Rund um den Globus nimmt die Zahl der Cyberattacken weiter zu. Unternehmen jeder Größe müssen damit rechnen, von Angreifern ins Visier genommen zu werden. Auf dem Weg zur richtigen Strategie, um sich gegen Cybergefahren, insbesondere Ransomware, zu wappnen, müssen sie jedoch einige Hürden überwinden. Das kann gelingen, wenn sie auf Incident-Response-Lösungen setzen und dabei fünf Punkte beachten.
Mit einer Incident Response-Lösung können Unternehmen ein Frühwarnsystem erhalten, das nicht nur hilft, die Folgerisiken einer Attacke zu minimieren, sondern im Idealfall Angriffe im Keim erstickt.
(Bild: Skórzewiak - stock.adobe.com)
Vor dem Hintergrund steigender Angriffszahlen ist es kein Wunder, dass die Bedrohung durch Cybergefahren Unternehmen weltweit mehr beunruhigt als Geschäfts- und Lieferkettenunterbrechungen oder Naturkatastrophen. Dies geht aus dem Allianz Risk Barometer 2022 hervor. Der Hauptgrund für die Sorge ist der Anstieg von Ransomware-Attacken, die von den Befragten (57 Prozent) als größte Cybergefahr gesehen werden. Ransomware-Angriffe bedeuten für jedes Unternehmen – ob multinational arbeitende Konzerne, Mittelständler oder Selbstständige – ein hohes finanzielles und geschäftliches Risiko. Der Schaden begrenzt sich dabei nicht auf bloße Lösegeldzahlungen. Auch der Ruf des Unternehmens leidet und im schlimmsten Fall werden sogar Geschäftsgeheimnisse publik gemacht oder an die Konkurrenz verkauft.
Was die Strategien angeht, die Unternehmen bei der Bedrohungserkennung und -abwehr einsetzen können, gibt es eine gute und eine schlechte Nachricht. Die schlechte ist, dass Unternehmen dabei mit weit verbreiteten Hürden nicht richtig umgehen. Die gute ist jedoch: Sie können Cybergefahren trotzen, indem sie ein robustes Frühwarnsystem mit einem gut funktionierenden sogenannten Incident Response-Konzept entwickeln und umsetzen.
Häufige Hürden bei der Bedrohungserkennung
Zu Anfang lohnt ein Blick auf mögliche Hindernisse. Ein Problem ist, dass Standard-Logging-Konfigurationen von IT-Lösungen die individuellen Anforderungen der Bedrohungssuche für das jeweilige Unternehmen nur unzureichend erfüllen. Der Grund dafür ist einfach: Beim Standard ist die Richtvorgabe der kleinste gemeinsame Nenner. Da die konkrete Situation im Unternehmen so aber nicht genügend berücksichtig werden kann, droht die Gefahr, dass eine Bedrohung nicht oder zeitverzögert erkannt wird. Als kontraproduktiv in Fragen der Bedrohungserkennung und -abwehr kann sich auch eine (zu) große Zahl darauf spezialisierter Geräte, Tools und Anwendungen erweisen. Mehr Technologien versprechen zwar mehr Sicherheit, sind aber nicht unbedingt gleichbedeutend damit. Schließlich führen viele Anwendungen auch dazu, dass möglicherweise viele Alarme ausgelöst werden, die alle gesichtet und ausgewertet werden müssen. In der Folge geht nicht nur die Übersicht verloren, sondern auch der Fokus auf die relevanten Bedrohungen.
Incident Response für solide Cybersecurity-Vorsorge
Entscheider und CIOs, die den Geschäftserfolg nachhaltig sichern wollen, sollten also die Risiken für ihr Unternehmen individuell und gleichzeitig ganzheitlich betrachten. Sehr wichtig ist eine schnelle Reaktionsfähigkeit auf sicherheitsrelevante IT-Vorfälle: die Incident Response. Dabei ist zu beachten, dass das Einrichten und Etablieren eines solides Incident Response-Konzepts nicht nur Zeit in Anspruch nimmt. Es müssen auch eine ganze Reihe Maßnahmen umgesetzt werden: Das fängt an bei der Eingrenzung der Risiken geht über gute Unternehmensführung bis hin zur stetigen Verbesserung der technischen Infrastruktur und der Sicherheitskontrollen. Wer dabei die folgenden fünf Punkte beachtet, ist auf einem guten Weg zu einer soliden Cybersecurity-Vorsorge.
1. Ganzheitlichen Ansatz verfolgen
Es ist essenziell für Unternehmen Sicherheitsmaßnahmen als komplexes Ganzes zu bewerten und – falls erforderlich – zu verbessern. Das hilft ebenfalls dabei, ein möglicherweise kontraproduktives Zuviel an Sicherheitstools zu vermeiden. Eine leistungsfähige Incident Response-Lösung umfasst ohnehin bereits zahlreiche Cybersicherheitselemente. Sie:
bewertet die Bereitschaft und Einsatzfähigkeit aller Cyberabwehrmittel,
überwacht kontinuierlich die Sicherheit,
erkennt und meldet Schwachstellen,
ermittelt im Rahmen von Cyber Threat Intelligence fortlaufend die Sicherheitslage,
umfasst das Training des IT-Teams anhand von Simulationen und
wird komplettiert durch ein Remediation Program, also ein Programm zum schnellen Eingreifen bei Vorfällen und Eindämmen von Schäden.
2. Aktualität ständig evaluieren
Cyberkriminelle entwickeln ihre Tools und Angriffsmethoden laufend weiter. Um jederzeit gut gerüstet zu sein, sollten Unternehmen ihr Sicherheitskonzept sowie ihre Verteidigungstools deshalb ständig evaluieren und gegebenenfalls neu ausrichten. Nur so sind sie jederzeit in der Lage, auf sich immer ändernde Angriffe angemessen zu reagieren und die Folgen zu begrenzen.
3. Die aktuelle Bedrohungssituation jederzeit kennen
Fast täglich ändern sich Angriffstaktiken und -methoden. Zudem werden permanent Sicherheitslücken in neuen wie auch alten Systemen bekannt. Deshalb ist es unabdingbar, die aktuelle Bedrohungssituation mit Blick auf die individuellen Gegebenheiten des eigenen Unternehmens wie Größe, Branche oder, Geschäftsmodell jederzeit zu kennen und beim Sicherheitskonzept zu berücksichtigen. Damit haben Entscheider eine Basis, um bei der Weiterentwicklung ihrer Incident Response-Maßnahmen die richtigen Prioritäten zu setzen und passende Lösungen auszuwählen.
4. Backup-Strategien an neue Erfordernisse anpassen
Die bisher gängigen Backup-Lösungen zielen vor allem darauf ab, Daten bei Verlust so schnell und einfach wie möglich wiederherzustellen. Da jedoch gerade Ransomware-Angriffe immer zunehmen, ist das nicht mehr die optimale Herangehensweise. Denn sobald die Angreifer die Produktivsysteme verschlüsselt oder gesperrt haben, versuchen sie dasselbe bei den Backup-Systemen oder zerstören diese sogar. Damit setzen sie ihre Opfer noch stärker unter Druck. Eine wirksame Gegenmaßnahme ist der Einsatz von nicht veränderbaren Backups. Selbst Anwender mit Administratorenrechten können solche Backups nicht löschen oder verschlüsseln.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
5. Die Sicherheitsherausforderungen der Cloud kennen
Durch den Wechsel in die Cloud, den Einsatz von Container- und Kubernetes-Technologien sowie Architekturen, die auf Microservices basieren, können Unternehmen oft flexibler und effizienter arbeiten. Allerdings bergen Cloud-Umgebungen und -Applikationen in puncto Cybersicherheit eigene Herausforderungen: Sie erfordern nicht nur andere Ansätze zur Sicherung von Daten, Identitäten und Anwendungen als klassische Systeme. Neue Backup-Strategien und ein neues Verständnis des Konfigurationsmanagements sind ebenfalls nötig. Die IT-Teams, die mit Cloud-Lösungen arbeiten, müssen deshalb entsprechend geschult sein.
Bei der Umsetzung einer Incident Response-Lösung sollten Unternehmen also einiges beachten. Für den Aufwand werden sie mit einem Frühwarnsystem belohnt, das nicht nur hilft, die Folgerisiken einer Attacke zu minimieren, sondern im Idealfall Angriffe im Keim ersticken kann. Letztlich gilt auch bei Fragen der Cybersicherheit: Gute Vorbereitung ist die beste Verteidigung.
Über den Autor: Als Vice President of Services bei Kudelski Security koordiniert Tony De Bos alle Serviceteams in der EMEA-Region und verantwortet die Ausweitung der bestehenden Servicestrategie des Unternehmens in der Region von . Außerdem ist sein Fachwissen für die Entwicklungen neuer Angebote essenziell für Kudelski Security.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109e520d85957b9dd127a5725c28af41/0129123492v2.jpeg "Seit Mitte Januar 2026 konnte eine neue Welle automatisierter Angriffe auf Fortinet FortiGate-Geräte beobachtet werden. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/66/51660e057f62d85982b75b6404a6bbac/0129159958v1.jpeg "Mit Detail über die sechs Sicherheitslücken in seiner Web-Help-Desk-Plattform hält sich Solarwinds zurück. Das Update 2026.1 löst die Probleme. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/f0/e9f01c33573649afdf8f5141269171f2/0128948431v1.jpeg "Chinesische Unternehmen wie Huawei und ZTE stehen vor dem Ausschluss aus kritischen Infrastrukturen der Europäischen Union. Chinesische Technologie soll künftig per EU-Regulierung aus Telekommunikationsnetzen und Solarenergiesystemen verbannt werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a4/1c/a41cc1f986263cb12249c92174e7c61d/0124202268v1.jpeg "Eine digitale Welt ohne Gefahren: Diese Vorstellung gleicht einem Schlaraffenland. Doch wer im Vorfeld gut plant, den kann auch eine Cyberattacke nicht allzu sehr aus der Bahn werfen. Entscheider sollten nur wissen wie – und aktiv handeln. (Bild: notarobotyet - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/4b/424b8ce7ebf8c34ffc63bcb013da8c22/0125332406v1.jpeg "Für die Sicherung der Daten, die in Public-Cloud-Lösungen wie MS365 gespeichert werden, hat der Kunde selbst zu sorgen. (Bild: Midjourney / KI-generiert)")