1. Ruhe bewahren und den Vorfall intern eskalieren
Bestimme eine verantwortliche Person und halte fest, wann welche Auffälligkeit bemerkt wurde. Informiere nur den notwendigen Personenkreis über einen abgestimmten Kanal.
Wenn es einen Notfallplan gibt, aktiviere ihn. Wenn nicht, lege eine einfache Kontaktkette für Geschäftsführung, IT-Dienstleister, Datenschutz und gegebenenfalls Rechtsberatung an.
- Zeitpunkt und Beobachtung dokumentieren
- zuständige IT- und Geschäftsführungskontakte anrufen
- keine unbestätigten Informationen nach außen geben
2. Betroffene Systeme nicht vorschnell verändern
Schalte betroffene Geräte nicht reflexartig aus und lösche keine verdächtigen Dateien. Je nach Lage kann das wichtige Spuren beseitigen. Die technische Entscheidung sollte ein Incident-Response- oder IT-Fachteam treffen.
Trenne betroffene Systeme nur nach einem abgestimmten Vorgehen vom Netz. Besonders wichtig ist, eine weitere Ausbreitung zu verhindern, ohne Beweise und Wiederherstellungsoptionen zu zerstören.
3. Konten, Backups und kritische Abläufe priorisieren
Prüfe mit den zuständigen Fachleuten, welche Konten und Systeme betroffen sein könnten. Zugangsdaten sollten nicht auf einem möglicherweise kompromittierten Gerät geändert werden.
Sichere bekannte Backups und kläre, welche Abläufe zuerst wieder funktionieren müssen. Ob ein Backup vertrauenswürdig und wiederherstellbar ist, muss getestet werden.
- kritische Konten und Administrationszugänge identifizieren
- Backups nicht überschreiben oder unkontrolliert zurückspielen
- Priorität für Kundenkommunikation, Zahlungen und Kernabläufe festlegen
4. Datenschutz, Strafverfolgung und Partner einbeziehen
Ob personenbezogene Daten betroffen sind und welche Meldungen oder Informationen erforderlich sind, hängt vom konkreten Sachverhalt ab. Hole dafür Datenschutz- oder Rechtsberatung hinzu.
Bei Verdacht auf eine Straftat können Polizei, zuständige Cybercrime-Ansprechstellen oder das BSI relevante Anlaufstellen sein. Dokumentiere, wann du wen kontaktiert hast.