Cyber-Notfälle: Das unterschätzte Thema

20.05.2021 - Lesezeit: 8 Minuten

Leuchtschrift Cyber-Security
© Adobe Stock

Wie sieht ein typischer Cyber-Notfall aus? Was sollte man dann tun? Und welche Unternehmen sind besonders gefährdet? Das verrät der Perseus-Cybersicherheitsexperte Thorsten Linge im Interview – und vieles mehr.

Herr Linge, wie sieht eigentlich ein typischer Cyber-Notfall aus?

Meistens beginnt es mit einer E-Mail, einer sogenannten Phishing-E-Mail, die einen Anhang oder einen Link enthält. Diese E-Mails sind oft sehr raffiniert gemacht und scheinen zum Beispiel eine Rechnung oder eine Bewerbung zu enthalten. Nach dem Klick auf den Link oder den Anhang installiert sich aber ein Schadprogramm. Dabei handelt es sich häufig um Verschlüsselungstrojaner, auch bekannt als Ransomware. Dann friert der gesamte Rechner ein und zeigt eine Nachricht mit der Forderung nach einer bestimmten Menge an Bitcoins an. Je vernetzter gearbeitet wird, desto größer ist die Gefahr, dass weitere Rechner, die Server und sogar Produktionseinheiten im Unternehmensnetzwerk befallen und unbenutzbar werden. Im schlimmsten Fall ist das gesamte System betroffen.

Was tut man in diesem Fall sinnvollerweise?

Bei einem Cyber-Vorfall geraten viele Menschen nachvollziehbarerweise in Panik. Umso wichtiger ist ein prominent platzierter Notfallplan für Cyber-Vorfälle, dem sie einfach folgen können. Diesen Notfallplan erstellt man am besten in Zusammenarbeit mit Cybersicherheits-Fachleuten und spricht ihn mit allen Mitarbeiterinnen und Mitarbeitern durch. Man weiß ja nie, wer im Falle eines Falles reagieren muss. Wichtig ist auch, dass der Notfallplan als Ausdruck leicht zugänglich ist. Denn wenn alle Rechner unbenutzbar sind, hilft ein Notfallplan als Datei auf einem Laufwerk nicht viel.

Welche Schritte sollte so ein Notfallplan enthalten?

Er muss natürlich auf das jeweilige Unternehmen abgestimmt sein. Aber ganz generell sollte er drei einfache Schritte vorgeben:

Als ersten Schritt gilt es, Ruhe zu bewahren. Nur dann kann man überlegt handeln.
Als zweiten Schritt nimmt man sich ein, zwei Momente Zeit zur Dokumentation. Man macht mit dem Handy ein Foto vom Bildschirm. Man notiert kurz, was man unmittelbar vor dem Vorfall getan hat. Also welches Programm man genutzt hat, ob und welche E-Mail man geöffnet hat, ob ein Link oder ein Anhang angeklickt wurden und so weiter. Jeder Hinweis kann später bei der Forensik des Vorfalls sehr hilfreich sein. Außerdem sollte man versuchen herauszufinden, ob nur der eigene Rechner betroffen ist oder mehrere oder sogar das ganze Netzwerk.

Als dritten Schritt wendet man sich dann an diejenigen, die sich mit diesem Thema auskennen. Wer das ist, sollte auf dem Notfallplan definiert sein. Zum Beispiel die IT-Abteilung des Unternehmens, eine IT-Fachkraft, externe IT-Dienstleistende oder ein Cybersicherheits-Unternehmen. Die übernehmen alles Weitere. Man selbst gibt die Verantwortung nun ab und – das steht oft nicht im Notfallplan – sollte sich einmal kräftig auf die Schulter klopfen, wenn man so vorbildlich handeln konnte.

Thorsten Linge, Senior Client Manager
Thorsten Linge, Senior Client Manager

Was empfehlen Sie, an wen sollte man sich im Cyber-Notfall wenden?

Das sollte man beim Erstellen des Notfallplans mit den Fachleuten abstimmen. Ich würde empfehlen, sich an Spezialistinnen und Spezialisten für Cyber-Sicherheit und IT-Forensik zu wenden. Dann kann man sicher sein, dass das System gründlich überprüft und auch in der Tiefe von Schadprogrammen gesäubert wird. So verhindert man eine zweite, besonders demoralisierende Attacke. Zusätzlich werden die Spuren des Angriffs untersucht, ähnlich wie es die Polizei nach einem Einbruch tut. Dadurch kann man vielleicht die Cyberkriminellen identifizieren, vor allem aber weitere Angriffe besser abwehren. Das ist der positive Effekt, den so ein Vorfall haben kann: Man findet heraus, welche Sicherheitslücken ausgenutzt wurden und kann sie schließen. Oft werden bei der Überprüfung auch weitere Sicherheitslücken entdeckt und geschlossen. Dann ist das Unternehmen nach dem Vorfall besser abgesichert als vorher.

Wie läuft eine typische Incident Response, also die Behebung des Cyber-Notfalls, ab?

Der erste Kontakt ist meistens telefonisch, ein Notruf. Dabei wird zunächst abgeklärt, was passiert ist. Hier helfen die vorhin erwähnten Handyfotos und Notizen enorm. Manchmal haben alle Beteiligten Glück und es handelt sich einfach um einen Anwenderfehler. Also zum Beispiel um eine unbekannte Funktion oder Reaktion der vertrauten, sichereren Programme.


Wenn nicht, verläuft die Abklärung zunächst aus der Ferne. Fachleute für Incident Response sind geübt darin, die entsprechende telefonische Anleitung zu geben. Im Idealfall wurde jedoch bereits bei der Erstellung des Notfallplans ein Fernzugang für sie eingerichtet. Dann können Sie für die Analyse direkt auf die Rechner oder das System zugreifen. Bei Bedarf kommen sie natürlich auch ins Unternehmen und überprüfen das System vor Ort.

Am 19.05.2021 fand unser Online-Seminar zum Thema
"Notfallmanagement - Was tun im Cyber-Notfall?" statt.

Welche Konsequenzen haben Cyber-Notfälle für Unternehmen?

Cyber-Notfälle lösen eine ganze Kette von Ereignissen aus und verursachen empfindliche Kosten. An Zeit, an Geld, an Aufwand und auch an Nerven. In den meisten Fällen kann niemand mehr arbeiten, der Betrieb ist unterbrochen und man muss seine Kunden vertrösten, oft auf unbestimmte Zeit. Gleichzeitig muss der Cyber-Notfall behoben werden, es muss Anzeige bei der Polizei erstattet und vielleicht eine DSGVO-Meldung gemacht werden. Möglicherweise wird die Anschaffung neuer Geräte notwendig. Verlorene Daten müssen wieder hergestellt oder sogar neu erarbeitet werden. Dauert die Betriebsunterbrechung mehrere Tage, kann es sein, dass man Kunden verliert. Dazu kommt oft ein Reputationsverlust und in manchen Fällen sogar ein Bußgeld.

Wen betreffen Cyber-Notfälle? Sind bestimmte Unternehmen besonders gefährdet?

Ganz klar gesagt: Cyber-Notfälle betreffen jedes Unternehmen. Egal wie groß, wie klein oder welche Branche. Aus Sicht der Cyberkriminellen hat jedes Unternehmen Daten oder Ressourcen, die einen Angriffsversuch wert sind. Laut Statistiken wurden bereits 70 % aller deutschen Unternehmen gehackt. Ein geflügeltes Wort in der Cybersicherheitsbranche besagt: „Es gibt zwei Arten von Unternehmen. Die, die gehackt wurden und die, die noch nicht wissen, dass sie gehackt wurden.“

Denn wenn im Hintergrund eine Spionagesoftware arbeitet oder Systemkapazitäten missbraucht werden, um Bitcoins zu erzeugen, ist das tatsächlich oft kaum bemerkbar.

Wie sieht eigentlich die andere Seite von Cyber-Notfällen aus – was ist das Ziel der Angreifenden?

Ganz generell gesagt: Die Cyberkriminellen wollen in ihrer Welt ihr Geld verdienen. Dazu haben sie viele Möglichkeiten. Sie können eigene Angriffe starten. Ganz gezielt zum Beispiel auf ein Marktführer-Unternehmen oder nach dem Prinzip Gießkanne. Da viele Abläufe automatisiert sind, ist für Cyberkriminelle egal, ob sie 100 oder 10.000 Phishing-E-Mails mit Ransomware versenden. Ist auch nur eine davon erfolgreich, lohnt es sich schon für sie. Oder sie sammeln Daten, die sie verkaufen können, zum Beispiel Kreditkarteninformationen, Login-Daten und E-Mail-Adressen.

Viele Cyberkriminelle arbeiten auch im Auftrag. Das läuft ab wie eine Dienstleistung: Sie werden gebucht, bezahlt und zum Teil sogar in Bewertungsportalen im Darknet bewertet. Diese Aufträge können alles umfassen, was Geld bringt: Wahlmanipulation, Bitcoin-Mining, Ransomware, Sabotage, Spionage, und, und, und.

Was kann bezüglich Incident Response nicht oft genug gesagt werden?

Dass jedes Unternehmen betroffen sein kann. Wirklich jedes, das kleine Café, der Hidden Champion und die Landschaftsgärtnerei. Deutschland ist von Cyberangriffen sogar überproportional stark betroffen. Vermutlich weil der deutsche Mittelstand einen sehr guten Ruf hat. Aus Sicht der Cyberkriminellen ist hier viel zu holen. Besonders attraktiv ist für sie, dass das Thema Cybersicherheit im deutschen Mittelstand oft hintenansteht. Viele Unternehmen sind vergleichsweise leicht angreifbar – bis sie entsprechende Vorkehrungen treffen. Dann lassen sich viele erfolgreiche Angriffe verhindern, so dass eine Incident Response gar nicht erst notwendig wird.