldung erstellt und abgesetzt werden. Obligatorisch ist anschließend die Einforderung der Eingangsbestätigung der Meldung. Desweiteren ist schnellstmöglich und in Abstimmung mit dem Vorstand die Festlegung der Sprachregelung vonnöten.

Bildquelle:gettyimages/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok