Incident Response · Wissen

Cyberangriffe erkennen – und im Ernstfall richtig handeln

Ein Überblick der wichtigsten Angriffsarten – von Ransomware über Phishing bis DDoS – mit typischen Erkennungszeichen und den ersten Maßnahmen für den Ernstfall. Im akuten Notfall gilt: Ruhe bewahren, betroffene Systeme isolieren (nicht ausschalten) und sofort Expertenhilfe holen.

Kurz erklärt

Cyberangriffe folgen wiederkehrenden Mustern. Wer die Angriffsart früh erkennt, gewinnt entscheidende Minuten. Die wichtigste Erstmaßnahme ist fast immer dieselbe: betroffene Systeme vom Netz trennen (nicht ausschalten), nichts überstürzt löschen, Beweise sichern und sofort ein Cyber Defense Center bzw. einen Incident-Response-Dienstleister einbinden.

Im akuten Notfall: Ruhe bewahren · isolieren, nicht ausschalten · nicht zahlen und nichts anklicken · Vorfall dokumentieren · 24/7-Soforthilfe anrufen.Zur Cyber-Soforthilfe
Verschlüsselung

Ransomware

Angreifer verschlüsseln Ihre Daten und fordern Lösegeld – oft zusammen mit Datendiebstahl (Double Extortion).

Erkennungszeichen

Unzugängliche Dateien mit neuer Endung, Erpresserbrief (z. B. readme.txt), plötzliche Ausfälle, gelöschte Backups.

Erste Schritte
  • Betroffene Systeme isolieren, aber nicht ausschalten.
  • Backups offline prüfen; kein Lösegeld ohne Rücksprache.
  • Vorfall dokumentieren, Meldepflichten prüfen (DSGVO 72 h / NIS2).
  • 24/7-Incident-Response einbinden.
Datendiebstahl

Datenerpressung (Extortion)

Daten werden gestohlen und mit Veröffentlichung erpresst – ganz ohne Verschlüsselung. Backups schützen hier nicht.

Erkennungszeichen

Ungewöhnliche Datenabflüsse, Erpresser-E-Mail mit Datenprobe, Eintrag auf einer Leak-Site.

Erste Schritte
  • Datenabfluss eingrenzen: was ist betroffen?
  • Nicht vorschnell zahlen – keine Garantie gegen Veröffentlichung.
  • DSGVO-Meldepflicht prüfen (Betroffene, Aufsicht).
  • Forensik und Rechtsberatung einbinden.
E-Mail-Betrug

Phishing & Spear-Phishing

Gefälschte E-Mails/Seiten stehlen Zugangsdaten oder schleusen Schadsoftware ein – Spear-Phishing ist gezielt personalisiert.

Erkennungszeichen

Dringlichkeit, gefälschte Login-Seiten, abweichende Absender/Domains, unerwartete Anhänge/Links.

Erste Schritte
  • Betroffenes Konto sofort sperren, Passwort + Sitzungen zurücksetzen.
  • MFA prüfen/erneuern; Postfach-Regeln kontrollieren.
  • Weitere Empfänger warnen, Mail sichern (nicht löschen).
  • Bei Klick/Anhang: Gerät isolieren und prüfen lassen.
E-Mail-Betrug

CEO-Fraud / BEC

Angreifer geben sich als Chef oder Lieferant aus und erwirken eilige Überweisungen oder Datenfreigaben (Business Email Compromise).

Erkennungszeichen

Ungewöhnliche Zahlungsbitte, geänderte Bankdaten, Zeitdruck, Kommunikation nur per E-Mail.

Erste Schritte
  • Zahlung stoppen / Bank sofort kontaktieren (Rückruf).
  • Anweisung über einen zweiten Kanal verifizieren.
  • Betroffene Postfächer auf Kompromittierung prüfen.
  • Anzeige erstatten; intern Zahlungsfreigaben schärfen.
Überlastung

DDoS-Angriff

Dienste werden mit Anfragen überflutet, bis Website oder Systeme nicht mehr erreichbar sind – teils als Ablenkung.

Erkennungszeichen

Plötzliche Nichterreichbarkeit, extremer Traffic-Anstieg, überlastete Firewalls/Server.

Erste Schritte
  • Provider / DDoS-Schutz aktivieren, Traffic filtern.
  • Nicht betroffene Systeme absichern (Ablenkungsgefahr).
  • Kommunikation vorbereiten (Status, Kunden).
  • Vorfall dokumentieren, Muster für Abwehr sichern.
Identität

Kontenübernahme

Gestohlene Zugangsdaten oder MFA-Ermüdung führen zur Übernahme von Konten – Einfallstor für weitere Angriffe.

Erkennungszeichen

Unbekannte Anmeldungen/Standorte, MFA-Push-Flut, neue Weiterleitungsregeln, gesperrte Nutzer.

Erste Schritte
  • Betroffene Konten sperren, Sitzungen/Tokens widerrufen.
  • Passwörter + MFA neu ausrollen (phishing-resistent).
  • Admin-Änderungen und Regeln zurücksetzen.
  • Verdächtige MFA-Neuregistrierungen prüfen.
Lieferkette

Supply-Chain-Angriff

Der Angriff kommt über einen Dienstleister, ein Software-Update oder einen IT-Partner (z. B. MSP) mit legitimem Zugang.

Erkennungszeichen

Auffälligkeiten nach Update/Fernwartung, ungewöhnliche Aktivität vertrauenswürdiger Zugänge.

Erste Schritte
  • Zugänge des Dienstleisters/RMM sofort prüfen und ggf. sperren.
  • Betroffene Systeme isolieren, laterale Bewegung annehmen.
  • Dienstleister informieren, Update-Quelle prüfen.
  • Forensik über die Vertrauensbeziehung hinweg.
Social Engineering

Vishing / Helpdesk-Betrug

Anrufer geben sich als Mitarbeiter oder IT-Support aus, um Passwort-Resets oder MFA-Freigaben zu erschleichen (z. B. Scattered Spider).

Erkennungszeichen

Anruf mit Zeitdruck beim Helpdesk, Bitte um Reset/MFA-Registrierung, ungewöhnliche Support-Anfragen.

Erste Schritte
  • Keine Resets/MFA ohne strenge Identitätsprüfung.
  • Helpdesk sofort sensibilisieren; verdächtige Vorgänge sperren.
  • Betroffene Konten prüfen, MFA-Neuregistrierungen zurücksetzen.
  • Vorfall dokumentieren und intern warnen.

Weitere Angriffsarten wie Zero-Day-Exploits, Insider-Bedrohungen oder Angriffe auf OT/ICS ordnen wir laufend ein – Profile konkreter Täter finden Sie im Threat Actor Hub. Im Ernstfall unterstützt Sie unser Cyber Defense Center rund um die Uhr.