Direkt zum Hauptinhalt

Neue Seite

🚑 Erste Hilfe bei IT-Sicherheitsvorfällen & Toolbox

Wichtig: Keine Panik & nichts vertuschen! Jeder kann reinfallen – entscheidend ist, wie du jetzt vorgehst. Diese Seite ist dein Notfall-Plan & Werkzeugkiste.

Inhaltsverzeichnis

⚡ Sofortmaßnahmen (Kurz & knackig)

  • Stoppen: WLAN/Mobilfunk aus, LAN-Kabel ziehen. Keine neuen Aktionen am kompromittierten Gerät.
  • Melden: [Kontakt einfügen: Name/Team, Mail, Tel, Ticketsystem-Link]
  • Sichern: Screenshots, Uhrzeiten, verdächtige Mails/Anhänge/Links, Dateinamen, betroffene Accounts notieren.
  • Passwörter ändern: Zuerst kritische Konten (Mail, Microsoft/Google, Banking, Passwortmanager). Danach alle betroffenen Dienste.
  • Tokens widerrufen: App-Tokens / OAuth-Sessions / aktive Sitzungen abmelden (z. B. Microsoft/Google „Alle Sitzungen beenden“).
  • Warnen: Kolleg:innen / Kontakte informieren, wenn Phishing/Impersonation möglich ist.

Merke: Zweitkanal für Rückfragen (Telefon / anderer Messenger) – niemals auf dem selben Kanal bestätigen, der verdächtig wirkt.

🎯 Szenarien & Schritt-für-Schritt

Phishing / Smishing / Vishing
  • Nicht klicken, nicht antworten, keine Anhänge öffnen.
  • Header prüfen (siehe Toolbox: Header-Analyse), Absenderadresse vollständig anzeigen.
  • Verifizieren per Zweitkanal (z. B. Chef anrufen, offizielle Nummer von Website nutzen).
  • Link prüfen mit URL-Scanner (siehe Toolbox), nicht im Produktivbrowser öffnen.
  • Intern melden (Ticket/IT), Nachricht als Phishing markieren/weiterleiten an [Abuse/IT-Postfach].
  • Wenn Zugangsdaten eingegeben wurden: Sofort Passwort ändern + MFA prüfen + Sitzungen beenden.

Pro-Tipp: „Wortlaut + Dringlichkeit + Absender“ → Stimmen 2/3 nicht, ist’s sehr wahrscheinlich Fake.

Verdächtiger Anhang / Datei (Office, PDF, ZIP, IMG, „.pdf.exe“, RTLO-Trick)
  • Nicht öffnen. Datei offline an VirusTotal / URLscan hochladen (kein Doppelklick!).
  • Dateiendungen einblenden (Windows Explorer) & auf Rechts-nach-Links-Override achten (RTLO).
  • Wenn bereits geöffnet: Netzwerk trennen, IT informieren, keine „Cleaner-Software“ starten (Beweise erhalten).
Account kompromittiert (Login-Warnungen, unbekannte Aktionen)
  • Passwort sofort ändern (einzigartig & stark, über Passwortmanager).
  • MFA aktivieren/härten (Passkeys/FIDO bevorzugen).
  • Sitzungen beenden, Wiederherstellungsoptionen & Forwarder/Regeln prüfen (bes. E-Mail-Inbox-Regeln!).
  • Verknüpfte Apps / Tokens widerrufen; App-Passwörter löschen.
SIM-Swap / Nummernmissbrauch
  • Sofort Provider kontaktieren (Hotline & Filiale), Ausweis bereithalten. SIM sperren, neue SIM anfordern.
  • Alle Konten mit SMS-2FA: MFA auf App/Passkeys umstellen, Nummer aktualisieren.
  • Bank/Plattformen informieren, ungewöhnliche Transaktionen sperren.
  • Kontaktkreis warnen (Impersonation, „Enkeltrick 2.0“).
Voice-Cloning / Deepfake-Anruf (Geld/Dringlichkeit am Telefon)
  • Codewort in Familie/Team vereinbaren. Beim Anruf: Codewort abfragen.
  • Zweitkanal: selbst zurückrufen – nicht die Nummer aus dem Anrufprotokoll, sondern die offiziell bekannte.
  • Niemals am Telefon Passwörter/2FA-Codes nennen oder Überweisungen freigeben.
Ransomware / Verschlüsselung / Erpressung
  • Gerät sofort offline (Netzwerk trennen). Nicht herunterfahren (vorher IT fragen) – Forensik beachten.
  • IT informieren, Beweise sichern (Bildschirmfoto der Lösegeldnotiz, Dateinamen, Pfade).
  • Backups prüfen (offline/immutable), nicht ans betroffene Netz hängen.
  • Keine Zahlungen ohne Geschäftsführung/IT-Entscheid & Rechtsprüfung.
Geräteverlust / Diebstahl (Laptop/Handy)
  • Remote-Sperre/Wipe anstoßen (MDM / Microsoft/Google/Apple).
  • Passwörter ändern (Mail, Cloud, Passwortmanager), Sitzungen beenden.
  • Anzeige bei Polizei; Seriennummer/Asset-Nr. bereithalten.
  • BitLocker/FileVault Status prüfen (Nachweis Verschlüsselung).
Data Breach / Leaks (eigene Adresse/Passwort in Leaks)
  • HIBP/Dark-Web-Monitoring prüfen (siehe Toolbox).
  • Betroffene Passwörter sofort ändern; Passwort-Reuse beenden.
  • MFA verschärfen (Passkeys, Nummern-Match bei Push).
  • Kolleg:innen informieren (Phishing-Gefahr steigt).

🧾 Checklisten & Vorlagen

Incident-Log (ausfüllen & an IT senden)

Datum/Uhrzeit  
Betroffene Person  
Gerät(e)  
Was ist passiert?  
Verdächtige Mail/URL/Datei  
Welche Konten betroffen?  
Bereits unternommen  
Screenshots/Beweise  
Checkliste Notfall – zum Abhaken
  • □ Netz getrennt (WLAN/Mobil/LAN)
  • □ IT/Ticket informiert
  • □ Screenshots/Uhrzeiten gesichert
  • □ Passwörter geändert (Mail/Kernkonten zuerst)
  • □ MFA aktiviert/geprüft
  • □ Sitzungen beendet / App-Tokens widerrufen
  • □ Kontaktkreis gewarnt (falls nötig)

🧰 Bennis Toolbox – Tools nach Anwendungsfall

Alles hier sind Verteidigungs-/Prüf-Tools. Nutze sie präventiv und im Ernstfall. Für heikle Dateien/Links immer isoliert testen (kein Produktiv-Browser).

  • VirusTotal – Dateien/URLs gegen viele Engines prüfen. (Datei/Hash/URL hochladen)
  • URLscan.io – Webseiten isoliert analysieren (Requests, Redirects, verdächtige Artefakte).
  • Hybrid Analysis / Any.Run – Dynamische Sandboxes (für fortgeschrittene Analysen).
  • Unshorten / Redirect-Checker – verkürzte Links sicher enttarnen.
  • PDF/Office-Makro-Check – vor Ort: Makros deaktiviert lassen; verdächtige Dateien nur in Sandbox prüfen.

E-Mail & Header-Analyse

  • Google Admin Toolbox – Messageheader / MXToolbox – Mail-Header lesen, SPF/DKIM/DMARC prüfen.
  • Phishing-Indikatoren (Checkliste): Absenderdomain, Return-Path, Received-Chain, SPF-Result, URLs.

Leaks & Identitätsschutz

  • Have I Been Pwned (HIBP) – E-Mail in bekannten Leaks?
  • Google Dark Web Monitoring – Info zu Funden (Mail/Telefon/Adresse) im Google-Konto.
  • Passwort-Check – Keine Wiederverwendung; Manager-Audits nutzen.

Passwörter & Manager

  • Bitwarden / 1Password / KeePass-XC – sichere, einzigartige Passwörter; geteilte Tresore fürs Team.
  • Audit im Manager: schwache/duplizierte/leaked Passwörter beseitigen.

MFA & Passkeys

  • Priorität: Passkeys/FIDO2 > TOTP-App > E-Mail/SMS.
  • Authenticator Apps: Aegis, Microsoft Authenticator, 1Password/Bitwarden TOTP.
  • Security Keys: z. B. YubiKey/SoloKey für phishingsichere Anmeldung (wo möglich).

Backups & Wiederherstellung

  • 3-2-1-Regel: 3 Kopien, 2 Medien, 1 offline/immutabel.
  • Windows: Dateiversionsverlauf / Image-Backup; BitLocker aktiv.
  • macOS: Time Machine; FileVault aktiv.
  • Cloud-Backups (für Arbeitsdokumente) + Offline-Kopie (Ransomware-sicher).

Geräteschutz & AV

  • Microsoft Defender (Windows) – reicht privat in der Regel aus; Firmen: Defender for Endpoint / Richtlinien.
  • Panda/WatchGuard (bei euch im Einsatz) – Policies & Alerts im Blick behalten.
  • Updates strikt: OS, Browser, Plugins, Treiber, Firmware (Router/IoT!).

Browser-Hygiene & Downloads

  • uBlock Origin (Adblock) – Malvertising-Risiko senken.
  • Wenige Erweiterungen, nur vertrauenswürdige Publisher.
  • Separater „Risk-Browser“ / Profil ohne Logins für Tests/Downloads.
  • Unchecky – verhindert PUPs bei Installern (Windows).

Netzwerk & WLAN

  • Öffentliches WLAN: Kein Banking/Sensible Logins; notfalls VPN. Autom. Verbinden aus.
  • Router daheim: Starkes Admin-Passwort, WPA2-AES/​WPA3, WPS aus, Firmware aktuell, Gastnetz.
  • DNS-Filter (z. B. NextDNS / Pi-hole) – Werbung/Trackers/Malware-Domains blocken.

Mobile Sicherheit

  • Nur offizielle App-Stores, Sideloading vermeiden; App-Berechtigungen prüfen.
  • Bildschirmsperre + „Find my Device“ aktiv; Backups (iOS/iCloud, Android/Google One).
  • QR-Codes kritisch prüfen (URL anzeigen lassen; Parkautomaten-Sticker beachten).

Früherkennung & Monitoring

  • Canarytokens.org – einfache Köder-Tokens (Dokument-Beacons, URLs, AWS-Keys) → E-Mail-Alarm bei Zugriff.
  • Honeypot/Canary-Geräte (für Admins): Alarm bei unberechtigtem Zugriff.

OSINT & Domain/Seiten-Vertrauen (für Admins/Advanced)

  • whois.domaintools / ICANN Lookup – Domain-Alter & Inhaber checken.
  • crt.sh – Zertifikatstransparenz: Seit wann gibt’s Zertifikate für die Domain?
  • Security Headers / TLS-Scanner – grobe Hygiene-Checks einer Website.

✅ Best Practices & Prävention

  • Zweitkanal-Prinzip: Kritische Anweisungen (Zahlungen, Passwort-Resets) immer gegenprüfen.
  • Passkeys/MFA wo möglich, SMS nur als Notlösung.
  • Passwortmanager nutzen – kein Re-Use, keine Zettel.
  • Updates zeitnah, EOL-Software vermeiden.
  • Backups testen (Restore-Probe), nicht nur „haben“.
  • Lernkultur statt Schuld – Vorfälle teilen = alle werden besser.

Kein Backup = kein Mitleid. – Aber wirklich: Ohne Restore-Test ist’s nur Hoffnung.

🏷️ MFM-Spezifik (intern)

  • Kontakt & Meldeweg: [Team/Person, Mail, Tel, ggf. Link zum Ticketsystem]
  • Dokumente: [Links zu internen Policies: Incident-Response, Passwort, Geräte, VPN, MDM]
  • Security-Einstellungen (O365): [Safe Links/Attachments, DLP, Quarantäne-Postfach, MDM-Vorgaben]
  • Standardtools im Haus: Microsoft Defender / Panda, Passwortmanager [Tool], Backup [Tool], Monitoring [Tool]
Für Admins – Kurznotizen (nicht-öffentlich)
  • Containment: Netzsegment isolieren, EDR-Response, Golden Ticket/LDAP-Abuse prüfen bei Verdacht.
  • Forensik light: Volatile Daten sichern (Prozesse/Netstat), Zeitachsen, Hashes; nicht unkoordiniert säubern.
  • Kommunikation: Stakeholder, Management, Recht; externe Meldestellen falls nötig.
  • After-Action: RCA, Playbooks updaten, Schulungsfeedback.
nach oben