Die ersten 60 Minuten im IT-Notfall

Was in der ersten Stunde nach einem Sicherheitsvorfall zählt — und welche gut gemeinten Reaktionen den Schaden vergrößern. Ein Leitfaden für den Mittelstand.

Ein verschlüsselter Server, eine Warnung vom Virenschutz, eine E-Mail vom eigenen Konto, die niemand geschrieben hat: Die erste Stunde nach der Entdeckung eines Sicherheitsvorfalls entscheidet oft darüber, wie teuer er wird. Nicht, weil dann alles gelöst sein müsste — sondern weil in dieser Stunde die meisten vermeidbaren Fehler passieren.

Was jetzt hilft

Beobachtungen festhalten. Notieren Sie, was wann aufgefallen ist: betroffene Systeme, Fehlermeldungen (am besten als Foto), ungewöhnliche Anmeldungen. Diese Angaben sind später die Grundlage der Ursachenanalyse — und sie gehen im Stress verlässlich verloren, wenn niemand sie aufschreibt.

Betroffene Systeme vom Netz trennen — nicht ausschalten. Ziehen Sie das Netzwerkkabel oder deaktivieren Sie WLAN, statt den Rechner herunterzufahren. Die Trennung stoppt eine mögliche Ausbreitung; das Ausschalten hingegen vernichtet flüchtige Spuren im Arbeitsspeicher, die für die Analyse gebraucht werden.

Zuständigkeit klären. Eine Person koordiniert, eine Person dokumentiert — auch wenn es dieselbe ist. Wichtig ist, dass nicht fünf Beteiligte gleichzeitig „irgendetwas versuchen“.

Einen sauberen Kommunikationsweg wählen. Wenn E-Mail oder Telefonanlage betroffen sein könnten, verabreden Sie einen Weg außerhalb der eigenen Systeme — etwa Mobiltelefon. Zugangsdaten und Details zum Vorfall gehören nicht in Systeme, denen Sie gerade nicht trauen.

Was jetzt schadet

Vorschnell neu aufsetzen. Ein neu installiertes System fühlt sich nach Lösung an — ist aber häufig keine: Die Ursache bleibt unentdeckt, der Eintrittsweg offen, und die Spuren sind weg. Neuaufsetzen ist ein später Schritt, kein erster.

Datensicherungen anfassen. Die letzte funktionierende Sicherung ist in diesem Moment das wertvollste Gut im Haus. Sie wird weder überschrieben noch „zur Probe“ auf betroffene Systeme zurückgespielt, bevor die Ursache verstanden ist.

Lösegeldforderungen beantworten. Falls es sich um Ransomware handelt: keine Kommunikation mit den Erpressern auf eigene Faust. Erst die Lage ordnen, dann — mit fachlicher und gegebenenfalls juristischer Begleitung — über Optionen sprechen.

Der geordnete Weg danach

Nach der ersten Stunde beginnt die eigentliche Arbeit, und sie folgt bei uns einem festen Ablauf: Erstbewertung, Eindämmung, Ursachenanalyse, Bereinigung, Wiederanlauf, Nachbereitung. Jeder Schritt ist beschrieben unter IT-Notfall: strukturierte Hilfe bei Sicherheitsvorfällen.

Und die ehrlichste Erkenntnis aus vielen Vorfällen: Die erste Stunde läuft dort ruhig ab, wo sie vorher einmal durchdacht wurde. Ein Notfallplan mit klaren Zuständigkeiten und eine Übung am Tisch kosten wenig — verglichen mit einer ersten Stunde im Blindflug.

← Alle Beiträge