Gehackt zu werden ist stressig. Es fühlt sich oft persönlich, dringend und verwirrend zugleich an. Vielleicht bekommen Sie eine merkwürdige Login-Benachrichtigung, finden Nachrichten, die Sie nicht selbst verschickt haben, verlieren den Zugang zu einem Konto, bemerken fehlendes Geld oder hören von Freunden, dass sie verdächtige Links von Ihnen erhalten haben.
Das Wichtigste ist, panikgetriebene Entscheidungen zu vermeiden. Angreifer setzen oft auf Tempo, Verwirrung und Druck. Ihr Ziel ist es, die Situation zu entschleunigen, den Schaden einzudämmen, die Kontrolle zurückzugewinnen und schließlich die Schwachstellen zu beseitigen, die den Vorfall ermöglicht haben.
Dieser Leitfaden erklärt Schritt für Schritt, was zu tun ist, wenn ein persönliches Konto, Geschäftskonto, Gerät oder Online-Dienst gehackt wurde.
Falls Ihr Arbeitgeber, Kunde oder eine andere Organisation betroffen sein könnte, melden Sie den Vorfall sofort an das zuständige IT- oder Sicherheitsteam. Warten Sie nicht, bis Sie vollständigen Beweis haben. Dazu zählt auch, wenn das kompromittierte Gerät für die Arbeit genutzt wurde, als „Bring Your Own Device“ (BYOD) registriert ist, für Firmen-E-Mails, Single Sign-On, Passwortmanager, VPN, Admin-Panel, Quellcode-Repository, Cloud-Konsole oder Dateiaustauschdienste verwendet wurde.
Dies sollte geschehen, bevor Sie selbst versuchen, alles zu untersuchen. Die Organisation muss möglicherweise Sitzungen beenden, Zugangsdaten rotieren, Protokolle kontrollieren, Systeme isolieren oder Zugänge deaktivieren, solange der Vorfall noch läuft.
Eine verspätete Meldung kann den Schaden vergrößern und Sie unter Umständen Disziplinarmaßnahmen oder Haftung aussetzen, wenn der Organisation dadurch Verluste entstehen, die durch rechtzeitige Meldung hätten begrenzt werden können. Sind keine geschäftlichen Dienste, Geräte, Konten oder Daten betroffen, fahren Sie mit den unten stehenden persönlichen Schritten fort.
Wenn Sie denken, Computer oder Handy könnten infiziert sein, sollten Sie dieses Gerät NICHT nutzen, um Passwörter zurückzusetzen oder sich in wichtige Konten einzuloggen. Schadsoftware kann neue Passwörter aufzeichnen, Session-Cookies stehlen, Bildschirmfotos machen oder Wiederherstellungscodes abfangen.
Nutzen Sie stattdessen ein vertrauenswürdiges Gerät, z.B.:
Falls Sie keinen Zugriff auf ein sauberes Gerät haben, trennen Sie das verdächtige Gerät vom Internet und holen Sie sich Unterstützung, bevor Sie neue Zugangsdaten eingeben.
Ihr E-Mail-Konto ist oft der Schlüssel zu allem anderen. Hat ein Angreifer Zugriff auf Ihre E-Mail, kann er Passwörter für Banking, Shopping, Cloud-Speicher, soziale Medien, Entwicklerplattformen und Geschäftswerkzeuge zurücksetzen.
Beginnen Sie mit Ihrem Haupt-E-Mail-Konto und prüfen Sie Folgendes:
Achten Sie besonders auf Postfachregeln. Angreifer richten manchmal Filter ein, die Sicherheitswarnungen verstecken, Rechnungen weiterleiten oder Passwort-Reset-Nachrichten stillschweigend an eine andere Adresse kopieren.
Nachdem Sie Ihre E-Mail gesichert haben, wechseln Sie zu den Konten mit dem meisten Schadenspotenzial. Verschwenden Sie nicht die ersten kritischen Minuten mit weniger wichtigen Konten, während der Angreifer noch Zugriff auf Banking, Cloud-Speicher oder Administrator-Werkzeuge hat.
Reihenfolge der Priorität:
Jedes neue Passwort sollte einzigartig sein. Verwenden Sie dasselbe neue Passwort bei mehreren Konten, kann eine verbliebene Schwachstelle erneut alles gefährden.
Passwortänderung ist wichtig, aber sie entfernt nicht unbedingt Angreifer, die bereits eingeloggt sind. Viele Dienste lassen aktive Sitzungen auch nach Passwortänderung bestehen, falls Sie sie nicht ausdrücklich beenden.
Suchen Sie nach Einstellungen wie:
Entfernen Sie alles, das Sie nicht erkennen. Für Geschäftskonten oder Entwicklerkonten sollten Sie API-Tokens, Deployment-Keys, SSH-Keys, Webhooks und Zugangsdaten für Service-Accounts erneuern, die betroffen sein könnten.
Zwei-Faktor-Authentifizierung (MFA/2FA) kann viele Kontenübernahmen auch dann verhindern, wenn ein Passwort gestohlen wurde. Falls MFA bisher nicht aktiviert war, holen Sie dies jetzt für Ihre wichtigsten Konten nach.
Nutzen Sie bevorzugt starke Methoden, wenn möglich:
SMS-basierte Codes sind besser als gar kein zweiter Faktor, aber schwächer als App-basierte oder hardwaregestützte Lösungen. Telefonnummern können durch SIM-Swapping übernommen, in bestimmten Situationen abgefangen oder durch unsichere Wiederherstellung missbraucht werden.
Beim Aktivieren von MFA: Erzeugen Sie Backup-Codes und bewahren Sie diese sicher auf. Sonst kann ein verlorenes Handy oder ein Sicherheitsschlüssel eine neue Notlage auslösen.
Falls das gehackte Konto mit Geld, Ausweisdokumenten, Rechnungen, Kundendaten oder Steuerinformationen in Berührung kommt, sollten Sie davon ausgehen, dass der Angreifer nützliche Informationen kopiert haben könnte – selbst wenn Sie den Zugang schnell wiedererlangen.
Überprüfen Sie Folgendes:
Kontaktieren Sie unverzüglich Ihre Bank oder den Zahlungsanbieter bei verdächtigen Aktivitäten. Oft erhöht frühes Melden die Chance, betrügerische Transaktionen zu stornieren oder die Haftung zu begrenzen.
Es ist verständlich, schnell aufräumen zu wollen – aber zu frühes Löschen von Nachrichten, Logs oder Dateien erschwert die Untersuchung. Sichern Sie vor der Entfernung verdächtiger Inhalte grundlegende Beweise. Tun Sie das, bevor Sie ein Gerät löschen oder neu installieren, insbesondere wenn es um Geld, Firmendaten, Kundendaten, Ransomware oder rechtliche Verpflichtungen geht.
Nützliche Beweise sind z.B.:
Diese Informationen unterstützen Support-Teams, Banken, Polizei, Versicherungen, interne IT oder Incident-Responder dabei, zu verstehen, was passiert ist.
Wenn vom Laptop oder PC möglich, bauen Sie die originale Festplatte aus und installieren Sie das frische Betriebssystem auf eine neue. So arbeiten Sie von einem sauberen System und bewahren das Original für eventuelle Untersuchungen. Bei geschäftlichen Vorfällen stimmen Sie dies ggf. mit IT oder Incident-Response ab, bevor Sie Platten wechseln oder das Gerät erneut einschalten.
Ging die Kompromittierung eventuell von Malware, einem schädlichen Anhang, einer gefälschten Browser-Erweiterung, Raubkopien oder Remote-Access-Tools aus, reicht allein die Wiederherstellung von Konten nicht aus. Das Gerät selbst könnte nicht mehr vertrauenswürdig sein. Ein Angreifer könnte Persistenzmechanismen installiert, Systemeinstellungen manipuliert, Session-Cookies abgegriffen oder Tools zum erneuten Informationsdiebstahl hinterlassen haben.
In solchen Fällen sollten Sie das Gerät nicht manuell zu „säubern“ versuchen. Sicherer ist: Erst nötige Beweise sichern, dann nur wirklich benötigte Daten sichern, Gerät löschen und Betriebssystem frisch installieren.
Wichtige Hinweise:
Bei hohem Risiko (z.B. Ransomware, kompromittierte geschäftliche E-Mails, Admin-Konten, mutmaßlicher Datendiebstahl) ziehen Sie professionelle Incident Response hinzu, bevor Sie Geräte löschen. Im Geschäftsumfeld werden Beweise oft für Ermittlungen, Versicherung, Rechtsfragen oder Benachrichtigungen benötigt.
Falls Angreifer Ihr Konto genutzt haben, um Nachrichten, Rechnungen, Links oder Dateien zu senden, informieren Sie die Empfänger. Halten Sie die Warnung kurz und konkret.
Zum Beispiel:
Mein Konto wurde kompromittiert. Bitte öffnen Sie keine Links, Anhänge, Zahlungsanfragen oder geteilten Dateien von mir, die zwischen [Zeit] und [Zeit] gesendet wurden. Ich habe wieder Zugriff und untersuche den Vorfall.
Für Unternehmen kann die Benachrichtigung auch rechtlich oder vertraglich Pflicht sein. Sobald Kundendaten, Mitarbeiterdaten, Zahlungsdaten, Gesundheitsdaten oder vertrauliche Kundendaten betroffen sein könnten, binden Sie frühzeitig Rechts-, Compliance- und Sicherheitsteams ein.
Nicht jeder gehackte Social-Media-Account braucht eine Anzeige. Einige Vorfälle sollten Sie jedoch melden, insbesondere bei Finanzbetrug, Identitätsdiebstahl, Ransomware, kompromittierten Geschäftsmails, gestohlenen Kundendaten oder Bedrohungen der persönlichen Sicherheit.
Geeignete Meldestellen sind z.B.:
Eine Meldung schafft auch eine Dokumentation für den Fall, dass die betrügerische Aktivität weitergeht oder Sie belegen müssen, dass Sie zügig gehandelt haben.
In Organisationen ist ein gehacktes Konto selten nur ein einzelnes Problem. Es kann das erste sichtbare Zeichen für einen umfassenderen Vorfall sein. Ein kompromittiertes Postfach kann Kundenkonversationen offenlegen. Ein gestohlenes Administrator-Passwort kann zu Datendiebstahl führen. Ein geleakter Deployment-Key kann Produktionssysteme gefährden.
Die Reaktion im Unternehmen sollte beinhalten:
Betreffen die Vorfälle regulierte Daten, Kundendaten, Ransomware, Produktionssysteme oder privilegierte Zugänge, holen Sie frühzeitig professionelle Unterstützung dazu. Zu langes Zögern erschwert Eindämmung und Beweissicherung.
Manche gut gemeinten Aktionen erschweren die Wiederherstellung oder vergrößern das Risiko.
Vermeiden Sie insbesondere:
Ist die akute Situation im Griff, investieren Sie Zeit in die Härtung Ihrer Systeme. Die meisten Kompromittierungen entstehen nicht durch ausgefeilte Hacks, sondern durch wiederverwendete Passwörter, Phishing, schwache Optionen zur Wiederherstellung, Malware, exponierte Geräte oder alten Zugang, der niemandem mehr auffällt.
Eine praktische Checkliste:
Sicherheit muss nicht perfekt sein, um deutlich besser zu werden. Einige wenige verlässliche Gewohnheiten beseitigen die meisten Angriffswege und mindern den Schaden, falls doch wieder etwas passiert.
Gehackt zu werden bedeutet nicht zwangsläufig, dass Sie etwas falsch gemacht haben. Angreifer attackieren ständig Menschen und Unternehmen – auch vorsichtige Nutzer können durch eine überzeugende Phishing-Seite, ein bei einer alten Datenpanne wiederverwendetes Passwort oder ein kompromittiertes Gerät hereingelegt werden.
Entscheidend ist, wie Sie reagieren: Sichern Sie zuerst Ihre E-Mail, ändern Sie Passwörter vom sauberen Gerät aus, widerrufen Sie Sitzungen, aktivieren Sie starke Zwei-Faktor-Authentifizierung, prüfen Sie finanzielle Risiken, sichern Sie Beweise und benachrichtigen Sie mögliche Betroffene. Danach: Optimieren Sie Systeme und Verhaltensweisen, damit ein nächster Angriff noch schwieriger gelingt.