Orientierungshilfe im Ernstfall

Bei einem Cyberangriff kommt es maßgeblich darauf an, wie die Geschäftsleitung in den ersten Stunden reagiert. Der folgende Krisenleitfaden gibt Orientierung.

1. Ausbreitung stoppen, Schaden begrenzen

Nach Bekanntwerden eines Angriffs muss zunächst eine weitere Ausbreitung verhindert werden. Infizierte Systeme sind zu isolieren, Zugänge gegebenenfalls zu sperren. Vorschnelle Lösch- oder Wiederherstellungsmaßnahmen sind riskant, da sie Beweise vernichten können. Eine saubere Analyse – intern oder mit externer IT-Forensik – bildet die Grundlage für alle weiteren Schritte.

Haftungsrelevanz: Unkontrolliertes Weiterlaufenlassen oder hektischer Aktionismus kann als Organisationsversagen gewertet werden.

2. Krisenführung auf Leitungsebene etablieren

Parallel zur technischen Eindämmung muss die Geschäftsleitung eine klare Krisenstruktur schaffen. Wer entscheidet? Wer kommuniziert intern und extern? Wer dokumentiert? Ein interdisziplinärer Krisenstab aus IT, Recht, Kommunikation und Management ist dabei Standard.

Wichtig: Die Geschäftsleitung muss sichtbar steuern. Eine vollständige Delegation an operative Einheiten oder Dienstleister genügt nicht.

Haftungsrelevanz: Die Geschäftsleitung muss zeigen können, dass sie die Lage aktiv gesteuert und nicht nur delegiert hat.

3. Rechtliche Einordnung und Meldepflichten prüfen

Frühzeitig ist zu klären, ob Meldepflichten bestehen, etwa nach Datenschutzrecht oder IT-Sicherheitsrecht. Insbesondere Datenschutzvorfälle unterliegen engen Fristen. Auch eine Strafanzeige, etwa bei Erpressung, sollte geprüft werden.

Diese Bewertung sollte nicht isoliert technisch, sondern juristisch begleitet erfolgen.

Haftungsrelevanz: Versäumte oder verspätete Meldungen sind ein klassischer Haftungs- und Bußgeldtreiber.

4. Kommunikation zentral steuern

Im Krisenfall ist Kommunikation ein Risikofaktor. Unkoordinierte Aussagen gegenüber Mitarbeitenden, Kunden, Partnern oder der Öffentlichkeit können rechtliche und wirtschaftliche Schäden erheblich vergrößern.

Auch die Kommunikation mit Angreifern – etwa bei Ransomware – darf nur abgestimmt und rechtlich begleitet erfolgen. Einzelaktionen einzelner Mitarbeitender sind unbedingt zu vermeiden.

Haftungsrelevanz: Fehlkommunikation kann oft mehr Schaden verursachen als der technische Vorfall selbst.

5. Wiederanlauf kontrolliert organisieren

Der Wiederanlauf der Systeme darf nicht übereilt erfolgen. Systeme sollten erst nach Prüfung wieder produktiv genommen werden, um Reinfektionen zu vermeiden. Geschäftskritische Prozesse sind zu priorisieren, nicht alles gleichzeitig.

Haftungsrelevanz: Ein unkontrollierter Neustart kann als sorgfaltswidrig bewertet werden, wenn er zu Folgeschäden führt.

6. Nachbereitung konsequent durchführen

Nach der akuten Phase ist der Vorfall systematisch aufzuarbeiten. Dazu gehören Ursachenanalyse, Dokumentation sowie die Anpassung von Sicherheitsmaßnahmen, Prozessen und Zuständigkeiten. Die Ergebnisse müssen auf Leitungsebene ausgewertet werden.

Haftungsrelevanz: Unternehmen, die aus Vorfällen keine strukturellen Konsequenzen ziehen, werden bei Folgeangriffen besonders streng beurteilt.