Facebook-f Twitter Google Xing Linkedin

Cyberangriff auf mittlere und große Unternehmen – Wie richtig reagieren?

10. März 2025

Cyberangriffe treffen auch mittlere und große Unternehmen – und deren komplexe IT-Infrastrukturen stellen besondere Herausforderungen bei der Abwehr dar. In diesem Beitrag erfahren Sie, wie Unternehmen mit mehr als 20 Mitarbeitern gezielt vorgehen können: Von der präzisen Isolierung betroffener Netzwerksegmente und der Beweissicherung bis hin zum strukturierten Aufbau interdisziplinärer Taskforces und einer unverfänglichen Kommunikation mit Behörden und Dateninhabern.

Lesedauer: 5 Minuten (ca. 890 Wörter)

Hackerangriffe treffen mittlerweile alle Unternehmen. Dabei ist die Größe des Angriffsziels irrelevant. Schließlich hat jedes Unternehmen Geschäftsgeheimnisse, die es zu schützen gilt. Das Bundesamt für Sicherheit in der Informationstechnologie gibt regelmäßig überarbeitete Ratgeber heraus, die bei Sensibilisierung, dem Auffinden und der Bewältigung von Cyberangriffen hilfreich sind. Allerdings unterscheiden sich die Notfallmaßnahmen von mittleren bis großen Unternehmen von denjenigen kleinerer Unternehmen mit weniger als 20 Mitarbeitern. Wie also reagieren speziell mittlere und große Unternehmen richtig auf einen IT-Sicherheitsvorfall?

Im Gegensatz zu Unternehmen mit weniger als 20 Mitarbeitern, die häufig auf vereinfachte Notfallprozesse und externe IT-Dienstleister zurückgreifen, erfordert die Cybersecurity mittlerer bis größerer Unternehmen aufgrund ihrer komplexen IT-Infrastruktur, den verschiedenen Abteilungen und großen Datenmengen ein umfassenderes Krisenmanagement. Hier stehen Maßnahmen wie gezielte Netzwerksegmentierung, der Aufbau einer interdisziplinären Taskforce und Kommunikationsstrategien im Vordergrund.

Erste Schritte: Zielgerichtete Isolierung und Beweissicherung

Ein erfolgreicher Angriff beginnt oft unbemerkt. Sobald erste Hinweise auf einen Cyberangriff auftreten – wie z. B. verdächtige Fehlermeldungen, ungewöhnliche Logeinträge oder Ransomware-Meldungen –, muss sofort reagiert werden. Zunächst ist festzustellen, ob überhaupt ein Cyberangriff gegeben ist. Sofern dies verifiziert wurde, sollten die betroffenen Geräte isoliert werden. Infizierte Geräte müssen umgehend vom Netzwerk getrennt werden, um eine weitere Ausbreitung zu verhindern. Dies betrifft nicht nur Workstations, sondern auch Server, Speichersysteme und cloudbasierte Anwendungen sowie mobile Geräte!

Bereits zu Beginn der Abwehrmaßnahmen ist auch an die forensische Beweissicherung zu denken: Es sollte eine gerichtsfeste Sicherung der relevanten Logfiles, Systemprotokolle und Datenträger durchgeführt werden. Daten, Screenshots und Dokumentationen sind entscheidend für die juristische Aufarbeitung des IT-Cybervorfalls und für die mögliche Abwehr von Haftungsfragen.

Taskforce bilden – Koordination unter der Leitung der Geschäftsführung

Aufgrund der Tragweite eines Cyberangriffs reicht eine rein technische Reaktion nicht aus. Unternehmen sollten unmittelbar eine Taskforce unter Leitung der Geschäftsführung einrichten, die interdisziplinär besetzt ist. Neben der IT-Abteilung sollten hier u. a. Abteilungsleiter, der Datenschutzbeauftragte, der IT-Sicherheitsbeauftragte sowie Vertreter der Rechts- und Kommunikationsabteilung vertreten sein. In besonders kritischen Fällen kann auch die Einbindung externer IT-Forensiker oder spezialisierter Krisenberater erforderlich sein.

Diese Taskforce hat zwei Hauptaufgaben. Erstens muss sie die unmittelbare technische Bewältigung des Angriffs koordinieren, indem sie in Zusammenarbeit mit internen und externen IT-Sicherheitsspezialisten die Ursache identifiziert und Maßnahmen zur Wiederherstellung der Systeme einleitet. Zweitens muss sie das Business Continuity Management einsetzen, um sicherzustellen, dass essenzielle Geschäftsprozesse auch während der Störung weiterhin operativ bleiben oder so schnell wie möglich wiederhergestellt werden.

Meldepflichten und rechtliche Aspekte

Neben der internen Krisenbewältigung müssen Unternehmen auch ihre gesetzlichen Meldepflichten beachten. Falls durch den Hackerangriff personenbezogene Daten gefährdet wurden, greift die DSGVO, die eine Meldepflicht an die zuständige Datenschutzbehörde innerhalb von 72 Stunden vorsieht. Darüber hinaus können weitere Meldepflichten entstehen, beispielsweise nach dem IT-Sicherheitsgesetz (BSIG), wenn es sich um ein Unternehmen der Kritischen Infrastruktur (KRITIS) handelt. Neben den Meldepflichten an die Behörden, ist auch an die Meldepflicht gegenüber den Inhabern der personenbezogenen Daten zu denken. Die Voraussetzungen hierfür sollten genau geprüft werden, ob das betroffene Unternehmen auch dieser Meldepflicht unterliegt.

Eine falsche Mitteilung an die Dateninhaber könnte zu erheblichen – und vermeidbaren – Reputationsverlusten führen.

Auch die strafrechtliche Dimension sollte nicht vernachlässigt werden. Cyberangriffe können unter verschiedene Straftatbestände fallen, darunter das Ausspähen von Daten (§ 202a StGB) oder Computersabotage (§ 303b StGB). Unternehmen sollten daher eine Strafanzeige stellen – insbesondere dann, wenn Erpressungsversuche oder gezielter Datendiebstahl vorliegen.

Kommunikation: Transparenz und Krisenmanagement

Eng verbunden mit der Frage der Kommunikation mit den Behörden und den Dateninhabern ist die Frage, wie das angegriffene Unternehmen über den Cyberangriff kommunizieren soll. Dieser Punkt hat erheblichen Einfluss auf das Krisenmanagement.

Unsachgemäße Äußerungen können Kunden und Geschäftspartner verunsichern und ebenfalls zu Reputationsschäden führen. Zudem können unbedarfte Äußerungen in juristischer Hinsicht verfänglich sein und damit einer späteren Abwehr möglicher Haftungsfragen entgegengehalten werden. Intern sollte also frühzeitig eine klare und einheitliche Informationsstrategie definiert werden. Mitarbeiter müssen wissen, welche Systeme betroffen sind und wie sie sich verhalten sollen, um nicht versehentlich zur weiteren Ausbreitung des Angriffs beizutragen. Auch die externe Kommunikation muss professionell gesteuert werden. In vielen Fällen ist eine offizielle Pressemitteilung sinnvoll, um Gerüchten vorzubeugen und Vertrauen zu erhalten. Unternehmen sollten zudem frühzeitig mit betroffenen Kunden oder Geschäftspartnern in Kontakt treten, um Transparenz zu gewährleisten.

Fazit: akute Gegenmaßnahmen und präventive Cybersecurity

Ein Cyberangriff kann erhebliche wirtschaftliche und rechtliche Folgen haben. Wichtig sind daher die folgenden Maßnahmen:

  1. Implementierung des Business Continuity Managements
  2. Prüfung der Rechtslage (inkl. Meldepflichten)
  3. Wiederherstellung der IT-Systems und der Daten

Im Nachgang zur akuten Abwehr des Hackerangriffs ist auch die Prüfung der Rechtslage von Relevanz. Machen Kunden oder Geschäftspartner Schadensersatzforderungen geltend? Oder kann sich das Unternehmen etwa an Dritte wenden, die für den Cyberangriff (mit-)verantwortlich waren? Diese Fragen sind zu prüfen. An die eigentlichen Hacker gibt es in der Praxis kein Herankommen.

Abschließend gilt es auch, die langfristige Cybersecurity zu überdenken: Kein System ist hundertprozentig sicher. Entscheidend ist deshalb nicht nur, Angriffe zu verhindern, sondern auch, im Ernstfall richtig zu reagieren. Unternehmen, die frühzeitig auf ein strukturiertes Krisenmanagement setzen, sind besser gewappnet – und können so die Auswirkungen eines Cyberangriffs erheblich begrenzen.

Sie kommen aus Kiel oder Schleswig-Holstein und sind Ziel eines Cyberangriffs geworden? Oder Sie kommen aus dem übrigen Bundesgebiet und haben Fragen zu möglichen Haftung Ihres Unternehmens? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.

Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)

Auch interessant: Rechtliche Folgen eines Cyberangriffs

  • 10:00
Share on email
Share on whatsapp
Share on twitter
Share on xing

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Scroll to Top