Eine Cyberattacke ist und bleibt eines der größten Risiken für Unternehmen, denn dann kostet – egal ob in der Produktion oder in der Verwaltung – jede Sekunde Stillstand viel Geld. Um handlungsfähig zu bleiben müssen Firmen zusätzlich zu Endpoint-Protection-Lösungen weitere Maßnahmen umsetzen. Das Stichwort lautet: Incident Readiness.
Heute stellt sich nicht mehr die Frage, ob ein Unternehmen einer Cyberattacke zum Opfer fällt, sondern vielmehr, wann. Firmen, die sich auf dieses Szenario vorbereiten, handeln weitsichtig.
(Bild: Andrey Popov - stock.adobe.com)
Dass das Thema IT-Sicherheit auf die Managementebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die NIS-2-Direktive – NIS steht für Network and Information Security – der EU dieses Credo in entsprechende gesetzliche Regelungen. Das Ziel: eine Stärkung der IT-Sicherheit entlang der Wertschöpfungs- und Lieferketten. Insbesondere die Elektronikindustrie, die von einem Netzwerk von Zulieferern vor Allem aus Asien abhängig ist, hat hier die ein oder andere offene Flanke. Auch wenn im Hintergrund noch an der Umsetzung in nationales Recht gearbeitet wird, ist heute schon klar, dass kein Unternehmen mehr auf Risiko spielen kann. Zu hoffen, dass schon alles gut gehen wird, kann schnell nach hinten losgehen. Gerade wenn es einmal zu einem ausgewachsenen IT-Sicherheitsvorfall kommt, macht sich das besonders schmerzhaft durch finanzielle Verluste bemerkbar. Hier enthält die neue NIS-2-Richtlinie klare Vorgaben: Innerhalb von 24 Stunden muss ein Unternehmen einen potenziellen Sicherheitsvorfall gemeldet haben – auch an Feiertagen und Wochenenden. Regelmäßige Updates zu der Benachrichtigung nach 72 Stunden und nach 30 Tagen gehören nun ebenfalls zum Pflichtprogramm. Die Abschlussberichte müssen vollständig sein und den genauen Hergang wie auch die Ursachen für den sicherheitsrelevanten Vorfall enthalten.
Es ist ratsam, dass Verantwortliche sich frühzeitig mit den kommenden gesetzlichen Änderungen beschäftigen. Dabei sollten sie die Gelegenheit nutzen, die IT-Sicherheit zu verbessern, wichtige Geschäftsprozesse zu prüfen und sinnvoll abzusichern. Zusätzlich zu allen Sicherheitsmaßnahmen muss jetzt auch das Eintreten eines IT-Notfalls in die Überlegungen einbezogen werden. Fachleute sprechen in diesem Zusammenhang von Incident Readiness.
Papier ist geduldig – und sicher
Für IT-Notfälle brauchen Unternehmen unbedingt einen Krisenplan – am besten auf Papier. Dieser Plan sollte unter anderem eine Übersicht des eigenen Netzwerkes und der verwendeten Geräte enthalten. Denn im Notfall sind diese Informationen wichtig und im Aktenschrank besser aufgehoben als auf dem verschlüsselten Server oder dem nicht funktionsfähigen Notebook des Administrators oder der Administratorin. Dieser Krisenplan sorgt dafür, dass ein externes Incident-Response-Team deutlich schneller die Arbeit aufnehmen kann und das Unternehmen so in kürzerer Zeit wieder arbeitsfähig ist. Gleichzeitig lässt sich der finanzielle Schaden begrenzen. Ein eigenes Incident-Response-Team ist in den wenigsten Unternehmen vorhanden. Denn ein solches Team hoch spezialisierter Fachleute zu unterhalten, ist ebenfalls für viele Unternehmen finanziell nicht sinnvoll. Mitarbeitende In-House für Incident Response zu qualifizieren, ist nahezu unmöglich, da gerade dieser Bereich einschlägige Erfahrungen im Bewältigen von Sicherheitsvorfällen erfordert – und diese kann man nicht in einem Buch nachlesen oder in einem Kurs lernen.
Vorbereitet sein auf den Worst Case
Das Fatale an Cyberattacken ist: Oft bleiben die Angreifer über Wochen und Monate unbemerkt. Wenn nicht zufällig ein aufmerksamer IT-Mitarbeitender Unregelmäßigkeiten entdeckt, ist es in der Regel erst der gesperrte Bildschirm mit einer Lösegeld-Forderung, der einen Ransomware-Angriff offenbart. Jetzt kostet jede Minute bares Geld. Ab diesem Punkt schlägt die Stunde der Fachleute im Bereich Incident Response. Sie sind häufig die letzte Hoffnung, die Systeme wiederherzustellen.
Bevor ein Incident-Response-Team aktiv werden kann, braucht es Informationen zum aktuellen Notfall. Daher müssen Verantwortliche zentrale Fragen beantworten – vergleichbar mit den zentralen Fragen beim Notruf für die Feuerwehr. Diese Antworten schaffen ein tieferes Verständnis für die aktuelle Situation im Unternehmen:
Was ist passiert - genauer gesagt, was passiert gerade?
Wann ist es passiert?
Wie ist es aufgefallen? Aus dieser Frage lassen sich auch schon Indizien zum Angriffsvektor ableiten.
Welche Maßnahmen wurden schon getroffen? Hier geht es um die Frage, ob bereits forensische Spuren gesichert oder Indizien versehentlich unbrauchbar gemacht wurden. Dies kann schnell passieren, wenn den handelnden Personen vor Ort die notwendigen Kenntnisse fehlen.
Welches Unternehmen ist betroffen? Handelt es sich um ein produzierendes Gewerbe, um ein KRITIS-Unternehmen oder eine staatliche Organisation?
Natürlich sind auch technische Detailfragen vorab zu klären, um die Situation vor Ort besser einzuschätzen und den Einsatz zu planen. Daher brauchen die Fachleute Informationen zur IT-Infrastruktur, zur Netzwerkgröße, zu den Betriebssystemen sowie deren Patch-Status und den eingesetzten Sicherheitskomponenten.
Do‘s and Don‘ts für den IT-Sicherheitsvorfall
Wer gut vorbereitet und handlungsfähig bleiben auf den Einsatz eines externen Einsatzteams sein will, sollte folgende Do‘s and Don‘ts berücksichtigen:
Do‘s:
Internen und externen Netzwerkverkehr sofort unterbrechen: So sperren Unternehmen die Angreifer aus und verhindern eine weitere Ausbreitung der Schadsoftware.
Virtuelle Maschinen pausieren oder Snapshots erstellen: Moderne Malware liegt nicht mehr auf der Festplatte, sondern im Arbeitsspeicher. Wer also eine VM ausschaltet, macht den Speicher unbrauchbar und vernichtet dabei mögliche forensische Spuren. Daher ist es ratsam, diese zu pausieren oder einen Snapshot zu erstellen, um einen aktuellen Zwischenstand zu speichern.
Zentrale Ansprechperson benennen / Stabstelle einrichten: Kurze Kommunikationswege sind beim IT-Notfall essenziell. Eine Ansprechperson oder eine Stabstelle koordiniert dabei die Kommunikation mit dem Incident-Response-Team. Darüber hinaus stimmt sich diese Stelle auch mit beteiligten IT-Dienstleistern ab und kommuniziert mit Kunden sowie Mitarbeitenden.
Vorurteilsfreie Kommunikation: Wichtig ist eine angstfreie Umgebung, in der auch Mitarbeitende mit wenig IT-Kenntnissen Hinweise zum Vorfall geben können. Vorwürfe oder Schuldzuweisungen helfen in dieser Situation keinem weiter!
Backups prüfen und bereitstellen: Dieses Thema sollten Unternehmen schon vor einem Notfall auf der Agenda stehen haben. Denn im IT-Notfall ist es dafür zu spät. Mit aktuellen Back-ups lässt sich der Datenverlust minimal halten.
Zusammenarbeit mit lokalen Behörden: Jedes Opfer sollte Strafanzeige stellen, damit die Behörden Ermittlungen einleiten können. Für Straftaten im Cyberraum hat jedes Bundesland eine eigene Anlaufstelle. Darüber hinaus ist die Informationspflicht mit dem Datenschutzverantwortlichen zu klären, um einen möglichen Verstoß fristgerecht zu melden. Dabei gilt die Faustformel: Lieber eine Meldung zu viel als zu wenig.
Don‘ts
Systeme herunterfahren: Mit dieser Maßnahme zerstören die Betroffenen unter Umständen forensische Spuren oder machen sie unbrauchbar.
Systeme innerhalb des kompromittieren Netzwerks anfahren: Es besteht die Gefahr, dass die Schadsoftware weitere Teile des Netzes befällt und der Schaden immer größer wird.
Antivirus-Lösung abschalten: Auch während eines oder nach einem aktiven Angriff hilft die Antivirus-Lösung, indem sie weitere Angriffsversuche abblockt.
Selbstversuche: Wer ohne Fachkenntnisse handelt und Reparaturversuche unternimmt, verzögert und behindert eine schnelle Aufklärung des Infektionshergangs. Das Risiko einer “Verschlimmbesserung” ist sehr groß.
Unbegleitete Erpresserkommunikation: Grundsätzlich gilt „Kein Dialog mit Erpressern!“ Wer dennoch dazu gezwungen ist, braucht kompetente Unterstützung.
Schuldzuweisungen: Wer eine verdächtige Aktion direkt meldet, hilft, den Schaden frühzeitig einzudämmen. Das erfordert eine Unternehmenskultur, in der Mitarbeitende sich trauen, Fehler wie den möglichen Klick auf den Link in einer Phishing-Mail zuzugeben – ohne Konsequenzen fürchten zu müssen.
Fazit: Erst investieren, dann sparen
Heute stellt sich nicht mehr die Frage, ob ein Unternehmen einer Cyberattacke zum Opfer fällt, sondern vielmehr, wann. Firmen, die sich auf dieses Szenario vorbereiten und externe Fachleute um Unterstützung bitten, handeln weitsichtig. Sie sichern auch im Schadensfall das Überleben des eigenen Unternehmens und sind schneller wieder handlungsfähig. Untersuchungen zeigen, dass bei einem IT-Notfall nicht der Einsatz des Incident-Response-Teams der größte Kostenpunkt ist, sondern der entgangene Umsatz durch den Stillstand.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Verantwortliche sollten sich besser heute als morgen mit der NIS-2 und IT-Sicherheit auseinandersetzen und ihre Strategie anpassen. Das kostet erst einmal Geld und macht Arbeit – wird aber langfristig von großem Nutzen sein. Denn bereits ein verhinderter Incident kann die Kosten für die Sicherheit mehrfach decken.
Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/4d/1d4d18230dd6ea00a5b56151d22e7c09/0124273433v2.jpeg "Same Mistake, Different Company; Ransomware-Opfer sind sich oft so ähnlich, weil die selben Fehler in vielen unternehmen begangen werden. (Bild: zephyr_p - stock.adobe.com)")