Zum Inhalt

Krisenszenarien

Krisenszenarien – Konkrete Handlungsanweisungen

Szenario 1: Gerätediebstahl (Laptop und/oder Smartphone)

Erste 30 Minuten – von einem Fremdgerät aus:

  1. Polizei informieren und Anzeige erstatten – Aktenzeichen notieren, du brauchst es später.
  2. Laptop-Fernlöschung aktivieren: macOS über iCloud → „Wo ist?" → Gerät löschen. Windows über account.microsoft.com → Gerät suchen → Löschen.
  3. Smartphone-Fernlöschung aktivieren: iPhone über iCloud → „Wo ist?". Android über Google → „Mein Gerät finden".
  4. Passwörter aller auf den Geräten genutzten Dienste ändern – Priorität: E-Mail, Cloud, Passwort-Manager, Banking.
  5. 2FA-Codes sichern: Falls die 2FA-App auf dem gestohlenen Smartphone war, nutze die Backup-Codes aus dem Notfalldokument.
  6. Wichtige Kontakte und Kunden informieren, falls E-Mail-Zugang gefährdet ist.

Erste 24 Stunden:

  1. Neues Gerät beschaffen oder Leihgerät organisieren.
  2. Passwort-Manager auf neuem Gerät einrichten.
  3. 2FA-App auf neuem Gerät einrichten und alle Dienste neu verknüpfen.
  4. Backup-Wiederherstellung starten.
  5. Versicherung informieren (Hausrat, Cyber-Versicherung).
  6. Prüfen ob personenbezogene Kundendaten betroffen waren → ggf. Datenschutzbehörde informieren (Frist: 72 Stunden ab Kenntnis der Panne, Art. 33 DSGVO). Bei hohem Risiko für Betroffene zusätzlich diese direkt benachrichtigen (Art. 34 DSGVO). Kontaktdaten der zuständigen Behörde im Notfalldokument hinterlegt? → Siehe Kapitel DSGVO in der Praxis.

Szenario 2: Ransomware-Angriff

Ransomware verschlüsselt deine Dateien und fordert Lösegeld für die Entschlüsselung. Die klare Empfehlung aller Behörden: Zahle nicht. Die Zahlung garantiert keine Entschlüsselung, finanziert die Angreifer und macht dich zum wiederholten Ziel.

Das ist die Regel. In schweren Fällen – wenn unternehmenskritische Daten betroffen sind, keine Backups existieren oder eine Cyberversicherung involviert ist – sollte die Entscheidung jedoch immer zusammen mit einem spezialisierten Incident-Response-Dienstleister, rechtlicher Beratung und dem Versicherer getroffen werden. Auch Strafverfolgungsbehörden können relevante Informationen zu bekannten Varianten haben.

Sofortmaßnahmen:

  1. Gerät sofort vom Netzwerk trennen – Netzwerkkabel ziehen, WLAN deaktivieren. Das verhindert die Ausbreitung auf andere Geräte und NAS.
  2. Externe Festplatten und USB-Geräte trennen, falls noch nicht verschlüsselt.
  3. Gerät ausschalten – nicht neu starten, nicht weiter verwenden.
  4. Backup-Status prüfen: Liegt ein sauberes Backup vor, das vor dem Angriff erstellt wurde?
  5. IT-Fachmann hinzuziehen – Ransomware-Entfernung erfordert Expertise.

Wiederherstellung:

  1. Gerät neu aufsetzen – formatieren und Betriebssystem neu installieren. Niemals Ransomware-befallenes System bereinigen wollen, ohne Neuinstallation.
  2. Backup wiederherstellen – nur von einem Backup, das eindeutig vor dem Angriff liegt.
  3. Einfallstor identifizieren und schließen – wie kam die Ransomware rein? Phishing-Mail, unsichere RDP-Verbindung, veraltete Software?
  4. Passwörter aller Dienste ändern – Ransomware kann auch Zugangsdaten gestohlen haben.
  5. Anzeige erstatten – Ransomware ist eine Straftat.
  6. Versicherung und ggf. Datenschutzbehörde informieren. Bei unverschlüsseltem Gerät mit Kundendaten greift Art. 33 DSGVO: Meldung innerhalb von 72 Stunden. War das Gerät verschlüsselt, entfällt die Meldepflicht in der Regel – ein weiteres Argument für Geräteverschlüsselung. Siehe Kapitel DSGVO in der Praxis.

Tipp: Die Website nomoreransom.org – betrieben von Europol und Sicherheitsbehörden – bietet kostenlose Entschlüsselungstools für manche Ransomware-Varianten. Prüfe dort, bevor du aufgibst.

Szenario 3: Kontosperrung (E-Mail, Cloud, Webshop)

Sofortmaßnahmen:

  1. Prüfen ob es ein allgemeiner Ausfall ist – Statusseite des Anbieters aufrufen.
  2. Support kontaktieren – Telefon ist meist schneller als Ticket-System. Kundennummer und Zahlungsbelege bereithalten.
  3. Alternative Kommunikation aktivieren – Kunden und wichtige Kontakte über alternative Wege informieren.
  4. Prüfen ob lokale Kopien oder Backups verfügbar sind – arbeitsfähig bleiben.

Mittelfristig:

  1. Alle Schritte mit Support dokumentieren – Ticketnummern, Datum, Namen.
  2. Bei Verdacht auf Hackerangriff: Passwörter aller verknüpften Dienste ändern.
  3. Eskalation: Bei fehlendem Fortschritt an höhere Support-Ebene eskalieren oder rechtliche Schritte prüfen.

Szenario 4: Domain-Verlust oder -Ausfall

  1. DNS-Propagation abwarten – manche Ausfälle lösen sich von selbst.
  2. Registrar kontaktieren – Zugangsdaten aus dem Notfalldokument.
  3. Falls Domain abgelaufen: Sofort verlängern, Wiederherstellungsfrist beachten (meist 30 Tage nach Ablauf noch möglich, aber teurer).
  4. Falls Domain übernommen oder gehackt: Sofort Support kontaktieren und DENIC (für .de-Domains) einschalten.
  5. Temporäre Lösung: E-Mail über alternativen Anbieter umleiten, Website-Ausfall kommunizieren.

Szenario 5: Datenverlust (ohne Ransomware)

  1. Nicht in Panik verfallen und nicht weiter auf dem betroffenen Datenträger schreiben – jede Schreiboperation kann überschriebene Daten unwiederbringlich zerstören.
  2. Backup prüfen – gibt es eine Backup-Version der verlorenen Dateien?
  3. Papierkorb und Versionshistorie prüfen – Cloud-Dienste wie OneDrive oder Dropbox halten Versionen vor.
  4. Datenrettungssoftware – für lokal gelöschte Dateien gibt es Software, die noch nicht überschriebene Daten wiederherstellen kann.
  5. Professionelle Datenrettung – bei physisch defekten Datenträgern ist ein spezialisiertes Unternehmen nötig. Das ist teuer, aber bei kritischen Daten oft die einzige Option.
  6. DSGVO-Meldepflicht prüfen: Datenverlust ist eine Datenpanne im Sinne von Art. 33 DSGVO – auch dann, wenn keine unbefugte Person Zugang hatte. Entscheidend ist, ob personenbezogene Daten unwiederbringlich verloren gegangen sind. Sind Kundendaten, Mitarbeiterdaten oder andere personenbezogene Daten betroffen und nicht wiederherstellbar, greift die 72-Stunden-Meldepflicht gegenüber der Datenschutzbehörde. Konnten die Daten vollständig aus einem Backup wiederhergestellt werden, ist das Risiko in der Regel gering – aber die interne Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO bleibt bestehen. Kontaktdaten der zuständigen Behörde im Notfalldokument hinterlegt? → Siehe Kapitel DSGVO in der Praxis.

Szenario 6: Phishing – du hast auf etwas hereingefallen

Phishing ist das häufigste Einfallstor für nahezu alle anderen Krisenszenarien: Ransomware, Kontosperrung, Datenverlust. Der Moment, in dem du merkst, dass du auf eine gefälschte E-Mail hereingefallen bist oder Zugangsdaten auf einer falschen Website eingegeben hast, erfordert sofortiges Handeln – nicht Selbstvorwürfe.

Hintergründe zu Phishing-Methoden, Erkennungsmerkmalen und Prävention: Kapitel „Social Engineering & Phishing" in Teil 7.

Sofortmaßnahmen – die ersten 15 Minuten:

  1. Ruhe bewahren und schnell handeln – jede Minute zählt, aber Panik führt zu Fehlern.
  2. Passwort des betroffenen Dienstes sofort ändern – von einem anderen Gerät aus, falls du befürchtest, dass dein Hauptgerät kompromittiert ist.
  3. Alle aktiven Sitzungen beenden – das ist genauso wichtig wie die Passwortänderung. Wer mit gestohlenen Zugangsdaten eingeloggt ist, bleibt eingeloggt, bis die Session aktiv beendet wird. In den Sicherheitseinstellungen des Dienstes: „Alle Geräte abmelden" oder „Aktive Sitzungen beenden".
  4. 2FA neu einrichten – neuen TOTP-Schlüssel generieren, alte Backup-Codes für ungültig erklären.
  5. Auf Backdoors prüfen: Wurden E-Mail-Weiterleitungsregeln eingerichtet? Neue Admins oder Benutzer angelegt? Wiederherstellungsadressen geändert? OAuth-Verbindungen zu fremden Apps hinzugefügt? Diese stillen Hintertüren werden oft übersehen und ermöglichen Dauerzugriff trotz Passwortänderung.

Folgeschäden prüfen:

  1. Wurden von dem kompromittierten Konto E-Mails in deinem Namen versendet? Falls ja: betroffene Empfänger warnen.
  2. Wurden Zahlungen ausgelöst oder Bankdaten eingesehen? Sofort Bank informieren und Transaktionen prüfen.
  3. Wurden personenbezogene Kundendaten abgegriffen? → DSGVO-Meldepflicht nach Art. 33 DSGVO prüfen, Frist 72 Stunden. Siehe Kapitel DSGVO in der Praxis in Teil 4.
  4. War das kompromittierte Passwort auch bei anderen Diensten in Verwendung? → Passwörter dort ebenfalls sofort ändern. Das ist ein weiteres Argument für einen Passwort-Manager mit einzigartigen Passwörtern pro Dienst.
  5. Anzeige erstatten, wenn ein finanzieller Schaden entstanden ist oder Kundendaten abgeflossen sind.