Cyber-Forensik für Nicht-Techniker: Was passiert nach einem Sicherheitsvorfall

1 Min. Lesezeit

Nach einem Cyberangriff beginnt die Forensik – und für die meisten Geschäftsführer wird es unübersichtlich. Was genau machen die Forensiker? Wie lange dauert das? Was darf man anfassen und was nicht? Und was bedeuten die Ergebnisse für Haftung, Versicherung und Meldepflichten? Ein Leitfaden für Entscheider.

Das Wichtigste in Kürze

Forensik beginnt mit der Sicherung flüchtiger Beweise (RAM, Netzwerk-Logs, aktive Sessions)
Regel Nummer 1: Betroffene Systeme nicht herunterfahren – Beweise gehen verloren
Chain of Custody: Lückenlose Dokumentation für Strafverfolgung und Versicherung
Forensik-Dauer: 2-8 Wochen je nach Komplexität und Scope

Die goldene Stunde: Beweissicherung vor Wiederherstellung

Der natürliche Impuls nach einem Angriff: Systeme sofort neu aufsetzen und den Betrieb wiederherstellen. Genau das zerstört die wichtigsten Beweise. RAM-Inhalte, aktive Netzwerkverbindungen, laufende Prozesse und temporäre Dateien gehen beim Neustart unwiederbringlich verloren.

Forensiker erstellen zuerst forensische Images: Bit-für-Bit-Kopien von Festplatten und RAM-Dumps. Diese Kopien sind die Grundlage der gesamten Untersuchung – und oft auch Voraussetzung für Versicherungsleistungen und Strafverfolgung.

Timeline-Analyse: Was ist wann passiert?

Die Kernaufgabe der Forensik: Eine lückenlose Timeline des Angriffs rekonstruieren. Wann erfolgte der erste Zugriff (Initial Access)? Wie bewegte sich der Angreifer im Netzwerk (Lateral Movement)? Wann wurden Daten exfiltriert? Wann wurde die Ransomware ausgelöst?

Diese Timeline entsteht aus der Korrelation hunderter Datenquellen: Windows Event Logs, Firewall-Logs, Active-Directory-Änderungen, E-Mail-Logs, Cloud-Audit-Trails und Endpoint-Telemetrie. Je mehr Datenquellen verfügbar sind, desto vollständiger das Bild.

Was die Ergebnisse für Entscheider bedeuten

Die Forensik-Ergebnisse beantworten vier Kernfragen: Was ist passiert (Angriffsvektor und -verlauf)? Welche Daten sind betroffen (Scope der Kompromittierung)? Ist der Angreifer noch im Netzwerk (Containment-Status)? Und wie kann ein erneuter Angriff verhindert werden (Remediation)?

Diese Informationen fließen direkt in Meldepflichten (DSGVO: 72h-Frist, NIS2: 24h), Versicherungsansprüche (der Forensik-Bericht ist die Schadensdokumentation) und die Kommunikationsstrategie (was sagen wir Kunden, Partnern, Öffentlichkeit?).

Vorbereitung: Was Unternehmen VOR dem Vorfall tun können

Forensik ist umso effektiver, je besser die Vorbereitung. Drei Maßnahmen: Erstens, zentrale Log-Aggregation (SIEM oder zumindest Syslog-Server) – ohne Logs keine Forensik. Zweitens, Aufbewahrungsfristen für Logs definieren (mindestens 90 Tage, besser 365). Drittens, IR-Retainer mit einem Forensik-Dienstleister abschließen.

Die häufigste Erkenntnis nach Forensik-Einsätzen: „Wenn wir die Logs gehabt hätten, hätten wir den Angriff Wochen früher erkannt.“ Log-Management ist keine Kür, sondern Grundvoraussetzung für jede forensische Untersuchung.

Key Facts

Forensik-Dauer: 2-8 Wochen je nach Scope und Komplexität

Log-Problem: In 40 Prozent der Fälle fehlen kritische Logs für die vollständige Rekonstruktion (Mandiant)

Kosten: 50.000-250.000 EUR für eine vollständige Forensik-Untersuchung im Mittelstand

Häufige Fragen

Muss ich die Polizei einschalten?

Bei Ransomware und Datendiebstahl dringend empfohlen. Die Zentrale Stelle für Cyberkriminalität (ZAC) in jedem Bundesland ist Ansprechpartner. Manche Cyber-Versicherungen fordern die Strafanzeige als Leistungsvoraussetzung.

Kann ich während der Forensik weiterarbeiten?

In der Regel ja – auf Systemen, die als nicht betroffen eingestuft werden. Die Forensik konzentriert sich auf kompromittierte Systeme. Wichtig: Abstimmung mit dem Forensik-Team, welche Systeme genutzt werden dürfen und welche nicht.

Wie finde ich einen guten Forensik-Dienstleister?

Achten Sie auf: BSI-Zertifizierung als APT-Response-Dienstleister, GIAC-zertifizierte Analysten (GCFA, GCFE), Erfahrung mit Ihrer Branche und 24/7-Erreichbarkeit. Idealerweise schließen Sie einen IR-Retainer vor dem Ernstfall ab.