Zum Inhalt

Krisenmanagement Deep Dive

Die Krisenszenarien in Teil 7 geben konkrete Handlungsanweisungen für die ersten Stunden nach einem Vorfall. Dieser Deep Dive geht tiefer: Welche Strategien gibt es für das Krisenmanagement insgesamt? Wie gestaltest du die Kundenkommunikation professionell? An wen wendest du dich zur Unterstützung? Wann und wie meldest du Datenpannen? Wie schaltest du alternative Kommunikationskanäle, wenn deine primären Kanäle ausgefallen oder kompromittiert sind? Wie stellst du Backups sicher wieder her, ohne erneut infiziert zu werden? Und: Wie gehst du mit Ransomware-Erpressung und der Drohung um, Kundendaten im Darknet zu veröffentlichen?

Krisenmanagement als Haltung – nicht als Checkliste

Der häufigste Fehler im Krisenmanagement ist nicht das Fehlen eines Plans – sondern das Fehlen der Haltung, die einen Plan überhaupt nutzbar macht. Wer unter Stress in Panik verfällt, trifft schlechte Entscheidungen, macht Fehler und kommuniziert unklar. Wer gelernt hat, eine Krise als Problem zu behandeln, das lösbar ist, bleibt handlungsfähig.

Zwei Grundprinzipien helfen dabei:

Erstens: Trennung von Erkennen und Handeln. Die ersten Minuten nach einem Vorfall sind für Diagnose, nicht für Aktionismus. Netzwerkkabel ziehen ist eine Ausnahme – das sollte sofort passieren. Alles andere: erst verstehen, was passiert ist, bevor du handelst. Wer überstürzt handelt, zerstört möglicherweise Beweise, verschlimmert die Situation oder rennt in die falsche Richtung.

Zweitens: Dokumentation von Beginn an. Halte von der ersten Minute an fest, was du wann getan hast, was du vorgefunden hast und welche Entscheidungen du getroffen hast. Diese Dokumentation ist dreifach wertvoll: für die Datenschutzbehörde (72-Stunden-Meldepflicht), für die Polizei (Strafanzeige), und für dich selbst (Wiederanlauf, Versicherung, Nachbereitung).

Strategien im Krisenmanagement

Es gibt kein universelles Krisenmanagement-Modell – aber es gibt bewährte Phasen, die sich auf fast jeden IT-Vorfall anwenden lassen.

Phase 1: Eindämmung (Containment)

Das erste Ziel ist nicht Wiederherstellung – sondern Schadensbegrenzung. Was nicht kompromittiert ist, muss es auch nicht werden.

  • Betroffenes Gerät sofort vom Netzwerk trennen (Kabel, WLAN, Bluetooth)
  • Andere Geräte im selben Netz prüfen – sind sie auch betroffen?
  • NAS und externe Festplatten trennen, sofern noch nicht verschlüsselt oder kompromittiert
  • Cloud-Synchronisation pausieren – damit lokal verschlüsselte Dateien nicht in die Cloud synchronisiert werden und dort die guten Versionen überschreiben
  • Zugangsdaten zu Cloud-Diensten von einem sauberen Gerät aus sofort ändern

Erst wenn die Ausbreitung gestoppt ist, beginnt die Analyse.

Phase 2: Analyse

Was ist passiert? Wie ist es passiert? Was ist betroffen?

  • Welche Geräte sind betroffen?
  • Welche Daten lagen auf diesen Geräten – und sind darunter personenbezogene Daten?
  • Gibt es Anzeichen für Datenabfluss (Exfiltration) – nicht nur Verschlüsselung, sondern auch Diebstahl?
  • Was ist das wahrscheinliche Einfallstor? (Phishing-Mail, unsichere RDP-Verbindung, veraltetes Plugin, infizierter USB-Stick?)

Diese Fragen müssen nicht sofort vollständig beantwortet werden – aber sie müssen gestellt werden. Die Antworten bestimmen die nächsten Schritte und ob eine Datenschutz-Meldepflicht entsteht.

Phase 3: Kommunikation

Parallel zur Eindämmung und Analyse beginnt die Kommunikation – intern (mit dir selbst, mit deinem Steuerberater, mit deiner Cyber-Versicherung) und extern (Behörden, Kunden). Mehr dazu in den folgenden Abschnitten.

Phase 4: Wiederherstellung

Wiederherstellung beginnt erst, wenn Eindämmung und Analyse abgeschlossen sind und das Einfallstor geschlossen ist. Überstürzter Wiederanlauf auf einem nicht bereinigten System ist eine der häufigsten Ursachen für Folgeinfektionen. Mehr dazu im Abschnitt Sichere Wiederherstellung aus Backups.

Phase 5: Nachbereitung

Nach jeder Krise – auch einer kleineren – lohnt sich eine ehrliche Retrospektive: Was hat funktioniert? Was hat versagt? Was wäre fast schiefgelaufen? Welche Lücken im Notfallplan hat die Krise aufgedeckt? Diese Erkenntnisse fließen in eine Aktualisierung des Notfallplans ein.

Unterstützung von außen – wer hilft wann?

Als Soloselbständige/r bist du im Krisenfall allein – es gibt keine IT-Abteilung, keinen CISO, kein Incident-Response-Team. Das bedeutet nicht, dass du auf Unterstützung verzichten musst. Es bedeutet, dass du wissen musst, wen du rufst.

BSI – Bundesamt für Sicherheit in der Informationstechnik

Das BSI ist die zentrale Behörde für IT-Sicherheit in Deutschland. Es bietet kostenloses Informationsmaterial, Handlungsempfehlungen und im Fall größerer Vorfälle auch direkte Unterstützung.

Was das BSI für dich tun kann: - Informationen und Handlungsempfehlungen zu aktuellen Bedrohungen (bsi.bund.de) - Der BSI-Leitfaden „IT-Grundschutz" – zwar primär für Behörden und Unternehmen konzipiert, enthält aber auch für Soloselbständige nützliche Prüfrahmen - Bei Ransomware: bsi.bund.de/ransomware enthält aktuelle Hinweise und Verweise auf Entschlüsselungstools

Was das BSI nicht tut: Das BSI kommt nicht zu dir nach Hause und hilft dir, dein System zu bereinigen. Für operative Unterstützung brauchst du einen IT-Dienstleister.

Tipp: Registriere dich für den BSI-Newsletter und die Warnmeldungen – so erfährst du zeitnah von aktuellen Bedrohungen und Sicherheitslücken.

Polizei / Landeskriminalamt (LKA)

Jeder IT-Sicherheitsvorfall, bei dem ein Angriff von außen stattgefunden hat, ist eine Straftat. Ransomware, Datendiebstahl, Account-Übernahme – das sind keine Pechfälle, sondern Verbrechen. Eine Strafanzeige ist sinnvoll, auch wenn die Täter selten gefasst werden.

Warum Anzeige trotzdem wichtig ist: - Voraussetzung für Versicherungsleistungen (Cyber-Versicherung verlangt in der Regel eine Strafanzeige) - Erzeugt eine Dokumentation des Vorfalls mit Aktenzeichen - Trägt zur Statistik bei, die für die Ressourcenplanung der Behörden genutzt wird - In seltenen Fällen werden Täter gefasst und Daten wiederhergestellt

Wohin: Zunächst zur nächsten Polizeidienststelle für die Anzeigenerstattung. Für Cyberkriminalität spezialisiert sind die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter – jedes Bundesland hat eine eigene ZAC. Die Kontaktdaten findest du über die Website deines Landeskriminalamts.

Was mitbringen: Zeitpunkt der Entdeckung, betroffene Systeme, Screenshot oder Foto der Ransomware-Nachricht (falls vorhanden), alle technischen Hinweise auf das Einfallstor.

IT-Dienstleister / Incident-Response-Spezialisten

Für die operative Bereinigung und Wiederherstellung brauchst du einen IT-Fachmann oder -frau, der Erfahrung mit Sicherheitsvorfällen hat. Das ist nicht jeder IT-Dienstleister – ein normaler PC-Techniker, der Drucker einrichtet, ist für Ransomware-Bereinigung nicht ausgerüstet.

Worauf achten: Erfahrung mit Incident Response, Referenzen, Festpreis oder Stundensatz im Voraus klären. Im Krisenfall ist der Preisdruck groß – gute Entscheidungen brauchen ein ruhiges Gespräch.

Idealfall: Du hast einen IT-Dienstleister deines Vertrauens, bevor die Krise eintritt. Der kennt deine Infrastruktur und kann im Ernstfall schnell handeln.

Cyber-Versicherung

Falls du eine Cyber-Versicherung hast – sie sofort informieren. Die meisten Cyber-Versicherungen bieten als Teil der Versicherungsleistung eine 24/7-Hotline und vermitteln Incident-Response-Dienstleister. Das ist einer der Hauptvorteile einer Cyber-Versicherung: nicht nur die finanzielle Absicherung, sondern der sofortige Zugang zu Experten.

Datenschutzmeldepflichten im Krisenfall

Eine vollständige Erklärung der DSGVO-Meldepflichten findet sich in Teil 4. Hier die praxisrelevante Kurzfassung für den Krisenfall.

Die zentrale Frage: Sind personenbezogene Daten von dem Vorfall betroffen?

Wenn ja: Es ist eine Datenpanne im Sinne von Art. 33 DSGVO – unabhängig davon, ob die Daten gestohlen wurden oder „nur" verloren gegangen oder unzugänglich sind.

72-Stunden-Frist (Art. 33 DSGVO): Meldung an die zuständige Landesdatenschutzbehörde, wenn die Datenpanne voraussichtlich ein Risiko für betroffene Personen darstellt. Die Frist beginnt mit dem Zeitpunkt, zu dem du von der Panne Kenntnis erlangt hast – nicht mit dem Zeitpunkt des Angriffs. Die Meldung kann stufenweise erfolgen, wenn nicht alle Informationen sofort vorliegen.

Was in die Meldung gehört: - Art des Vorfalls - Betroffene Datenkategorien und geschätzte Anzahl betroffener Personen - Wahrscheinliche Folgen - Ergriffene und geplante Gegenmaßnahmen - Kontaktdaten des Verantwortlichen (du)

Meldung an Betroffene (Art. 34 DSGVO): Wenn ein hohes Risiko für die betroffenen Personen besteht – etwa weil unverschlüsselte Gesundheitsdaten, Bankverbindungen oder umfangreiche Kundendaten abgeflossen sind –, müssen auch die Betroffenen direkt informiert werden. Formulierung: klar, verständlich, ohne Verharmlosung, mit konkreten Hinweisen, was die Betroffenen selbst tun können (Passwörter ändern, Konten überwachen).

Wann entfällt die Meldepflicht an Betroffene: Wenn die kompromittierten Daten vollständig verschlüsselt waren und der Schlüssel nicht kompromittiert wurde. Das ist das konkrete Argument dafür, alle Daten zu verschlüsseln – es schützt nicht nur die Daten, sondern auch dich vor einer aufwendigen Benachrichtigungspflicht.

Kontaktdaten der Behörden: Die zuständige Datenschutzbehörde richtet sich nach deinem Unternehmenssitz. Eine Übersicht aller Landesdatenschutzbehörden findet sich unter bfdi.bund.de. Diese Kontaktdaten gehören in dein Notfalldokument – nicht erst im Krisenfall suchen.

Kundenkommunikation in der Krise

Schlechte Kundenkommunikation in einer Krise richtet oft mehr Schaden an als die Krise selbst. Kunden, die zu spät, zu vage oder gar nicht informiert werden, verlieren das Vertrauen dauerhaft. Kunden, die früh, ehrlich und klar informiert werden, reagieren in der Regel verständnisvoll.

Grundprinzipien

Proaktiv, nicht reaktiv. Informiere Kunden, bevor sie selbst merken, dass etwas nicht stimmt. Wer von einem Kunden angerufen wird, weil dessen Daten im Darknet auftauchen, hat die Initiative verloren.

Ehrlich, nicht verharmlosend. „Wir haben einen technischen Vorfall" ist keine ausreichende Information. Kunden verdienen zu wissen, was passiert ist, was das für sie bedeutet und was du dagegen tust.

Konkret, nicht allgemein. Welche Daten könnten betroffen sein? Welche nicht? Was soll der Kunde konkret tun? Klare Antworten auf diese Fragen schaffen Vertrauen.

Schnell, nicht perfekt. Im Krisenfall ist eine schnelle, ehrliche Erstinformation besser als eine perfekt formulierte Nachricht, die zwei Tage zu spät kommt.

Was in die erste Kundenmitteilung gehört

  1. Was ist passiert – sachlich und ohne übertriebene technische Details
  2. Welche Daten könnten betroffen sein – konkret benennen, was du weißt und was du (noch) nicht weißt
  3. Was du bereits unternimmst – welche Schritte du eingeleitet hast
  4. Was der Kunde tun sollte – falls seine eigene Handlung erforderlich ist (z. B. Passwort ändern, verdächtige Transaktionen prüfen)
  5. Wie er sich informieren kann – wo er Updates bekommt, wen er bei Fragen kontaktieren kann
  6. Wann du das nächste Update gibst – konkrete Zeitangabe, auch wenn du dann nur mitteilen kannst, dass die Situation noch andauert

Ton und Formulierung

Kein Juristendeutsch. Kein Kleinreden. Kein Abschieben von Verantwortung. Kunden spüren, ob jemand die Verantwortung übernimmt oder sich duckt. Ein klares „Ich übernehme die Verantwortung für diesen Vorfall und arbeite an der Lösung" wirkt besser als zehn Seiten mit Haftungsausschlüssen.

Wenn Kunden-Daten möglicherweise im Darknet gelandet sind: Sage das. Nicht mit Panik, aber klar. Informiere sie, was sie konkret tun können – Passwörter bei anderen Diensten ändern, falls sie dasselbe Passwort auch dort nutzen, Kontoauszüge auf unbekannte Transaktionen prüfen.

Alternative Kommunikationskanäle wenn die primären Kanäle ausgefallen sind

Eines der gefährlichsten Szenarien: Deine E-Mail ist kompromittiert oder gesperrt. Deine Website ist nicht erreichbar. Du kannst deine Kunden nicht kontaktieren – und sie können dich nicht erreichen.

Vorbereitungsmaßnahmen

Eine zweite E-Mail-Adresse bei einem anderen Anbieter. Sie kostet nichts (Posteo ab 1 €/Monat, oder eine kostenlose Adresse bei mailbox.org) und liegt bei einem vollständig anderen Anbieter. Im Krisenfall ist sie sofort verfügbar.

Eine Notfall-Telefonnummer in deiner E-Mail-Signatur und auf deiner Website. Wenn alles andere ausfällt, funktioniert das Telefon noch. Kunden, die deine Nummer haben, können dich erreichen.

Offline-Kundenliste. Exportiere regelmäßig die Kontaktdaten deiner wichtigsten Kunden – Name, E-Mail, Telefon – und bewahre sie offline auf: ausgedruckt oder auf einem verschlüsselten USB-Stick, der nicht mit deinem Primärsystem verbunden ist. Im Krisenfall, wenn dein CRM nicht erreichbar ist, sind diese Daten Gold wert.

Im Krisenfall: Kanal-Alternativen

SMS oder Messenger. Wenn E-Mail nicht funktioniert, ist eine SMS oder eine Nachricht über Signal/WhatsApp der schnellste Weg. Kunden reagieren auf direkte Nachrichten schneller als auf E-Mails.

Telefonische Direktkommunikation. Für die wichtigsten Kunden und laufende Projekte: direkter Anruf. Unbequem, aber wirkungsvoll. Und er signalisiert Ernsthaftigkeit.

Temporäre Ersatz-Website. Wenn deine Hauptdomain ausgefallen ist, kannst du innerhalb von Minuten eine einfache statische Seite unter einer anderen Domain aufsetzen – bei Diensten wie GitHub Pages, Netlify oder einem einfachen Hoster. Eine Seite mit deiner Notfall-E-Mail-Adresse und einer kurzen Erklärung reicht. Die Adresse dieser Ersatzseite vorab kommunizieren – auf deiner normalen Website verlinken und in der E-Mail-Signatur erwähnen.

Social Media als Notfallkanal. Falls du einen aktiven Social-Media-Kanal hast: Im Krisenfall kannst du dort schnell ein Statement posten. Vorteil: kein eigener Server, kein eigenes Hosting. Nachteil: nicht alle Kunden folgen dir dort.

Sicherheit bei alternativen Kanälen

Ein wichtiger Aspekt: Kriminelle nutzen Krisen aus. Wenn bekannt wird, dass du Opfer eines Angriffs geworden bist, versuchen Angreifer manchmal, sich als dich auszugeben und deine Kunden zu kontaktieren – mit gefälschten Bankdaten, mit der Bitte um Zahlungen oder mit Schadsoftware-Links.

Informiere deine Kunden deshalb ausdrücklich darüber, über welchen Kanal du sie kontaktierst – und dass sie misstrauisch sein sollen, wenn sie über andere Kanäle von jemandem kontaktiert werden, der vorgibt, du zu sein.

Sichere Wiederherstellung aus Backups – ohne erneute Infektion

Das größte Risiko beim Zurückspielen von Backups: Du spielst das Backup ein – und holst dabei die Schadsoftware gleich mit zurück.

Das Zeitfenster-Problem

Ransomware und andere Schadsoftware ist oft tagelang oder wochenlang auf einem System aktiv, bevor sie sich bemerkbar macht.1 Die Schadsoftware liegt still, erkundet das System, stiehlt Zugangsdaten – und schlägt erst dann zu, wenn der Angriff strategisch optimal ist. Das bedeutet: Ein Backup vom Vortag kann bereits infiziert sein.

Wie weit zurückgehen? Als Faustregel: mindestens 2–4 Wochen vor dem ersten Anzeichen der Infektion. Falls du nicht weißt, wann die Infektion begann, musst du das Einfallstor analysieren – Systemlogs, E-Mail-History, Browser-History – um den frühestmöglichen Infektionszeitpunkt einzuschätzen.

Der sichere Wiederherstellungsprozess

Schritt 1: Gerät vollständig neu aufsetzen Kein „Bereinigen" des infizierten Systems. Kein Antivirus-Scan, der die Schadsoftware „entfernt". Das einzige sichere Vorgehen ist: Festplatte formatieren, Betriebssystem neu installieren, alle Updates einspielen, bevor irgendwelche Daten zurückgespielt werden.

Schritt 2: Backup vor dem Zurückspielen prüfen Bevor Backup-Daten auf das neu aufgesetzte System kopiert werden, prüfe sie auf einem isolierten System oder mit einem aktuellen Virenscanner, der nicht Teil des kompromittierten Systems war. Ein Virenscanner auf einem infizierten System kann die Schadsoftware nicht zuverlässig erkennen – er könnte selbst kompromittiert sein.

Schritt 3: Daten schrittweise zurückspielen, nicht en bloc Spiele zuerst die Daten zurück, die du dringend brauchst. Prüfe das System nach jedem Schritt. Wenn du alles auf einmal zurückspielst und die Infektion erneut auftritt, weißt du nicht, welche Datei die Ursache war.

Schritt 4: Einfallstor schließen, bevor du online gehst Bevor das neu aufgesetzte System mit dem Internet verbunden wird: Das Einfallstor muss bekannt und geschlossen sein. Wenn der Angriff über eine veraltete Software kam – diese Software entweder aktualisieren oder nicht wieder installieren. Wenn der Angriff über kompromittierte Zugangsdaten kam – alle Passwörter ändern, bevor das System online geht.

Schritt 5: Passwörter auf einem anderen Gerät ändern Die Zugangsdaten, die auf dem infizierten System gespeichert waren, müssen als kompromittiert gelten – auch wenn Ransomware „nur" verschlüsselt hat und nicht sichtbar gestohlen hat. Moderne Ransomware exfiltriert in der Regel Daten, bevor sie verschlüsselt. Ändere alle Passwörter von einem sauberen Gerät aus, bevor das wiederhergestellte System zum Einsatz kommt.

Schritt 6: Offline-Backup für die Wiederherstellung verwenden Backups, die mit dem kompromittierten System synchronisiert wurden, könnten ebenfalls Schadsoftware enthalten. Das ist der konkrete Grund für die 3-2-1-1-0-Regel mit einer Offline-Kopie: Ein Backup, das nie mit dem infizierten System verbunden war, ist das einzige, dem du im Wiederherstellungsfall wirklich vertrauen kannst.

Ransomware und Erpressung – die kritischen Entscheidungen

Zahlen oder nicht zahlen?

Die klare Empfehlung aller Behörden – BSI, BKA, Europol, FBI – lautet: Nicht zahlen.2

Die Gründe: - Zahlung garantiert keine Entschlüsselung. Kriminelle sind nicht vertragsgebunden. - Zahlung macht dich zum bekannten Zahler und damit zum wiederholten Ziel. - Zahlung finanziert weitere kriminelle Aktivitäten. - In manchen Fällen ist der Entschlüsselungsschlüssel ohnehin defekt – selbst nach Zahlung bleiben die Dateien unlesbar. - Manche Ransomware-Varianten haben kostenlose Entschlüsselungstools – prüfe nomoreransom.org, bevor du irgendeine Entscheidung triffst.

Es gibt Ausnahmesituationen, in denen Unternehmen zahlen – etwa wenn Menschenleben auf dem Spiel stehen (Krankenhäuser) oder wenn die Geschäftsaufgabe die einzige Alternative wäre. Für Soloselbständige ist das in der Regel nicht der Fall, wenn Backups existieren.

Der Kontakt mit den Erpressern

Kommuniziere nicht mit den Erpressern, ohne vorher rechtlichen Rat eingeholt zu haben. Jede Kommunikation kann deine rechtliche Position beeinflussen. Insbesondere: Keine Zahlungszusagen, keine Verhandlungen über die eigentliche Lösegeldhöhe, keine Preisgabe von Informationen über deine Datenlage oder Versicherungssituation.

Falls du doch kommunizierst: Dokumentiere jeden Austausch vollständig. Diese Dokumentation ist für Strafverfolgungsbehörden wertvoll.

Die Drohung mit Veröffentlichung im Darknet

Moderne Ransomware-Angriffe folgen oft einem doppelten Erpressungsschema (Double Extortion): Die Dateien werden verschlüsselt und gestohlen. Die Erpresser drohen dann, die gestohlenen Daten im Darknet zu veröffentlichen, wenn nicht gezahlt wird. Das ist eine andere Qualität als reine Dateiverschlüsselung – weil sie nicht durch Backup-Wiederherstellung gelöst werden kann.

Was tun, wenn mit Darknet-Veröffentlichung gedroht wird:

Erstens: Die Drohung ernst nehmen, aber nicht in Panik verfallen. Nicht alle Drohungen werden umgesetzt – Erpresser haben ein Interesse daran, dass du zahlst, nicht daran, deine Daten zu veröffentlichen.

Zweitens: Sofort rechtlichen Rat einholen. Ein auf IT-Recht und Datenschutz spezialisierter Anwalt kann einschätzen, welche rechtlichen Optionen bestehen und wie die Kommunikation mit den Erpressern gestaltet werden sollte.

Drittens: Die Datenschutz-Meldepflicht auslösen. Wenn Kundendaten gestohlen wurden – und eine glaubhafte Drohung zur Veröffentlichung das nahelegt –, greift Art. 33 DSGVO. Die 72-Stunden-Frist läuft ab dem Zeitpunkt, zu dem du Kenntnis von der möglichen Datenpanne hattest. Eine plausible Drohung mit Datendiebstahl begründet diese Kenntnis.

Viertens: Betroffene Kunden informieren, wenn ein hohes Risiko besteht. Das ist rechtlich geboten (Art. 34 DSGVO) und auch im eigenen Interesse – Kunden, die durch eine Nachricht von dir informiert werden, reagieren anders als Kunden, die ihre Daten selbst im Darknet oder in einer Pressemeldung entdecken.

Fünftens: Die Strafanzeige erstatten. Die ZAC der Landeskriminalämter hat Erfahrung mit Double-Extortion-Fällen. Eine Anzeige verhindert zwar nicht die Veröffentlichung, schafft aber eine offizielle Dokumentation und kann in manchen Fällen zu einer Festnahme der Täter führen.

Sechstens: Zahlung ist auch hier keine verlässliche Lösung. Es gibt keine Garantie, dass gestohlene Daten nach Zahlung tatsächlich gelöscht werden. Erpresser, die einmal zahlendes Opfer gefunden haben, kommen erfahrungsgemäß zurück.

Darknet-Monitoring

Es gibt Dienste, die das Darknet nach gestohlenen Datensätzen durchsuchen und Alarm geben, wenn eigene Daten auftauchen. Für Soloselbständige ist das in der Regel kein regelmäßiges Monitoring wert – aber im Krisenfall, wenn ein Datendiebstahl vermutet wird, können spezialisierte Dienstleister einmalig prüfen, ob Daten bereits kursieren. Das BSI und die ZAC können entsprechende Hinweise geben.

Checkliste: Krisenmanagement

Vorbereitung (jetzt, nicht im Notfall)

  • Kontaktdaten der zuständigen Landesdatenschutzbehörde sind im Notfalldokument.
  • Kontaktdaten der ZAC meines Bundeslandes sind im Notfalldokument.
  • BSI-Warnmeldungen sind abonniert (bsi.bund.de).
  • Ein IT-Dienstleister mit Incident-Response-Erfahrung ist identifiziert und seine Nummer im Notfalldokument.
  • Eine zweite E-Mail-Adresse bei einem anderen Anbieter ist eingerichtet und meinen wichtigsten Kunden bekannt.
  • Eine Offline-Kundenliste (Name, E-Mail, Telefon) ist aktuell und offline verfügbar.
  • Meine wichtigsten Kunden kennen meine Telefonnummer für den Notfall.
  • Mein aktuellstes Backup liegt offline – nicht synchronisiert mit dem Primärsystem.

Im Krisenfall

  • Betroffenes Gerät sofort vom Netz getrennt (Kabel, WLAN, Bluetooth).
  • Cloud-Synchronisation von anderen Geräten pausiert.
  • Dokumentation des Vorfalls gestartet (was, wann, was getan).
  • Analyse: Welche personenbezogenen Daten sind betroffen?
  • Datenschutzbehörde informiert, wenn Datenpanne vorliegt (72-Stunden-Frist, Art. 33 DSGVO).
  • Strafanzeige erstattet (Aktenzeichen notieren).
  • Cyber-Versicherung informiert.
  • Betroffene Kunden informiert – proaktiv, ehrlich, konkret.
  • Passwörter von einem sauberen Gerät aus geändert.

Bei Ransomware zusätzlich

  • nomoreransom.org geprüft – gibt es ein kostenloses Entschlüsselungstool?
  • Nicht gezahlt ohne vorherigen rechtlichen Rat.
  • Kommunikation mit Erpressern dokumentiert.
  • Bei Double-Extortion-Drohung: Anwalt und ZAC kontaktiert.

Wiederherstellung

  • Einfallstor identifiziert und geschlossen, bevor das System wieder online geht.
  • System vollständig neu aufgesetzt – kein Bereinigen ohne Neuinstallation.
  • Backup aus dem Zeitraum vor der Infektion verwendet.
  • Backup vor dem Zurückspielen auf Schadsoftware geprüft.
  • Alle Passwörter geändert, bevor das System produktiv genutzt wird.

  1. BSI, Lagebericht IT-Sicherheit 2024: „Die Bereinigung betroffener Netzwerke kann abhängig von der Größe des betroffenen Netzwerks Monate in Anspruch nehmen." Zur Verweildauer vor dem Angriff: Incident-Response-Analysen dokumentieren Zeiträume von mehreren Tagen bis Wochen zwischen Erstzugang und Verschlüsselung. Quelle: BSI, „Ransomware-Bedrohungslage 2022": bsi.bund.de; eye.security, Praxisbericht 2025: eye.security/blog 

  2. BSI: „Die Behörde empfiehlt, der Zahlungsaufforderung nicht nachzukommen." BKA: „In jedem Fall gilt bei Ransomware-Angriffen: Zahlen Sie kein Lösegeld!" Europol unterstützt das No-More-Ransom-Projekt mit derselben Empfehlung. Quellen: BSI, bsi.bund.de/ransomware; BKA, Warnhinweis Ransomware, bka.de; nomoreransom.org