Was ist ein Sicherheitsvorfall? Definition & Soforthilfe
Danger
🚨 Du erlebst gerade Deinen Albtraum von einem Sicherheitsvorfall?
Ruf uns über den roten Notfallbutton oben rechts an.
Sicherheitsvorfall, Cybervorfall, Cyberangriff: Was ist das eigentlich und woran erkenne ich ihn?
In Deutschland gibt es keine klare Abgrenzung zwischen diesen Begriffen, sie werden häufig synonym verwendet. Gemeint ist meistens, dass ein Sicherheitssystem einen Alarm geschlagen hat und dieser von einem Analysten bestätigt wurde. Oft wird so etwas als "True Positive" bezeichnet.
Diese Alarme können aus vielen verschiedenen Quellen stammen, zum Beispiel aus den Intrusion-Detection-Systemen der Firewalls, aus der Anomalieerkennung moderner Extended-Detection-and-Response-Systeme (EDR) oder aus definierten Regeln eines Security-Information-and-Event-Management-Systems (SIEM).
Für viele kleine und mittlere Unternehmen sieht die Lebensrealität anders aus. IT muss einfach funktionieren und darf keine halbe Niere kosten. Statt Firewalls kommen hier oft Fritzboxen zum Einsatz, und Windows bringt ja den Defender mit, das muss reichen.
Diese Unternehmen bemerken einen Cybervorfall leider oft erst, wenn es zu spät ist, und meist erst, wenn es anderen auffällt:
- Kunden oder Lieferanten erhalten plötzlich gefälschte Mails mit merkwürdigen Links oder Viren, rufen an und fragen, was dahintersteckt.
- Die Webseite wurde verändert, zeigt unbekannte Werbung oder leitet auf fremde Seiten weiter.
- Auch die Presse ist oft schneller als gedacht und fragt beim betroffenen Unternehmen nach, was da los ist.
Wie entsteht ein Sicherheitsvorfall?
Es gibt nicht die eine Quelle von Sicherheitsvorfällen. Die häufigste ist der Mensch vor dem Bildschirm. Jede Interaktion eines Menschen kann zu Fehlern führen, und genau darauf zielen Angreifer ab.
Wenn ein Angreifer dadurch ins Unternehmen gelangt, nennen wir das eine Kompromittierung. Viele Begriffe aus der IT-Sicherheit stammen aus dem militärischen Kontext. Die Kompromittierung meint die Schwächung des Schutzes von Informationen, und der Schutz dieser Informationen ist die Hauptaufgabe moderner Security-Tools.
Welche Beispiele gibt es für Sicherheitsvorfälle?
Jeder Vorfall bei dem ein Angreifer einen Zugriff auf Daten erhält oder Daten verloren gehen sollte als Sicherheitsvorfall betrachtet werden.
Ein paar Beispiele, die Liste ist natürlich nicht abgeschlossen und nicht gewichtet.
- Ransomware: Daten werden gestohlen und verschlüsselt. Oft daran zu erkennen, dass die Dateiendungen plötzlich anders sind.
- Account Take-Over: Ein Angreifer stiehlt die Identität eines Users und loggt sich beispielsweise aus dem Ausland ein.
- Webseiten, die sich anders verhalten wie gewohnt. Unbekannte Werbung oder Weiterleitungen zum Beispiel: Webseite gehackt?
- Übernommene SSL-VPN Zugänge.
- Zahlungen an falsche IBANs nach manipulierten Rechnungen
- Klicks auf Links in Phishing E-Mails
Phishing: Von der harmlosen E-Mail zur Kontoübernahme
Jeder von uns kann Phishing-Mails erkennen. Das Problem ist: Wir klicken trotzdem.
Phishing-Mails zielen auf mehrere psychologische Faktoren ab. Oft wird mit zeitlichem Druck gearbeitet. Eine andere beliebte Taktik, insbesondere bei gefälschten Mails im Namen der Geschäftsführung (dem sogenannten CEO-Fraud), ist die vermeintliche Vertraulichkeit von Informationen. Wenn mir mein Chef etwas im Geheimen anvertraut, bin ich wertvoll. Jeder Mensch ist wertvoll, aber genau dieses Gefühl will der Angreifer auslösen. Wir denken in diesen Situationen nicht groß nach, sondern klicken einfach.
Ein aktuelles Beispiel einer Phishing-Mail im Namen von PayPal:

Hier kommt die erste der genannten Taktiken zum Tragen: Der Angreifer baut Druck auf. Wenn wir nicht innerhalb von 24 Stunden unseren Zugang verifizieren, werde das Konto vorsorglich eingeschränkt. Ist das Konto eingeschränkt, können wir es nicht nutzen und sind benachteiligt, wenn wir online bezahlen wollen.
Ein weiteres kleines Detail in dieser Mail ist das fettgedruckte "Passkey". Passkeys sind eine moderne Alternative zum Passwort. Hier rät der Angreifer schlicht, denn es soll als Vertrauenssignal wirken. Rät der Angreifer richtig, denkt der Nutzer womöglich: Schau mal, PayPal weiß ja, welche Authentifizierungsmethode ich nutze.
Diese Mail kommt nicht von PayPal.com, sondern in diesem Fall von support@mochabomoerane[.]co[.]za. Diese Domain hat nichts mit PayPal zu tun, aber genau für solche Mails kann ein übernommenes Postfach genutzt werden. Ein klassischer Fall eines Cyberangriffs.
In der Mail steckt ein Link "Zugang jetzt verifizieren", der zu einer odns[.]fr-Adresse führt. Dort werden dann die Zugangsdaten abgegriffen und anschließend das Konto leergeräumt.
Beliebte Ziele bei Sicherheitsvorfällen
Die meisten Angreifer sind heutzutage finanziell motiviert. Ob wie im Beispiel ein PayPal-Account angegriffen wird oder über einen mehrstufigen Prozess ein ganzes Unternehmen kompromittiert wird, ist dabei egal. Es unterscheiden sich oft nur der Schaden und der Aufwand für den Angreifer. Deswegen haben sich Angreiferbanden auf ihren jeweiligen Sweetspot spezialisiert.
Besonders prekär für KMU sind Ransomwarebanden. Sie verschlüsseln das Unternehmensnetzwerk und erpressen die Unternehmen anschließend, um die Dateien wieder freizugeben. Und auch hier gibt es kein "zu klein" mehr. Wir sehen, dass selbst vor Kindergärten nicht mehr haltgemacht wird. Seien wir ehrlich: Wie viel Lösegeld ist in einem einzelnen Kindergarten zu holen? Aber 1000 Opfer, die jeweils 1000 € zahlen, sind eben auch 1.000.000 €. Angreifer nutzen mittlerweile massenhaft KI, um ihre Angriffe zu automatisieren und skalierbar zu machen. Je weniger Aufwand ein einzelnes Ziel bedeutet, desto weniger "Umsatz" muss der Angreifer pro Opfer erzielen.
Besonders beliebt sind die E-Mail-Konten von Unternehmen, um darüber die Lieferkette anzugreifen. Wenn Du jede Woche mit Deinem Lieferanten kommunizierst und da plötzlich ein merkwürdiger Link auftaucht, klickt Dein Lieferant viel eher, als wenn der Absender unbekannt wäre.
Ebenfalls von großem Interesse sind VPN-Zugänge. Hierüber kann der Angreifer in Ruhe das Unternehmensnetzwerk ausspionieren und gegebenenfalls die Daten verschlüsseln. In diesem Fall handelt es sich um einen Ransomware-Angriff, für den wir einen eigenen Leitfaden für die ersten 60 Minuten nach einem Ransomware-Angriff haben. VPN-Angriffe haben in letzter Zeit durch einige Sicherheitslücken zugenommen, zum Beispiel in Firewalls von Fortinet.
Wie Du Dich mit einer soliden Backup-Strategie gegen genau dieses Szenario absicherst, erfährst Du in unserem Artikel Data Recovery für KMUs.
Das andere große Ziel sind Identitätskonten, beispielsweise das Microsoft-Konto. Je nach Konfiguration kann über dieses Konto auf SharePoint, OneDrive, Teams oder Ähnliches zugegriffen werden.
Was tun bei einem Sicherheitsvorfall? So verhältst Du Dich richtig
In der Hektik eines Vorfalls hilft eine klare Reihenfolge. Die folgende Checkliste gibt Dir die wichtigsten Schritte an die Hand, die Details zu jedem Punkt findest Du darunter.
- Ruhe bewahren. Angreifer wollen Stress auslösen, denn unter Stress passieren Fehler, die eher dem Angreifer helfen als Dir.
- Alles dokumentieren. Schreib auf, was Du wann, wie und warum getan hast. Fotos sind ideal, weil sie direkt einen Zeitstempel mitbringen.
- Cyberversicherung anrufen (falls vorhanden). Mehr dazu unter Cyberversicherungen.
- Hilfe holen, wenn Du sie brauchst. Wer Dich unterstützen kann, liest Du unter Wer kann mir helfen?.
- Vorfall bei der Datenschutzbehörde melden. Wie das geht, steht unter Wie melde ich einen Sicherheitsvorfall?.
- Zum Lagebild beitragen und das BSI informieren. Details unter Cybervorfall ans BSI melden.
Cyberversicherungen
Es ist möglich, eine Versicherung gegen die Folgen von Cyberangriffen abzuschließen. Eine spannende Entwicklung der letzten Jahre ist, dass die Anforderungen dieser Versicherungen von Jahr zu Jahr steigen. Mittlerweile fordern die ersten Cyberversicherer ein Security Operation Center (SOC), also eine Spezialabteilung, die ausschließlich auf Sicherheitsalarme reagiert und diese prüft. Für ein kleines Unternehmen ist das finanziell oft gar nicht stemmbar.
Der Markt hat darauf reagiert und bietet Managed-Detection-and-Response-Dienstleistungen (MDR) an. Dabei stellt ein Service-Provider ein SOC und bedient daraus mehrere Kunden. Teilweise wird sogar eine garantieähnliche Absicherung direkt mit angeboten.
Hier ist Vorsicht geboten: Manche Anbieter werben mit einer Schadensgarantie von bis zu einer Million. Solche Zusagen sind in der Praxis aber oft an strenge Bedingungen geknüpft. Typisch sind ein nahezu perfekter Sicherheits-Score der Systeme, kurze Fristen zum Einspielen von Updates, eine Pflicht zur Multi-Faktor-Authentifizierung (MFA), enge Meldefristen im Schadensfall und eine Deckelung pro betroffenem System. Die beworbene Maximalsumme erreicht damit nur, wer sehr viele Systeme hat und alle Bedingungen lückenlos erfüllt. Solche Garantien sind zudem rechtlich meist keine Versicherung, sondern eine freiwillige Zusage des Herstellers, die unter Umständen einseitig geändert oder zurückgezogen werden kann.
Lies hier immer das Kleingedruckte. Eine Hersteller-Garantie kann eine sinnvolle Ergänzung sein, ersetzt aber keine echte Cyberversicherung.
Versicherungen sind dennoch extrem hilfreich, denn bei einem echten Sicherheitsvorfall sind die Kosten oft immens. Eine Cyberversicherung übernimmt diesen Schaden komplett oder zu großen Teilen. Da immer mehr Unternehmen Opfer von Cyberangriffen werden, beginnen die Versicherer, ihr Risiko zu reduzieren, die Anforderungen zu verschärfen und die Preise zu erhöhen.
Wer kann mir helfen?
Jeder Sicherheitsvorfall und jedes Unternehmen ist anders.
Wenn Unternehmen operative Unterstützung bei einem Sicherheitsvorfall benötigen, sind spezialisierte Incident-Response-Dienstleister ein guter Partner. Diese kennen die Ausnahmesituation eines Cyberangriffs genau und wissen, was zu tun ist. Wir von Incident-Responder.com sind genau hierauf spezialisiert: das Eindämmen des Vorfalls und das Auffinden des Einfallstors. Wie ein Einsatz abläuft und was er kostet, erfährst Du auf unserer Seite zur Incident Response. Bist Du Dir noch unsicher, ob überhaupt ein ernster Vorfall vorliegt, hilft unsere Triage und Bewertung von IT-Notfällen bei der ersten Einschätzung. Wir unterstützen Unternehmen deutschlandweit remote, mit Schwerpunkt im Münsterland und im Osnabrücker Land.
Bei großen Konzernen oder Behörden ist teilweise die Aufarbeitung eines Sicherheitsvorfalls inklusive gerichtsfester Dokumentation erforderlich. Hier helfen digitale Forensiker.
Diese beiden Bereiche gibt es auch in Kombination, häufig als DFIR abgekürzt (Digital Forensics and Incident Response). Gerade bei großen Konzernen ist der Schaden eines Cybervorfalls immens, entsprechend sind diese Unternehmen bereit, große Summen zu zahlen. Ein gutes Beispiel sind die "Big Four", die vier größten Wirtschaftsprüfungsunternehmen, die alle eigene DFIR-Teams unterhalten.
Möchte ein Unternehmen ein Strafverfahren gegen die Angreifer anstreben, können die spezialisierten Zentralen Ansprechstellen Cybercrime (ZAC) der Polizei unterstützen. Die Kontaktdaten stellt die Polizei auf ihrer Seite zur Verfügung.
Unternehmen, die nicht genau wissen, wie sie ihre Kunden oder Lieferanten informieren sollen, ohne dass es unangenehm wird, können sich von Krisenkommunikationsagenturen unterstützen lassen.
Wie melde ich einen Sicherheitsvorfall?
Datenschutzmeldung
Der Datenschutz geht uns alle an, und das nicht erst seit der DSGVO. Diese hat allerdings die Fristen verschärft. Nach Art. 33 Abs. 1 DSGVO muss eine Meldung unverzüglich und möglichst binnen 72 Stunden, nachdem der Vorfall bekannt wurde, bei der Aufsichtsbehörde eingehen. Eine Ausnahme besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Meine Empfehlung aus der Praxis: grundsätzlich melden. Ich möchte mir während eines Sicherheitsvorfalls nicht den Kopf darüber zerbrechen müssen, ob ich melde oder nicht. Hätte ich den Vorfall melden müssen, es aber nicht getan, freut sich am Ende vor allem die Datenschutzbehörde.
Eine Meldung bei der Datenschutzbehörde ist auch recht einfach. Die Kontaktdaten für das jeweilige Bundesland stellt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit auf ihrer Übersichtsseite bereit. Die Meldung erfolgt oft per Webformular oder per E-Mail, gerne auch verschlüsselt.
Sinnvoll ist es, die W-Fragen zu beantworten:
- Wer bin ich? Bin ich für dieses Thema verantwortlich, oder wie lauten die Kontaktdaten des Verantwortlichen?
- Was ist vermutlich passiert?
- Wie viele Personen sind vermutlich betroffen?
- Welche Daten beziehungsweise welche Kategorien sind betroffen? Hier geht es um die Unterscheidung: Ist die Geburtstagsliste der Mitarbeiter gestohlen worden oder die Patientenakten einer ganzen Uniklinik?
- Was kann ein Angreifer mit diesen Daten anfangen? Welche Folgen hat das für die Betroffenen?
- Was habe ich bereits getan, um die Daten zu schützen? Habe ich die betroffenen Personen schon informiert, beziehungsweise was möchte ich noch tun?
Cybervorfall ans BSI melden und zum Lagebild beitragen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sammelt Daten zu Cyberangriffen. Organisatorisch kann es nur in Ausnahmefällen direkt unterstützen, freut sich aber über alle Informationen, die Du teilen kannst. Über die Allianz für Cybersicherheit veröffentlicht das BSI regelmäßig Lagebilder zur aktuellen Bedrohungslage in Deutschland.
Nicht alle Informationen sind öffentlich verfügbar. Jedes Unternehmen kann aber über die Allianz für Cybersicherheit Teilnehmer werden und diese Informationen einsehen. Manche Meldungen enthalten direkt die von Angreifern kontrollierten Domainnamen oder IP-Adressen. Diese lassen sich dann zum Beispiel auf der Firewall hinterlegen, um die Zugriffe zu blockieren.
Branchenspezifische Meldepflichten beachten
In Deutschland unterliegen einige Branchen besonderen gesetzlichen Regelungen oder fallen unter den Geltungsbereich bestimmter Verordnungen.
KRITIS und NIS2
Seit Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz. Es erweitert die Cybersicherheitspflichten erheblich: Betroffen sind nicht mehr nur Betreiber kritischer Infrastrukturen (KRITIS), sondern auch viele weitere Unternehmen, die als "wichtige" oder "besonders wichtige" Einrichtungen eingestuft werden.
Wichtig für den Mittelstand: Die Betroffenheit hängt unter anderem von Branche und Unternehmensgröße ab. Schon Unternehmen ab etwa 50 Beschäftigten in bestimmten Sektoren können erfasst sein, oft ohne es zu wissen.
Wer betroffen ist, muss einen erheblichen Sicherheitsvorfall in einem gestuften Verfahren an das BSI melden: eine erste Frühwarnung innerhalb von 24 Stunden, einen ausführlicheren Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die Meldung läuft über das BSI und seine Meldewege.
Ob und wie genau Dein Unternehmen betroffen ist, klärst Du am besten über die NIS-2-Betroffenheitsprüfung des BSI. Sie ist anonym und gibt eine erste Orientierung, ersetzt aber keine rechtlich verbindliche Einordnung. Diese hängt vom Einzelfall ab, im Zweifel hilft eine fachkundige oder rechtliche Beratung.
Finanzen und Versicherungen
Hier ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die zuständige Aufsichtsbehörde, die ebenfalls eine Meldung benötigt. Diese Meldungen erfolgen auf Grundlage des "Digital Operational Resilience Act" (DORA). Mehr Informationen stellt die BaFin auf ihrer Seite zum DORA-Meldewesen bereit.
Automobilbranche
In der Automobilbranche spielt die Informationssicherheit der gesamten Lieferkette eine große Rolle, abgesichert vor allem über die TISAX-Zertifizierung. Je nach Vereinbarung mit den Herstellern und Zulieferern kann es erforderlich sein, Sicherheitsvorfälle an die jeweiligen Partner in der Lieferkette zu melden. Nähere Informationen dazu findest Du im ENX-Portal.