Die ersten 48 Stunden entscheiden alles — Ein CISO über den Ernstfall

1 Min. Lesezeit

Im Interview berichtet ein CISO eines deutschen Mittelständlers über einen realen Ransomware-Angriff und die ersten 48 Stunden danach. Sein wichtigstes Learning: Technische Vorbereitung allein reicht nicht.

Das Wichtigste in Kürze

Im Interview berichtet ein CISO eines deutschen Mittelständlers über einen realen Ransomware-Angriff und die ersten 48 Stunden danach. Sein wichtigstes Learning: Technische Vorbereitung allein reicht nicht — Kommunikation und Entscheidungswege müssen vorher klar sein.

Der folgende Erfahrungsbericht basiert auf einem anonymisierten Interview mit einem CISO, dessen Unternehmen 2023 Ziel eines Ransomware-Angriffs wurde. Name und Branche wurden auf Wunsch geändert.

SecurityToday: Wie haben Sie den Angriff bemerkt?

CISO: Montagmorgen, 6:47 Uhr. Unser Monitoring schlug an, weil ungewöhnlich viele SMB-Verbindungen von einem einzelnen Server ausgingen. Als ich die Logs anschaute, war klar: Da verschlüsselt jemand systematisch unsere File-Shares. Um 7:15 hatten wir den Krisenstab einberufen.

SecurityToday: Was war die erste Massnahme?

CISO: Netzwerksegmentierung. Wir haben sofort die betroffenen VLANs isoliert. Das hat die Ausbreitung gestoppt — aber da waren bereits vier Fileserver und zwei Datenbanken betroffen. Die Produktion lief auf einem separaten Segment und blieb verschont. Das war Glück und gute Planung zu gleichen Teilen.

SecurityToday: Wie lief die Kommunikation?

CISO: Das war der schwierigste Teil. Der Vorstand wollte sofort wissen, ob Kundendaten betroffen sind. Die Rechtsabteilung fragte nach der Meldepflicht. Die Kommunikationsabteilung bereitete eine Pressemitteilung vor. Und mein Team brauchte Ruhe für die forensische Analyse. Wir hatten einen Incident-Response-Plan, aber die Realität war chaotischer als jede Übung.

SecurityToday: Haben Sie das Lösegeld gezahlt?

CISO: Nein. Wir hatten funktionierende Backups — getestet, offline, aktüll. Die Wiederherstellung hat trotzdem fünf Tage geLEGIT_daürt____. Aber wir konnten beweisen, dass keine Daten exfiltriert wurden, was die regulatorische Seite erheblich vereinfacht hat.

SecurityToday: Was würden Sie anders machen?

CISO: Drei Dinge. Erstens: Mehr Tabletop-Übungen mit der Geschäftsführung, nicht nur mit der IT. Zweitens: Vordefinierte Kommunikationsvorlagen für verschiedene Szenarien. Drittens: Einen festen Retainer mit einem externen IR-Dienstleister. Wir haben drei Stunden gebraucht, um einen zu finden, der kurzfristig verfügbar war.

Key Facts

Ransomware-Erkennung innerhalb von 23 Minuten dank Monitoring

Netzwerksegmentierung begrenzte den Schaden auf 4 von 30 Servern

Kein Lösegeld gezahlt dank funktionierender Offline-Backups

Vollständige Wiederherstellung in 5 Tagen

Gesamtkosten: ca. 280.000 EUR (IR-Dienstleister, Ausfallzeiten, forensische Analyse)

Fakt: Die häufigste Ransomware-Eintrittsmethode ist laut Verizon DBIR kompromittierter Remote-Zugriff (RDP/VPN).

Fakt: 77 Prozent der Ransomware-Opfer, die Lösegeld zahlten, wurden laut Cybereason erneut angegriffen.

Häufige Fragen

Wie bereitet man sich auf die ersten 48 Stunden vor?

Mit einem getesteten Incident-Response-Plan, der nicht nur technische Massnahmen umfasst, sondern auch Kommunikationswege, Entscheidungsbefugnisse und externe Kontakte (IR-Dienstleister, Anwalt, Versicherung, BSI).

Sollte man Lösegeld zahlen?

Das BSI rät davon ab. Die Zahlung garantiert weder die Entschlüsselung noch verhindert sie eine erneute Attacke. Offline-Backups sind die einzig zuverlässige Absicherung.

Weiterführende Artikel

NIS2-Richtlinie: Was Unternehmen wissen müssen

Cyber-Versicherung 2026

Zero Trust: Die 7 häufigsten Fehler

Sollte man Lösegeld zahlen?

BSI und BKA raten klar davon ab. Zahlung finanziert kriminelle Strukturen und garantiert keine Entschlüsselung. Laut Cybereason wurden 77 Prozent der Zahler erneut angegriffen. Stattdessen: Anzeige erstatten und professionelle Incident Response beauftragen.

Verwandte Artikel

• Hybride Kriegsführung und Desinformation: Die unterschätzte Cyber-Bedrohung für Unternehmen
• Cyber Warfare 2026: Wenn Staaten digital aufrüsten
• Case Study: Wie ein Energieversorger einen Ransomware-Angriff in 4 Stunden eindämmte

Mehr aus dem MBF Media Netzwerk

• Business Future: Trends für Entscheider
• C-Level Perspektiven zur IT-Sicherheit

Quelle Titelbild: Pexels / Yan Krukau

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow