Montagmorgen, 07:14 Uhr. Erste Mitarbeiter melden Probleme bei der Anmeldung. Dateien auf den Netzlaufwerken zeigen plötzlich wirre Endungen aus Buchstaben sowie Zahlen. Auf einem Bildschirm öffnet sich ein Textfenster mit einer Bitcoin-Adresse. Bis 09:00 Uhr steht fest: Die Rechner sind verschlüsselt. Die Maschinen in der Werkshalle stehen still. Und das war noch der gute Tag. Bei einem Ransomware-Angriff ist entscheidend, was die Geschäftsführung in den nächsten 60 Minuten entscheidet, denn dies bestimmt den weiteren Verlauf.
Hacker-Angriffe verursachen bei Firmen im Schnitt Kosten in Millionenhöhe. In einem Drittel der Fälle verschwinden Daten für immer. Das liegt meistens nicht an der Stärke der Angreifer. Oft versagt die Datensicherung oder Fehler beim Backup. Dazu kommen gesetzliche Meldepflichten, Gespräche mit Kunden aber auch Streit mit dem Versicherer. Der Verlust an Vertrauen belastet das Geschäft oft über Jahre hinweg.
Was die wenigsten wissen: Der Großteil des Schadens entsteht nicht durch den Angriff selbst, sondern durch das, was in der ersten Stunde danach passiert. Oder was eben nicht passiert. Dieser Artikel zeigt, welche Entscheidungen in den ersten 60 Minuten den Unterschied machen.
Was passiert, während Sie noch überlegen
Der Moment, in dem Sicherheitsteams einen Cyberangriff entdecken, ist nie der Anfang. In der Realität sitzt ein Angreifer im Schnitt mehrere Wochen still in einer Umgebung. Er hat diese bereits kompromittiert. Erst danach löst er die Verschlüsselung aus. Die Konsequenz: Wenn die Erpressernachricht auf dem Bildschirm erscheint, hat der Angreifer Ihre Infrastruktur längst kartiert, Backup-Server identifiziert und Domain-Admin-Konten kopiert. In vielen Fällen exfiltrierte er bereits Daten, also kopierte er sie und lud sie auf einen anderen Server. Der eigentliche Hebel ist nicht mehr die Verschlüsselung, sondern die Drohung, dass er diese Daten veröffentlicht.
In den 60 Minuten nach der Entdeckung passieren parallel drei Dinge, auf die Sie teilweise Einfluss haben.
Der Angreifer arbeitet weiter. Wer Domain-Admin-Rechte besitzt, nutzt jede Minute für zusätzliche Hintertüren, wozu Service-Accounts, geplante Tasks und manipulierte Gruppenrichtlinien gehören. Wer eine Stunde zögert, gibt ihm eine Stunde zum Einnisten. Forensische Spuren verschwinden, da das System Firewall-Logs überschreibt und die Endpoint-Telemetrie wegrollt. Zudem enthält der Arbeitsspeicher kompromittierter Server nur noch wenige Stunden die Information, wieder Angriff funktioniert hat. Wer voreilig herunterfährt, vernichtet die Grundlage für das Verständnis des gesamten Angriffswegs. Das interne Team entscheidet unter Panik, weshalb in diesem Fenster die teuersten Fehler passieren: Das Team spielt Backups ungeprüft ein und holt den Angreifer zurück. Administratoren löschen verdächtige Konten, anstatt sie zu beobachten, und vernichten dadurch wichtige Beweise für die Analyse. Das Team installiert Server neu, bevor überhaupt klar ist, was genau kompromittiert war. Jeder dieser Schritte ist gut gemeint, doch verlängert jeder einzelne den Schaden um Tage. Das ist fatal.
Das ist die unbequeme Wahrheit. In den ersten 60 Minuten retten Sie nicht, sondern entscheiden, was über haupt noch zu retten ist. Wer in dieser Phase strukturiert handelt, hat realistische Chancen auf einen Anlauf binnen Tagen, während wer reflexartig reagiert, sich auf Wochen einrichtet.
Fünf Fehler, die jeden Fall teurer machen
Aus den Einsätzen innerhalb der Cyber-Notfall-Allianz kennen wir die gleichen Muster, die sich in vielen Fällen immer wiederholen. Es sind nicht die exotischen Fehler, die den Schaden vergrößern, sondern es sind die naheliegenden, gut gemeinten Reaktionen, die oft unterschätzt werden. Gerade diese Reaktionen kosten am meisten.
Sofort alles herunterfahren
Der Reflex ist nachvollziehbar: Stecker raus, alles aus, Angriff gestoppt. Doch tatsächlich zerstören Sie mit diesem Vorgehen die wichtige forensische Grundlage für die spätere Analyse. Der Arbeitsspeicher eines kompromittierten Servers enthält nach einem abrupten Hard-Shutdown leider nur noch eine Sache: nichtsmehr. Damit geht die wertvolle Information verloren, wie der Angreifer reinkam, und auch ein möglicher zweiter Zugang bleibt durch dieses Vorgehen unentdeckt. Richtig ist hingegen, das System lediglich vom Netzwerk zu trennen und es einfach weiterlaufen zu lassen. Warten Sie, bis ein Forensiker den Speicherinhalt sichert.
Backups einspielen, bevor der Zeitpunkt der Datenintegrität feststeht
Dies ist der teuerste Fehler nach dem Hard-Shutdown, da Angreifer im Schnitt wochenlang in einer Umgebung sitzen, bevor sie zuschlagen. Die Folge: Auch das Backup von vor zwei Wochen enthält bereits die Hintertür, weshalb eine Wiederherstellung ohne forensische Zeitlinie den Angriff exakt zurückholt. Nur dass der Angreifer beim zweiten Mal vorbereitet zuschlägt, weshalb es Mittelständler gibt, die dieselbe Ransomware dreimalhintereinander kassierten. Jedes Mal geschah dies aus dem Backup.
Verdächtige Konten löschen oder sperren
Das klingt nach Aufräumen, doch der Angreifer vernichtet nur seine Spuren, sobald er merkt, dass das Unternehmen seine Konten sperrt und er Bescheid weiß. Das Sicherheitsteam hat ihn entdeckt. Er aktiviert seine zweiteSchicht an Zugängen und Service-Accounts, zu denen manipulierte Gruppenrichtlinien und geplante Tasks gehören. Diese kennen Sie nicht, weil Sie noch nicht gesucht haben. Profis dokumentieren erst und beobachten kontrolliert, bevor sie bei allen Zugängen gleichzeitig zuschlagen, um die Kontrolle zu behalten. Hier entscheidet sich, ob Sie den Angreifer erfolgreich eindämmen oder die Lage durch Ihr Handeln weiter eskalieren.
Das Active Directory ignorieren
Dies ist der unsichtbarste und teuerste Fehler. IT-Teams entfernen Schadsoftware, setzen Server neu auf und fahren Backups hoch, während das Active Directory jedoch unangetastet bleibt. Die Folge: Der Angreifer behält weiterhin gültige Domain-Admin-Rechte, weshalb jeder, der sich beim ersten Login in der sauberen Umgebung anmeldet, diese sofort erneut kompromittiert. Rund90ProzentallerCyberangriffe zielen auf Identitätssysteme. Wer das AD nicht systematisch bereinigt, vollzieht keinen echten Wiederanlauf, sondern gibt dem Angreifer lediglich eine Pause.
Erst die Versicherung anrufen, dann den Techniker
Das ist verständlich, denn der Versicherer deckt den Schaden. Das Problem: Versicherer folgen festen Prozessen und arbeiten mit vorgegebenen Dienstleister-Ketten zusammen, deren Anlaufzeit oft Stunden oder einen ganzen Tag beträgt. In dieser Zeit arbeitet der Angreifer weiter, während Logs gelöscht werden und der Schaden eskaliert. Eine parallele, unabhängige technische Bewertung kostet überschaubare paar hundert Euro, spart jedoch Tage an Ausfallzeit.
Wie 60 Minuten effizient genutzt aussehen
Der Kontrast zur reflexartigen Reaktion ist ein strukturierter Ablauf. Dieser nutzt jede Minute, um bewusst zu entscheiden, statt reflexartig zu handeln.
Minute 0–10 — Lage erfassen, nicht handeln. Zunächst muss geklärt werden, wer den Vorfall bemerkte und welche Systeme in der IT-Infrastruktur aktuell betroffen sind. Was zeigen Mailserver, Firewall und Endpoint-Konsole, während Ein Mensch koordiniert, wie sämtliche Informationen in dieser kritischen Phase der Lageerfassung zusammenlaufen? Niemand startet Server neu, niemand löscht Konten und niemand spielt Backups ein.
Minute 10–25 — Externe Hilfe ans Telefon. Parallel dazu bewertet das Team intern die Lage und ruft bei einer spezialisierten Notfall-Hotline an. In der Cyber-Notfall-Allianz cybernotfall24.de steht innerhalb von rund 20 Minuten ein Triage-Team aus Spezialisten bereit, das sofort unterstützt. Wichtig: Rufen Sie nicht erst an, wenn das interne Team alles probiert hat, sondern handeln Sie sofort. Jede Minute, die der Angreifer ungestört weiterarbeitet, kostet später bei der Wiederherstellung der Systeme viele Stunden beim Aufräumen und Sichern der Daten. Diese Zeit ist für das Unternehmen kritisch. Ein schnelles Eingreifen verhindert, dass sich der Schaden durch den Angriff auf die IT-Infrastruktur massiv ausweitet.
Minute 25–40 — Isolieren, nicht zerstören. Nachdem das Team die Lage bewertet hat, isoliert es betroffene Systeme netzwerkseitig, indem es VLANs trennt, den Internet-Zugang kappt und kritische Server vom AD entkoppelt. Dabei darf es nichtsabschalten, um die Integrität der Systeme zu wahren. Parallel sichert das Team flüchtige Spuren wie Memory Dumps, Firewall-Logs und Endpoint-Telemetrie, um die Basis für die spätere forensische Analyse zu schaffen. In diesem Moment entscheidet sich, ob in einer Woche der Angriffsweg rekonstruierbar ist oder nicht.
Minute 40–60 — Jetzt entscheidet sich der Weg. Auf Basis der gesicherten Daten legt das Team fest, wie die nächsten Schritte ablaufen, etwa ob wir erst die Daten retten oder das AD bereinigen. Analysieren wir die Forensik live oder erst nach dem Wiederanlauf, und welche Systeme priorisiert das Team bei diesem Vorgehen? Diese Entscheidung trifft idealerweise ein eingespieltes Allianz-Team, weshalb das interne IT-Team diese Aufgabe nicht übernehmen sollte. Nach 60 Minuten Stress lässt es oft die nötige Klarheit vermissen.
Dein erster Fokus – Fehlertyp: Adjektiv
Die Praxis behandelt das Retten von Daten und den Schutz der Identität oft als getrennte Disziplinen. Das sind sie jedoch nicht, da beide Bereiche in der Realität eng miteinander verknüpft sind und sich gegenseitig bedingen. Genau hier scheitern die meisten IT-Verantwortlichen bei der Datenwiederherstellung.
Ein reales Muster: Ein Unternehmen stellt verschlüsselte Daten aus dem Backup her, ohne zu wissen, dass ein Angreifer weiterhin Domain-Admin-Rechte besitzt. Die Produktion läuft wieder und alle atmen auf, doch Zwei Wochenspäter verschlüsselt der Angreifer erneut dieselben Daten. Er fordert wieder dasselbe Lösegeld, da er diesmal genau weiß, wo das Backup steht. Beim zweiten Mal gelingt die Herstellung oft nicht mehr.
Dieses Szenario ist der Grund für die Cyber-Notfall-Allianz cybernotfall24.de, die drei Disziplinen unter einer Nummer bündelt. DATAREVERSE rettet Daten und analysiert Speichersysteme forensisch, während aconitas den Active-Directory-Schutz, das Passwortmanagement sowie alle IT-Sicherheitskonzepte verantwortet. Schneider & Wulf übernimmt das Penetration Testing, die Awareness und IT-Audits.
Ein Anruf, drei spezialisierte Häuser und eine abgestimmte Reaktion und das ist das Prinzip. Genau so lautet die präzise Logik, die hinter dieser Allianz steht und alles effizient verbindet.
Die teuerste Telefonnummer ist die, die Sie erst im Angriff suchen
Die wenigsten Cybervorfälle treffen Unternehmen völlig unvorbereitet, doch was sie tatsächlich trifft, ist das Fehlen eines konkreten Plans. Sie wissen nicht, wen sie als erstes anrufen sollen. Wer im Vorfeld fünf einfache Punkte abhakt, gewinnt im Ernstfall wertvolle Zeit zurück. Halten Sie die Notfallnummer griff bereit und auf Papier. Legen Sie die Hotline einer spezialisierten Allianz, Datenschützer und IT-Versicherung bereit und bestimmen Sie intern, wer für was verantwortlich ist. Speichern Sie dies auf Papier oder dem Smartphone, nicht im verschlüsselten Fileshare. Active Directory jährlich auditieren. Prüfen Sie privilegierte Konten, Schattenrechte und alte Dienstkonten, denn wer sein AD nicht kennt, scheitert im Ernstfall an der Bereinigung. Backup-Strategie testen, nicht dokumentieren. Viele Unternehmen erfahren erst bei der Wiederherstellung von Problemen, dass das Backup defekt, unvollständig oder verschlüsselt ist. Awareness im Team. Über 80 Prozent der Vorfälle beginnen mit einer Phishing-Mail, weshalb sich die Schulung des Teams gegenüber einem einzigen Ausfalltag deutlich auszahlt. Erstgespräch führen. Viele Allianzen bieten ein unverbindliches Gespräch an, da man im Angriff die Telefonnummer nicht erst suchen sollte, um keine wertvollen Minuten zu verlieren.
Fazit — die ersten 60 Minuten sind keine technische Frage
Ein Cybernotfall ist durchaus beherrschbar. Er ist es jedoch nur, sofern die erste Stunde vorbereitet und strukturiert abläuft und nicht reflexartig oder improvisiert ist. Wer in dieser Phase richtig entscheidet, begrenzt den Schaden auf Tage statt Wochen. Zudem sichert er forensische Beweise und legt die Basis für einen sicheren Wiederanlauf, der nicht erneut zu einer Verschlüsselung führt.
Die Wahrheit ist: Die ersten 60 Minuten entscheiden sich nicht in der IT-Abteilung, sondern sie hängen maßgeblich von Ihrer persönlichen Vorbereitung ab. Es geht um die Frage, ob eine Nummer existiert, die Sie um 07:14 Uhr an einem Montag ohne Googeln wählen können. Dies ist die einzige Möglichkeit.
Als Microsoft Solution Partner steht aconitas seit 2009 an der Seite mittelständischer Unternehmen, wobei wir uns auf digitale Resilienz spezialisiert haben. Wir unterstützen Sie dabei, sofern Sie sich präventiv schützen oder akut reagieren müssen. Innerhalb der Cyber-Notfall-Allianz cybernotfall24.de übernehmen wir den Bereich Active-Directory-Schutz, um Ihre Identität nachhaltig und sicher abzusichern. Sprechen Sie uns an, bevor der Montag kommt.
Akute Cyber-Notfall-Hotline der Allianz: 0800 - 2923724 (24/7, deutschlandweit) – besuchen Sie uns auch unter cybernotfall24.de für weitere Informationen. Bereiten Sie sich vor, bevor es ernst wird, und sprechen Sie mit uns darüber, wie Sie Ihr Active-Directory härten oder ein IT-Sicherheitskonzept erstellen können. Wir binden Sie an cybernotfall24.de an.
→ Beratungstermin anfragen → Mehr zur Cyber-Notfall-Allianz
