Ransomware-Angriffe treffen längst nicht nur vor Cyberangriffen unvorbereitete Firmen, sondern auch gutaufgestellte Organisationen mit modernen Abwehrsystemen. Doch nicht der Angriffselbst entscheidet über das Schicksal eines Unternehmens, sondern wie schnell es wieder handlungsfähig wird. Moderne Cyberresilienz-Systeme helfen, Daten schnellerwiederherzustellen und Angriffe dank künstlicher Intelligenz (KI) früher zu erkennen.
Endlich kam die E-Mail mit der erwarteten Rechnung an. Der Anhang war per Link auf dem Server der Lieferantenfirma hinterlegt. Die E-Mail passte zum Vorgang, zudem enthielt die Betreffzeile den Vermerk der internen Security-Lösung, dass sie ungefährlich sei. Der Link zum Download der Rechnung – in einem neuen Dokumentenablagesystem anstelle eines PDF-Anhangs – zerstreute auch die letzten Zweifel, ob die E-Mail echt ist. Da der Jahresabschluss bevorstand und die Leistung noch auf das Vorjahr gebucht werden sollte, klickte der Empfänger in der Hektik auf den Link, öffnete die PDF-Datei, prüfte sie kurz und legte sie anschließend im Projekt-Share ab.
Diese kleine Nachlässigkeit öffnete den Angreifern die Tür ins Unternehmensnetzwerk, erfuhr der IT-Leiter von den Forensikern des Landeskriminalamtes – drei Monate nach den für ihn schlimmsten Wochen in zwanzig Jahren Unternehmenszugehörigkeit.
'Time Bombing' und 'Living off the Land'
Die Attacke basierte auf dem „Time Bombing“- Verfahren, bei dem der Schadcode erst zu einem bestimmten Zeitpunkt aktiviert wird. So konnte die manipulierte PDF-Datei unerkannt das Security-Gateway passieren und selbst einen erfahrenen IT-Fachmann täuschen. Für die Angreifer war der IT-Leiter mit seinen umfangreichen Domänen-Adminrechten ein ideales Opfer. Sie nutzten den Zugriff vorerst nur zur Beobachtung und Ausbreitung auf weitere Systeme.
Die forensische Analyse zeigte später: Die Hacker beobachteten zwei Monate lang die Systemarchitektur, die Geschäftsprozesse und potenzielle Angriffsziele im Unternehmen. Anschließend verwendeten sie die „Living off the Land“- Methode. Diese Cyberangriffstechnik nutzt legitime Tools und Funktionen des Zielsystems, um unentdeckt Schaden anzurichten oder sich weiter im Netzwerk auszubreiten, während kaum oder gar keine zusätzliche Schadsoftware eingesetzt wird.
Nach dieser intensiven Vorbereitung starteten die Angreifer schließlich ihre Attacke an einem langen Wochenende. Sie verschlüsselten alle Daten und ersetzten die Unternehmenswebsite durch eine vorgefertigte Lösegeldforderung.
Somit wurde der Angriff öffentlich und Lösegeld über zwei Millionen Euro gefordert.
Betroffen - trotz Schutz
Der Fall verdeutlicht: Jedes Unternehmen kann betroffen sein – unabhängig von seinen Sicherheitsvorkehrungen. Es gibt keinen Grund, sich zu schämen, wenn man Opfer einer Cyberattacke wird, denn trotz jahrelanger Investitionen in Cybersicherheit, Awareness-Schulungen und Penetrationstests steigt die Anzahl erfolgreicher Angriffe weiter an. Die Dunkelziffer liegt vermutlich noch deutlich höher.
Die gute Nachricht ist, dass Cyberangriffe heute früher erkannt und die Schäden besser eingedämmt werden können, sodass weniger Daten oder Umsätze verloren gehen. Der Reputationsverlust bleibt jedoch bestehen.
Cybersicherheit ist zugleich ein stetiger Kostentreiber: „There is no glory in prevention“ lautet ein bekanntes Bonmot der Branche. Denn wirkungsvolle Sicherheitsmaßnahmen verhindern zwar Angriffe, bringen jedoch oft spürbare Einschränkungen im Alltag mit sich – von komplexen Anmeldeprozessen über eingeschränkte Zugriffsrechte bis hin zu umfassenden Dokumentationspflichten. Hinzu kommt ein psychologischer Effekt: Je erfolgreicher die Prävention wirkt, desto weniger sichtbar wird ihr Nutzen – und desto eher zweifeln manche an ihrem Wert.
Durch NIS-2 oder DORA regulierte Unternehmen unterliegen zudem umfassenden Meldepflichten, welche bei Versäumnissen zu empfindlichen Strafen führen können. Und trotz aller Maßnahmen kann schon eine einzige Schwachstelle in der sorgfältig aufgebauten Verteidigung das gesamte Unternehmensnetzwerk kompromittieren.
Die Wiederherstellung nach einem Cyberangriff dauert oft mehrere Wochen und erfordert eine systematische Analyse der Kompromittierung, vom initialen Angriff bis zur vollständigen Wiederherstellung unter Berücksichtigung von Reinfektionsrisiken.
Fallstricke einer erfolgreichen Wiederherstellung und der Faktor Zeit
Im beschriebenen Fall entschied das Unternehmen, nicht auf die Lösegeldforderung einzugehen, da Notfallpläne und regelmäßige Datensicherungen vorhanden waren. Man meldete den Vorfall bei der Polizei und bei der Cyberversicherung. Überdies wurde ein externer Security-Dienstleister zur Unterstützung herangezogen.
Am Samstagmorgen war man optimistisch, die verschlüsselten Daten über das Wochenende wiederherstellen zu können. Hierzu mussten der Backup-Server neu aufgebaut und die Bänder eingelesen werden. Doch am Sonntag folgte die Ernüchterung: Viele kleine Dateien auf den Dateiservern verlangsamten die Wiederherstellung auf etwa 250 Gigabyte pro Stunde. Die Geschäftsführer mussten die Produktionsschichten bis einschließlich Mittwoch absagen.
Um das Risiko einer Reinfektion zu minimieren, beschaffte das Unternehmen neue Netzwerk-Infrastruktur, Server und Speichersysteme. Alle Bestandssysteme wurden abgeschaltet. Zusätzlich überprüfte man alle wiederhergestellten Daten und Systeme mit mehreren Virenscannern. Das Sicherheitsteam hatte mittlerweile für den Angriff eine YARA-Regel erstellt – ein spezifisches Suchmuster, mit dem Dateien gezielt auf charakteristische Merkmale der eingesetzten Schadsoftware geprüft werden können – die anschließend auf allen wiederhergestellten Systemen in einer Green Zone angewendet wurde.
Auf Basis der neu eingerichteten Infrastruktur gelang es, bis zum Ende der Woche einen Notbetrieb herzustellen. Die Wiederherstellung von Daten in der Cloud stellte jedoch eine zusätzliche Herausforderung dar, da die Snapshot-Backups in Azure aus dem kompromittierten Tenant nicht verwendet werden konnten. Stattdessen mussten die Verantwortlichen virtuelle Maschinen und Daten aus dem Backup-System zurückspielen, während Web-Services und serverlose Anwendungen mithilfe bestehender Automatisierungen neu eingerichtet wurden. Nach weiteren zwei Wochen konnte die Firma schließlich den regulären Betrieb wieder aufnehmen.
Um das Risiko einer Reinfektion zu minimieren, beschaffte das Unternehmen neue Netzwerk-Infrastruktur, Server und Speichersysteme. Alle Bestandssysteme wurden abgeschaltet. Zusätzlich überprüfte man alle wiederhergestellten Daten und Systeme mit mehreren Virenscannern. Das Sicherheitsteam hatte mittlerweile für den Angriff eine YARA-Regel erstellt – ein spezifisches Suchmuster, mit dem Dateien gezielt auf charakteristische Merkmale der eingesetzten Schadsoftware geprüft werden können – die anschließend auf allen wiederhergestellten Systemen in einer Green Zone angewendet wurde.
Auf Basis der neu eingerichteten Infrastruktur gelang es, bis zum Ende der Woche einen Notbetrieb herzustellen. Die Wiederherstellung von Daten in der Cloud stellte jedoch eine zusätzliche Herausforderung dar, da die Snapshot-Backups in Azure aus dem kompromittierten Tenant nicht verwendet werden konnten. Stattdessen mussten die Verantwortlichen virtuelle Maschinen und Daten aus dem Backup-System zurückspielen, während Web-Services und serverlose Anwendungen mithilfe bestehender Automatisierungen neu eingerichtet wurden.
Nach weiteren zwei Wochen konnte die Firma schließlich den regulären Betrieb wieder aufnehmen.
Herausforderungen bei der Wiederherstellung
Nach einem Cybervorfall ist die Wiederherstellung oft komplizierter und zeitaufwendiger als erwartet.
Typische Stolpersteine sind:
Im Anschluss begann die Ursachenanalyse und die Bewertung des entstandenen Schadens:
Cyberresilienz entsteht durch die Kombination präventiver Sicherheitsmaßnahmen mit
effektiven Wiederherstellungsprozessen, was Unternehmen robuster gegen digitale Bedrohungen macht.
Der Wechsel vom Backup- zum Cyberresilienz-System verlagert den Fokus von der Effizienz im Normalbetrieb und Kosteneffektivität hin zu Wiederherstellungsfunktionen. Diese Systeme unterstützen aktiv die Angriffsabwehr eines Unternehmens durch:
Die Verschlagwortung und Anreicherung dieser Daten mit Metadaten bildet die Grundlage für den größten zentralen Datenbestand eines Unternehmens.
Der Wert der Daten und Wertschöpfung durch KI
Heutzutage sind solche Daten mehr denn je eine wertvolle Währung – auch die künstliche Intelligenz dürstet nach Trainingsdaten. Damit rücken Backup-Lösungen in eine neue, strategisch wichtige Rolle.
Mithilfe von KI können künftig nicht nur Bedrohungen besser erkannt und gezieltere Aussagen über die zu erwartende Wiederherstellungszeit (Recovery Time Objective, RTO) und den möglichen Datenverlust (Recovery Point Objective, RPO) gemacht werden – abhängig vom Alter der Daten aus dem verfügbaren aktuellsten Wiederherstellungspunkt.
Es eröffnen sich zudem komplett neue Anwendungsmöglichkeiten: In naher Zukunft können wir Fragen an das Cyberresilienz-System stellen wie „Wie viele E-Mails wurden an externe Benutzer geschickt, die einen PDF-Anhang enthielten, der Rechnungen enthielt?“ oder „Welche Benutzer haben im letzten Monat mehr als 100 GB neue Daten erzeugt – über alle Quellen hinweg?“. Damit entwickeln sich Cyberresilienz-Systeme zu allwissenden Systemen, die sowohl aus dem aktuellen Bestand als auch aus der Vergangenheit heraus antworten können. All diese Technologien stärken die Angriffsabwehr, verbessern die Früherkennung und unterstützen fundierte Entscheidungen im Fall eines Cyber Incidents.
Zwar verhindert Cyberresilienz keinen Angriff, sie trägt jedoch entscheidend dazu bei, Schäden wirksam zu begrenzen – und bildet damit die Basis für eine möglichst schnelle und erfolgreiche Wiederherstellung.
Dieser Artikel erschien in der IT-Sicherheit, Ausgabe 04/2025.
Hier finden der komplette Artikel inklusive Grafiken
Zur Ausgabe der IT-Sicherheit (PDF-Download)
Autor: Markus Stumpf, Empalis Consulting GmbH
Markus Stumpf ist Business Development Manager bei der Empalis Consulting GmbH und leitete sechs Jahre das Data Protection Managed Service Team. Als Experte für Datensicherungs-Lösungen wie IBM Storage Protect, Veeam, Wasabi oder Cohesity und über 20 Jahren Erfahrung in Implementierung, Betrieb und Trainings beantwortet er gern all Ihre Fragen.
Endlich kam die E-Mail mit der erwarteten Rechnung an. Der Anhang war per Link auf dem Server der Lieferantenfirma hinterlegt. Die E-Mail passte zum Vorgang, zudem enthielt die Betreffzeile den Vermerk der internen Security-Lösung, dass sie ungefährlich sei. Der Link zum Download der Rechnung – in einem neuen Dokumentenablagesystem anstelle eines PDF-Anhangs – zerstreute auch die letzten Zweifel, ob die E-Mail echt ist. Da der Jahresabschluss bevorstand und die Leistung noch auf das Vorjahr gebucht werden sollte, klickte der Empfänger in der Hektik auf den Link, öffnete die PDF-Datei, prüfte sie kurz und legte sie anschließend im Projekt-Share ab.
Diese kleine Nachlässigkeit öffnete den Angreifern die Tür ins Unternehmensnetzwerk, erfuhr der IT-Leiter von den Forensikern des Landeskriminalamtes – drei Monate nach den für ihn schlimmsten Wochen in zwanzig Jahren Unternehmenszugehörigkeit.
'Time Bombing' und 'Living off the Land'
Die Attacke basierte auf dem „Time Bombing“- Verfahren, bei dem der Schadcode erst zu einem bestimmten Zeitpunkt aktiviert wird. So konnte die manipulierte PDF-Datei unerkannt das Security-Gateway passieren und selbst einen erfahrenen IT-Fachmann täuschen. Für die Angreifer war der IT-Leiter mit seinen umfangreichen Domänen-Adminrechten ein ideales Opfer. Sie nutzten den Zugriff vorerst nur zur Beobachtung und Ausbreitung auf weitere Systeme.
Die forensische Analyse zeigte später: Die Hacker beobachteten zwei Monate lang die Systemarchitektur, die Geschäftsprozesse und potenzielle Angriffsziele im Unternehmen. Anschließend verwendeten sie die „Living off the Land“- Methode. Diese Cyberangriffstechnik nutzt legitime Tools und Funktionen des Zielsystems, um unentdeckt Schaden anzurichten oder sich weiter im Netzwerk auszubreiten, während kaum oder gar keine zusätzliche Schadsoftware eingesetzt wird.
Nach dieser intensiven Vorbereitung starteten die Angreifer schließlich ihre Attacke an einem langen Wochenende. Sie verschlüsselten alle Daten und ersetzten die Unternehmenswebsite durch eine vorgefertigte Lösegeldforderung.
Somit wurde der Angriff öffentlich und Lösegeld über zwei Millionen Euro gefordert.
Betroffen - trotz Schutz
Der Fall verdeutlicht: Jedes Unternehmen kann betroffen sein – unabhängig von seinen Sicherheitsvorkehrungen. Es gibt keinen Grund, sich zu schämen, wenn man Opfer einer Cyberattacke wird, denn trotz jahrelanger Investitionen in Cybersicherheit, Awareness-Schulungen und Penetrationstests steigt die Anzahl erfolgreicher Angriffe weiter an. Die Dunkelziffer liegt vermutlich noch deutlich höher.
Die gute Nachricht ist, dass Cyberangriffe heute früher erkannt und die Schäden besser eingedämmt werden können, sodass weniger Daten oder Umsätze verloren gehen. Der Reputationsverlust bleibt jedoch bestehen.
Cybersicherheit ist zugleich ein stetiger Kostentreiber: „There is no glory in prevention“ lautet ein bekanntes Bonmot der Branche. Denn wirkungsvolle Sicherheitsmaßnahmen verhindern zwar Angriffe, bringen jedoch oft spürbare Einschränkungen im Alltag mit sich – von komplexen Anmeldeprozessen über eingeschränkte Zugriffsrechte bis hin zu umfassenden Dokumentationspflichten. Hinzu kommt ein psychologischer Effekt: Je erfolgreicher die Prävention wirkt, desto weniger sichtbar wird ihr Nutzen – und desto eher zweifeln manche an ihrem Wert.
Durch NIS-2 oder DORA regulierte Unternehmen unterliegen zudem umfassenden Meldepflichten, welche bei Versäumnissen zu empfindlichen Strafen führen können. Und trotz aller Maßnahmen kann schon eine einzige Schwachstelle in der sorgfältig aufgebauten Verteidigung das gesamte Unternehmensnetzwerk kompromittieren.
Die Wiederherstellung nach einem Cyberangriff dauert oft mehrere Wochen und erfordert eine systematische Analyse der Kompromittierung, vom initialen Angriff bis zur vollständigen Wiederherstellung unter Berücksichtigung von Reinfektionsrisiken.
Fallstricke einer erfolgreichen Wiederherstellung und der Faktor Zeit
Im beschriebenen Fall entschied das Unternehmen, nicht auf die Lösegeldforderung einzugehen, da Notfallpläne und regelmäßige Datensicherungen vorhanden waren. Man meldete den Vorfall bei der Polizei und bei der Cyberversicherung. Überdies wurde ein externer Security-Dienstleister zur Unterstützung herangezogen.
Am Samstagmorgen war man optimistisch, die verschlüsselten Daten über das Wochenende wiederherstellen zu können. Hierzu mussten der Backup-Server neu aufgebaut und die Bänder eingelesen werden. Doch am Sonntag folgte die Ernüchterung: Viele kleine Dateien auf den Dateiservern verlangsamten die Wiederherstellung auf etwa 250 Gigabyte pro Stunde. Die Geschäftsführer mussten die Produktionsschichten bis einschließlich Mittwoch absagen.
Um das Risiko einer Reinfektion zu minimieren, beschaffte das Unternehmen neue Netzwerk-Infrastruktur, Server und Speichersysteme. Alle Bestandssysteme wurden abgeschaltet. Zusätzlich überprüfte man alle wiederhergestellten Daten und Systeme mit mehreren Virenscannern. Das Sicherheitsteam hatte mittlerweile für den Angriff eine YARA-Regel erstellt – ein spezifisches Suchmuster, mit dem Dateien gezielt auf charakteristische Merkmale der eingesetzten Schadsoftware geprüft werden können – die anschließend auf allen wiederhergestellten Systemen in einer Green Zone angewendet wurde.
Auf Basis der neu eingerichteten Infrastruktur gelang es, bis zum Ende der Woche einen Notbetrieb herzustellen. Die Wiederherstellung von Daten in der Cloud stellte jedoch eine zusätzliche Herausforderung dar, da die Snapshot-Backups in Azure aus dem kompromittierten Tenant nicht verwendet werden konnten. Stattdessen mussten die Verantwortlichen virtuelle Maschinen und Daten aus dem Backup-System zurückspielen, während Web-Services und serverlose Anwendungen mithilfe bestehender Automatisierungen neu eingerichtet wurden. Nach weiteren zwei Wochen konnte die Firma schließlich den regulären Betrieb wieder aufnehmen.
Um das Risiko einer Reinfektion zu minimieren, beschaffte das Unternehmen neue Netzwerk-Infrastruktur, Server und Speichersysteme. Alle Bestandssysteme wurden abgeschaltet. Zusätzlich überprüfte man alle wiederhergestellten Daten und Systeme mit mehreren Virenscannern. Das Sicherheitsteam hatte mittlerweile für den Angriff eine YARA-Regel erstellt – ein spezifisches Suchmuster, mit dem Dateien gezielt auf charakteristische Merkmale der eingesetzten Schadsoftware geprüft werden können – die anschließend auf allen wiederhergestellten Systemen in einer Green Zone angewendet wurde.
Auf Basis der neu eingerichteten Infrastruktur gelang es, bis zum Ende der Woche einen Notbetrieb herzustellen. Die Wiederherstellung von Daten in der Cloud stellte jedoch eine zusätzliche Herausforderung dar, da die Snapshot-Backups in Azure aus dem kompromittierten Tenant nicht verwendet werden konnten. Stattdessen mussten die Verantwortlichen virtuelle Maschinen und Daten aus dem Backup-System zurückspielen, während Web-Services und serverlose Anwendungen mithilfe bestehender Automatisierungen neu eingerichtet wurden.
Nach weiteren zwei Wochen konnte die Firma schließlich den regulären Betrieb wieder aufnehmen.
Herausforderungen bei der Wiederherstellung
Nach einem Cybervorfall ist die Wiederherstellung oft komplizierter und zeitaufwendiger als erwartet.
Typische Stolpersteine sind:
- Zugriff auf Daten: Die Sicherungsdaten müssen verfügbar und erreichbar sein.
- Kompromittierte Backups: Wurden auch Backup-Systeme infiziert, bleiben oft nur entfernte Sicherungsmedien, die erst katalogisiert und eingelesen werden müssen.
- Datenmengen: Im Unterschied zu alltäglichen Wiederherstellungen werden oft riesige Datenmengen gleichzeitig benötigt, was die Systeme stark belastet.
- Limitierte Performance: Viele Backup-Architekturen sind nur für inkrementelle Sicherungen im Tagesbetrieb ausgelegt und schaffen die hohe Last einer umfassenden Recovery nicht.
- Fehlerfreie Restore-Punkte: Der letzte „saubere“ Wiederherstellungspunkt muss gefunden werden, um keine kompromittierten Daten einzuspielen.
- Gefahr erneuter Infektion: Der Schadcode darf nicht unbemerkt mit wiederhergestellt werden. Alle Daten müssen gründlich geprüft werden.
- Prüfung der Daten: Wiederhergestellte Systeme und Dateien müssen umfassend kontrolliert werden, bevor sie erneut produktiv genutzt werden dürfen.
Im Anschluss begann die Ursachenanalyse und die Bewertung des entstandenen Schadens:
- Der Schaden durch ausgefallene Produktionszeiten, Neuanschaffungen, Überstunden und externe Unterstützung belief sich auf insgesamt zehn Millionen Euro.
- Die ausgenutzte Lücke wurde durch eine neue Version der Mail-Security-Software geschlossen.
- Die Notfallhandbücher waren erst vor drei Monaten auditiert worden. Hier griffen alle Prozeduren.
Cyberresilienz entsteht durch die Kombination präventiver Sicherheitsmaßnahmen mit
effektiven Wiederherstellungsprozessen, was Unternehmen robuster gegen digitale Bedrohungen macht.
Der Wechsel vom Backup- zum Cyberresilienz-System verlagert den Fokus von der Effizienz im Normalbetrieb und Kosteneffektivität hin zu Wiederherstellungsfunktionen. Diese Systeme unterstützen aktiv die Angriffsabwehr eines Unternehmens durch:
- Analyse der Datenströme nach Bedrohungen bereits beim Speichern
- Indizierung der Backup-Inhalte
- Leistungsstarke Massenwiederherstellung
- Anomalieerkennung und Datenklassifizierung
- Anbindung über Programmierschnittstellen (API) an andere Cybersicherheitssysteme.
Die Verschlagwortung und Anreicherung dieser Daten mit Metadaten bildet die Grundlage für den größten zentralen Datenbestand eines Unternehmens.
Der Wert der Daten und Wertschöpfung durch KI
Heutzutage sind solche Daten mehr denn je eine wertvolle Währung – auch die künstliche Intelligenz dürstet nach Trainingsdaten. Damit rücken Backup-Lösungen in eine neue, strategisch wichtige Rolle.
Mithilfe von KI können künftig nicht nur Bedrohungen besser erkannt und gezieltere Aussagen über die zu erwartende Wiederherstellungszeit (Recovery Time Objective, RTO) und den möglichen Datenverlust (Recovery Point Objective, RPO) gemacht werden – abhängig vom Alter der Daten aus dem verfügbaren aktuellsten Wiederherstellungspunkt.
Es eröffnen sich zudem komplett neue Anwendungsmöglichkeiten: In naher Zukunft können wir Fragen an das Cyberresilienz-System stellen wie „Wie viele E-Mails wurden an externe Benutzer geschickt, die einen PDF-Anhang enthielten, der Rechnungen enthielt?“ oder „Welche Benutzer haben im letzten Monat mehr als 100 GB neue Daten erzeugt – über alle Quellen hinweg?“. Damit entwickeln sich Cyberresilienz-Systeme zu allwissenden Systemen, die sowohl aus dem aktuellen Bestand als auch aus der Vergangenheit heraus antworten können. All diese Technologien stärken die Angriffsabwehr, verbessern die Früherkennung und unterstützen fundierte Entscheidungen im Fall eines Cyber Incidents.
Zwar verhindert Cyberresilienz keinen Angriff, sie trägt jedoch entscheidend dazu bei, Schäden wirksam zu begrenzen – und bildet damit die Basis für eine möglichst schnelle und erfolgreiche Wiederherstellung.
Dieser Artikel erschien in der IT-Sicherheit, Ausgabe 04/2025.
Hier finden der komplette Artikel inklusive Grafiken
Zur Ausgabe der IT-Sicherheit (PDF-Download)
Autor: Markus Stumpf, Empalis Consulting GmbH
Markus Stumpf ist Business Development Manager bei der Empalis Consulting GmbH und leitete sechs Jahre das Data Protection Managed Service Team. Als Experte für Datensicherungs-Lösungen wie IBM Storage Protect, Veeam, Wasabi oder Cohesity und über 20 Jahren Erfahrung in Implementierung, Betrieb und Trainings beantwortet er gern all Ihre Fragen.
