Was ist NIS2 und wer ist in Österreich betroffen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security Directive). In Österreich betrifft sie kritische Infrastrukturen wie Energie, Verkehr, Gesundheitswesen, sowie wichtige Wirtschaftssektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren müssen die Anforderungen erfüllen. vetosec unterstützt bei der NIS2-Compliance mit Gap-Analysen und Beratung.

Was sind Managed Security Services?

Managed Security Services bedeuten, dass ein spezialisierter Anbieter Ihre Cybersicherheit kontinuierlich überwacht und verwaltet. Dies umfasst 24/7 Bedrohungsüberwachung, Endpoint Detection and Response (EDR), Incident Response, und Security Operations Center (SOC) Funktionen. Ideal für Unternehmen ohne eigenes Security-Team.

Wie lange dauert eine ISO27001-Zertifizierung?

Eine ISO27001-Zertifizierung dauert in Österreich typischerweise 6-12 Monate, abhängig von der Unternehmensgröße und bestehenden Sicherheitsmaßnahmen. Der Prozess umfasst Gap-Analyse, Implementierung eines Information Security Management Systems (ISMS), interne Audits und das externe Zertifizierungsaudit.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 gilt für kritische Infrastrukturen und wichtige Wirtschaftssektoren in der gesamten EU. DORA (Digital Operational Resilience Act) ist spezifisch für Finanzinstitute und konzentriert sich auf digitale operationale Resilienz. Beide erfordern Cybersicherheitsmaßnahmen, aber DORA hat zusätzliche Anforderungen für Finanzdienstleister in Österreich.

Warum brauchen österreichische KMU Cybersicherheit?

Österreichische KMU sind zunehmend Ziel von Cyberangriffen, insbesondere Ransomware. Zusätzlich erfordern neue EU-Richtlinien wie NIS2 und DSGVO angemessene Sicherheitsmaßnahmen. Ein Sicherheitsvorfall kann zu Datenverlust, Betriebsunterbrechungen, hohen Strafen und Reputationsschäden führen. Professionelle Cybersicherheit schützt Ihr Geschäft und Ihre Kunden.

Got Hacked? Immediate Steps for Austrian Businesses

Published: May 26, 2026 • Updated: May 26, 2026

Kein Rechtsrat. Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Wir sind ein IT-Unternehmen, keine Rechtsanwältinnen oder Rechtsanwälte. Bitte holen Sie sich fachkundigen rechtlichen Rat, bevor Sie auf Basis dieses Artikels Entscheidungen treffen.

Der Moment, in dem einem klar wird, dass das eigene Unternehmen gehackt wurde, ist einer der unangenehmsten im Unternehmensalltag. Die Kombination aus Schock, Informationsmangel und Zeitdruck führt häufig zu Fehlentscheidungen, die den Schaden erheblich vergrößern. Dieser Artikel beschreibt, was in den ersten Stunden sinnvoll ist.

Ruhe bewahren und nichts überstürzen

Der größte Fehler nach einem Cyberangriff ist übereiltes Handeln ohne Plan. Systeme vorschnell herunterzufahren, Logs zu löschen oder befallene Geräte neu aufzusetzen kann die forensische Spurensicherung unmöglich machen und damit spätere Beweise und Versicherungsansprüche gefährden. Bevor irgendetwas verändert wird, sollte das weitere Vorgehen kurz abgestimmt werden.

Betroffene Systeme identifizieren und isolieren

Stellen Sie so schnell wie möglich fest, welche Systeme kompromittiert sind oder sein könnten. Trennen Sie diese vom restlichen Netzwerk, ohne sie vollständig abzuschalten, sofern das möglich ist. Ziel ist es, eine weitere Ausbreitung im Netzwerk zu verhindern und gleichzeitig Beweise zu erhalten.

IT-Sicherheitsexperten hinzuziehen

Wenn kein internes IT-Sicherheitsteam vorhanden ist, was bei KMU der Regelfall ist, sollte sofort ein externer IT-Sicherheitsdienstleister kontaktiert werden. Dieser kann forensisch sauber arbeiten, den Angriffsweg nachverfolgen und die Lage einschätzen. Versuchen Sie nicht, den Angriff ohne Fachkenntnis selbst rückgängig zu machen.

CERT.at kontaktieren

In Österreich steht CERT.at, das nationale Computer Emergency Response Team, als kostenlose Anlaufstelle für Unternehmen zur Verfügung. CERT.at koordiniert bei schwerwiegenden Vorfällen und kann Unterstützung sowie Informationen zu aktuellen Angriffswellen bereitstellen. Die Plattform ist unter cert.at erreichbar.

Anzeige bei der Polizei erstatten

Cyberangriffe sind Straftaten. In Österreich ist Cyberkriminalität beim Bundeskriminalamt anzeigbar. Eine Anzeige ist auch dann sinnvoll, wenn die Chancen auf Strafverfolgung gering erscheinen, da sie für Versicherungsansprüche und spätere Nachweise häufig erforderlich ist. Die zentrale Plattform dafür ist bundeskriminalamt.at.

Datenpanne prüfen und melden

Sobald klar ist, ob bei dem Angriff personenbezogene Daten betroffen sind, greift die DSGVO-Meldepflicht. Meldepflichtige Vorfälle müssen binnen 72 Stunden an die österreichische Datenschutzbehörde (DSB) gemeldet werden. Auch hier gilt: Lieber eine frühe, unvollständige erste Meldung mit Verweis auf laufende Ermittlungen als eine versäumte Frist.

Kommunikation steuern

Informieren Sie intern nur diejenigen, die tatsächlich involviert sein müssen. Keine öffentlichen Aussagen, keine Kommunikation über möglicherweise kompromittierte Systeme und keine Spekulation gegenüber Kunden oder Medien, bevor die Lage vollständig eingeschätzt ist. Gut gemeinte, aber vorschnelle Kommunikation kann Schaden verursachen, der vermeidbar gewesen wäre.

Backups prüfen und Wiederherstellung planen

Bevor Systeme aus Backups wiederhergestellt werden, muss sichergestellt sein, dass auch die Backups selbst nicht kompromittiert sind. Ransomware-Angreifer versuchen häufig, Backups gezielt zu beschädigen oder zu verschlüsseln, bevor der eigentliche Angriff sichtbar wird. Ein IT-Sicherheitsexperte kann helfen, saubere Wiederherstellungspunkte zu identifizieren.

Was kostet ein Angriff wirklich?

Die durchschnittlichen globalen Kosten eines Datensicherheitsvorfalls lagen laut dem IBM Cost of a Data Breach Report 2024 bei 4,88 Millionen US-Dollar, der größte Anstieg seit der COVID-Pandemie.[Quelle: IBM] Für KMU sind die relativen Folgekosten durch Betriebsausfall, Kundenverlust und Wiederherstellung oft existenzbedrohend.

Fazit

Wer nach einem Cyberangriff strukturiert vorgeht, kann den Schaden deutlich begrenzen. Der wichtigste Schritt ist der erste: Holen Sie sich sofort technische Unterstützung und handeln Sie nicht auf eigene Faust.

Not legal advice. This article is for general informational purposes only and does not constitute legal advice. We are an IT company, not lawyers. Please seek qualified legal counsel before making decisions based on this content.

The moment it becomes clear that your business has been hacked is one of the most unsettling experiences in day-to-day business life. The combination of shock, incomplete information, and time pressure frequently leads to decisions that make the damage significantly worse. This article describes what makes sense in the first few hours.

Stay calm and do not rush

The biggest mistake after a cyberattack is acting without a plan. Shutting down systems too quickly, deleting logs, or wiping compromised devices can make forensic evidence recovery impossible, which in turn puts insurance claims and later legal proceedings at risk. Before anything is changed, take a moment to align on next steps.

Identify and isolate affected systems

As quickly as possible, determine which systems are or could be compromised. Disconnect these from the rest of the network without fully powering them off, where possible. The goal is to stop lateral spread through the network while preserving evidence.

Bring in IT security experts

If there is no internal IT security team, which is the norm for most SMBs, contact an external IT security specialist immediately. They can work in a forensically sound way, trace the attack path, and assess the situation properly. Do not attempt to reverse the attack without the necessary expertise.

Contact CERT.at

In Austria, CERT.at, the national Computer Emergency Response Team, is available as a free point of contact for businesses. CERT.at coordinates responses to serious incidents and can provide support and information on current attack trends. The platform is available at cert.at.

File a police report

Cyberattacks are criminal offences. In Austria, cybercrime can be reported to the Bundeskriminalamt. Filing a report is worthwhile even when the prospects of prosecution seem slim, since it is frequently required for insurance claims and later proceedings. The central platform for this is bundeskriminalamt.at.

Check whether a data breach must be reported

Once it is clear whether personal data was affected by the attack, the GDPR notification obligation comes into play. Notifiable incidents must be reported to the Austrian Datenschutzbehörde (DSB) within 72 hours. The same principle applies here: an early, incomplete initial report that references an ongoing investigation is always better than a missed deadline.

Control your communications

Internally, keep information on a strict need-to-know basis. No public statements, no communication over potentially compromised systems, and no speculation towards customers or media until the situation has been fully assessed. Well-intentioned but premature communication can cause damage that could have been avoided.

Verify backups before restoring

Before restoring systems from backups, make sure the backups themselves have not been compromised. Ransomware attackers frequently attempt to corrupt or encrypt backups before the main attack becomes visible. An IT security specialist can help identify clean restore points.

What does an attack actually cost?

According to the IBM Cost of a Data Breach Report 2024, the average global cost of a data security incident reached 4.88 million US dollars, the largest year-on-year increase since the COVID-19 pandemic.[Source: IBM] For SMBs, the knock-on costs from downtime, customer loss, and recovery are often existential in scale, even when the absolute figures are smaller.

Summary

A structured response to a cyberattack can significantly limit the damage. The most important step is the first one: get technical support immediately and do not try to handle it alone.