Zum Inhalt springen Zur Navigation springen
Incident Response – Wie Unternehmen auf Angriffe reagieren können

Incident Response – Wie Unternehmen auf Angriffe reagieren können

Artikel von Dr. Datenschutz·28. Februar 2025

In der ersten Folge dieser dreiteiligen Serie zum Thema Incident Response haben wir uns mit den Grundlagen und der Bedeutung einer effektiven Reaktionsfähigkeit auf Cyberangriffe beschäftigt. In diesem zweiten Teil widmen wir uns nun einem fiktiven, aber realitätsnahen Praxis-Beispiel und zeigen, wie ein Angriff auf ein Unternehmen ablaufen kann. Zudem gehen wir detailliert auf die Rollenverteilung und die einzelnen Prozesse ein, mit denen Unternehmen erfolgreich auf Angriffe reagieren können. Ziel ist es, ein konkretes Bild zu vermitteln, das Verantwortlichen hilft, eine erste Orientierung zum Aufbau eigener Incident-Response-Prozesse zu gewinnen oder bestehende Maßnahmen abzugleichen und auf eine mögliche Optimierung zu überprüfen.

Ein mögliches Praxis-Beispiel

Stellen Sie sich folgendes Szenario vor: Die mittelständische Firma „LuxTrabem-IT GmbH“ bietet IT-Dienstleistungen und Softwareentwicklung an. Eines Morgens bemerkt ein Mitarbeiter, dass sein Computer seltsam reagiert: Programme öffnen sich verzögert und Abstürze häufen sich. Kurz darauf meldet sich die interne Buchhaltungsabteilung, dass eine merkwürdige E-Mail mit einer scheinbar legitimen Rechnung angehängt war, welche sich aber nicht öffnen ließ. Fast gleichzeitig beschwert sich ein Kunde, dass er ungewöhnlich viele E-Mails erhalten würde, die angeblich von „LuxTrabem-IT“ stammen. Eine Überprüfung des Mailversands zeigt Auffälligkeiten in den ausgehenden Mails. Im Laufe des Tages staut sich die Unruhe, da weitere Mitarbeiter über merkwürdige Aktivitäten berichten – vereinzelt werden merkwürdige Dateien vorgefunden, die Forderungen nach Lösegeld beinhalten.

Schnell wird klar: Hier handelt es sich um einen Angriff, der möglicherweise mehrere Angriffstechniken nutzt (Phishing, Malware-Infektion, Ransomware). Durch die Kombination der unterschiedlichen Anzeichen und den zeitgleichen Meldungen ist die IT-Abteilung gewarnt: Es liegt ein ernsthafter Sicherheitsvorfall vor, der dringend sofortige und koordinierte Incident-Response-Maßnahmen erfordert.

Rollen und Verantwortlichkeiten im Incident-Response-Team

Damit ein Unternehmen wie LuxTrabem-IT auf einen solchen Vorfall bestmöglich reagieren kann, bedarf es einer klaren Rollenverteilung. Bereits im Vorfeld sollten die zuständigen Teams definiert sein und wissen, welche Aufgaben auf sie zukommen. Im Wesentlichen lassen sich folgende Rollen identifizieren:

Incident Manager (Incident Response Team)

  • Koordiniert alle Aktivitäten im Rahmen des Incident Response.
  • Ist der Haupt-Entscheidungsträger für Handlungen hinsichtlich Schadensbegrenzung, Systemwiederherstellung, Ressourcenbedarf und -verbrauch sowie inwieweit und mit wem kommuniziert werden soll/muss.
  • Kommuniziert mit der Unternehmensleitung über den aktuellen Stand und stellt sicher, dass der Fortschritt lückenlos dokumentiert wird.

IT-Forensische Analysten (Incident Response Team)

  • Haben das Fachwissen zur technischen Analyse von Angriffen und verdächtigen Aktivitäten.
  • Sind zuständig für die Untersuchung von zum Beispiel Malware, Log-Analysen und forensische Datenauswertung.
  • Arbeiten eng mit dem Incident Manager und der IT-Administration zusammen und schlagen konkrete Gegenmaßnahmen vor.

IT-Administration (Netzwerk-, Systemadministratoren)

  • Verantwortlich für die Infrastruktur und Anwendungen.
  • In enger Abstimmung mit dem Incident Manager und den IT-Forensischen Analysten führen sie Änderungen in der Netzwerk- und Systemkonfiguration durch.
  • Sorgen für eventuelles Abschalten betroffener Systeme, Zurückspielen von Backups und Überwachung des Netzwerkverkehrs.

Kommunikation und Öffentlichkeitsarbeit (PR/Marketing/Corporate Communications Manager)

  • Ist verantwortlich für die interne und externe Kommunikation.
  • Stimmt sich mit dem Incident Manager ab, um Informationen kontrolliert an Mitarbeiter, Kunden, Partner und ggf. Medien zu kommunizieren.
  • Hat im Vorfeld bereits Kommunikationspläne erstellt, um im Ernstfall schnell reagieren zu können.

Rechtsabteilung/Compliance

  • Prüft rechtliche Fragen, z. B. ob Meldepflichten gegenüber Datenschutzbehörden oder Kunden bestehen.
  • Beurteilt mögliche Haftungsrisiken und kümmert sich um Vertragsaspekte.
  • Koordiniert ggf. die Zusammenarbeit mit Strafverfolgungsbehörden.

Management/Geschäftsführung

  • Trifft strategische Entscheidungen und legt das Budget für notwendige Maßnahmen frei.
  • Entscheidet über die grundsätzliche Ausrichtung der Reaktion, etwa ob Lösegeldzahlungen in Erwägung gezogen werden oder ob man einen öffentlichen Umgang mit dem Vorfall wählt.
  • Entscheidet nach Informationsstand ausgehend der anderen Stakeholder und Beteiligten am Incident Response Prozess.

In kleineren Firmen können mehrere Rollen von derselben Person übernommen werden, während in größeren Unternehmen die Verantwortlichkeiten klar getrennt sind. Entscheidend ist, dass jeder seine Aufgaben kennt und weiß, an wen er sich wenden muss. Je nach verfügbaren Ressourcen und Know-How können einzelne Funktionen, wie etwa Incident Manager, IT-Forensische Analysten sowie Rechtsbeistand auch von extern bezogen werden.

Prozesse des Incident Response – von der Erkennung bis zur Wiederherstellung

Ein durchdachter Incident-Response-Prozess läuft in mehreren aufeinanderfolgenden Phasen ab. Wichtig ist dabei, dass die Verantwortlichen nicht nur reagieren, sondern auch proaktiv handeln, um den Schaden zu minimieren. Die Phasen unterteilen sich im wesentlichen in:

Erkennung (Detection) und Analyse

  • Alarmierung und Meldung des Vorfalls: Im beschriebenen Szenario nehmen verschiedene Abteilungen (Mitarbeiter, Buchhaltung, Kunden) ungewöhnliche Aktivitäten wahr. Diese werden gesammelt und an das IR-Team bzw. den Incident Manager weitergeleitet.
  • Erste Bewertung des Schweregrades: Das Team stellt fest, dass es sich nicht um ein einzelnes isoliertes Problem handelt, sondern um eine großflächigere Kompromittierung.
  • Forensische Analyse: Jetzt gilt es herauszufinden, wie die Angreifer ins System gelangt sind. Logs aus Mailserver, Firewall, Endpoint-Systemen und Netzwerkkomponenten werden gesichtet. Ersten Hinweisen zufolge scheinen Phishing-E-Mails und ein Trojaner eine Rolle zu spielen, der möglicherweise über die Buchhaltungssoftware eingeschleust wurde. Um keine relevanten Spuren zu verwischen, werden betroffene Systeme stets mit Schreibschutz (Write-Blocker) analysiert und forensische Images (Festplatten-Abbilder) erstellt. Je nach Kritikalität der Systeme erfolgt eine Live- oder Dead-Analyse.

Eindämmung (Containment)

  • Sofortige Gegenmaßnahmen: Um die Ausbreitung zu stoppen, wird entschieden, alle betroffenen Systeme vom Netzwerk zu isolieren. Insbesondere jene, auf denen bereits merkwürdige Dateien vorgefunden wurden oder wo verdächtige Prozesse laufen, gehen vom Netz.
  • Segmentierung des Netzwerks: Um das lateral movement der Angreifer (seitliche Ausbreitung im Netz) zu begrenzen, werden nicht zwingend miteinander verbundene Netzwerksegmente voneinander getrennt.

Beseitigung (Eradication)

  • Aufspüren des Einfallstores und Schließen der Lücken: Das IT-Sicherheitsteam identifiziert verdächtige E-Mail-Anhänge und gefälschte Logins, die als Einfallstor dienten. Sicherheitslücken in der Buchhaltungssoftware werden erkannt und ein Update der Software wird eingespielt.
  • Entfernung der Malware: Auf allen infizierten Rechnern werden intensive Malware-Scans durchgeführt. Befallene Systeme werden entweder neu aufgesetzt oder mithilfe verifizierter offline Backups wiederhergestellt.
  • Change-Management: In Zusammenarbeit mit der IT-Administration werden Zugriffsrechte überprüft und Passwörter zurückgesetzt. Zudem wird das Prinzip der minimalen Rechtevergabe (Least Privilege) verschärft.

Wiederherstellung (Recovery)

  • Abschließende Prüfung der Datenintegrität: Alle Systeme und Datenbanken werden auf Vollständigkeit und Korrektheit geprüft, bevor diese wieder in die Operationen des normalen Tagesgeschäftes übernommen werden. Es wird wiederholt (falls noch nicht bereits erwiesen) kontrolliert, ob es zu Manipulationen an sensiblen Unternehmens- und Kundendaten gekommen ist.
  • Systeme wieder in Betrieb nehmen: Sobald alle Bedrohungen beseitigt sind, werden die Systeme schrittweise wieder ans Netz angebunden. Diese Phase läuft kontrolliert ab, um erneute Infektionen zu vermeiden.
  • Überwachung: Das Security Operations Center (oder falls kein SOC im Einsatz/verfügbar die IT-Administration für Netzwerk) überwacht das Netzwerk, um sicherzustellen, dass keine verdächtigen Aktivitäten mehr vorkommen. Eventuelle Anomalien können damit in nahezu Echtzeit gemeldet werden, um sofort entsprechende Gegenmaßnahmen einleiten zu können.

Lessons Learned und Dokumentation

  • Abschlussbericht: Das Incident-Response-Team fertigt einen detaillierten Incident-Response-Bericht an: Was ist wann passiert? Welche Maßnahmen wurden ergriffen, und in welcher Reihenfolge?
  • Optimierung: Das Team identifiziert Schwachstellen, z. B. fehlende oder unzureichende Mailfilter, zu laxe Berechtigungsvergabe, veraltete Software-Versionen oder ungenügende Sensibilisierung der Mitarbeiter.
  • Schulung: Basierend auf den Erkenntnissen werden Schulungsmaßnahmen für Mitarbeiter konzipiert, die z. B. Phishing-Simulationen umfassen, um die Aufmerksamkeit für potenzielle Betrugsversuche zu steigern.
  • Anpassung des Incident-Response-Plans: Falls vorhanden, wird der bestehende Plan überarbeitet, damit in Zukunft noch schneller reagiert und der mögliche Schaden weiter verringert werden kann. Ansonsten wird die erste Konzeption eines Incident-Response-Plans anhand der Erkenntnisse aus dem bearbeiteten Incident erfolgen.

Externe Kommunikation und Transparenz

In unserem Szenario sind vermutlich auch Kunden betroffen, etwa durch Phishing-Mails, die im Namen von LuxTrabem-IT versendet wurden. Daher ist eine durchdachte externe Kommunikation ein entscheidender Faktor, um Vertrauen zu erhalten. Ein Unternehmen sollte in Absprache mit dem Incident Manager und unter Rechtsbeistand frühzeitig entscheiden, welche Informationen an Kunden und die Öffentlichkeit gehen.

  • Zeitgerechte Information: Je schneller Betroffene informiert werden, desto eher können sie selbst Maßnahmen ergreifen (z. B. Passwörter ändern, keine verdächtigen Links anklicken).
  • Ehrlichkeit und Transparenz: Wenn eine Datenschutzverletzung oder ein Datenabfluss tatsächlich stattgefunden hat, ist es in vielen Ländern gesetzlich vorgeschrieben, dies an die zuständige Datenschutzbehörde zu melden und ggf. auch die Betroffenen zu informieren.
  • Mediale Kontrolle: Speziell größere Unternehmen stehen unter Beobachtung der Medien. Ein professioneller Umgang mit kritischen Fragen kann das Unternehmensimage zumindest teilweise schützen.

Fazit und Ausblick

Unser fiktives, aber praxisnahes Angriffsszenario bei der Firma LuxTrabem-IT GmbH verdeutlicht, wie wichtig eine strukturierte und klar definierte Incident-Response-Strategie ist. Entscheidend sind:

  • Rollenverteilung und Verantwortlichkeiten: Jeder im Team muss genau wissen, was im Ernstfall zu tun ist.
  • Schnelligkeit und Koordination: Oft zählt jede Minute. Klar definierte und implementierte Kommunikationskanäle verkürzen die Reaktionszeit und mindern den Schaden.
  • Technisches Know-how: Die Fähigkeiten für forensische Analysen, zur Netzwerksegmentierung und zur Identifizierung des Einfallstores sind essenziell.
  • Strukturierte Kommunikation: Sowohl intern als auch extern muss klar und transparent kommuniziert werden, um Unsicherheiten zu minimieren und Vertrauen zu erhalten.
  • Kontinuierliche Verbesserung: Nach jedem Vorfall sollten Lehren gezogen und Prozesse angepasst werden.

Wie gut ist Ihre Prävention vor einem Cyberangriff? Lesen Sie jetzt in Teil 1 unserer Serie, wie Sie Schwachstellen Ihrer IT-Infrastruktur erkennen können.

Im dritten und abschließenden Teil dieser Serie werden wir uns mit Best Practice Beispielen, konkreten Tools und Technologien beschäftigen, die Unternehmen bei der Umsetzung einer effektiven Incident-Response-Strategie unterstützen können. Dabei gehen wir darauf ein, wie man proaktiv handeln kann – von der Überwachung von Bedrohungsinformationen (Threat Intelligence) bis hin zur automatisierten Reaktion auf Vorfälle.

Eine gute Vorbereitung ist das A und O, doch wie unser Szenario zeigt, können Vorfälle jederzeit auftreten und Firmen in Bedrängnis bringen. Wer es schafft, die eigene Incident-Response-Kompetenz zu stärken, reagiert nicht nur souveräner auf Angriffe, sondern kann auch langfristig das Sicherheitsniveau seines Unternehmens erhöhen und so das Vertrauen von Kunden und Geschäftspartnern erhalten und gegebenenfalls festigen.

In eigener Sache: Unser neues Portal it-forensik.de

Man sieht, die Methodiken und Entwicklungen in der IT-Forensik schreiten ständig voran. Um den Themen zukünftig mehr Raum geben zu können, haben wir uns entschieden, diese in vollem Umfang und übersichtlich an einer Stelle zu bündeln. Dafür haben wir in den vergangenen Monaten intensiv an unserer neuen Webseite it-forensik.de gearbeitet.

Das finden Sie auf unserer neuen Webseite:

  • Präventionsmaßnahmen, um Cyberangriffen vorzubeugen
  • Tipps für den Ernstfall
  • viele wertvolle Informationen für Unternehmen zur Cybersicherheit

Sie haben weiterhin Interesse an spannenden Blog-Artikeln rund um das Thema IT-Forensik? Dann ist der Bereich Facts & Storys genau das Richtige für Sie. Das gibt es dort zu lesen:

Aktuelle Bedrohungen, News, echte Fallgeschichten, hilfreiche Whitepaper

Wir freuen uns über Ihren Besuch.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.