Was hat eine Mandelentzündung mit einem Cyberangriff zu tun?

Mehr als du denkst. Zumindest, wenn man Andreas Papadaniil fragt. Der war kürzlich zu Gast bei uns im Cybersecurity Basement und hatte eine ziemlich gute Analogie im Gepäck: „Ich lag mit Halsschmerzen im Bett, dachte: wird schon wieder. Tee, Ruhe, fertig. Am Ende hatte ich 39 Grad Fieber und geschwollene Mandeln wie Äpfel. Warum? Keine Identifikationsphase. Kein Arzt. Keine Analyse. Nur blinder Aktionismus.“

Und genau das ist der Punkt: Auch bei einem Cyberangriff rennen viele los, bevor sie überhaupt wissen, was genau passiert ist. Hauptsache irgendwas tun: Systeme runterfahren, Backups einspielen, Recovery starten. Klingt erst mal vernünftig, ist aber oft der schnellste Weg direkt zurück in den nächsten Angriff. Denn wer ohne Analyse wiederherstellt, läuft Gefahr, kompromittierte Systeme oder Backups erneut einzuspielen und öffnet dem Angreifer damit erneut die Tür.

Die erste Phase: oft ignoriert, dabei entscheidend

Die sogenannte Identifikationsphase, also der erste Schritt nach einem erkannten Cyberangriff, wird in der Praxis leider oft übersprungen. Dabei ist genau sie entscheidend, um den Vorfall wirklich zu verstehen, statt nur hektisch zu reagieren. Bevor etwas gelöscht, heruntergefahren oder wiederhergestellt wird, braucht es Klarheit: Was ist eigentlich passiert?

Klingt simpel, ist es aber nicht. Denn:

Viele Unternehmen haben nicht die nötigen Logdaten, um den Angriffsweg überhaupt nachvollziehen zu können.
Falls doch, werden sie oft nur 30 Tage gespeichert, dabei dauert ein durchschnittlicher Angriff rund 180 Tage.
Und im Stress werden Systeme oft vorschnell abgeschaltet oder sogar formatiert, wodurch wertvolle Spuren im RAM verloren gehen.

Andreas bringt es treffend auf den Punkt: „Wenn du weißt, dass der Angreifer gerade aktiv ist - aber noch nicht verschlüsselt hat - dann beobachte lieber erstmal. Du musst nicht gleich mit Kanonen auf den Router schießen.“

Natürlich ist das leichter gesagt als getan. Wenn die Produktion stillsteht, der Vorstand Druck macht und die Hotline heiß läuft, will man schnelle Ergebnisse. Doch genau hier gilt: Nicht handeln ist manchmal die bessere Entscheidung. Oder noch besser: Hilfe holen. Denn ein überstürzter Aktionismus kann mehr zerstören als retten. Wer stattdessen auf strukturierte Analyse und erfahrene Unterstützung setzt, legt den Grundstein für eine saubere Recovery und verhindert, dass sich der Angriff im schlimmsten Fall wiederholt.

Denn ein überstürzter Aktionismus kann mehr zerstören als retten. Wer stattdessen auf strukturierte Analyse und erfahrene Unterstützung setzt, legt den Grundstein für eine saubere Recovery und verhindert, dass sich der Angriff im schlimmsten Fall wiederholt.

„Kaufen ist einfach, betreiben ist die eigentliche Kunst“, warnt Andreas.

Denn ein SIEM allein löst keine Probleme. Es muss professionell konfiguriert, kontinuierlich gepflegt und aktiv genutzt werden und genau hier fehlt es in vielen Unternehmen. Ohne das nötige Know-how oder Personal ist das System nutzlos. Aber wer es richtig einsetzt, hat einen echten Gamechanger in der Sicherheitsarchitektur.

Die Identifikation sollte abgeschlossen werden, Ausnahmen bestätigen die Regel

Ein wichtiger Punkt, den viele unterschätzen: Die Identifikationsphase sollte im Idealfall immer vollständig durchgeführt werden. Denn nur wenn du genau weißt, wo der Angreifer ins System gelangt ist und was er bereits getan hat, kannst du fundierte Entscheidungen für die nächsten Schritte treffen.

Aber: Es gibt Ausnahmen. In besonders kritischen Situationen - etwa wenn der wirtschaftliche Druck durch Ausfallzeiten enorm ist - kann es sinnvoll sein, die Identifikation abzubrechen. Zum Beispiel, wenn du zwar nicht jeden einzelnen Angriffsweg nachvollziehen konntest, aber bereits genügend belastbare Indikatoren (IOCs) hast, um Systeme gezielt zu säubern, kompromittierte Bereiche zu isolieren und sicher wiederherzustellen.

Perfekt ist das nicht, aber besser als drei Wochen Analyse bei stehendem Betrieb ohne greifbare Ergebnisse. Wichtig ist: Solche Entscheidungen müssen bewusst und auf Grundlage fachlicher Einschätzung getroffen werden, nicht aus Panik.

Was du mitnehmen solltest:

Identifikation vor Aktion: Erst verstehen, dann handeln. Wer ohne klare Analyse reagiert, riskiert Fehlentscheidungen und im schlimmsten Fall: nochmal Opfer desselben Angriffs zu werden.
Logging ist Pflicht: Ohne zentral gesammelte und ausreichend lange gespeicherte Logdaten bleibt jeder Angriff ein Rätsel. Wer nichts protokolliert, kann auch nichts rekonstruieren.
Nicht abschalten, sondern isolieren: Systeme nicht einfach herunterfahren, sonst sind wertvolle Spuren im RAM weg. Besser: Netzwerkstecker ziehen, virtuelle Maschinen pausieren, sauber isolieren.
Recovery mit Verstand: Backups sind kein Reset-Knopf. Ohne vorherige Prüfung kann man sich die Schadsoftware direkt wieder ins System holen.
Ausnahmen nur mit Augenmaß: Die Identifikation darf nur dann verkürzt werden, wenn die Fachleute sicher sind, dass sie über genügend Informationen verfügen, um verantwortungsvoll weiterzumachen.
Besser gründlich als kopflos. Denn auch bei Cyberangriffen gilt: Erst die Diagnose, dann die Therapie.

Mehr davon? Dann hör dir die ganze Folge an.

Identifikation bei Cyberangriffen: Der entscheidende erste Schritt