Thought Leadership
Cyberangriffe auf mittelständische Unternehmen verlaufen häufig nach einem ähnlichen Muster.
Zu diesem Ergebnis kommt eine Untersuchung des IT-Forensik-Spezialisten Trufflepig IT-Forensics, die reale Vorfälle im deutschsprachigen Raum ausgewertet hat. Die Analyse zeigt, dass sich viele Attacken in fünf aufeinanderfolgende Phasen einteilen lassen – vom ersten Eindringen bis zur möglichen Verschlüsselung kompletter Systeme.
Ein Angriff beginnt meist mit einem vergleichsweise unscheinbaren Einstieg. Phishing-Mails, gestohlene Zugangsdaten oder ausgenutzte Sicherheitslücken ermöglichen den ersten Zugriff. Danach verschaffen sich die Täter einen Überblick über die Infrastruktur, erweitern ihre Rechte und bewegen sich schrittweise durch das Netzwerk.
Innerhalb weniger Tage können sie zentrale Administratorrechte übernehmen, Daten kopieren und schließlich Ransomware einsetzen. Die fünf typischen Phasen sind dabei:
- Eindringen
- Erkundung
- Ausbreitung
- Datenabfluss
- Detonation durch Verschlüsselung
Mit jeder weiteren Stufe wächst das Schadenspotenzial erheblich.
Die ersten zwei Tage sind entscheidend
Nach dem erfolgreichen Eindringen analysieren Angreifer zunächst die IT-Landschaft. Bereits innerhalb von 24 bis 48 Stunden gelingt es ihnen häufig, höhere Berechtigungen zu erlangen und sich dauerhaft im Netzwerk festzusetzen.
Auch wenn in dieser Phase oft noch keine Produktionsausfälle auftreten, werden spätere Wiederherstellungsmaßnahmen deutlich komplizierter. Besonders kritisch wird es, wenn zentrale Authentifizierungsdienste oder Verzeichnisstrukturen betroffen sind.
Zwischen Tag zwei und fünf geraten Daten ins Visier
Sobald umfassende Zugriffsrechte vorhanden sind, beginnt häufig die wirtschaftlich heikelste Phase eines Angriffs. Die Täter kopieren sensible Informationen, greifen Kundendaten ab oder entwenden geistiges Eigentum.
Für viele mittelständische Unternehmen stellen gerade Konstruktionsdaten, Geschäftsgeheimnisse oder vertrauliche Informationen einen wesentlichen Unternehmenswert dar. Zusätzlich drohen Erpressungsversuche, Reputationsschäden und regulatorische Folgen. Sind personenbezogene Daten betroffen, können zudem Meldepflichten nach DSGVO greifen, die innerhalb von 72 Stunden erfüllt werden müssen.
Nach fünf Tagen droht der operative Stillstand
Bleibt ein Angriff unentdeckt, folgt häufig die letzte Eskalationsstufe. Durch Ransomware werden zentrale Systeme verschlüsselt, Produktionsanlagen stehen still und Lieferketten geraten ins Stocken.
Die Folgen reichen weit über die IT-Abteilung hinaus. Neben direkten finanziellen Schäden entstehen Kosten für Notfallmaßnahmen, Wiederherstellung und forensische Untersuchungen. Erste Geschäftsprozesse lassen sich oft innerhalb von zwei bis sechs Wochen wiederherstellen, bis zur vollständigen Rückkehr zum Normalbetrieb vergeht jedoch häufig deutlich mehr Zeit.
Fehlende Überwachung kostet wertvolle Zeit
Ein zentrales Ergebnis der Untersuchung: Der Schaden eines Cyberangriffs nimmt nicht gleichmäßig zu, sondern steigt mit jeder Stunde deutlich an. Gerade im Mittelstand werden Vorfälle häufig erst bemerkt, wenn Systeme bereits beeinträchtigt sind.
Unklare Zuständigkeiten, fehlende Überwachung oder nicht eingeübte Notfallprozesse führen dazu, dass Angriffe insbesondere außerhalb der regulären Arbeitszeiten lange unentdeckt bleiben.
Christian Müller, CTO von Trufflepig IT-Forensics, betont, dass Cybersecurity inzwischen weit über den Schutz einzelner Systeme hinausgehe. Entscheidend sei vor allem die Fähigkeit, Angriffe frühzeitig zu erkennen und schnell darauf zu reagieren. Technische Schäden ließen sich meist beheben, langfristige Folgen durch Produktionsausfälle, Datenverluste oder Vertrauensschäden könnten dagegen die Wettbewerbsfähigkeit eines Unternehmens nachhaltig beeinträchtigen.
Die Analyse macht deutlich, dass Zeit bei Cyberangriffen ein entscheidender Faktor ist. Jede Phase bietet zwar Möglichkeiten zur Gegenwehr – doch mit jeder Stunde wird das Zeitfenster kleiner und die Folgen eines Vorfalls schwerwiegender.
(red/Trufflepig IT-Forensics)
