In einem vorangegangenen Artikel sind wir der Frage nachgegangen, welche Vorsichtsmaßnahmen vor einem Cyberangriff ergriffen werden sollten, um dessen Schaden so minimal wie möglich zu halten und die Chancen auf eine erfolgreiche Wiederherstellung zu maximieren. Wie bereits die für Cyberangriffe zuständige Abteilung des FBI empfiehlt: „Die wirkungsvollste Methode, sich auf Cyberangriffe vorzubereiten, besteht darin, sie zu üben. Geübte Unternehmen reagieren schneller, dämmen den Vorfall effizienter ein und minimieren dessen Auswirkungen. Übungen offenbaren Sicherheitslücken und schaffen Vertrauen. Gute Vorbereitung kann bei einem Vorfall den Ausschlag geben.“
In diesem Beitrag sehen wir uns an, welche Schritte unternommen werden sollten, sobald ein Vorfall bemerkt wurde, – und welche nicht. Ich habe mehrere Cybersecurity-Experten zu folgendem hypothetischen Fall befragt:
Ihr Unternehmen hat soeben ungewöhnliche Aktivitäten im Netzwerk bemerkt. Sie wissen es noch nicht, aber eine Ransomware-Gruppe hat sich unerlaubten Zugriff auf Ihre Systeme verschafft.
Diese Experten werden Licht in den Fall bringen:
Michelle Micor: Leiterin, Cybersecurity & Data Privacy Communication bei FTI Consulting, einem weltweit führenden Beratungsunternehmen, das Firmen in Zeiten der Krise und des Wandels unterstützt.
Sezaneh Seymour: Vizepräsidentin und Head of Regulatory Risk & Policy bei Coalition, Inc., einem Cybersecurity- und Cyberversicherungsanbieter, der Unternehmen hilft, die Cyberrisiken vor, während und nach einem Vorfall zu steuern.
Tammy Harper: Senior Threat Intelligence Researcher bei Flare, einem Nachrichtendienst für Cyberbedrohungen, mit dem Unternehmen Risiken im Clear Web und Darknet aufspüren können wie kompromittierte Zugangsdaten, Datendiebstahl, Ransomware-Aktivitäten und mögliche Angriffsstellen. Flare bietet aussagekräftige Informationen, um besser Bedrohen zu erkennen, auf Vorfälle zu reagieren und Cyberrisiken zu reduzieren.
Welchen Schritt sollte das Unternehmen vor allen anderen als erstes unternehmen, nachdem die ungewöhnliche Aktivität entdeckt wurde?
MM: Sollten Sie über einen Notfallplan verfügen – und das wäre überaus ratsam –, aktivieren Sie ihn sofort. Dadurch wird sichergestellt, dass koordiniert vorgegangen wird und keine willkürlichen Maßnahmen durchgeführt werden, die die Situation nur noch verschlimmern könnten. Ihr Notfallplan muss eine klare Rollenverteilung haben, Kommunikationsprotokolle vorgeben und eine Anleitung für die zu unternehmenden Schritte bereitstellen, damit wichtige Entscheidungen nicht spontan getroffen werden müssen. Wenn Sie noch nicht über einen Notfallplan verfügen, ist jetzt der richtige Zeitpunkt, einen auszuarbeiten.
SS: Behandeln Sie es als eine Cyberbedrohung und suchen Sie sich sofort Unterstützung, um dagegen vorzugehen. In den ersten Stunden ist es oberste Priorität, die Bedrohung einzudämmen, nachzuvollziehen, was vorgefallen ist, und Wiederherstellungsmöglichkeiten zu bewahren. Der größte Fehler besteht darin, es als ein herkömmliches IT-Problem abzutun und Zeit zu verlieren.
TH: Am wichtigsten ist jetzt die Eindämmung und Beweissicherung. Unternehmen dürfen an den betroffenen Systemen keine großen Änderungen vornehmen, sofern sie nicht wissen, wie umfangreich der Angriff ist. Gleichzeitig müssen die kompromittierten Hosts oder Konten sofort isoliert werden, um die Angreifer auszubremsen und weiteren Schaden zu minimieren.
Wie unterstützt Ihre Firma Unternehmen in derartigen Situationen (wenn eine ungewöhnliche Aktivität erkannt oder festgestellt wurde, dass sich ein Angreifer Zugriff verschafft hat)?
MM: FTI Consulting hilft Unternehmen sowohl auf technischer Seite, gegen den Angriff vorzugehen, als auch bei der weitreichenderen geschäftlichen Krise, die darauf folgen kann. Wir verfügen über umfangreiche Erfahrung bei der Regulierung komplexer Cybersecurity-Vorfälle, einschließlich deren Kategorisierung, forensischen Untersuchungen, Koordination der verschiedenen Bereiche, Medienarbeit und Kommunikationsbereitschaft.
SS: Coalition kombiniert Cyberversicherung mit aktiver Reaktion auf Vorfälle. Vor einem Angriff helfen wir den Unternehmen, durch Sicherheitsüberwachung, Warnungen und sonstige Unterstützung beim Risikomanagement ihre Risiken zu senken. Wird eine ungewöhnliche Aktivität erkannt oder ein Angreifer verschafft sich Zugriff, hilft Coalition Incident Response, unsere Abteilung zur Vorfallsreaktion, dabei, den Vorfall zu klassifizieren, die Angriffskette nachzuverfolgen, den Angriff abzuwehren und die Wiederherstellung durchzuführen. Unsere Unterstützung erfolgt sowohl auf funktionaler als auch finanzieller Ebene. Wir helfen Unternehmen, unter Druck schneller zu reagieren und bessere Entscheidungen zu treffen, während unsere Versicherung ihnen hilft, die finanziellen Folgen eines Vorfalls abzufangen. Dieses Modell bestätigt sich in seinen Ergebnissen: Coalition-Versicherte melden durchschnittlich 73 % weniger Schäden als der Marktdurchschnitt. 2025 wurden 64 % der abgeschlossenen Schadensfälle ohne Verluste gelöst. Außerdem konnten die Coalition-Helfer und Sachverständigen die ursprünglichen Lösegeldforderungen durch Verhandlungen um durchschnittlich 65 % senken.
TH: Flare hilft Unternehmen dabei, schnell herauszufinden, ob in Clear-Web- und Darknet-Quellen kompromittierte oder gestohlene Zugangsdaten oder Informationen sowie interne Systeme besprochen, zum Verkauf angeboten oder eingesetzt werden. Bei einem Vorfall sind diese Informationen zur Angriffsabwehr nützlich, um beteiligte Akteure zu ermitteln, das Gefahrenpotenzial zu bewerten, Gegenmaßnahmen zu priorisieren und Folgerisiken wie den Einsatz der gestohlenen Zugangsdaten oder Erpressungsversuche zu identifizieren.
Was ist ein typischer Fehler, den Unternehmen begehen, wenn der unerlaubte Zugriff erstmals entdeckt wird, der die Wiederherstellung erheblich beeinträchtigen kann?
MM: Der größte Fehler, den ich beobachtet habe, besteht darin, zu kommunizieren, bevor das Unternehmen tatsächlich weiß, was vorgefallen ist. Unternehmen beeilen sich häufig, ihre Kunden oder Partner mit unvollständigen Informationen zu benachrichtigen und müssen dann Berichtigungen herausgeben, wenn neue Details bekannt werden. Das kann die Glaubwürdigkeit beschädigen, zu Verwirrung führen und bei Interessenvertretern Zweifel auslösen, ob das Unternehmen die Situation überhaupt unter Kontrolle hat. Es ist zwar wichtig, zeitnah zu kommunizieren, aber nur mit Vorsicht. Geben Sie Fakten bekannt, ohne Sicherheit zu betonen, das Problem herunterzuspielen oder Behauptungen zu machen, die sich später als falsch erweisen könnten.
SS: Der gängigste Fehler ist, zu improvisieren. Unternehmen warten häufig zu lange, bevor sie sich an spezialisierte Helfer wenden, oder sie treffen große Entscheidungen, ohne den Umfang des Angriffs, den Zustand ihrer Sicherungen oder die tatsächlich verfügbaren Wiederherstellungsoptionen zu kennen. Ein weiterer Fehler ist, zu schnell und ohne angemessene Fakten ein Lösegeld zu zahlen oder eine Wiederherstellung zu versuchen. Helfer benötigen Zeit, um den Vorfall abzuschätzen, Beweise zu sichern, Sicherungen zu überprüfen und mit entsprechender Kenntnis Verhandlungen einzuleiten.
TH: Einer der häufigsten Fehler ist, zu schnell zu reagieren, ohne zu wissen, wie sich die Angreifer Zugriff verschafft haben und wie weit sie bereits eingedrungen sind. Unternehmen setzen mitunter Kennwörter zurück oder entfernen sichtbare Malware, wenn die Angreifer jedoch über alternative Zugangsmethoden verfügen, was ein Eindämmen des Vorfalls erschweren und die Wiederherstellung hinauszögern kann.
Welchen allgemeinen Rat geben Sie Unternehmen, die mit einem Cybersecurity-Vorfall konfrontiert sind?
MM: Unterschätzen Sie niemals die Macht der Reaktion und Kommunikation. Für den Ruf eines Unternehmens ist es häufig wesentlich relevanter, wie es auf eine Krise reagiert, als der Vorfall selbst. Mitarbeiter, Kunden und Partner auf dem Laufenden zu halten, auch wenn nicht alle Antworten vorliegen, zeugt von Verantwortung. Eine ehrliche Kommunikation während einer Krise schafft Vertrauen und zeigt, dass Sie die Situation unter Kontrolle haben.
SS: Handeln Sie schnell, aber nicht panisch. Holen Sie sich rechtzeitig Experten zu Hilfe, um den Vorfall einzudämmen, zu verstehen und sich Wiederherstellungsoptionen offen zu halten. Konzentrieren Sie sich auf die Wiederherstellung und Widerstandsfähigkeit. Unternehmen mit nutzbaren Sicherungen, einem erprobten Notfallplan und der richtigen Unterstützung haben eine wesentlich solidere Stellung. Behandeln Sie es als ein Geschäftsproblem und nicht nur als einen technischen Vorfall. Für eine wirkungsvolle Reaktion ist eine bereichsübergreifende Koordination zwischen IT, Rechtsabteilung, PR, Finanzwesen und Geschäftsführung erforderlich. Bereiten Sie sich auf eine Krise vor. Unternehmen, die bereits über Kontakte zu professionellen Anbietern und erprobte Notfallpläne verfügen, erholen sich in der Regel schneller und besser.
TH: Gehen Sie methodisch vor und treffen Sie keine panischen Entscheidungen. Eine frühzeitige Kommunikation zwischen den verschiedenen Bereichen wie IT, Sicherheit, Rechtsabteilung und PR sowie externen Partnern ist unerlässlich. Unternehmen müssen sich über den Umfang des Angriffs klar werden, bevor sie eine überstürzte Wiederherstellung versuchen. Eine angemessene Vorbereitung auf eventuelle Vorfälle – einschließlich dem Testen von Notfallplänen und der Information über externe Bedrohungen – geben bei der Wiederherstellung in der Regel den größten Ausschlag.
Die Wiederherstellung beginnt vor dem Angriff
Kein Unternehmen möchte Opfer eines Ransomware-Angriffs oder eines Datendiebstahls werden, doch Cybersecurity-Vorfälle sind inzwischen leider eher eine Frage des Wann als des Ob geworden. Unternehmen, die Angriffe am besten überstehen, sind allerdings nicht zwangsläufig jene, die Vorfälle ganz und gar vermeiden, sondern jene, die sich angemessen darauf vorbereiten, methodisch reagieren und sich erfahrene Partner zur Unterstützung holen, wenn es am dringlichsten ist.
Wie die Experten betonen, hängt eine erfolgreiche Reaktion auf einen Vorfall nicht allein von der Wiederherstellung ab. Eine klare Kommunikation, eine koordinierte Entscheidungsfindung, die Beweissicherung und erprobte Notfallpläne spielen eine wesentliche Rolle, um den Schaden zu beschränken und den Betrieb zeitnah wiederherzustellen. In einer Krise können Panik und Improvisation schnell zum Verhängnis werden.
Die Botschaft ist eindeutig: Die Vorbereitung auf einen Vorfall und ein koordiniertes Vorgehen währenddessen sind die stärkste Verteidigung, die ein Unternehmen hat.
Übersetzung: Doreen Schäfer