Cyberangriff im KMU: 24-Stunden-Notfallplan (inkl. Checkliste & Meldepflichten)

Kurzantwort: Was tun bei einem Cyberangriff?

Sofort handeln: Betroffene Systeme vom Netzwerk trennen, nicht ausschalten. Cyberversicherungs-Hotline anrufen (falls vorhanden). Nichts löschen oder verändern.

Innerhalb von 72 Stunden: Bei personenbezogenen Daten prüfen, ob Meldepflicht an die Datenschutzbehörde besteht. Forensik-Experten hinzuziehen. Kommunikation nach innen und außen koordinieren.

Wichtig: Die ersten 24 Stunden entscheiden oft darüber, ob sich der Schaden begrenzen lässt — oder ob er eskaliert.

---

Warum KMU besonders gefährdet sind

Cyberangriffe treffen längst nicht mehr nur Konzerne. Laut BSI-Lagebericht 2023 richten sich über 60 % der Ransomware-Angriffe gegen kleine und mittlere Unternehmen. Der Grund: KMU haben oft weniger IT-Ressourcen, aber wertvolle Daten — Kundenstamm, Buchhaltung, Produktionssteuerung.

Ein Handwerksbetrieb in Ettlingen, eine Arztpraxis in Pforzheim oder ein Maschinenbauer in Bruchsal — alle arbeiten heute digital. Und alle sind potenzielle Ziele.

Durchschnittliche Ausfallzeit nach Ransomware-Angriff: 21 Tage (Quelle: Coveware 2023)

Durchschnittlicher Schaden für KMU: 150.000 bis 500.000 Euro (inkl. Betriebsunterbrechung)

---

Der 24-Stunden-Notfallplan: 10 Schritte

Stunde 0–1: Sofortmaßnahmen

Schritt 1: Systeme isolieren, nicht ausschalten

Ziehen Sie Netzwerkkabel. Deaktivieren Sie WLAN. Aber: Rechner nicht herunterfahren — im Arbeitsspeicher können Spuren liegen, die Forensiker brauchen.

Schritt 2: Cyberversicherungs-Hotline anrufen

Wenn Sie eine Cyberversicherung haben: Jetzt anrufen. Die meisten Policen bieten eine 24/7-Notfall-Hotline. Der Versicherer koordiniert ab diesem Moment Forensik, IT-Dienstleister und bei Bedarf Krisenkommunikation.

Schritt 3: Nichts verändern oder löschen

Keine Dateien löschen. Keine Passwörter ändern (noch nicht). Keine Erpresser kontaktieren. Jede Veränderung kann Beweise zerstören.

Stunde 1–4: Krisenstab bilden

Schritt 4: Rollen verteilen

Bei kleinen Betrieben ohne eigene IT: Der Cyberversicherer vermittelt in der Regel sofort einen spezialisierten IT-Dienstleister.

Schritt 5: Ausmaß eingrenzen

Welche Systeme sind betroffen? Welche Daten? Gibt es Backups — und sind diese ebenfalls kompromittiert?

Stunde 4–12: Analyse und Meldepflichten

Schritt 6: Forensische Analyse starten

Externe Spezialisten sichern Beweise, identifizieren den Angriffsvektor und prüfen, ob der Angreifer noch im System ist.

Schritt 7: Meldepflichten prüfen

DSGVO-Meldepflicht: Wenn personenbezogene Daten betroffen sind und ein Risiko für Betroffene besteht, muss die zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden. In Baden-Württemberg ist das der Landesbeauftragte für Datenschutz.

Strafanzeige: Eine Anzeige bei der Polizei ist freiwillig, aber empfehlenswert. Die Zentrale Ansprechstelle Cybercrime (ZAC) beim LKA Baden-Württemberg ist auf solche Fälle spezialisiert.

*Hinweis: Dies ist keine Rechtsberatung. Im Einzelfall sollten Sie einen Fachanwalt hinzuziehen.*

Schritt 8: Betroffene informieren (wenn nötig)

Bei hohem Risiko für Betroffene (z. B. Bankdaten, Gesundheitsdaten) kann eine direkte Benachrichtigung der Betroffenen erforderlich sein.

Stunde 12–24: Wiederherstellung vorbereiten

Schritt 9: Kommunikation koordinieren

• Intern: Mitarbeiter informieren, klare Anweisungen geben
• Extern: Kunden, Partner, ggf. Presse — aber erst nach Abstimmung mit Forensik und ggf. Versicherer

Schritt 10: Wiederherstellungsplan erstellen

Welche Systeme haben Priorität? Gibt es saubere Backups? Wie lange dauert die Wiederherstellung realistisch?

---

Incident Response Checkliste zum Ausdrucken

Sofort (Stunde 0–1):

• Betroffene Systeme vom Netzwerk trennen
• Cyberversicherungs-Hotline anrufen
• Nichts löschen oder verändern
• Bildschirmfotos von Erpressermeldungen machen

Erste Stunden (1–4):

• Krisenstab einberufen
• Rollen verteilen (GF, IT, Datenschutz)
• Externe Forensik beauftragen (oder über Versicherer)
• Ausmaß des Angriffs eingrenzen

Bis Stunde 12:

• Forensische Analyse läuft
• Meldepflicht DSGVO prüfen (72-Stunden-Frist)
• Strafanzeige erwägen (ZAC LKA)
• Backup-Status klären

Bis Stunde 24:

• Interne Kommunikation an Mitarbeiter
• Externe Kommunikation vorbereiten
• Wiederherstellungsplan mit Prioritäten
• Dokumentation für Versicherung sichern

---

Was die Cyberversicherung im Ernstfall organisiert

Eine Cyberversicherung zahlt nicht nur Schäden — sie koordiniert die Krisenbewältigung. Das ist oft wertvoller als die reine Kostenerstattung.

Typische Leistungen im Schadenfall:

• 24/7-Notfall-Hotline: Sofortige Erreichbarkeit, auch nachts und am Wochenende
• IT-Forensik: Spezialisierte Dienstleister werden direkt beauftragt
• Krisenmanagement: Koordination aller Beteiligten
• Rechtsberatung: Unterstützung bei Meldepflichten und Haftungsfragen
• PR-Beratung: Professionelle Krisenkommunikation bei öffentlichkeitswirksamen Vorfällen
• Lösegeldzahlung: Einige Policen decken auch Ransomware-Zahlungen (umstritten, aber möglich)
• Betriebsunterbrechung: Ertragsausfall während der Wiederherstellung

Für KMU in der Region Karlsruhe, Pforzheim oder Rastatt bedeutet das: Sie müssen im Ernstfall nicht selbst einen IT-Forensiker in Stuttgart oder Frankfurt suchen — der Versicherer hat ein Netzwerk und handelt sofort.

Ob Ihre bestehende Police diese Leistungen enthält oder ob eine Cyberversicherung für Ihr Unternehmen sinnvoll ist, lässt sich in einem kurzen Gespräch klären. Cyber-Angebot anfragen

---

Häufige Fehler in den ersten Stunden

Fehler 1: Systeme sofort ausschalten

Dadurch gehen flüchtige Daten im Arbeitsspeicher verloren. Besser: Netzwerk trennen, Rechner laufen lassen.

Fehler 2: Mit Erpressern verhandeln — ohne Experten

Jede Kommunikation mit Angreifern sollte über erfahrene Verhandler laufen. Viele Cyberversicherungen stellen diese.

Fehler 3: Backup einspielen, bevor Ursache geklärt ist

Wenn der Angreifer noch im System ist, wird auch das Backup kompromittiert.

Fehler 4: Vorfall verschweigen

Meldepflichten ignorieren kann teuer werden — DSGVO-Bußgelder bis 20 Mio. Euro oder 4 % des Jahresumsatzes.

---

Häufige Fragen

Muss ich jeden Cyberangriff melden?

Nicht jeden. Eine Meldepflicht nach DSGVO besteht nur, wenn personenbezogene Daten betroffen sind und ein Risiko für die Betroffenen besteht. Die Frist beträgt 72 Stunden ab Kenntnis. Im Zweifel: Datenschutzbeauftragten oder Anwalt fragen.

Was kostet eine Cyberversicherung für KMU?

Die Prämien variieren stark nach Branche, Umsatz und IT-Sicherheitsniveau. Für einen Handwerksbetrieb mit 500.000 Euro Umsatz beginnen einfache Policen bei etwa 500–800 Euro jährlich. Umfassender Schutz mit hohen Deckungssummen kann deutlich mehr kosten.

Zahlt die Cyberversicherung auch bei Ransomware?

Die meisten Policen decken Ransomware-Schäden — also Betriebsunterbrechung, Wiederherstellung, Forensik. Ob auch Lösegeldzahlungen übernommen werden, hängt von der konkreten Police ab und ist rechtlich umstritten.

Brauche ich einen IT-Dienstleister vor Ort?

Im Ernstfall ist schnelle Reaktion wichtig. Ein lokaler IT-Dienstleister in Karlsruhe, Pforzheim oder Rastatt kann physisch vor Ort sein. Viele Cyberversicherungen arbeiten aber auch mit spezialisierten Remote-Forensikern, die sofort per Fernzugriff analysieren können.

Was ist der Unterschied zwischen Cyberversicherung und IT-Haftpflicht?

Die IT-Haftpflicht deckt Schäden, die Sie bei Dritten verursachen (z. B. als IT-Dienstleister). Die Cyberversicherung schützt Ihr eigenes Unternehmen vor Schäden durch Cyberangriffe — Eigenschäden, Betriebsunterbrechung, Krisenmanagement.

---

Nächster Schritt

Ein Cyberangriff trifft die meisten Unternehmen unvorbereitet. Mit einem klaren Notfallplan und der richtigen Absicherung lässt sich der Schaden begrenzen.

Prüfen Sie jetzt, ob Ihr Unternehmen ausreichend geschützt ist:

→ Cyber-Angebot anfragen

Oder wenn Sie erst einmal Fragen klären möchten:

→ Beratung vereinbaren