Müssen wir den Vorfall melden?

Je nach Art des Vorfalls und betroffener Daten können Meldepflichten bestehen, etwa nach DSGVO gegenüber der Datenschutzaufsicht — oft in engen Fristen. Das sollten Sie früh mit einem fachkundigen Ansprechpartner klären. Eine pauschale Aussage ist nicht möglich, weil es vom Einzelfall abhängt.

Sollen wir bei Ransomware das Lösegeld zahlen?

Diese Entscheidung sollte nie ohne fachkundigen Rat getroffen werden. Zahlungen lösen das Problem selten zuverlässig, bergen eigene Risiken und können rechtliche Fragen aufwerfen. Ziehen Sie spezialisierte Hilfe hinzu, bevor Sie auf Forderungen reagieren.

Der IT-Dienstleister hat den Angriff beseitigt — sind wir sicher?

Die akute Gefahr zu beseitigen ist der richtige erste Schritt. Er beantwortet aber nicht zwangsläufig, ob im Hintergrund noch Aktivität läuft, die beim Aufräumen übersehen wurde. Eine unabhängige Auswertung der Netzwerkaktivität gibt eine belastbare Antwort darauf, ob wirklich alles beendet ist.

Was kann AEGYS DATALYTICS im akuten Fall konkret tun?

Wir liefern die unabhängige Sicht auf das Netzwerk: was gerade kommuniziert wird, wie weit die Aktivität reicht, ob noch etwas läuft. Damit arbeiten wir Ihrem IT-Dienstleister oder IR-Team zu. Die Aufklärung und Wiederherstellung selbst übernehmen diese Spezialisten — wir liefern die Faktenbasis dafür.

RESSOURCE — IT-NOTFALL

Cyberangriff — was jetzt zu tun ist

Q: Sollen wir betroffene Rechner sofort ausschalten?

Besser ist meist, sie vom Netzwerk zu trennen, aber eingeschaltet zu lassen. Ausschalten kann flüchtige Spuren vernichten, die für die Aufklärung wichtig sind. Im Zweifel kurz mit einem fachkundigen Ansprechpartner abstimmen, bevor Sie Systeme abschalten.

Wenn der Verdacht besteht, dass ein Unternehmen angegriffen wurde, zählt vor allem eins: ruhig und in der richtigen Reihenfolge handeln. Dieser Leitfaden zeigt die wichtigsten Sofort-Schritte, die typischen Fehler — und wie Sie herausfinden, was in Ihrem Netzwerk tatsächlich passiert.

Veröffentlicht: 5. Juni 2026 · 9 Min. Lesezeit · AEGYS DATALYTICS Redaktion

Wenn Sie gerade mitten in einem Vorfall stecken: Atmen Sie durch. Überstürztes Handeln macht es oft schlimmer. Die folgenden Schritte sind nach Dringlichkeit geordnet.

Die ersten Schritte — in der richtigen Reihenfolge

Die Reihenfolge ist wichtiger als das Tempo. Diese Schritte gelten unabhängig davon, wer Ihnen am Ende hilft.

Ruhe bewahren und nicht überstürzt handeln

Der erste Impuls ist oft, alles abzuschalten oder sofort Systeme zu löschen. Das kann Beweise vernichten und die spätere Aufklärung erschweren. Verschaffen Sie sich zuerst einen Überblick.

Betroffene Systeme isolieren, nicht zerstören

Trennen Sie betroffene Geräte vom Netzwerk (Netzwerkkabel ziehen, WLAN trennen) — aber schalten Sie sie nach Möglichkeit nicht aus und löschen Sie nichts. Ausschalten kann flüchtige Spuren vernichten, die für die Aufklärung wichtig sind.

Die richtigen Personen informieren

Geschäftsführung, IT-Verantwortliche und Ihren IT-Dienstleister. Klären Sie früh, wer die Lage koordiniert. In größeren Vorfällen ist eine klare Verantwortlichkeit entscheidend.

Dokumentieren, was Sie beobachten

Halten Sie fest, was wann aufgefallen ist: Uhrzeit, betroffene Systeme, sichtbare Symptome, getroffene Maßnahmen. Diese Dokumentation hilft bei der Aufklärung — und ist später gegenüber Versicherung und Behörden wertvoll.

Rechtliche Meldepflichten prüfen

Je nach Art des Vorfalls und betroffener Daten können Meldepflichten bestehen — etwa nach DSGVO gegenüber der Datenschutzaufsicht, in engen Fristen. Klären Sie das früh mit einem fachkundigen Ansprechpartner.

Verstehen, was tatsächlich passiert ist

Bevor Systeme wiederhergestellt werden, sollte klar sein, was im Netzwerk wirklich vorgefallen ist: Welche Systeme waren betroffen, wie weit reichte die Aktivität, läuft im Hintergrund noch Kommunikation? Ohne diese Sicht besteht das Risiko, einen Teil des Problems zu übersehen — und es nach der Wiederherstellung erneut hereinzuholen.

Häufige Fehler im Notfall

Nicht überstürzt alles abschalten. Flüchtige Spuren gehen verloren, die Aufklärung wird schwerer.
Nicht voreilig löschen oder neu aufsetzen. Ein vorschnell wiederhergestelltes System kann eine noch offene Lücke erneut mitbringen.
Nicht auf Forderungen von Erpressern eingehen, ohne fachkundigen Rat. Zahlungen lösen das Problem selten und bergen eigene Risiken.
Nicht in Aktionismus verfallen. Die richtige Reihenfolge schlägt blinde Geschwindigkeit.
Nicht annehmen, dass mit dem Entfernen des Sichtbaren alles erledigt ist. Das Sichtbare ist oft nur ein Teil.

Wie ein Vorfall typischerweise abläuft

Ein Cyberangriff ist selten ein einzelner Moment. Er hat Phasen — und in jeder Phase gibt es eine sinnvolle Reaktion.

Die Phasen eines Vorfalls

Eindämmen

Ausbreitung stoppen

Verstehen

was passiert, wie weit reicht es

Beseitigen

Schadsoftware entfernen, Lücke schließen

Wiederherstellen

Systeme zurück in Betrieb

Aufarbeiten

künftig verhindern

Die Phasen eines Vorfalls. Das Verstehen — was tatsächlich passiert ist — entscheidet, ob das Beseitigen wirklich vollständig ist.

Die meisten Vorfälle durchlaufen ähnliche Phasen: Eindämmen (Ausbreitung stoppen), Verstehen (was ist passiert, wie weit reicht es), Beseitigen (Schadsoftware entfernen, Lücke schließen), Wiederherstellen (Systeme zurück in Betrieb) und Aufarbeiten (was lässt sich künftig verhindern). Der Schritt, der in der Praxis am häufigsten zu kurz kommt, ist das Verstehen — gerade unter Zeitdruck wird schnell beseitigt und wiederhergestellt, bevor klar ist, wie weit die Aktivität wirklich reichte. Wer auf sichtbare Anzeichen einer Kompromittierung wartet, erkennt zudem oft nur die lauten Vorfälle wie Ransomware — leise Aktivität bleibt ohne aktives Nachsehen unsichtbar.

UNSERE ROLLE

Sehen, was während eines Vorfalls tatsächlich im Netzwerk passiert

AEGYS DATALYTICS ist kein Incident-Response-Dienstleister, der die gesamte Aufklärung übernimmt — Forensik, Wiederherstellung und Verhandlung gehören in die Hände spezialisierter IR-Teams und Ihres IT-Dienstleisters. Was AEGYS beiträgt, ist die unabhängige Sicht auf das Netzwerk: Mit der passiv angeschlossenen AEGYS-Monitor-Appliance wird während des Vorfalls sichtbar, welche Systeme aktuell mit welchen Zielen kommunizieren, wie weit die Aktivität reicht und ob im Hintergrund noch Kommunikation läuft.

Diese Sicht ist genau in der Phase wertvoll, die oft zu kurz kommt — dem Verstehen. Sie hilft Ihrem IT-Dienstleister oder IR-Team, fundiert zu entscheiden, statt im Blindflug zu beseitigen. Und sie beantwortet nach der akuten Phase die Frage, die sonst offen bleibt: Ist es wirklich vorbei — oder läuft noch etwas, das beim Aufräumen übersehen wurde?

Wir arbeiten dabei direkt mit Ihrem bestehenden Dienstleister oder IR-Partner zusammen. Auf Wunsch nehmen wir schnell Kontakt auf, um die Lage gemeinsam einzuschätzen.

Mitten in einem Vorfall — oder unsicher, ob er wirklich beendet ist?

Wir liefern die unabhängige Sicht auf Ihre tatsächliche Netzwerkaktivität und arbeiten mit Ihrem IT-Dienstleister zusammen.

Kontakt aufnehmen

Wir schätzen die Lage mit Ihnen ein und sagen offen, was sinnvoll ist.

HÄUFIGE FRAGEN

Häufige Fragen im IT-Notfall

Quellen

BSI — Reaktion auf IT-Sicherheitsvorfälle — bsi.bund.de
IBM Cost of a Data Breach Report — ibm.com/reports/data-breach