---
name: fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen
description: "Cyber-Vorfall-Sofortmassnahmen Ransomware Datenleck Hack. Meldepflichten 72 Stunden Art 33 DSGVO BSIG NIS2UmsuCG kritische Infrastruktur. Forensik Beweisesicherung Behoerden Cybercrime. Krisenkommunikation Betroffene Aufsicht Versicherer. Workflow Tag 1 Tag 2-7 Folgewochen."
---

# Cyber-Vorfall-Sofortmaßnahmen

## Zweck

Bei akutem Cyber-Vorfall (Ransomware, Datenleck, Hack): koordinierte rechtliche Sofortmaßnahmen.

## 1) Eingangs-Abfrage (Erst-Notruf-Anruf)

1. Art des Vorfalls (Ransomware, Datenleck, DDoS, Insider)?
2. Betroffene Systeme + Daten-Kategorie (personenbezogen, Geschäftsgeheimnis)?
3. Bisheriges Vorgehen (Forensik-Beauftragung, Abschaltung)?
4. KRITIS-Pflichten (BSIG / NIS2UmsuCG)?
5. Cyber-Versicherung vorhanden?
6. Erpressungs-Mail erhalten?

## 2) Meldepflichten — 72-Stunden-Fristen

### Art. 33 DSGVO — Datenschutz-Behörde

- **72 Stunden** nach Kenntnis
- An zuständige Aufsichtsbehoerde
- Inhalt: Art Vorfall, Anzahl Betroffene, Datenkategorien, Folgen, Maßnahmen

### Art. 34 DSGVO — Betroffene

- Bei hohem Risiko für Betroffene
- Unverzueglich
- Inhalt: Beschreibung Vorfall, Kontakt, Empfehlungen Selbstschutz

### BSIG / NIS2UmsuCG

- **KRITIS-Betreiber**: 24 Stunden bei „Beeintraechtigung"
- Bei NIS2: erweiterte Meldepflichten
- An BSI

### Sektoral

- Bank (BaFin / Bundesbank)
- Energie (BNetzA)
- Gesundheit (BfArM)
- Telekom (BNetzA)

## 3) Tag 1 — Sofortmaßnahmen (binnen 12 Stunden)

### Stunde 1-2

- **Notruf-Anwalt + Forensik** einschalten
- Krisenstab einberufen (CISO, CFO, CEO, Datenschutz, Anwalt, Forensik)
- **Systeme NICHT** voreilig löschen — Beweise sichern

### Stunde 2-6

- Betroffene Systeme isolieren (nicht abschalten — Forensik!)
- Memory-Dumps
- Log-Sicherung
- Backup-Prüfung

### Stunde 6-12

- Erste Lage-Bewertung
- Meldepflichten-Prüfung beginnen
- Kommunikations-Plan

## 4) Tag 2-7 — Konsolidierung

### Tag 2

- 72-Stunden-Meldung Art. 33 DSGVO (sofern Personenbezug)
- BSI-Meldung (falls KRITIS)
- Versicherer-Anzeige (Frist meist 24-48h)

### Tag 3-5

- Forensik-Bericht-Zwischenstand
- Schadens-Bewertung
- Betroffene-Information Art. 34 DSGVO falls Pflicht

### Tag 6-7

- Aufsichtsbehörden-Kommunikation
- Mitarbeiter-Info
- Kunden-Info (gestaffelt)

## 5) Ransomware — Spezial

### Loese-Geld zahlen?

- **Strafrechtliche Prüfung** § 261 StGB (Geldwäsche-Risiko?)
- Sanktions-Prüfung (USA OFAC bei Russland / Iran-Bezug)
- BSI raet generell ab
- Praxis: oft kein anderer Weg bei Backup-Defiziten

### Bitcoin-Tracing

- Chainalysis / Elliptic
- Bei Strafverfolgung: Tracing-Dokumentation

### Verhandlung mit Erpresser

- Spezielle Krisen-Berater
- Nicht selbst kommunizieren

## 6) Forensik-Beweissicherung

### Pflichten

- Chain of Custody dokumentieren
- Hash-Werte aller Beweismittel
- Original-Daten unverändert lassen

### Werkzeuge

- EnCase, FTK
- Volatility (Memory)
- Wireshark (Netzwerk)

### Rechts-Konformität

- Betriebsrat / Personalrat einbeziehen bei MA-Bezug
- DSGVO-Konformität der Analyse

## 7) Krisenkommunikation

### Intern

- Mitarbeiter-Briefing
- Verhaltens-Regeln (keine externe Kommunikation)

### Extern

- Pressemitteilung vorbereitet
- Kunden-Info abgestuft
- Social-Media-Strategie

### Aufsicht

- Schriftlich, klar, faktentreu
- Keine Spekulation
- Updates nach Erkenntnis-Stand

## 8) Versicherer

### Cyber-Police

- Anzeige-Pflicht 24-48 Stunden
- Selbstbehalt
- Deckungs-Prüfung

### Typische Deckungen

- Eigener Schaden (Wiederherstellung)
- Drittschaden (Betroffene)
- Loese-Geld (oft sublimited)
- Krisenmanagement-Kosten

## 9) Strafanzeige

### LKA Cybercrime

- Pflicht bei Verdacht auf Straftat
- Beweis-Lieferung (Forensik-Bericht)

### Bei Insider-Verdacht

- Eigene Untersuchung vor Anzeige
- Beweis-Schädigung vermeiden

## 10) Workflow Wochen 2-4

### Woche 2

- Forensik-Endbericht
- Rechts-Verteidigungs-Strategie
- Versicherungs-Antrag

### Woche 3-4

- Aufsichts-Verfahren-Begleitung
- Mass-Mailings an Betroffene
- Schaden-Bilanz
- Lessons Learned

## 11) Typische Fehler

1. **System geloescht** — Forensik-Verlust
2. **72-Stunden-Frist verpasst** — Bußgeld bis 20 Mio. / 4 % Umsatz
3. **KRITIS-Meldung an BSI vergessen**
4. **Versicherer-Anzeige verspaetet** — Deckungs-Verlust
5. **Loese-Geld ohne Sanktions-Prüfung** -> Strafbarkeit

## 12) BGH-/Aufsichts-Linien

- BfDI-Hinweise zu Art. 33 DSGVO
- BSI-Lageberichte
- LDA-Bayern-Bußgelder als Orientierung

## Anschluss

- `phishing-vorfall-pruefer` — bei Phishing-Vorfall
- `datenschutzrecht/skills/datenpanne-meldung` — für formellen Antrag
- `fachanwalt-strafrecht-orientierung` — bei Strafanzeige