Nach einem Cyberangriff in einem KMU zählen die ersten 24 Stunden. Es gilt, Systeme zu isolieren, Zugriffe abzusichern, Spuren zu dokumentieren, Zuständigkeiten und Kommunikationswege zu klären sowie die betroffenen IT-Systeme in einer sicheren Reihenfolge wieder betriebsfähig zu machen. Wer so handelt, begrenzt Schäden und Ausfallzeiten deutlich, stoppt Dominoeffekte und senkt damit die Folgerisiken.
Ein Cyberangriff beginnt selten in dem Moment, in dem ihn ein Unternehmen bemerkt. Häufig sind Angreifende bereits im E-Mail-Konto, in einer Cloud-Anwendung oder auf einem Endgerät aktiv, bevor für ein KMU die ersten Auffälligkeiten sichtbar sind. Genau deshalb meint die Formulierung «erste 24 Stunden» nicht den technischen Start des Angriffs, sondern die erste kritische Phase ab dem Zeitpunkt, an dem das Unternehmen den Vorfall erkennt oder ernsthaft vermutet.
Ein Angriff kann nachts starten und mehrere Stunden unbemerkt bleiben. Ein Ransomware-Vorfall zeigt sich zunächst manchmal nur als einzelner Dateifehler oder nachdem sich die Angreifer mit ihren Forderungen melden. Ein kompromittiertes Microsoft-365-Konto fällt oft erst auf, wenn Kunden merkwürdige Nachrichten melden.
Für KMU ist diese Unterscheidung entscheidend. Die ersten Stunden nach der Entdeckung prägen den weiteren Verlauf. Ein hektischer Neustart von Servern, ein vorschnelles Zurücksetzen von Konten oder unkoordinierte Informationen an Kunden verschärfen den Schaden oft zusätzlich. Ein geordneter Ablauf bringt das Unternehmen schneller zurück in eine handlungsfähige Lage und stellt die Cyber Security wieder her.
Woran erkennt ein KMU einen Cyberangriff oft zuerst?
Viele Unternehmen erwarten beim Thema Cyberangriff eine klare Lösegeldforderung, einen schwarzen Bildschirm oder einen Totalausfall der Systeme. In der Realität beginnt die Alarmphase oft unspektakulär. Ein Kunde meldet eine seltsame E-Mail. Eine Mitarbeiterin erhält unerwartete Anfragen für Multifaktor-Authentifizierungen (MFA). Ein Administrator entdeckt eine ungewohnte Weiterleitungsregel im Postfach. Oder Rechnungen tauchen plötzlich mit geänderten Kontodaten erneut auf.
Gerade diese unscheinbaren Anzeichen sind gefährlich, weil Mitarbeitende sie leicht als Einzelfall interpretieren können. Wer in dieser Phase zu lange zuwartet, verliert Zeit. Wer hingegen mehrere Hinweise als möglicherweise zusammenhängend wahrnimmt, erkennt schneller ein eigentliches Muster und typische Warnsignale:
- Verdächtige MFA-Anfragen oder Anmeldungen aus ungewohnten Ländern
- Merkwürdige E-Mails im Namen des eigenen Unternehmens
- Erneut versendete Rechnungen mit geänderter IBAN
- Plötzlich unlesbare oder verschlüsselte Dateien
- Unbekannte Weiterleitungsregeln im E-Mail-System
- Ungewöhnliches Verhalten von Admin-Konten
- Auffällige Exporte oder Downloads grosser Datenmengen
Besonders heikel sind kompromittierte E-Mail- und Microsoft-365-Konten. Wenn Angreifende Zugriff auf ein echtes Geschäftskonto haben, können sie Kommunikation mitlesen, Lieferanten täuschen, Zahlungsfreigaben beeinflussen und Informationen aus HR oder Finance missbrauchen. Genau deshalb reicht bei einem verdächtigen Konto ein schneller Passwortwechsel oft nicht aus.
1. Was ist in der ersten Stunde zu tun?
In den ersten 60 Minuten geht es nicht darum, bereits alles zu verstehen. Entscheidend ist, Bewegung aus dem Angriff zu nehmen. Systeme, Konten und Verbindungen dürfen nicht einfach weiterlaufen, bis genügend Klarheit herrscht, sonst gewinnt die angreifende Seite Zeit.
Die wichtigste Regel lautet deshalb: zunächst eingrenzen, erst danach reparieren. Ein KMU sollte in dieser Stunde vor allem die offensichtlich betroffenen Systeme trennen, kompromittierte Konten sperren und eine kleine, handlungsfähige Führungsrunde bilden. In vielen Unternehmen sind das Geschäftsleitung, interne IT oder externer IT-Partner und je nach Fall Verantwortliche für Datenschutz, Recht oder Betrieb.
| Priorität | Sofortmassnahme | Ziel |
|---|---|---|
| 1 | Betroffene Geräte und Systeme trennen | Ausbreitung stoppen |
| 2 | Kompromittierte Konten sperren | Weiteren Zugriff verhindern |
| 3 | Fernzugänge und Admin-Sessions prüfen | Seitliche Bewegung erschweren |
| 4 | Erste Spuren sichern | Analyse ermöglichen |
| 5 | Zentrale Entscheidungsrunde festlegen | Koordination sicherstellen |
Konkret bedeutet das, verdächtige Endgeräte vom LAN und WLAN zu nehmen, kompromittierte Benutzerkonten auf eine Sperrliste zu setzen, VPN- oder Fernwartungszugänge zu prüfen und erste Auffälligkeiten zu dokumentieren. Dazu gehören Screenshots, Uhrzeiten, Logins, Fehlermeldungen und Benutzerhinweise. Diese Informationen wirken in der Hektik des ersten Moments oft nebensächlich, sind später aber zentral für Analyse, Versicherung und allfällige Anzeige.
Was ein KMU in der ersten Stunde nicht tun soll
Viele Unternehmen reagieren zunächst mit überstürztem Aufräumen: Sie setzen Systeme neu auf, bereinigen Mailboxen oder löschen Logdaten. Genau dies vernichtet wertvolle Spuren und erschwert spätere Abklärungen. Folgende Schritte sollten in dieser ersten Phase nach Entdeckung des Cyberangriffs bewusst unterbleiben:
- Betroffene Systeme nicht vorschnell neu aufsetzen
- Logfiles nicht löschen
- Kompromittierte Mailboxen nicht «aufräumen»
- Verdächtige Dateien nicht ohne Sicherung entfernen
- Keine flächendeckenden Passwortwechsel ohne Priorisierung starten
Wer nach einem Cyberangriff an einen Tisch gehört
Ein Cyberangriff ist kein reines IT-Thema. Er betrifft Führung, Kommunikation, Finanzen und oft auch Verträge oder Personendaten. Deshalb braucht ein KMU jetzt keine grosse Sitzung, sondern die richtigen Rollen in einem kompakten Krisenteam:
- Geschäftsleitung für Prioritäten und Entscheidungen
- IT-Verantwortlicher (wenn vorhanden) für Eindämmung und technische Analyse
- Externer IT-Partner für zusätzliche Ressourcen und Spezialwissen
- Finanzen für Zahlungsprozesse und Rechnungsprüfung
- Kundenkontakt und Kommunikationsverantwortlicher für Rückfragen und die proaktive Kommunikation nach aussen
- Datenschutzverantwortliche oder juristische Fachperson, sobald Personendaten im Raum stehen
2. Welche Entscheidungen fallen in Stunde 2 bis 4?
Sobald die akute Ausbreitung gestoppt ist, braucht das Unternehmen ein belastbares erstes Lagebild. Jetzt geht es um Ausbreitung und Auswirkungen. Ein KMU muss wissen, ob nur ein einzelner Arbeitsplatz betroffen ist oder ob sich der Vorfall bereits auf Server, Dateiablagen, Cloud-Dienste, Zahlungsprozesse oder Kundenschnittstellen ausgedehnt hat.
Gerade in dieser Phase hilft eine klare Fragelogik. Wer alles gleichzeitig prüft, verliert Tempo. Wer sich zuerst auf Identitäten, Kommunikation und Geldflüsse konzentriert, reduziert die grössten Risiken am schnellsten. Besonders im Microsoft-365-Umfeld reicht ein einfacher Passwortwechsel selten aus. Es braucht den Blick auf Weiterleitungsregeln, versendete Nachrichten, neue Apps, verdächtige Geräte und privilegierte Rollen. In dieser Phase können zum Beispiel folgende Prüffragen relevant sein:
- Welche Systeme sind betroffen?
- Ist nur ein Arbeitsplatz kompromittiert oder auch ein Server?
- Sind E-Mail, Microsoft 365 oder Dateiablagen betroffen?
- Gibt es Hinweise auf Datenabfluss?
- Wurden Kunden-, Personal- oder Lieferantendaten berührt?
- Sind Backups vorhanden und intakt?
| Bereich | Was zu prüfen ist | Wirkung |
|---|---|---|
| Benutzer- und Admin-Konten | Verdächtige Logins, MFA, neue Geräte, Rollen | Verhindert weiteren Zugriff |
| E-Mail und Microsoft 365 | Weiterleitungen, missbrauchte Konten, versendete Nachrichten | Reduziert Folgeschäden |
| Fernzugang | VPN, Remote-Tools, offene Sessions | Stoppt seitliche Bewegung |
| Finanzprozesse | Offene Rechnungen, Kontodaten, Zahlungsfreigaben | Schützt vor Betrug |
| Backups | Verfügbarkeit, Integrität, letzte saubere Version | Schafft die Basis für Wiederherstellung |
Gerade bei Ransomware-Attacken (Schadsoftware mit Erpressung durch Angreifer) zeigt sich in dieser Phase, wie wichtig saubere Backups und ein belastbarer Disaster Recovery Plan sind. Ein Unternehmen braucht neben der eigentlichen Datensicherung auch Gewissheit darüber, welche Sicherung sauber ist, wie schnell eine Wiederherstellung möglich ist und welche Systeme zuerst Priorität haben. Genau dort schliesst der 24-Stunden-Plan an eine vorgängig aufbereitete Business-Continuity-Planung an: Die technische Analyse und die betriebliche Priorisierung müssen parallel laufen.
Wann spielen externe Ansprechpartner einer Rolle?
Spätestens nach den ersten technischen Sofortmassnahmen rückt die formelle Seite nach. Nicht jedes KMU steht sofort vor denselben gesetzlichen Pflichten. Trotzdem braucht jedes Unternehmen eine nachvollziehbare Entscheidung darüber, wen es jetzt sinnvoll einbezieht. Sobald Zahlungen manipuliert worden sein könnten, gehört die Bank auf die Liste. Sobald Verträge, Personendaten oder sensible Kundeninformationen betroffen sein könnten, braucht es eine datenschutzrechtliche und rechtliche Einordnung.
In vielen Fällen zählt vor allem die Reihenfolge. Zuerst das Lagebild, danach die gezielte Eskalation. Eine Bank profitiert früh von einem konkreten Hinweis auf mögliche Konten- oder Rechnungsmanipulation. Kunden profitieren früh von einer Warnung, wenn missbrauchte E-Mail-Konten im Umlauf sind. Interne Teams profitieren früh von eindeutigen Anweisungen, welche Systeme vorerst tabu bleiben.
Folgende externen Ansprechpartner sind je nach Art des Cyberangriffs einzubeziehen:| Prüffrage | Einbezug von entsprechenden Stellen |
|---|---|
| Sind Personen- oder Kundendaten betroffen? | Datenschutzverantwortliche, Rechtsberatung, evtl. Aufsichtsbehörde |
| Wurden Daten nur verschlüsselt oder auch kopiert? | IT-/Security-Partner. Bei Datenabfluss: Datenschutzverantwortliche |
| Gab es missbräuchliche Zahlungen oder neue Kontodaten? | Bank, gegebenenfalls Polizei und Cyberversicherung |
| Sind Kunden oder Lieferanten direkt betroffen? | Mutmasslich betroffene Kunden und Lieferanten. Rechtsberatung |
3. Was ist ab Stunde 5 bis 24 nach dem Cyberangriff zu tun?
Nach den ersten Abklärungen folgt die geordnete Stabilisierung. Viele Unternehmen wollen an diesem Punkt so schnell wie möglich wieder zur Normalität zurück. Genau dort lauert ein weiterer Fehler. Nicht alles muss sofort wieder laufen. Sinnvoller ist es, den Betrieb kontrolliert wieder handlungsfähig zu machen und die wichtigsten Prozesse in der richtigen Reihenfolge abzusichern.
Für viele KMU haben sich in dieser Phase dieselben Prioritäten bewährt. Zuerst zählt die Erreichbarkeit. Danach folgen Dokumente, Daten und Zahlungsprozesse. Anschliessend kommen Kundenservice und operative Kernabläufe. Sekundäre Systeme und Komfortfunktionen stehen weiter hinten.
- Kommunikation und Erreichbarkeit
- Zugriff auf kritische Dokumente und Daten
- Finanz- und Zahlungsprozesse
- Kundenservice und operative Kernabläufe
- Sekundäre Systeme und Komfortfunktionen
Parallel dazu braucht es eine klare interne Kommunikation. Mitarbeitende müssen wissen, welche Systeme vorerst tabu bleiben, welche Passwörter geändert wurden und wer für Rückfragen zuständig ist. Extern zählen bestätigte Informationen. Spekulation, Schönfärberei und zu frühe Entwarnung sind zu vermeiden, denn sie schaffen neue Risiken.
| Was bis Ende von Tag 1 feststehen sollte | Nutzen |
|---|---|
| Welche Systeme und Konten sind betroffen | Schafft Entscheidungsgrundlage |
| Welche Sofortmassnahmen umgesetzt sind | Verhindert Lücken und Doppelspurigkeiten |
| War bzw. ist Datenabfluss möglich | Steuert Datenschutz und Kommunikation |
| Wer führt intern, wer kommuniziert extern | Sorgt für Ruhe und Verbindlichkeit |
| Welche Systeme zuerst wiederhergestellt sind bzw. werden sollen | Stabilisiert den Betrieb kontrolliert |
In dieser Phase zeigt sich auch, wie eng Business Continuity und Disaster Recovery zusammenhängen. Business Continuity hält kritische Geschäftsprozesse wie Erreichbarkeit, Angebotswesen, Rechnungsfreigaben oder Zugriff auf HR-Unterlagen aufrecht. Disaster Recovery sorgt dafür, dass technische Grundlagen wie Server, Dateiablagen, Microsoft-365-Dienste oder Backup-Stände in einer sinnvollen Reihenfolge zurückkommen.
Welche Fehler kosten in den ersten 24 Stunden eines Cyberangriffs am meisten Zeit und Geld?
Nicht jeder Schaden entsteht durch den Angriff selbst. Ein erheblicher Teil entsteht durch die falsche Reaktion darauf. Besonders häufig sind zwei Extreme: zu langes Abwarten und hektischer Aktionismus. Wer wartet, gibt der angreifenden Seite Zeit. Wer übereilt reagiert, zerstört Spuren oder verschlechtert die Ausgangslage.
Häufige Fehler:
- Zu langes Abwarten, weil der Vorfall noch «nicht ganz sicher» scheint
- Vorschnelles Neuaufsetzen betroffener Systeme
- Kompromittierte Postfächer nur oberflächlich bereinigen
- Zahlungsprozesse und offene Rechnungen nicht sofort prüfen
- Kunden oder Partner zu spät informieren
- Den Vorfall als reines IT-Problem behandeln
Wie bereitet ein KMU den Ernstfall besser vor?
Der grösste Vorteil entsteht nicht im Angriff selbst, sondern davor. Ein KMU mit sauberem Rollenmodell, funktionierender MFA, definierten Alarmwegen, getesteten Backups und abgestimmten Kommunikationswegen reagiert deutlich ruhiger. Gerade in Microsoft 365 lohnt sich die Vorbereitung besonders: alte Freigaben bereinigen, Admin-Rollen prüfen, Weiterleitungen kontrollieren, Offline-Backups testen und die Disaster Recovery einmal realistisch durchspielen.
Auch externe Unterstützung kann hier einen grossen Unterschied machen. Ein auf Cyber Security spezialisierter IT-Partner ist in der Lage, bei Cyberattacken professionell vorzugehen. Mit proaktiven Managed-Service-Modellen wie Managed Cyber Security oder Managed M365 Security und eigener Mission Control erkennen IT-Dienstleister wie etwa care4IT sich anbahnende Cybergefahren frühzeitig. So können sie zeitnah entsprechende Gegenmassnahmen ergreifen, noch bevor sich eine eigentliche Cyberattacke ereignet.
Häufige Fragen zu Cyberangriffen in KMU
Beginnen die «ersten 24 Stunden» ab dem Angriff oder ab der Entdeckung?
Die entscheidende Phase startet ab der Entdeckung oder ab dem Moment, in dem ein Cyberangriff ernsthaft vermutet wird. Erst dann kann ein Unternehmen aktiv reagieren.
Reicht es, ein kompromittiertes Microsoft-365-Konto nur mit einem neuen Passwort zu sichern?
Nein. Zusätzlich gehören Weiterleitungsregeln, verdächtige Logins, neue Geräte, versendete Nachrichten, Apps und privilegierte Rollen auf die Prüfliste.
Soll ein betroffenes Gerät sofort neu gestartet oder neu aufgesetzt werden?
Nein. Zuerst zählen Eindämmung und Spurensicherung. Ein vorschneller Neustart oder ein Neuaufsetzen vernichtet oft Informationen, die für die spätere Analyse wichtig sind.
Wann muss die Bank informiert werden?
Sobald geänderte Kontodaten, manipulierte Rechnungen oder missbrauchte Zahlungsfreigaben im Raum stehen. In diesen Fällen zählt jede Minute.
