Checkliste Cyberangriff

Notfallpläne helfen

Was tun nach einem Cyberangriff?

Jeder Angriff ist unterschiedlich, aber ein im Unternehmen vorliegender Notfallplan sorgt bei einer Cyberattacke für ein koordiniertes zügiges Vorgehen. In jedem Fall sollte bei einem Cyberangriff neben den technischen Aspekten an folgende Punkte gedacht werden:
  • Notfall/Krisenteam informieren: IT -Verantwortlicher, Datenschutzbeauftragter, Rechtsabteilung, Compliance, Kommunikationsabteilung, ggf. weitere Personen: Die IT kann sich insbesondere darum kümmern, dass durch den Vorfall kein weiterer Schaden entsteht.
  • Festellen was genau passiert ist: Handelt es sich um einen vorsätzlichen Angriff? Dauert der Angriff noch an? Welche Systeme und welche Daten (zum Beispiel Kundendaten, Geschäftsgeheimnisse) sind betroffen?
  • Notfallmaßnahmen einleiten, Beweise sichern: Sowohl für die Strafverfolgung als auch für die Versicherung ist es wichtig, alle Beweise zu sichern.
  • Behörden informieren: Soweit eine Verletzung des Schutzes personenbezogener Daten vorliegt, muss unverzüglich (möglichst binnen 72 Stunden) die zuständige Aufsichtsbehörde informiert werden (Art 33 DSGVO). Es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
    • Es ist weiter zu prüfen, ob auch die betroffenen Personen benachrichtigt werden müssen oder eine Benachrichtigungspflicht entfällt (Art. 34 DSGVO). Soweit das Unternehmen Auftragsverarbeiter ist, müssen unverzüglich die datenschutzrechtlich Verantwortlichen informiert werden (Art.33 Abs.2).
    • In jedem Fall ist umfassend zu dokumentieren (Art. 33 Abs.5 DSGVO).
    • Außerdem muss geprüft werden, ob Strafverfolgungsbehörden eingeschaltet werden sollen. In Baden-Württemberg gibt es eine zentrale Ansprechstelle Cybercrime für Unternehmen und Behörden (ZAC) in Stuttgart.
  • Versicherung informieren: Prüfung, ob Versicherungsschutz besteht (z.B. Cyberversicherung, Betriebsausfall, Haftpflicht). Die Versicherung benötigt in der Regel schnell eine Schadensmitteilung. Prüfungen, ob es weitere Mitteilungspflichten gegenüber Geschäftspartnerinnen und -partnern, Auftragnehmerinnen und Auftragnehmern oder aufgrund von Compliance Regelungen bestehen? Achtung: für bestimmte Anbieter gibt es weitere Verpflichtungen: z. B. für Anbieter digitaler Dienste (BSI-Gesetz, aber Ausnahmen für kleine Unternehmen), Unternehmen, die kritische Leistungen in eigenen Anlagen erbringen (KRITIS) oder Betreiber von Telekommunikationsnetzen oder Kernenergieanlagen.
Auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik finden Sie weitere Hinweise und Checklisten oder cybercrime@polizei.bwl.de.