Cyber-Vorfall-Sofortmaßnahmen
Kaltstart-Rückfragen
- Art des Vorfalls — Ransomware (Bildschirmsperre, Erpressungsmail), Datenleck (Exfiltration personenbezogener oder geschäftlicher Daten), DDoS (Nichterreichbarkeit), kompromittierter Mitarbeiter-Account, Insider-Threat?
- Seit wann läuft der Vorfall — Zeitpunkt des Angriffs vs. Zeitpunkt der Entdeckung; Zeitdifferenz für DSGVO-72h-Frist relevant.
- Welche Datenkategorien betroffen — personenbezogene Daten (Kunden, Mitarbeiter, Patienten), Gesundheitsdaten Art. 9 DSGVO (erhöhter Schutz), Geschäftsgeheimnisse, KRITIS-Steuerungsdaten?
- Fällt Mandant unter NIS2UmsuCG — wichtige (§ 28 Abs. 2) oder besonders wichtige Einrichtung (§ 28 Abs. 1 BSIG n. F.)?
- Cyber-Versicherung vorhanden — Policennummer, Notfallhotline des Versicherers?
- Liegt eine Erpressungsforderung vor — Betrag, Kryptowährung, Zahlungsfrist, TOR-Kontaktadresse?
- Wurden bereits eigene Maßnahmen ergriffen (Abschaltung — problematisch für Forensik; Passwortzurücksetzung)?
- Ist Datenschutzbeauftragter involviert — wurde er bereits informiert?
- Was will der Mandant wirklich erreichen? (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist fuer den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)
Rechtsgrundlagen
DSGVO
- Art. 33 DSGVO — Meldung Aufsichtsbehörde binnen 72 Stunden nach Kenntnis; Inhalt: Art, Betroffene, Datenkategorien, wahrscheinliche Folgen, ergriffene Maßnahmen; vorläufige Meldung zulässig mit Nachreichung.
- Art. 34 DSGVO — Benachrichtigung Betroffener unverzüglich bei voraussichtlich hohem Risiko; Inhalt: Beschreibung Vorfall, Empfehlungen Selbstschutz.
- Art. 32 DSGVO — TOMs; Verletzung als Mitursache für Haftung Art. 82 DSGVO.
- Art. 83 Abs. 4 DSGVO — Bußgeld bei Verletzung Art. 32–34: bis 10 Mio. EUR oder 2 % weltweiten Jahresumsatzes.
BSIG / NIS2
- § 32 BSIG n. F. (NIS2UmsuCG) — erhebliche Sicherheitsvorfälle: Frühwarnung 24 Stunden, Vorfallsmeldung 72 Stunden, Abschlussbericht 1 Monat.
- § 28 BSIG n. F. — besonders wichtige und wichtige Einrichtungen: 18 Sektoren (Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung u. a.).
- § 65 BSIG n. F. — Bußgeld wichtige Einrichtungen bis 10 Mio. EUR oder 2 %; besonders wichtige bis 20 Mio. EUR oder 4 %.
Strafrecht
- § 202a StGB — Ausspähen von Daten; bis 3 Jahre Freiheitsstrafe.
- § 202b StGB — Abfangen von Daten.
- § 303a StGB — Datenveränderung; § 303b StGB — Computersabotage (qualifizierter Fall): bis 5 Jahre.
- § 261 StGB — Geldwäsche: Lösegeld bei sanktionierten Tätergruppen (Russland, Iran, Nordkorea) = Sanktionsrecht § 18 AWG.
Sonstiges
- § 87 BetrVG — Mitbestimmung Betriebsrat bei IT-Überwachungsmaßnahmen.
- § 9 GeschGehG — Sicherung von Geschäftsgeheimnissen bei Exfiltration.
- § 43 GwG — FIU-Meldung bei Geldwäscheverdacht durch Lösegeld.
Prüfschema / Zeitplan
| Zeit | Prüfschritt | Aktion | Norm |
|---|---|---|---|
| Stunde 0–1 | Erstkontakt + Bestätigung | Krisenstab einberufen; Mandant: Systeme NICHT abschalten | intern |
| Stunde 1–2 | Netzwerktrennung | Switch-Port deaktivieren; RAM-Dump; Log-Sicherung | Art. 32 DSGVO |
| Stunde 2–4 | Forensik beauftragen | AVV Art. 28 DSGVO; Chain-of-Custody beginnen | Art. 28 DSGVO |
| Stunde 4–8 | Betroffenheit personenbezogener Daten? | Datenkategorien + Anzahl Betroffener ermitteln | Art. 33 DSGVO |
| Stunde 8–12 | NIS2-Prüfung | Einrichtungsklassifikation; 24h-Frist läuft | § 32 BSIG n. F. |
| Stunde 12–24 | Frühwarnung BSI (NIS2) | Wenn anwendbar: BSI-Meldung über IT-Sicherheitsportal | § 32 Abs. 1 BSIG n. F. |
| Stunde 24–48 | DSGVO-Meldung vorbereiten | Entwurf Art. 33; Abstimmung DSB; Aufsichtsbehörde | Art. 33 DSGVO |
| Stunde 72 | DSGVO-Meldung einreichen | Online-Portal Aufsichtsbehörde; NIS2-Vorfallsmeldung BSI | Art. 33 DSGVO; § 32 BSIG n. F. |
| Tag 4–7 | Betroffene informieren | Bei hohem Risiko Art. 34 DSGVO; Massenmailing vorbereiten | Art. 34 DSGVO |
| Tag 4–7 | Strafanzeige | LKA Cybercrime; Forensik-Zwischenbericht beifügen | §§ 202a, 303b StGB |
| Tag 4–7 | Versicherer-Antrag | Cyber-Police; Unterlagen vollständig | AVB Cyber |
| Woche 2–4 | Forensik-Endbericht | Ursachenanalyse; Schwachstellen; Maßnahmenplan | intern |
| Monat 1 | NIS2-Abschlussbericht | BSI; vollständige Analyse | § 32 Abs. 3 BSIG n. F. |
Strategische Optionen (vor dem Template entscheiden)
Bevor das Template eins-zu-eins gefuellt wird, ist zu pruefen welche Variante zur Mandantenkonstellation passt. Das Template ist eine moegliche Form — nicht die einzige.
| Konstellation | Empfohlener Weg |
|---|---|
| Standard — Cyber-Vorfall IT-Recht Sofortmassnahmen | Sofortmassnahmen-Checkliste; Template unten |
| Variante A — Ransomware; kein Backup | Loesegeld-Zahlung vs. Strafbarkeitsrisiko abwaegen; BKA informieren |
| Variante B — Insider-Threat | Arbeitsrechtliche Massnahmen parallel; HR einbeziehen |
| Variante C — Supply-Chain-Angriff | Lieferantenvertrag pruefen; Regress gegen Dienstleister |
Wenn die Mandantenkonstellation nicht ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.
Schriftsatzbausteine
Notruf-Checkliste (Mandant)
Sofortmassnahmen Cyber-Vorfall — erste 2 Stunden
1. Krisenteam informieren:
- IT-Leitung: [...]
- Datenschutzbeauftragter: [...]
- Geschaeftsfuehrung: [...]
- Anwalt: [...]
- Forensik-Dienstleister: [...]
2. Systeme NICHT abschalten — nur Netzwerk trennen:
- Switch-Port deaktivieren (IT)
- WLAN abschalten
- VPN-Zugaenge sperren
3. Keine Loesegeld-Zahlung ohne Anwaltsruecksprache.
4. Keine externe Kommunikation ohne Freigabe.
5. Logdateien sichern (Kopie, unveraendert).
6. Erpressungsmail/Erpressungsnachweis sichern (Screenshot + Original).
DSGVO-Meldung Art. 33 (Muster)
An: [Landesdatenschutzbehoerde]
Betreff: Meldung Verletzung Schutz personenbezogener Daten
gemaess Art. 33 DSGVO
Verantwortlicher: [Unternehmen, Anschrift, DSB, Kontakt]
Datum/Uhrzeit Kenntnis: [TT.MM.JJJJ HH:MM]
Vorlaeufige Meldung: [ja / nein]
A) Art der Verletzung
Ransomware-Angriff / Datenleck / Unbefugter Zugriff durch Dritten.
Art der Verletzung: Vertraulichkeit [X] Integrität [X] Verfügbarkeit [X]
B) Betroffene Kategorien und Anzahl
Personenkategorien: Kunden / Mitarbeiter / Patienten
Datenkategorien: Name, Adresse, [ggf. Art. 9 DSGVO-Daten]
Anzahl Betroffene: ca. [Zahl] (Schaetzung; wird praezisiert)
C) Wahrscheinliche Folgen
Identitaetsdiebstahl / Phishing / Beruflicher Schaden / keine
schwerwiegenden Folgen erkennbar [Begruendung]
D) Ergriffene und geplante Massnahmen
- Netztrennung am [TT.MM. HH:MM]
- Forensik beauftragt am [Datum]
- Passwortzuruecksetzung [Datum]
- Benachrichtigung Betroffene geplant ab [Datum]
E) Kontakt fuer Rueckfragen
DSB: [Name, Tel, E-Mail]
[Ort, Datum, Unterschrift]
Strafanzeige (Skeleton)
An: Zentralstelle Cybercrime [Generalstaatsanwaltschaft Ort]
Strafanzeige gemaess § 158 StPO
Anzeigeerstatter: [Unternehmen, vertreten durch Anwalt]
Beschuldigter: Unbekannte Person(en)
Tatzeit: [Datum oder Zeitraum]
Tatort: Computersystem des Anzeigers, Server-Standort [Ort]
Sachverhalt:
Am [Datum] stellte der Anzeigeerstatter fest, dass seine IT-
Infrastruktur durch eine Ransomware-Schadsoftware kompromittiert
wurde. [Detailbeschreibung]
Straftatbestaende:
- § 202a StGB: Unbefugtes Ausspaehn der Daten
- § 303b StGB: Computersabotage durch Ransomware-Einsatz
- § 253 StGB: Erpressung durch Loesegeldforderung
Beweis- und Begleitunterlagen:
1. Forensik-Zwischenbericht [Anlage 1]
2. Erpressungsmail [Anlage 2]
3. Log-Auszuege (Hash: [Hash-Wert]) [Anlage 3]
Wir bitten um Bestaetigung des Eingangs und um Mitteilung des
Aktenzeichens.
[Unterschrift]
--- vor