Stellen Sie sich vor: Montagmorgen, 7:42 Uhr. Ihr IT-Leiter ruft an. Die Server sind verschlüsselt, die Produktion steht still, Kundendaten sind möglicherweise abgeflossen. Was tun Sie in den nächsten 60 Minuten?
Diese Situation ist kein hypothetisches Szenario mehr. Laut dem aktuellen Cyber Security Report werden deutsche Unternehmen mittlerweile mit durchschnittlich 1.345 Cyberangriffen pro Woche konfrontiert. Der jährliche Gesamtschaden liegt bei über 200 Milliarden Euro – und trifft den Mittelstand besonders hart.
Warum klassische IT-Sicherheitskonzepte allein nicht reichen
Die unbequeme Wahrheit: Kein Sicherheitskonzept bietet hundertprozentigen Schutz. Auch nicht das beste.
Firewalls, Endpoint-Detection, Awareness-Trainings – all das ist wichtig und richtig. Aber es reicht nicht. Cyberkriminelle nutzen zunehmend KI-gestützte Angriffsmethoden, die herkömmliche Schutzmechanismen unterlaufen. Phishing-Mails sind grammatisch perfekt, Deepfakes imitieren Geschäftsführer am Telefon, und Ransomware-Gruppen operieren mittlerweile wie professionelle Dienstleistungsunternehmen mit eigenen Helpdesks und Verhandlungsteams.
Für mittelständische Unternehmen ergibt sich daraus ein besonderes Dilemma: Die Bedrohungen sind dieselben wie bei Großkonzernen, die Ressourcen aber nicht. Ein eigenes Security Operations Center mit 24/7-Besetzung ist für ein Unternehmen mit 50 bis 500 Mitarbeitern schlicht nicht wirtschaftlich.
Genau deshalb braucht es neben der Prävention einen durchdachten Reaktionsplan – einen Notfallplan, der greift, wenn die Prävention versagt hat.
Die ersten 60 Minuten: Was Sie bei einem Cyberangriff sofort tun müssen
Die Reaktion in der ersten Stunde entscheidet über das Ausmaß des Schadens. Hier die entscheidenden Schritte:
1. Ruhe bewahren und Situation erfassen
Klingt banal, ist aber der häufigste Fehler: In Panik werden Systeme heruntergefahren, die noch nicht betroffen sind, oder – schlimmer – Beweise vernichtet. Bevor Sie irgendetwas tun, verschaffen Sie sich einen Überblick:
Welche Systeme sind betroffen?
Gibt es bereits eine Lösegeldforderung?
Seit wann besteht das Problem (erste Anzeichen)?
Sind Backups erreichbar?
2. Betroffene Systeme isolieren – nicht abschalten
Ein häufiger Reflex ist der Komplett-Shutdown. Das ist in den meisten Fällen kontraproduktiv. Besser: Betroffene Systeme gezielt vom Netzwerk trennen, aber weiterlaufen lassen. So bleiben forensische Spuren erhalten, und nicht betroffene Bereiche können den Betrieb aufrechterhalten.
3. Krisenstab einberufen
IT-Leitung, Geschäftsführung, Datenschutzbeauftragter, Kommunikationsverantwortlicher – diese Personen müssen sofort zusammenkommen. Wichtig: Kommunizieren Sie über separate Kanäle (Mobiltelefone, nicht die kompromittierte E-Mail-Infrastruktur).
4. Externe Incident-Response-Experten einschalten
Und hier kommen wir zum vielleicht wichtigsten Punkt: Die wenigsten mittelständischen Unternehmen haben intern die Kompetenz, einen laufenden Cyberangriff professionell zu bearbeiten. Ein spezialisiertes Incident-Response-Team kann innerhalb von Minuten remote mit der Lagebeurteilung beginnen und die richtigen Eindämmungsmaßnahmen einleiten.
Genau für solche Situationen haben wir gemeinsam mit DATA REVERSE® und Schneider & Wulf die Cyber-Notfall-Allianz gegründet. Die Zusammenarbeit vereint IT-Forensik, Incident Response und Datenrettung unter einem Dach. Ein Anruf genügt, und ein eingespieltes Expertenteam beginnt innerhalb von 20 Minuten mit den ersten Maßnahmen.
Was kostet eigentlich ein Cyberangriff? Die Zahlen, die viele unterschätzen
Die meisten Geschäftsführer denken bei Cyberangriff-Kosten an das Lösegeld. Tatsächlich macht das Lösegeld oft nur einen Bruchteil der Gesamtkosten aus. Die wahren Kostentreiber sind:
Betriebsausfall: Jeder Tag Stillstand kostet. Bei einem produzierenden Mittelständler mit 20 Millionen Euro Jahresumsatz sind das grob gerechnet 55.000 Euro – pro Tag. Dazu kommen Vertragsstrafen, entgangene Aufträge und Kunden, die zur Konkurrenz wechseln.
Wiederherstellung: Server neu aufsetzen, Daten wiederherstellen, Systeme härten. Allein die IT-Dienstleisterkosten liegen schnell im fünfstelligen Bereich.
Meldepflichten und Bußgelder: Seit der NIS2-Richtlinie und der DSGVO müssen Vorfälle innerhalb enger Fristen gemeldet werden. Wer das versäumt, riskiert empfindliche Strafen – und die persönliche Haftung der Geschäftsführung.
Reputationsschaden: Kaum bezifferbar, aber oft der langfristig teuerste Faktor. Kunden verlieren Vertrauen, Partner hinterfragen die Zusammenarbeit.
Wenn Sie sich einen konkreteren Eindruck verschaffen wollen, lohnt sich ein Blick auf den Schadens-Rechner auf Cybernotfall24.de. Dort können Sie anhand Ihrer Branche und Unternehmensgröße durchrechnen, welchen Unterschied eine strukturierte Incident Response gegenüber einem ungeplanten Komplett-Shutdown macht. Die Ergebnisse sind oft ernüchternd – aber genau deshalb wertvoll.
Praxisbeispiel: Wie ein Maschinenbauer den Totalschaden verhinderte
Ein konkretes Beispiel veranschaulicht den Unterschied: Ein Maschinenbauunternehmen mit 180 Mitarbeitern wurde über einen VPN-Zugang ohne Zwei-Faktor-Authentifizierung mit Ransomware infiziert. 12 Server und 115 Clients waren betroffen, Backups nur teilweise vorhanden.
Statt eines Komplett-Shutdowns wurde durch selektive Isolation vorgegangen. Ergebnis: Teile der Fertigung konnten weiterlaufen. Der potenzielle Schaden lag bei über 300.000 Euro – der tatsächliche konnte auf rund ein Drittel begrenzt werden. Die Wiederherstellung dauerte 3,5 statt der sonst üblichen 7 bis 10 Tage.
Der entscheidende Faktor? Es gab einen Plan. Und es gab Experten, die diesen Plan umsetzen konnten. Sofort. Nicht erst nach tagelanger Suche nach dem richtigen Dienstleister.
Der Notfallplan: Diese 7 Punkte sollte jedes Unternehmen vorbereitet haben
Warten Sie nicht, bis es soweit ist. Ein Cyber-Notfallplan ist wie eine Brandschutzordnung – er muss vorher stehen, nicht wenn es brennt.
1. Notfallkontakte definieren
Wer wird im Ernstfall angerufen? Interner IT-Leiter, externer IT-Dienstleister, Incident-Response-Team, Rechtsanwalt, Datenschutzbeauftragter, Cyberversicherung. Die Soforthilfe-Seite von Cybernotfall24.de bietet hier eine gute Orientierung, welche Schritte in welcher Reihenfolge anstehen.
2. Kommunikationswege festlegen
Wenn die E-Mail-Server verschlüsselt sind, brauchen Sie einen Plan B. Messenger-Gruppe auf privaten Handys, physische Telefonliste im Tresor – so einfach und so wichtig.
3. Backup-Strategie überprüfen
Das 3-2-1-Prinzip (drei Kopien, zwei Medien, eine extern) ist der Mindeststandard. Entscheidend: Testen Sie regelmäßig, ob Ihre Backups tatsächlich wiederherstellbar sind. Wir erleben immer wieder Fälle, in denen Backups jahrelang liefen – aber nie getestet wurden.
4. Meldepflichten kennen
DSGVO: 72 Stunden. NIS2: 24 Stunden Erstmeldung. BSI-Meldepflicht bei kritischen Infrastrukturen: unverzüglich. Wissen Ihre Führungskräfte, welche Fristen für Ihr Unternehmen gelten?
5. Rollen und Verantwortlichkeiten klären
Wer entscheidet über einen Shutdown? Wer kommuniziert nach außen? Wer koordiniert die Wiederherstellung? Diese Fragen müssen vorher geklärt sein.
6. Cyberversicherung prüfen
Viele Policen haben Meldefristen und Obliegenheiten, deren Nichteinhaltung zum Verlust des Versicherungsschutzes führt. Kennen Sie Ihre Bedingungen?
7. Regelmäßig üben
Ein Notfallplan, der in der Schublade liegt, ist wertlos. Führen Sie mindestens einmal im Jahr eine Tabletop-Übung durch, bei der Sie einen Cyberangriff simulieren.
Prävention und Reaktion gehören zusammen
In unserer Arbeit bei aconitas verfolgen wir den Ansatz der „digitalen Resilienz" – und das meint bewusst mehr als nur Prävention. Resilient ist ein Unternehmen, das Angriffe abwehren kann, aber auch auf den Fall vorbereitet ist, dass ein Angriff durchkommt.
Konkret heißt das für unsere Kunden:
Managed SOC für die 24/7-Überwachung der IT-Infrastruktur – weil Angreifer nicht nur zwischen 8 und 18 Uhr aktiv sind
Active Directory Audits als Härtung des Herzstücks jeder Unternehmens-IT
Pentests zur systematischen Schwachstellenanalyse, bevor Angreifer sie finden
Managed Firewall und Managed Backup als technische Grundabsicherung
Und falls trotzdem etwas passiert: Die Cyber-Notfall-Allianz auf Cybernotfall24.de als schnelle, professionelle Hilfe im Ernstfall. Denn Prävention und Reaktionsfähigkeit sind keine Gegensätze – sie sind zwei Seiten derselben Medaille.
Häufig gestellte Fragen
Betroffene Systeme vom Netzwerk isolieren (nicht abschalten), Krisenstab einberufen und sofort ein spezialisiertes Incident-Response-Team kontaktieren. Je schneller professionelle Hilfe verfügbar ist, desto geringer der Schaden.
In den meisten Fällen ja. Die DSGVO schreibt eine Meldung an die Datenschutzbehörde innerhalb von 72 Stunden vor, wenn personenbezogene Daten betroffen sind. Seit dem NIS2-Umsetzungsgesetz gelten für viele Unternehmen sogar 24-Stunden-Fristen für die Erstmeldung.
Die Kosten variieren stark, liegen aber im Schnitt im sechsstelligen Bereich. Ransomware-Schäden erreichen schnell 300.000 Euro und mehr, wenn man Betriebsausfall, Wiederherstellung und Folgekosten zusammenrechnet. Der Schadens-Rechner auf Cybernotfall24.de gibt hier eine erste Orientierung.
Eine Cyberversicherung ist eine sinnvolle Ergänzung, ersetzt aber keinen technischen Schutz. Viele Versicherer verlangen inzwischen ohnehin Mindeststandards wie MFA, regelmäßige Backups und Awareness-Schulungen als Voraussetzung für den Versicherungsschutz.
Die Cyber-Notfall-Allianz ist auf akute Cyberangriffe spezialisiert. Während ein regulärer IT-Dienstleister Ihre Systeme im Normalbetrieb betreut, bringt die Allianz gebündeltes Know-how in IT-Forensik, Datenrettung und Incident Response – rund um die Uhr, mit einer Reaktionszeit von 20 Minuten.
Fazit: Der beste Zeitpunkt für einen Notfallplan ist jetzt
Kein Unternehmen ist zu klein, um Ziel eines Cyberangriffs zu werden. Die Frage ist nicht ob, sondern wann. Und in dem Moment zählt nur eins: Waren Sie vorbereitet?
Drei Schritte, die Sie heute noch anstoßen können:
Prüfen Sie, ob Ihr Unternehmen einen aktuellen Cyber-Notfallplan hat – einen echten, nicht nur ein Dokument in der Schublade.
Nutzen Sie den Schadens-Rechner, um die potenziellen Kosten für Ihr Unternehmen zu kalkulieren.
Speichern Sie die Notfall-Nummer 0800-292 37 24 und informieren Sie Ihre Führungskräfte, dass es sie gibt.
Und wenn Sie Ihre IT-Sicherheit grundsätzlich auf ein neues Level heben wollen: Wir bei aconitas beraten Sie gerne – von der Bestandsaufnahme bis zur fertigen Cyber-Resilience-Strategie.
aconitas GmbH ist Mitgründer der Cyber-Notfall-Allianz und seit über 15 Jahren strategischer ICT-Partner für den deutschen Mittelstand. Unser Schwerpunkt: Digitale Resilienz durch die Kombination aus Cloud-Expertise, Cyber-Security und Managed Services.
