Cyber-Krisenmanagement: Die wichtigsten Maßnahmen, um die Kontrolle zurückzugewinnen

9 Dez., 2025 min Lesezeit
Gestion de crise cyber : les plans d’action essentiels pour reprendre le contrôle

Ein Ransomware-Angriff, der die Produktion lahmlegt, ein massives Datenleck, ein kompromittiertes Konto mit Administratorrechten. Kein Unternehmen ist vor einem schwerwiegenden Sicherheitsvorfall gefeit. Die Frage ist nicht, ob eine Krise eintreten wird, sondern wann und wie man darauf reagieren sollte.

Doch noch bevor es zu einem Angriff kommt, gibt es bereits eine erste Verteidigungslinie: vorausschauendes Handeln. Dank Bedrohungsinformationen können Unternehmen Risiken erkennen, verstehen und verhindern, bevor sie sich zu einer Krise entwickeln. Und wenn die Bedrohung ihr Ziel erreicht, übernimmt das Cyber-Krisenmanagement, um den Vorfall einzudämmen und zu beheben.

Diese beiden Aspekte – Vorausschau und Reaktion – sind untrennbar mit einer ausgereiften Cybersicherheitsstrategie verbunden. So lassen sie sich effektiv miteinander verbinden:

1. Krisen dank Bedrohungsinformationen vorhersagen

Cyber Threat Intelligence (CTI) bezeichnet die Sammlung, Analyse und Nutzung von Informationen über Bedrohungen, die Ihre Organisation ins Visier nehmen könnten. Sie hilft dabei, frühe Warnsignale zu erkennen, die Erkennung in den Sicherheitslösungen kontextgerecht anzupassen und Kontrollmaßnahmen entsprechend ihrer Relevanz zu priorisieren.

Konkret stützt sich CTI auf drei sich ergänzende Säulen:

  • Kontinuierliche Überwachung von Bedrohungsquellen (Dark Web, Foren, Datenlecks, Indikatoren für Kompromittierung), um verdächtige Aktivitäten im Zusammenhang mit Ihrem Unternehmen aufzudecken.
  • Taktische und operative Analyse: Identifizierung der von Angreifern verwendeten TTPs (Tactics, Techniques, and Procedures), um Ihre Abwehrmaßnahmen entsprechend anzupassen.
  • Informationsaustausch mit vertrauenswürdigen Akteuren (CERT, ISAC, BSI, Partner), um das eigene Lagebild zu Bedrohungen zu erweitern.

Wird im Dark Web ein Passwortleck bei privilegierten Konten erkannt, können Anmeldedaten sofort geändert und eine schwerwiegende Kompromittierung verhindert werden.

Die Herausforderung besteht nicht nur darin, Daten zu sammeln, sondern diese in konkrete Entscheidungen umzusetzen: einen exponierten Zugang besser abzusichern, eine aktiv ausgenutzte Schwachstelle zu beheben oder die Erkennung einer neu aufkommenden Angriffsform zu stärken.

Die CTI fungiert damit als strategischer Kompass: Sie lenkt Ihre Investitionen, Ihre Prioritäten und Ihre Fähigkeit, schnell zu reagieren.

2. CERT-Aktionsplan: zentrale Schritte des Cyber-Krisenmanagements

Auch wenn CTI eine frühzeitige Antizipation ermöglicht, ist kein System unfehlbar. Wenn eine Bedrohung ihr Ziel erreicht, muss eine strukturierte und koordinierte Reaktion eingeleitet werden: Dies ist die Aufgabe des CSIRT (Computer Security Incident Response Team).

1. Den Vorfall erkennen und verstehen

Bevor man technische Maßnahmen ergreift, muss die Art und das Ausmaß der Krise verstanden werden.

  • Welches Einfallstor hat der Angreifer genutzt?
  • Welche Daten oder Systeme sind betroffen?
  • Ist der Angriff noch im Gange?

Das Ziel besteht darin, ein klares und belastbares Lagebild zu erhalten – oft durch die Auswertung von Log-Daten, forensischen Analysen und die Korrelation von Hinweisen.

💡 Die richtige Vorgehensweise: Dokumentieren Sie sämtliche Beobachtungen in einem Krisenprotokoll. Diese Nachvollziehbarkeit ist wertvoll für Versicherungen, Behörden und zukünftige Verbesserungen der Sicherheitsmaßnahmen.

2. Den Angriff isolieren und eindämmen

Sobald der Vorfall erkannt ist, muss seine Ausbreitung verhindert werden.

Das CERT empfiehlt dabei ein schrittweises Vorgehen:

  • Vorübergehende Trennung der kompromittierten Netzwerksegmente;
  • Sperrung verdächtiger Zugänge oder kompromittierter privilegierter Konten;
  • Isolierung infizierter Server über dedizierte VLANs oder Notfall-Firewalls.

Ziel ist es, eine digitale „Quarantänezone“ zu schaffen, um den Angriff zu stoppen, ohne kritische Geschäftsprozesse unnötig zu unterbrechen.

⚖️ Die richtige Balance: Eindämmen, ohne lahmzulegen. Zu viele Unternehmen reagieren überstürzt und schalten wichtige Systeme ab, was die operativen Verluste noch verschärft.

3. Schutz und Absicherung kritischer Systeme

Sobald die Bedrohung unter Kontrolle ist, ist es an der Zeit, die Sicherheit der noch nicht betroffenen Umgebungen zu stärken.

Drei Maßnahmen stehen dabei im Vordergrund:

  • Härtung von Endgeräten und Servern: Deaktivierung nicht genutzter Dienste, sofortige Einspielung von Patches und Überprüfung der Konfigurationen.
  • Priorisierung nach geschäftlicher Kritikalität: Produktions-, Zahlungs- oder Kommunikationssysteme müssen vorrangig behandelt werden.
  • Proaktives Schwachstellenmanagement, einschließlich der Schwachstellen, die beim ursprünglichen Angriff ausgenutzt wurden.

📊 In Zahlen: Laut einer Studie des CERT-FR sind fast 40 Prozent der wiederholten Kompromittierungen darauf zurückzuführen, dass die ursprüngliche Schwachstelle nicht behoben wurde. Resilienz hängt also ebenso sehr von der Reaktion wie von der nachhaltigen Behebung ab.

4. Zugänge und Berechtigungen überdenken

Die meisten erfolgreichen Angriffe basieren auf zu Konten mit zu weitreichenden oder unzureichend geschützten Rechten. Deshalb steht das Zugriffsmanagement im Mittelpunkt jeder Strategie zur Behebung von Sicherheitslücken.

Bewährte Maßnahmen:

  • Physische MFA-Verfahren (USB-Stick, Smartcards, Token) für alle sensiblen Konten;
  • Berechtigungen auf das absolut Notwendige beschränken;
  • eine regelmäßige Überprüfung von Zugriffsrechten einführen;
  • Datenlecks von Anmeldedaten im Dark Web beobachten.

Ein solcher Ansatz reduziert die Angriffsfläche erheblich. Besonders wirksam ist er, wenn er mit einer kontinuierlichen Protokollierung von Anmeldungen und einer verhaltensbasierten Erkennung von Anomalien (wie der ungewöhnlichen Anmeldung eines Administrators) einhergeht.

5. Den Perimeter absichern und kritische Umgebungen isolieren

Die Außengrenzen des IT-Systems stellen oft das erste schwache Glied dar. Ein wirksamer Plan für das Cyber-Krisenmanagement umfasst daher präzise Perimetermaßnahmen:

  • Konsequentes Schwachstellenmanagement für sensible Komponenten, wie Firewalls, VPNs, Security-Appliances und Router;
  • Technologische Diversifizierung, um zu verhindern, dass eine einzige Schwachstelle den gesamten Perimeter gefährdet;
  • Netzwerksegmentierung nach dem Tiering-Modell: Verwaltungs-, Produktions- und Büroumgebungen müssen voneinander isoliert werden.

🎯 Ziel: die laterale Bewegung der Angreifer einschränken, also ihre Fähigkeit, sich innerhalb des Netzwerks von einem System zum anderen zu bewegen.

6. Wiederherstellung und Wiederinbetriebnahme absichern

Sobald die Bedrohung beseitigt ist, reicht es nicht aus, die Systeme einfach neu zu starten. Die Wiederherstellungsphase muss mit einer gründlichen Sicherheitsüberprüfung einhergehen:

  • Überprüfen, dass die Backups keine schädlichen Spuren enthalten;
  • Konten und Zertifikate zurücksetzen;
  • Protokolle, Signaturen und Konfigurationen vor der Wiederinbetriebnahme erneut validieren.

Ein Notfallwiederherstellungsplan sollte nach jeder Krise aktualisiert werden, um die aus dem Vorfall gewonnenen Erkenntnisse zu integrieren.

7. Aus der Krise lernen und die eigene Sicherheitslage stärken

Jede Krise ist eine Lernquelle. Sobald der Vorfall abgeschlossen ist, ist es entscheidend, eine strukturierte Nachbereitung im Sinne eines Lessons Learned zu organisieren, an der technische Teams, Fachbereiche, Kommunikation und Geschäftsleitung beteiligt sind.

Die Ziele:

  • Stärken und Verbesserungsmöglichkeiten identifizieren;
  • Prozesse und Playbooks aktualisieren;
  • Teams für die frühzeitige Erkennung von Frühwarnignalen sensibilisieren.

So gelingt einer Organisation der Übergang vom bloßen „Überlebensmodus“ zu einer echten Kultur der Cyber-Resilienz.

3. Die wichtigsten Erkenntnisse

  1. Auf Bedrohungsinformationen setzen: Wenn man Bedrohungen versteht, bevor sie zuschlagen, kann man Angriffsszenarien vorhersehen und Maßnahmen besser priorisieren.
  1. Sich vor der Krise vorbereiten: Die beste Reaktion ist die, die im Vorfeld vorbereitet wurde – durch aktive Bedrohungsüberwachung und regelmäßige Risikoanalysen.
  1. Akteure koordinieren: Technik allein reicht nicht aus – Kommunikation, Rechtsabteilung, HR und Geschäftsleitung müssen in das Vorgehen eingebunden sein.
  1. Maßnahmen priorisieren: Nicht alle Systeme sind kritisch. Konzentrieren Sie Ihre Bemühungen dort, wo die Auswirkungen am größten sind.
  1. Nachhaltig stärken: Der Krise sollten strukturelle Maßnahmen folgen (MFA, Segmentierung, Härtung).
  1. Lernen und weiterentwickeln: Jeder Vorfall ist eine Chance, die eigene Sicherheitslage zu verbessern.

4. Jede Cyberkrise als Chance zur Weiterentwicklung nutzen

Eine Cyberkrise ist niemals nur ein technisches Problem. Sie ist ein Praxistest für die Resilienz, Organisation und Sicherheitskultur des Unternehmens.

Die Einführung eines klaren, dokumentierten und getesteten Aktionsplans – inspiriert von den Best Practices des CERT Advens – ermöglicht den Übergang von einer reaktiven Haltung zu einer beherrschten und nachhaltigen Cybersicherheit.

Um mehr über die Vorbeugung und das Management von Cyberkrisen zu erfahren, laden Sie den Bericht zum Stand der Bedrohungslage 2026 herunter, der gemeinsam von unseren CERT-, Audit- und SOC-Teams verfasst wurde.