Digitalisierung und IT-Sicherheit

Erste Hilfe bei Cyberangriffen

Was Unternehmen im Falle eines Cyberangriffs tun sollten.

Es war eine böse Weihnachtsüberraschung: Am 24. Dezember 2023 fielen in gleich drei Kliniken in Ostwestfalen wichtige Teile der IT-Infrastruktur aus. Der Grund dafür: ein Hackerangriff. Laut dem Krankenhausbetreiber handelte es sich um eine Cyberattacke durch die berüchtigte Ransomware-Gruppe Lockbit oder einen ihrer kriminellen Partner. Bei einer Ransomware-Attacke werden Dateien oder Systeme des Opfers durch die Täter verschlüsselt. Für die Entschlüsselung fordern die Cyberkriminellen dann ein Lösegeld (englisch: ransom). Zwar konnte die Patientenversorgung in den betroffenen Kliniken kurzfristig durch ein analoges Ausfallkonzept gewährleistet werden; dies aber nur mit Einschränkungen.

Der Cyberangriff auf die westfälischen Kliniken ist bei Weitem kein Einzelfall. Erst Ende Januar traf es erneut einen Krankenhausverbund: Hacker verschafften sich Zugang zur IT-Infrastruktur der Bezirkskliniken Mittelfranken und verschlüsselten gezielt Daten, um ein Lösegeld zu erpressen. Anfang des Jahres hatte ein Hackerangriff auf den IT-Dienstleister der Handwerkskammern deren Websites und Online-Services lahmgelegt. 2023 waren unter anderem das Berliner Kaufhaus des Westens (KaDeWe), die Deutsche Energie-Agentur (dena), die Finanzaufsichtsbehörde BaFin sowie ein großer bayerischer Tiefbaukonzern von Cyberattacken betroffen. Die Liste ließe sich nahezu endlos fortsetzen. Dem im Juli 2023 veröffentlichten jüngsten Bundeslagebild Cybercrime des Bundeskriminalamts zufolge wurde 2022 durchschnittlich jeden Tag mindestens ein deutsches Unternehmen Ziel eines Cyberangriffs.

Kostenloses Digital-Event zum Thema Cybersecurity

Die Deutsche Bank / Postbank veranstaltet am 06.03.2024 von 11:00 bis 12:30 Uhr ein kostenloses Digital-Event zum Thema Cybersicherheit für Unternehmen. Der zertifizierte IT-Risikomanager Nikolaus Stapels gibt dabei Einblick in die Strategien der Cyberkriminellen und zeigt Wege auf, wie Sie Ihr Unternehmen schützen können. Bitte beachten Sie, dass die Teilnehmerzahl begrenzt ist. Daher bitten wir um Ihre zeitnahe Registrierung.

Schäden in dreistelliger Milliardenhöhe

Der Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom bezifferte die Schäden für die deutsche Wirtschaft durch Cyberattacken zuletzt auf insgesamt 148 Milliarden Euro pro Jahr. Blockieren die Angreifer etwa wichtige IT-Systeme, kann das zu teuren Produktionsausfällen führen. Und werden Kundendaten gestohlen, drohen schwerwiegende Reputations- und Vertrauensverluste sowie Schadenersatzforderungen. Da wundert es kaum, dass die im aktuellen Allianz Risk Barometer weltweit befragten Risikomanagement-Expertinnen und -Experten Datenpannen, Angriffe auf kritische Infrastruktur und Vermögenswerte sowie Ransomware-Attacken als das aktuell größte Geschäftsrisiko überhaupt für Unternehmen einstufen.

Für Unternehmen ist es daher essenziell, sich dieses Risikos bewusst zu sein und entsprechend zu schützen. Ebenso wichtig ist es zu wissen, was im Falle eines Cyberangriffs zu tun ist. Fachleute empfehlen insbesondere kleinen und mittleren Unternehmen die folgenden Erste-Hilfe-Maßnahmen.

7 Sofortmaßnahmen im Falle eines Cyberangriffs

Ruhe bewahren

Wenn Sie den Verdacht haben, dass Ihre Unternehmens-IT gehackt wurde, sollten Sie sich schnellstmöglich um professionelle Unterstützung kümmern – zum Beispiel durch Ihren IT-Dienstleister. Denn bevor weitere Maßnahmen ergriffen werden, muss geklärt werden, ob sich die Vermutung eines Cyberangriffs bestätigen lässt oder ob es sich „nur“ um einen technischen Defekt handelt. Hektische Maßnahmen, etwa das Löschen verdächtiger Daten, können die Spurensicherung und die Problemlösung erschweren. Wichtig: Während sich ein potenziell infiziertes System noch im internen Netzwerk befindet oder mit dem Internet verbunden ist, sollte keine Anmeldung mit privilegierten Nutzerkonten (Administratorkonten) erfolgen. Tipp: Die Industrie- und Handelskammer (IHK) hat einen Leitfaden mit Kriterien zusammengestellt, anhand derer Sie beurteilen können, ob Ihr IT-Dienstleister fit für das Thema Cybersicherheit ist.
System vom Netzwerk trennen

Indem Sie ein betroffenes Gerät oder System vom Netzwerk und vom Internet trennen, verhindern Sie, dass weitere Geräte befallen werden oder Schadprogramme aus dem Internet nachgeladen werden können. Wichtig: Stoppen Sie die Backup-Prozesse und trennen Sie die entsprechenden Datenträger bzw. Cloudverbindungen vom System, um diese vor einer Infizierung und unbefugtem Zugriff zu schützen. Lassen Sie, gegebenenfalls in Absprache mit Ihren IT- Experten, Antiviren-Scans laufen, um Schadprogramme zu identifizieren.
Weitere Aktivitäten koordinieren

Alle Informationen rund um einen Cyberangriff und die in der Folge eingeleiteten Maßnahmen sollten im Unternehmen an zentraler Stelle koordiniert und dokumentiert werden – zum Beispiel auf einem Rechner außerhalb des Firmennetzwerks. Richten Sie dafür einen Krisenstab ein. Diesem sollten neben internen oder externen IT-Experten auch Entscheidungsträgerinnen und -träger Ihrer Firma angehören, insbesondere die Geschäftsführung. Zudem sollte eine verantwortliche Person benannt werden. Das kann zum Beispiel Ihr interner oder externer IT-Verantwortlicher oder ein Mitglied der Geschäftsführung sein. Für die entsprechende Kommunikation sollte ein Weg außerhalb des Firmennetzwerks gefunden werden, zum Beispiel über sichere private E-Mail-Accounts.
Mitarbeitende sensibilisieren

Informieren Sie schnellstmöglich Ihre Mitarbeitenden, um deren Wachsamkeit hinsichtlich ungewöhnlicher Abläufe in den digitalen Unternehmensprozessen zu erhöhen. Tipp: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat analog zum bekannten Format „Verhalten im Brandfall“ eine IT-Notfallkarte entwickelt. Sie kann beim BSI kostenlos heruntergeladen und dann ausgedruckt im Betrieb verteilt und aufgehängt werden.
Daten und Informationen sichern

Versuchen Sie, alle verfügbaren Informationen über den Angriff auf Ihre IT-Systeme zu sichern bzw. durch Expertinnen und Experten sichern zu lassen. Dazu gehören Log-Dateien und Systemprotokolle sowie gegebenenfalls auch Screenshots von Hinweisen im Zusammenhang mit der Cyberattacke.
Behörden kontaktieren

Wenn Sie sicher sind, Opfer einer Cyberattacke geworden zu sein, melden Sie diese den Behörden. Erste Anlaufstelle für Unternehmen sind die Zentralen Ansprechstellen Cybercrime der Polizeien. Dort wird man Sie zum weiteren Vorgehen beraten. Wichtig: Laut Artikel 33 Datenschutz-Grundverordnung (DSGVO) muss im Falle einer Verletzung des Schutzes personenbezogener Daten „der Verantwortliche (im Unternehmen, d Redaktion) unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Darüber hinaus unterliegen bestimmte Unternehmen, insbesondere Betreiber kritischer Infrastrukturen, bei Cyberangriffen einer generellen Meldepflicht. Mehr Informationen dazu erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik.
Stakeholder informieren

Bereiten Sie zeitnah Stellungnahmen vor, mit denen Sie Ihre Kundinnen und Kunden und andere Geschäftspartnerinnen und Geschäftspartner sowie falls erforderlich die Öffentlichkeit informieren. Beachten Sie dabei auch möglicherweise getroffene gesonderte Vertragsregelungen mit einzelnen Stakeholdern. Holen Sie sich dafür juristischen Rat, etwa von einer Fachanwältin oder einem Fachanwalt für Datenschutzrecht.

Quellen: Allianz für Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik, Cybersicherheitsagentur Baden-Württemberg, Digital.Sicher.NRW – Kompetenzzentrum für Cybersicherheit in der Wirtschaft NRW, IHK

Die richtige Nachbereitung

Fahren Sie nach einem IT-Sicherheitsvorfall Ihre Systeme erst dann wieder hoch, wenn alle bekannten Schadprogramme sowie die Schwachstellen Ihres IT-Systems beseitigt wurden. Ändern Sie die Zugangsdaten (z. B. Passwörter) und verbessern Sie die Schutzmaßnahmen. Nach einem Cyberangriff sollten Sie Ihre IT-Systeme intensiv überwachen, um sicherzustellen, dass diese wieder einwandfrei funktionieren, und um einen möglichen erneuten Angriffsversuch rechtzeitig zu erkennen. Prüfen Sie im Nachgang, ob es Dinge gibt, die Sie für den Fall eines erneuten Angriffs verbessern können. Tipp: Detaillierte Informationen und Checklisten zu allen notwendigen Nachbereitungsmaßnahmen finden sich auf der Website der Allianz für Cyber-Sicherheit.

Lösegeld – zahlen oder nicht zahlen?

Laut dem auf Cybersicherheit spezialisierten US-Beratungsunternehmen Coveware betrugen die Lösegeldzahlungen je Ransomware-Attacke im dritten Quartal 2023 weltweit durchschnittlich 850.700 US-Dollar. In diesem Zusammenhang warnt das Bundeskriminalamt: „Gehen Sie nicht auf Lösegeldforderungen ein – Dateien und Programme werden oft trotz Zahlung nicht entschlüsselt.“ Auch das BSI rät, bei einer Ransomware-Attacke nicht auf die Erpressung einzugehen. Stattdessen sollten kompromittierte IT-Systeme soweit vorhanden mit den auf ihre Unversehrtheit geprüften Backup-Daten neu aufgesetzt werden.

Cyberversicherung als Lösung?

Die finanziellen Schäden eines Hackerangriffs können Unternehmen über eine sogenannte Cyberversicherung abfedern. Zum Leistungsumfang können zum Beispiel die Übernahme der Kosten für die Bereinigung der IT-Systeme, der finanzielle Ausgleich für eine durch einen Cyberangriff bedingte Betriebsunterbrechung und sogar Lösegelder bei Ransomware-Attacken gehören. Bevor Sie eine solche Versicherung in Erwägung ziehen, sollten Sie den Leistungsumfang genau prüfen – auch im Hinblick darauf, unter welchen Voraussetzungen die Versicherung greift und welche möglichen Schäden bereits durch Ihre bestehenden Betriebsversicherungen abgedeckt sind.

Besser, als gut versichert zu sein, ist es jedoch, gar nicht erst Opfer einer Cyberattacke zu werden. Am wichtigsten bleiben daher entsprechende vorbeugende Maßnahmen. „Digitale Angriffe lassen sich von jedem Ort der Welt ausführen. Und die Gefahr für Cyberkriminelle, von Polizei oder anderen Strafverfolgungsbehörden behelligt zu werden, ist in vielen Ländern gering oder nicht vorhanden“, sagt Bitkom-Präsident Dr. Ralf Wintergerst. Die Zahl der Angriffe im digitalen Raum werde daher weiter zunehmen. Deshalb müssten die deutschen Unternehmen ihre IT-Sicherheit „mindestens auf jenes Niveau bringen, das für die physische Sicherheit vor Ort längst Standard ist“.

Tipp: Kostenfreie Unterstützung für kleine und mittlere Unternehmen, Start-ups und Handwerksbetriebe bei der Prävention und der Erkennung von Cyberangriffen sowie den notwendigen Reaktionsmaßnahmen leistet seit Oktober 2023 die Transferstelle Cybersicherheit im Mittelstand unter Leitung des Bundesverbands mittelständische Wirtschaft – Unternehmerverband Deutschlands e. V. (BVMW).

Stand: Februar2024; alle Angaben ohne Gewähr
Bildnachweis: Adobe Stock / Thapana_Studio, Jadon B/peopleimages.com

Unsere Produktempfehlungen

Für Geschäftskunden

Sie möchten in Ihre Firmen-IT investieren und dabei die Sicherheit der Systeme verbessern? Wir unterstützen Sie bei der Finanzierung.

Zum Business Investitionsdarlehen

Für Firmenkunden

Sie möchten Ihre Unternehmens-IT auf den neuesten Stand bringen oder sogar ausbauen? Wir unterstützen Sie bei der Finanzierung.

Zur Investitionsfinanzierung

Erste Hilfe bei Cyberangriffen

Kostenloses Digital-Event zum Thema Cybersecurity

Schäden in dreistelliger Milliardenhöhe

7 Sofortmaßnahmen im Falle eines Cyberangriffs

Ruhe bewahren

System vom Netzwerk trennen

Weitere Aktivitäten koordinieren

Mitarbeitende sensibilisieren

Daten und Informationen sichern

Behörden kontaktieren

Stakeholder informieren

Die richtige Nachbereitung

Lösegeld – zahlen oder nicht zahlen?

Cyberversicherung als Lösung?

Unsere Produktempfehlungen

Für Geschäftskunden

Für Firmenkunden

Das könnte Sie auch interessieren

Mehr IT-Sicherheit im E-Commerce

Cybersicherheit von A bis Z

IT-Sicherheit: So hilft der Staat

Erste Hilfe bei Cyberangriffen

Kostenloses Digital-Event zum Thema Cyber­security

Schäden in drei­stelliger Milliarden­höhe

7 Sofort­maß­nahmen im Falle eines Cyber­angriffs

Ruhe bewahren

System vom Netzwerk trennen

Weitere Aktivitäten koordinieren

Mitarbeitende sensibilisieren

Daten und Informationen sichern

Behörden kontaktieren

Stakeholder informieren

Die richtige Nach­bereitung

Lösegeld – zahlen oder nicht zahlen?

Cyber­ver­sicherung als Lösung?

Unsere Produktempfehlungen

Für Geschäftskunden

Für Firmenkunden

Das könnte Sie auch interessieren

Mehr IT-Sicherheit im E-Commerce

Cybersicherheit von A bis Z

IT-Sicherheit: So hilft der Staat

Kostenloses Digital-Event zum Thema Cybersecurity

Schäden in dreistelliger Milliardenhöhe

7 Sofortmaßnahmen im Falle eines Cyberangriffs

Die richtige Nachbereitung

Cyberversicherung als Lösung?