Notfallhilfe für Unternehmen

Cyberangriff im Unternehmen: Was jetzt zu tun ist

Wenn E-Mail, Dateien oder wichtige Systeme plötzlich auffällig sind, zählt eine klare Reihenfolge. Diese Übersicht ersetzt keine Incident-Response- oder Rechtsberatung, hilft aber dabei, die ersten Entscheidungen zu strukturieren.

Aktualisiert am 13.7.2026

1. Ruhe bewahren und den Vorfall intern eskalieren

Bestimme eine verantwortliche Person und halte fest, wann welche Auffälligkeit bemerkt wurde. Informiere nur den notwendigen Personenkreis über einen abgestimmten Kanal.

Wenn es einen Notfallplan gibt, aktiviere ihn. Wenn nicht, lege eine einfache Kontaktkette für Geschäftsführung, IT-Dienstleister, Datenschutz und gegebenenfalls Rechtsberatung an.

  • Zeitpunkt und Beobachtung dokumentieren
  • zuständige IT- und Geschäftsführungskontakte anrufen
  • keine unbestätigten Informationen nach außen geben

2. Betroffene Systeme nicht vorschnell verändern

Schalte betroffene Geräte nicht reflexartig aus und lösche keine verdächtigen Dateien. Je nach Lage kann das wichtige Spuren beseitigen. Die technische Entscheidung sollte ein Incident-Response- oder IT-Fachteam treffen.

Trenne betroffene Systeme nur nach einem abgestimmten Vorgehen vom Netz. Besonders wichtig ist, eine weitere Ausbreitung zu verhindern, ohne Beweise und Wiederherstellungsoptionen zu zerstören.

3. Konten, Backups und kritische Abläufe priorisieren

Prüfe mit den zuständigen Fachleuten, welche Konten und Systeme betroffen sein könnten. Zugangsdaten sollten nicht auf einem möglicherweise kompromittierten Gerät geändert werden.

Sichere bekannte Backups und kläre, welche Abläufe zuerst wieder funktionieren müssen. Ob ein Backup vertrauenswürdig und wiederherstellbar ist, muss getestet werden.

  • kritische Konten und Administrationszugänge identifizieren
  • Backups nicht überschreiben oder unkontrolliert zurückspielen
  • Priorität für Kundenkommunikation, Zahlungen und Kernabläufe festlegen

4. Datenschutz, Strafverfolgung und Partner einbeziehen

Ob personenbezogene Daten betroffen sind und welche Meldungen oder Informationen erforderlich sind, hängt vom konkreten Sachverhalt ab. Hole dafür Datenschutz- oder Rechtsberatung hinzu.

Bei Verdacht auf eine Straftat können Polizei, zuständige Cybercrime-Ansprechstellen oder das BSI relevante Anlaufstellen sein. Dokumentiere, wann du wen kontaktiert hast.

Zum Mitnehmen

Praktische Checkliste für den nächsten Termin

Nutze die Punkte als Gesprächsgrundlage mit Geschäftsführung, IT und Fachbereichen. Sie ersetzen keine technische oder rechtliche Prüfung.

1

Kontaktkette und Vertretung aktuell halten

2

Notfallnummern offline verfügbar machen

3

Backups getrennt aufbewahren und Wiederherstellung testen

4

Entscheidungen und Zeitpunkte in einem Vorfallprotokoll dokumentieren

5

Datenschutz- und Rechtsfragen fallbezogen prüfen lassen

Häufige Fragen

Was Unternehmen dazu wissen sollten

Nicht pauschal. Das kann Spuren und flüchtige Informationen verändern. Lass die technische Maßnahme von einem zuständigen IT- oder Incident-Response-Team anleiten.

Quellen

Weiterführende offizielle Informationen

CyberVorsorge bietet hierzu allgemeine Orientierung. Die Inhalte sind keine IT-, Rechts- oder Versicherungsberatung und keine Garantie für Schutz oder Wiederherstellung.

Nächster Schritt

Vorsorgethemen im eigenen Unternehmen einordnen

Der Cyber-Bereitschaftscheck stellt sechs kurze Fragen und zeigt dir Prioritäten, ohne Kontaktdaten für den Start zu verlangen.