Was du in den ersten 24 h nach einem Cyberangriff tun musst

28.01.2026
Erste 24 Stunden Cyberangriff: IT-ExpertIn analysiert Sicherheitsvorfall
Nach einem Cyberangriff zählt jede Minute.

Ein Cyberangriff kann ein Unternehmen innerhalb weniger Minuten komplett lahmlegen.
Ransomware, unbefugte Zugriffe, Datenklau – egal welcher Typ: Die ersten 24 Stunden entscheiden, ob der Schaden begrenzt wird oder aus dem Ruder läuft.

Bei GLOBALNETWORKS begleiten wir Firmen regelmässig in echten Inzident-Situationen. Dabei zeigt sich immer wieder: Wer schnell, klar und strukturiert handelt, kommt am besten durch die Krise.

Hier findest du die entscheidenden Schritte, die ein Unternehmen in den ersten 24 Stunden nach einem Angriff unbedingt tun sollte.

  1. Ruhe bewahren und den Vorfall bestätigen

Nicht jede Fehlermeldung oder Unterbrechung bedeutet automatisch einen Cyberangriff. Bevor du reagierst, musst du verstehen, was genau passiert ist. Eine schnelle Einordnung verhindert falsche Entscheidungen.

Was du tun solltest:

  • Identifiziere den Vorfalltyp (Ransomware, Phishing, Intrusion, Datenleak …).
  • Prüfe Alerts aus Security-Tools (EDR, Antivirus, Firewall, Mail Security).
  • Stelle fest, ob der Angriff noch aktiv ist.

  1. Betroffene Systeme isolieren (aber nicht ausschalten)

Ein häufiger Fehler ist, betroffene Geräte einfach auszuschalten.
Dadurch gehen wichtige Spuren verloren. Der richtige Weg: isolieren, aber eingeschaltet lassen. So verhinderst du die weitere Ausbreitung.

Wie du das machst:

  • Trenne befallene Systeme vom Netzwerk.
  • Sperre kompromittierte Accounts.
  • Deaktiviere temporär Remote-Zugriffe.

  1. Deinen Inzident-Response-Plan aktivieren

Wenn dein Unternehmen einen Plan hat, dann jetzt anwenden. Wenn nicht, wird es schnell chaotisch und teuer. Klare Rollen sparen wertvolle Zeit.

Ein guter Plan enthält:

  • Wer führet die Inzident-Response?
  • Wer muss informiert werden?
  • Welche Systeme sind kritisch und haben Priorität?
  • Wie wird intern kommuniziert?

  1. Nur die richtigen Personen informieren

Unkontrollierte Kommunikation verschlimmert die Situation. Gerüchte sind im Inzident-Fall giftig.

Empfehlungen:

  • Informiere nur Schlüsselpersonen (Management, IT, Security).
  • Teile keine ungeprüften Infos mit anderen Teams.
  • Bei möglichem Datenleck: rechtliche Meldepflichten prüfen.

  1. Ursache und Umfang des Angriffs bestimmen

Bevor du irgendetwas wiederherstellst, musst du wissen, wie der Angreifer hineingekommen ist und was er getan hat. Diese Infos bestimmen die nächsten Schritte.

Analysiere:

  • Angriffspunkt (Phishing, RDP, Schwachstelle, Malware …)
  • Welche Systeme betroffen sind
  • Ob Daten verschlüsselt, gelöscht oder gestohlen wurden
  • Zustand deiner Backups

  1. Deine Backups sichern und überprüfen

Backups sind oft die letzte Rettung – aber nur, wenn sie nicht kompromittiert wurden. Ohne sicheres Backup gibt es keine echte Recovery.

Was du tun musst:

  • Integrität der Backups prüfen.
  • Prüfen, ob es unveränderbare (immutable) Kopien gibt.
  • Backups isolieren, bevor du sie verwendest.

  1. Angriff eindämmen und entfernen

Sobald du den Einstiegspunkt kennst, musst du die Luecke schliessen. Diese Phase erfordert Ruhe und Präzision.

Schritte:

  • Schwachstellen patchen.
  • Kompromittierte Zugangsdaten widerrufen.
  • Malware und verdächtige Prozesse entfernen.
  • Logs analysieren, um weitere Aktivitäten zu erkennen.

  1. Systeme kontrolliert wiederherstellen

Niemals alles auf einmal wieder online bringen. Ein vorsichtiger Neustart verhindert erneute Infektionen.

Best Practices:

  • Priorität auf kritische Systeme legen.
  • Sicherstellen, dass die Umgebung sauber ist.
  • Nach der Wiederherstellung engmaschig monitoren.

  1. Alles dokumentieren

Jeder Schritt zählt – für:

  • spätere Analyse,
  • Versicherungen,
  • rechtliche Anforderungen,
  • und Verbesserungen im Prozess.

  1. Deine Sicherheitsstrategie aktualisieren

Nach einem Angriff ist vor dem nächsten. Jetzt gilt es, zu lernen und zu verbessern. Ein Angriff ist schmerzhaft, aber auch eine Chance.

Was du überarbeiten solltest:

  • Sicherheitsrichtlinien
  • Zugriffsrechte
  • Schulungen
  • Technologische Lösungen
  • Backup- und Recovery-Konzept

Die ersten 24 Stunden nach einem Cyberangriff sind entscheidend. Wer richtig reagiert, kann den Schaden massiv reduzieren und schnell wieder arbeitsfähig werden. GLOBALNETWORKS unterstützt dich dabei: Inzident zu managen, response-Pläne aufzubauen, deine Sicherheitsstrategie zu verbessern und realistische Szenarien zu trainieren

Vorheriger Artikel