CISOs müssen ihre Rolle im Unternehmen weiterentwickeln. Denn die Gefahr durch Ransomware zwingt sie dazu, sich stärker operativ zu positionieren und sich eng mit dem CIO und den IT-Infrastrukturteams auszutauschen.
Moderne CISOs müssen ihre Strategie weiterentwickeln, weg von der reinen Abwehr hin zum operativen Schutz. Dann können sie zum echten Security-Helden für ihr Unternehmen werden.
(Bild: Dall-E / KI-generiert)
Bislang hieß es: Man braucht nur ausreichend Budget und die entsprechende Anzahl an Sicherheitsspezialisten, um das Unternehmen zu schützen. Dieses Mantra war jahrzehntelang ein strategischer Eckpfeiler für viele CISOs. Doch jeder neue Prozess und jedes neue Tool erhöht die Reibungsverluste für Benutzer und verringert die Flexibilität. Deloitte erklärte kürzlich bei einer DefCon-Präsentation, dass ein Unternehmen mittlerweile durchschnittlich mehr als 130 verschiedene Tools für Cybersicherheit einsetzt: Während sich die IT-Abteilung im Zuge der digitalen Transformation auf die Wertschöpfung, Konsolidierung und Verlagerung in die Cloud konzentriert, kümmern sich Cybersicherheitsteams zunehmend um die Verwaltung der Infrastruktur, anstatt um das Management von Cyberrisiken.
Vor dem Aufkommen von Ransomware stand die überwiegende Mehrheit der Cyberrisiken im Zusammenhang mit der Exfiltration von Unternehmensdaten. Bei entsprechenden Angriffen drohen dem Unternehmen Reputationsschäden, Geldstrafen und potenzielle Rechtsstreitigkeiten. Eine Kopie der Unternehmensdaten bleibt jedoch auf den Systemen vorhanden und Produkte sowie Dienstleistungen lassen sich weiterhin anbieten. Bei einem Ransomware-Angriff hingegen ist das Unternehmen nicht mehr in der Lage, seine grundlegenden Aufgaben zu erfüllen. Ransomware- und Wiper-Angriffe haben ganz andere Auswirkungen. Im Gegensatz zur Datenexfiltration, bei denen der Schaden bereits zum Zeitpunkt des Angriffs besteht, gehen die Auswirkungen bei Ransomware so lange weiter, bis der Vorfall bewältigt ist.
Eine Zeitenwende
Traditionellerweise konzentrieren sich CISOs nur auf Prävention und Erkennung. Sie gehen davon aus, dass das Unternehmen mit einer angemessenen Aufstockung des Personals und des Budgets ausreichend vor Angriffen geschützt ist. Manche glauben sogar, dass das neueste Sicherheitstool alle Zero-Day-Angriffe erkennen wird. Doch diese CISOs erleben aktuell, dass andere Unternehmen mit viel größeren Sicherheitsteams und deutlich höheren Sicherheitsbudgets unter erheblichen Auswirkungen durch Ransomware leiden. Sie müssen nun dem Vorstand mitteilen, dass es trotz aller Investitionen in die Sicherheit wahrscheinlich ist, dass sie einem Cyberangriff zum Opfer fallen werden. Letztendlich müssen sie zugeben, dass es trotz aller Bemühungen ein Restrisiko für das Unternehmen gibt.
Daher sind CISOs im Zeitalter der Ransomware gezwungen, ihre Strategie anzupassen. Die Installation des 131. Sicherheitstools verringert das Restrisikos nur minimal, führt jedoch zu noch mehr Reibungsverlusten und verringert weiter die Agilität. Investitionen in die Cyber-Resilienz sollten jedoch die Risiken senken, indem sie eine effektive und effiziente Reaktion und Wiederherstellung ermöglichen. Damit müssen CISOs realistische Gespräche mit der Unternehmensleitung führen. Die Investitionen sollten das verbleibende Restrisiko stärker reduzieren als die bisherigen Zusatzlösungen.
Dazu ist es entscheidend, sich auf die Folgen eines erfolgreichen Angriffs zu konzentrieren und wie dieser so schnell und effizient wie möglich eingedämmt, untersucht und beseitigt werden kann. Um diese Reaktion zu verbessern, ist eine enge Zusammenarbeit zwischen Geschäftsleitung und anderen Teams im Unternehmen erforderlich.
Offene Kultur etablieren
Denn die Folgen eines Ransomware-Angriffs lassen sich nicht innerhalb des eigenen Sicherheitsteams lösen. So besteht sogar die Gefahr eines totalen IT-Ausfalls. Zur Vorbeugung müssen alle wichtigen Fragen zu Verfügbarkeit, Wiederherstellung und Vorfallsanalyse mit anderen Teams sowie der Geschäftsleitung geklärt und die Maßnahmen schriftlich festgehalten werden. Es ist wichtig, den Ernstfall regelmäßig zu üben, in Schulungen durchzuspielen und das Gelernte in den eigenen Alltag konsequent zu übertragen.
CISOs müssen die möglichen Konsequenzen für Daten und Geschäft genau kennen und dem Vorstand erklären können. Der CIO und das Infrastrukturteam sind auf diesem Gebiet schon recht erfahren, denn in ihrem Bereich bedrohen Überschwemmungen, Brände, Stromausfälle und dergleichen die Rechenzentren. Diesen Erfahrungsschatz können CISOs nutzen. So lässt sich gemeinsam herausarbeiten, wie Dienste und Infrastruktur voneinander abhängen und was deren Ausfall durch Ransomware bedeuten würde.
Im Rahmen dieser Zusammenarbeit sollten CISO und CIO gemeinsam den Wert ihrer Daten und Vermögenswerte bestimmen sowie einen Prozess einführen, der dies künftig automatisch erledigt. Denn wie soll eine gemeinsame Risikoanalyse funktionieren, wenn es kein gemeinsames Verständnis darüber gibt, was man eigentlich schützen will? Diese enge Abstimmung erfordert eine neue Kultur der Zusammenarbeit über Teamgrenzen hinweg. Denn ein Unternehmen wird einen Ransomware-Angriff nur überstehen, wenn Sicherheits- und Infrastrukturteams eng zusammenarbeiten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Vorbereitungen für die Stunde Null
Die Folgen eines akuten Ransomware-Angriffs unterscheiden sich stark von Malware, Spam oder Datenexfiltration. Möglicherweise ist der CISO nicht einmal mehr in der Lage, auf einen Angriff zu reagieren: Sicherheitstools können beeinträchtigt, Beweise verschlüsselt oder gelöscht worden sein. Die Kommunikation mit Geschäftsleitung, Strafverfolgungsbehörden, Versicherung, Presse und Aufsichtsbehörden ist durch das Fehlen von E-Mail- oder Voice-over-IP-Systemen erschwert. Administratoren können möglicherweise nicht einmal in das Gebäude gelangen, wenn die physischen Zugangskontrollsysteme ausgefallen sind. Wie soll das Lösegeld bezahlt oder ein Decryption-Key einer MAC-Adresse zugeordnet werden, wenn Datenbanken nicht mehr verfügbar sind? Wie können Unternehmen mit dem Rechtsbeistand kommunizieren, um Compliance-Verstöße zu vermeiden? Viele Notfallanleitungen wurden nicht von jemandem erstellt, der echte Ransomware-Vorfälle erlebt hat. Daher fehlen oftmals Antworten auf all diese Fragen.
Der CISO und seine Teams müssen sich auf die Stunde Null vorbereiten und im Voraus Notfallpläne und -umgebungen erstellen. Gemeinsam mit den Infrastrukturteams lassen sich isolierte Reinräume einrichten, in denen ein Notfallset an Werkzeugen sowie System- und Produktionsdaten gespeichert sind, um einen Notbetrieb des gesamten IT-Systems zu ermöglichen. Darin befinden sich auch alle wesentlichen Tools für die Sicherheitsteams, damit diese den notwendigen Incident-Response-Prozess starten können.
Anschließend wird Schritt für Schritt und in enger Abstimmung mit den Infrastrukturteams die Produktionsumgebung wiederhergestellt. Dazu müssen CISO und CIO ein gemeinsames Verständnis für die Reihenfolge der Wiederherstellung von Systemen und Daten haben. Sie erreichen diesen Reifegrad in ihrer Interaktion, wenn sie und ihre Teams diese Fragen regelmäßig besprechen. Kontroll-Frameworks wie das NIST bieten gute Best Practices für die Strukturierung und Automatisierung dieser Aufgaben. Sie beschreiben auch andere wichtige Best Practices für die Sicherheit, wie die Vergabe der geringsten Privilegien, Aufgabentrennung oder Authentifizierung. Beide Teams sollten diese gemeinsam umsetzen, um das Sicherheitsniveau der IT insgesamt zu erhöhen.
Vorfälle sind unvermeidbar
Letztendlich wird der CISO vom CIO lernen, dass ein Cybervorfall kein Versagen der Sicherheitsstrategie darstellt. Vorfälle können genauso geschehen wie ein Brand im Rechenzentrum oder eine Ransomware-Infektion. Entscheidend ist, dass die Tools und Prozesse vorhanden sind, um die Folgen eines Cybervorfalls abzumildern. Gelingt es den CISOs, diese Entwicklung weg von der reinen Abwehr hin zum operativen Schutz zu steuern, wird sich dies auf das Investitionsverhalten auswirken.
Ein weiteres Sicherheitstool wird dann weniger wahrscheinlich auf der Einkaufsliste stehen als gemeinsame Softwareprojekte mit den Infrastrukturteams für Reinräume, Klassifizierung und Incident Response. Denn es ist sicher, dass die Abwehrmaßnahmen früher oder später einmal versagen werden. Dann müssen CISO und CIO gemeinsam diesen Vorfall bewältigen. Beide sollten heute schon beginnen, daran zu arbeiten. Denn nur mit den richtigen Lösungen, den richtigen Teams und den richtigen Prozessen kann ein CISO das Cyber-Risiko auf ein erträgliches Maß begrenzen.
Über den Autor: James Blake ist Global Head of Cyber Resiliency GTM Strategy bei Cohesity.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a1/46/a146e4fa881d8aa99805380f335f6450/0127959258v2.jpeg "Unternehmen müssen angesichts schneller KI-Angriffe und steigender Risiken durch Ransomware vor allem ihre Time-to-Recovery optimieren, um cyberresilient zu bleiben beziehungsweise zu werden. (Bild: ryanking999 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")