logo lineofbiz

System isolieren, reparieren und Prävention aufbauenEs gibt ein Leben nach dem Cyber-Angriff

28. Juli 2025
hacker LoB Pixabay CliffHang
Quelle: Cliff Hang, Pixabay

Hochprofessionelle Angreifer, täglich neue Schwachstellen und komplexe Systeme, die immer anspruchsvoller zu schützen sind: Die IT-Sicherheit in Deutschland ist in Gefahr und die Bedrohungslage groß. Behörden und Unternehmen können Opfer von Cyber-Angriffen werden – und müssen dann wissen, was zu tun ist: Systeme separieren, reparieren und so aufsetzen, dass sie künftig ein hohes Schutzlevel erreichen und damit Cyber-Attacken unrentabel machen. Unternehmen, die Managed Services nutzen, profitieren dann von der Expertise ihres Partners.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die Lage der IT-Sicherheit in Deutschland als besorgniserregend: Das geht aus seinem Bericht 2024 zur Bedrohungslage im Cyber-Raum hervor. Die Bedrohungen gingen von verschiedenen Angreifergruppen aus, die Cyber-Spionage betreiben, Behörden und Unternehmen angreifen.

Durch die Digitalisierung vergrößern sich die Angriffsflächen – die Systemkomplexität steigt und im Vergleich zu 2023 wuchs die Anzahl der Schwachstellen, die täglich bekannt wurden; hier stechen besonders Lücken in Perimeter-Systemen wie Firewalls und VPNs hervor. Alarmierend war laut Aussagen des BSI die Zahl der hochvolumigen DDoS-Angriffe, vor allem im ersten Halbjahr 2024. Public-Cloud-Infrastrukturen stellten ein Ziel dar, ebenso Ransomware-Angriffe gegen kleine und mittlere Unternehmen und Kommunen. Systeme fallen teilweise monatelang aus, Daten werden erbeutet und weiterverkauft.

Unternehmen sind sich der Gefahr von Hacker-Angriffen durchaus bewusst – hoffen oft aber, dass es nicht sie selbst, sondern andere treffen wird. Das Problem dabei: Hacker sind heute hochprofessionell; ihre Strategien haben nichts mehr mit dem Verschicken von E-Mails von angeblichen Verwandten, die um Geld betteln, zu tun, jenen Phishing-Versuchen, wie sie vor Jahren gang und gäbe waren. Das BSI spricht von einer arbeitsteiligen Cyber-Kriminellen Schattenwirtschaft.

Hinter Cyber-Kriminalität steht eine handfeste Gewinnerzielungsabsicht, auch von Schurkenstaaten. Jede Sicherheitslücke, die sich auftut, wird genutzt. Das bedeutet, dass Unternehmen nicht per se im Visier von Cyber-Kriminellen stehen müssen, um gehackt zu werden. Ein fehlendes Update, ein Bug im Patch können ausreichen, um infiziert zu werden. Es stellt sich also nicht mehr die Frage, ob ein Unternehmen gehackt wird, sondern wann.

Oft finden Hacker-Angriffe nachts statt – nicht nur wegen der Zeitverschiebung, wenn die Hacker in anderen Zeitzonen sitzen, sondern auch, weil eine spätere Reaktion nachts wahrscheinlicher ist und den Angreifern mehr Zeit gibt, um in die Systeme vorzudringen.

Systeme herunterfahren und Behörden benachrichtigen

Deswegen ist es wichtig, über eine Monitoring-Software zu verfügen, um verdächtige Aktivitäten sofort zu bemerken; auch, wenn diese dann erfolgen, wenn alle Arbeitnehmer im Bett sind. Die IT muss im Angriffsfall schnell benachrichtigt werden und handeln: Es gilt, alle Systeme herunterzufahren, damit sich eine potenzielle Schadsoftware nicht ausbreiten kann. Ein Weiterarbeiten ist damit natürlich nicht mehr möglich – je nach Ausrichtung des betroffenen Unternehmens sind durch einen Cyber-Angriff auch die Abläufe von Kunden betroffen.

Sind die Systeme vom Netz genommen und heruntergefahren, muss eine Brücke zurück eingebaut werden, um in Erfahrung zu bringen, was konkret vorgefallen ist. Demnach ist bei verdächtigen Aktivitäten nicht immer sofort ersichtlich, ob ein Cyber-Angriff stattgefunden hat oder nicht. Spätestens, wenn im System ein Erpresserschreiben als Textdatei gefunden wird, ist die Lage klar. Das geforderte Geld darf auf keinen Fall überwiesen werden – Unternehmen machen sich damit strafbar und lösen ihr Problem nicht.

Es ist zudem wichtig, bei dem Verdacht eines Angriffs früh die zuständigen Behörden zu informieren: Nicht nur, weil eine Meldepflicht besteht, sondern auch, weil das Landeskriminalamt und die benachrichtigen Versicherungen IT-Experten schicken können, die bei der Abwehr des Angriffs mitanpacken und damit den Schaden minimieren können. Sie verfügen in der Regel über Fachpersonal wie IT-Forensiker und können damit wertvolle externe Expertise bereitstellen.

Je schneller gehandelt wird, desto größer sind die Chancen, das betroffene System schnell, das heißt idealerweise innerhalb weniger Tage, wieder zum Laufen zu bekommen und den Schaden so gering wie möglich zu halten. Im Worst Case kann ein Cyber-Angriff die IT-Landschaft über Wochen und sogar Monate lahmlegen, die Kosten gehen dann in die Millionen, manchmal sogar Milliarden.

Besonders schwierig wird es, wenn das betroffene System über Jahre gewachsen ist und innerhalb kürzester Zeit wieder aufgebaut werden muss. Durch die vernetzten Systeme und Funktionen kann ein erfolgreicher Hackerangriff mit einem Schlag alles lahmlegen – von der Branchensoftware, über die Emails bis hin zur Telefonie. Das lähmt betroffene Unternehmen vollständig, da sie keinen Kontaktkanal mehr zu ihren Kunden aufmachen können.

IT-Experten müssen ins Boot

Idealerweise verfügt das Unternehmen über eine schlagkräftige IT-Abteilung. Wenn nicht, muss externe Unterstützung eingeholt und die damit verbundene Wartezeit in Kauf genommen werden. Ein Notfall rechtfertigt ohne Weiteres, dass Fachpersonal eingeflogen wird und dass die Techniker 20-Stunden-Schichten einlegen.

Die Experten untersuchen das System und mögliche angebundene Kundensysteme: Sie werden in sicherer Umgebung wieder ans Netz genommen und mit Tools wie IT-Forensik und Deep Scans geprüft. Es muss zudem unbedingt geklärt werden, ob Kundendaten abgeflossen sind und damit ein Verstoß gegen die DSGVO vorliegt. Das bedeutet, dass bei dem Verdacht auf einen Cyber-Vorfall auch stets der Datenschutzbeauftragte im Bilde sein muss.

Prävention aufbauen

Ist die Cyber-Attacke abgewehrt und das System wiederhergestellt, gilt es nun, die Prävention zu verschärfen und das System noch sicherer zu machen. Eine Folge von Multifaktor-Authentifizierungen limitiert zum Beispiel den Zugriff für Unbefugte und durch einen geschickten Aufbau von Architekturbestandteilen kann die Kommunikation innerhalb des Systems so begrenzt werden, dass sie nur dort stattfinden kann, wo sie wirklich notwendig ist. Damit kann die Ausbreitung von Schadsoftware behindert werden.

Zu einer umfassenden Sicherheitsarchitektur gehören außerdem stets die Kundensysteme, wenn sie lokale Zugangspunkte wie Laptops oder PCs als Clients zur IT-Infrastruktur besitzen. Gerade lokale Clients können Angriffen Tür und Tore öffnen. Eine solide Endpoint-Security schlägt Angreifern genau diese vor der Nase zu: Sie erschafft ein geschlossenes System, das alle Rechner und Server einschließt.

Dazu gehören verschiedene Programme und Vorkehrungen: Eine verhaltens- statt signaturbasierte Cyber-Sicherheitslösung erkennt zum Beispiel verdächtige Vorkommnisse wie eine unerwartete Verschlüsselung oder den Abfluss von Daten, unterbindet sie und kappt der verdächtigen Software den Zugang. Signaturbasierte Tools erkennen dagegen nur Angriffe von bekannter Schadsoftware, was ihre Schutzwirkung begrenzt, da täglich neue Software auf den Markt kommt.

Mit IT-Forensik kann einem Angriff nachgespürt und sein Ursprung entdeckt werden, um mit diesem Wissen konkrete Gegenmaßnahmen zu ergreifen. Eine Zero Day Erkennung kommt noch unbekannten Sicherheitslücken auf die Spur und ein Security Operation Center (SOC)-Team steht sofort bereit, um bei einem Cyber-Vorfall eingreifen zu können, idealerweise mit einer Reaktionszeit von weniger als einer Stunde.

Bei Kundensystemen ist zudem eine Inventarisierung sinnvoll, da sie einen Überblick über die eingesetzten Geräte und ihren Systemzustand verschafft. Hier wird schnell ersichtlich, ob alle Updates und Patches gefahren wurden oder ob Sicherheitslücken geschlossen werden müssen. Darüber hinaus muss die Serverarchitektur (geo-)redundant ausgelegt sein: Nur so sind die Daten und damit die Fortführung der operativen Tätigkeit gesichert.

So aufgesetzt, kommen Cyber-Sicherheitsmaßnahmen ihrer originären Aufgabe nach: den Preis für den Erfolg eines Angriffs so in die Höhe zu treiben, dass die Hacker davon absehen. Wenn es zu lang dauert, die Schutzwälle zu erklimmen und einzudringen, dann lohnt sich der Angriff nicht mehr und man sucht sich ein anderes Opfer.

All diese Maßnahmen können viele Unternehmen nicht selbst umsetzen – müssen sie aber auch nicht. Nutzen sie Dienstleistungen wie Managed Services, ist der Betreiber für die IT-Sicherheit zuständig und kümmert sich im Worst Case um die Wiederherstellung der Systeme und ihre Härtung.

Man muss kein Global Player sein, um in das Visier von Cyber-Kriminellen zu geraten. Auch kleine KMU fallen ihnen zum Opfer, die Attacken werden zahlreicher und ausgefeilter. Unternehmen tun deswegen gut daran, ihre Systeme professionell zu schützen, einen Plan für den Notfall in der Schublade zu haben – oder einen Partner, der als Managed Services-Anbieter ihr System betreibt und sichert.

Philipp Hüne ist Senior Account Manager bei der Convotis GmbH.

Convotis GmbH

Lesen Sie auch

hacker LoB PIxabay CliffHang

Prävention rückt in den Vordergrund

High tech security operations dashboard displaying potential intrusion alerts with automated response protocols activating, designed for advanced threat monitoring and cybersecurity defense

Mehr Investitionen, aber fehlender Geschäftskontext bremst Risikomanagement

Digital security concept with warning notifications on virtual screens

Ohne Privileged Access Management drohen Risiken