Laptop gestohlen: die ersten 30 Minuten

Jemand ruft an: Laptop aus dem Auto gestohlen. Die Uhr tickt. Hier die 10 Schritte, die Sie in den ersten 30 Minuten unbedingt erledigen müssen – in der richtigen Reihenfolge.

Jede Minute, in der ein verlorener oder gestohlener Laptop online sein kann, ist ein Risiko. Diese 10 Schritte müssen in den ersten 30 Minuten erledigt werden.

Minute 0–10: Eindämmung

1. IT / Security-Verantwortlichen benachrichtigen. Datum und Uhrzeit festhalten.
2. Remote Wipe auslösen über Intune / Jamf / Kandji. Sofort – nicht später.
3. Benutzerkonto sperren in M365 / Entra. Alle aktiven Sitzungen zwangsweise beenden.
4. MFA-Token widerrufen — das Gerät gilt nicht mehr als vertrauenswürdig.
5. Passwörter ändern für die primär genutzten Konten dieses Benutzers.

Minute 10–20: Schadensumfang ermitteln

6. Was war darauf gespeichert? OneDrive-Sync, lokale Dateien und Vault-Cache prüfen.
7. Kundendaten vorhanden? Falls ja: möglicherweise ein Datenschutzvorfall — siehe Datenpannenmeldung.
8. Krypto-Absicherung: War die Festplattenverschlüsselung aktiv? In der Regel ja (BitLocker / FileVault) — dann ist das physische Gerät für Unbefugte unzugänglich.

Minute 20–30: Anzeige und Kommunikation

9. Anzeige bei der Polizei erstatten – für die Versicherung und eine eventuelle Rückgabe.
10. Log-Eintrag im Incident-Log erstellen. Später mit neuen Erkenntnissen ergänzen.

Prävention (im Voraus geregelt)

• Festplattenverschlüsselung auf jedem Gerät verpflichtend (Intune Compliance Policy).
• MDM-Enrollment für Remote Wipe.
• Keine Passwörter im Klartext auf dem Laptop speichern.
• Passwort-Manager verwenden – kein Browser-Passwortspeicher.
• Minimale Datenhaltung auf dem Gerät — Cloud-first mit OneDrive arbeiten.

Siehe auch: Security-Grundlagen, Intune-Grundlagen.