Soforthilfe
Handeln Sie schnell und überlegt. So verhalten Sie sich bei einem IT-Sicherheitsvorfall richtig:
1. Ruhe bewahren
Bevor Sie etwas tun: Die Umsetzung von Maßnahmen muss gut überlegt sein, da sie sich auf die spätere Spurensicherung auswirkt. Machen Sie sich also zunächst einen Plan, holen Sie sich Unterstützung und leiten erst dann gezielte Maßnahmen ein. Klären Sie als erstes, ob es sich um einen Cyber-Angriff oder einen technischen Defekt handelt.
2. Verantwortlichkeit klären
Legen Sie als zweites eine Person als Verantwortliche fest, bei der alle Schritte zusammenlaufen und die den Überblick behält. Diese sollte bestenfalls über Sachverstand und entsprechende Befugnisse verfügen. Dies können IT-Verantwortliche oder jemand aus der Geschäftsführung sein.
3. Protokollieren
Dokumentieren Sie sowohl die einzelnen Vorkommnisse bei den betroffenen Systemen als auch bereits getroffene Maßnahmen. Nachvollziehbarkeit und Transparenz hilft Ihnen, den Überblick zu behalten und ist von Bedeutung für eine effektive Unterstützung durch Behörden und Dienstleister.
Für die Dokumentationen gelten die 4-W-Regel: Was – Wer – Wann – Warum.
4. Lagezentrum bilden
Informationen müssen an einem Ort zusammenlaufen – dem Lagezentrum. Dort befinden sich alle Personen, die Entscheidungen treffen müssen. Eine kontinuierliche und ungestörte Kommunikation ist immens wichtig. Lagezentren können digital aufgestellt werden, wenn nicht anders möglich. Besser ist eine physische Lokation, auch wenn es das Lager oder der Putzraum ist.
5. Lagebild erstellen
Eine offene Fehlerkultur ist ein zentraler Erfolgsfaktor des Krisenmanagements: Motivieren Sie Ihre Mitarbeiter, offen mit Fehlern und Versäumnissen umzugehen. Machen Sie sich ein Bild von der Gesamtlage, stoppen Sie Backup-Prozesse oder setzen Sie diese aus. Auffälligkeiten sollten hierbei weiter dokumentiert werden, machen Sie Snapshots von virtuellen Maschinen und Fotos von Bildschirmausgaben (Screenshots).
6. Behörden kontaktieren
Wenden Sie sich an Behörden. Diese verfügen über deutlich weitergehende technische und rechtliche Werkzeuge als Sie oder ein Dienstleistungsunternehmen, insbesondere zur Strafverfolgung, Forensik und Aufklärung.
Notfall-Kontaktstellen:
- Landeskriminalamt NRW: 0211 939-4040 – cybercrime.lka@polizei.nrw.de
- Bundeskriminalamt: 0611 55-15037 – zac@cyber.bka.de
- Verfassungsschutz NRW: 0211 871 2821 – wirtschaftsschutz@im1.nrw.de
7. Professionelle Hilfe
Ziehen Sie ein Dienstleistungsunternehmen Ihres Vertrauens hinzu, das Ihnen bei allen Aufgaben zur Eindämmung und Beseitigung des Vorfalls helfen kann. Bestehen Sie auf einen fest verantwortlichen, qualifizierten Ansprechpartner.
8. Kommunikation und Stellungnahmen
Sie sollten bei einem Sicherheitsvorfall genau abwägen, welche Informationen Interne und Externe erhalten müssen. Benachrichtigen Sie Ihre Mitarbeiter und bereiten Sie eine oder ggfs. mehrere Stellungnahmen vor, die Kunden, Partner und Öffentlichkeit informieren und einen Ansprechpartner benennen.
9. Meldepflicht
Im Fall von relevanten Datenschutzverletzungen sind Sie verpflichtet, den Vorfall innerhalb von 72 Stunden nach Bemerken des Vorfalls der zuständigen Datenschutzaufsichtsbehörde zu melden. Für Unternehmen in Nordrhein-Westfalen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit – kurz: LDI NRW – zuständig. Sie können die Meldung online über ein Kontaktformular vornehmen.
Weitere Informationen zum Thema Meldepflicht finden Sie auf der Homepage es Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI).
Tipp: Melden Sie den Vorfall außerdem der Allianz für Cybersicherheit. Hier wird Ihr Vorfall anonymisiert erfasst, um andere Unternehmen rechtzeitig zu warnen. Jede Meldung ist ein wertvoller Beitrag, um Cyber-Kriminalität in Deutschland zu bekämpfen.
Generelle Hinweise
Lösegeld
Wenn Sie erpresst werden, sollten Sie kein Lösegeld zahlen. Sie können nicht sicher sein, dass dies Ihr Problem löst und tragen außerdem dazu bei, dass es die Kriminellen bei Ihnen und anderen immer wieder versuchen werden. Erpressung ist eine Straftat – wenden Sie sich in diesem Fall an die Polizei.
Kommunikation
Falls ein Angriff auf Ihre Systeme erfolgreich war, heißt dies im Zweifel, dass die Kriminellen Zugriff auf alle Informationen erhalten haben kann – inkl. Unternehmensdaten, Telefone und Ihre E-Mails.
Vertrauliche Gespräche sollten nun ausschließlich über Ihre Mobilfunkgeräte geführt werden.
Weiterführende Informationen
Mehr Informationen und Handlungsempfehlungen im Fall eines Cyberangriffs finden Sie unter:
- SUSII – Cybersicherheitsinitiative der Polizei Köln in Zusammenarbeit mit dem eco-Verband der Internetwirtschaft e.V.
- Bundesamt für Sicherheit in der Informationstechnik
- Bundeskriminalamt
- Bereich Wirtschaftsschutz des Verfassungsschutzes NRW