ISX QIV/2022: Workshop zum Thema "Hackerangriff - und jetzt?"
Am 23. November fand die IT-Security-Konferenz ISX QIV/2022 der Vogel IT Akademie statt. Gemeinsam mit Maria Fladung von der EDAG Group AG veranstaltete ich am Nachmittag einen Workshop zum Thema „Hackerangriff und jetzt? Wie Du die richtige Reaktion auf einen Angriff planst!“.
Hackerangriff und jetzt? Rückblick auf unseren Workshop auf der ISX Security Conference
Ein Hackerangriff trifft Unternehmen selten zu einem passenden Zeitpunkt. Systeme fallen aus, Daten sind möglicherweise betroffen, Kommunikationswege funktionieren nicht wie geplant und plötzlich müssen in kürzester Zeit Entscheidungen getroffen werden, die den weiteren Verlauf des Vorfalls maßgeblich beeinflussen.
Genau an diesem Punkt setzte unser Workshop „Hackerangriff und jetzt? Wie du dein Unternehmen auf einen Hackerangriff vorbereitest“ an, den wir im November 2022 auf der ISX Security Conference gehalten haben.
Im Mittelpunkt stand eine zentrale Frage: Wie können Unternehmen sich so vorbereiten, dass sie im Ernstfall nicht improvisieren müssen?
Cyberangriffe sind nicht nur ein technisches Problem
Viele Unternehmen betrachten Hackerangriffe zunächst als rein technisches Ereignis. Ein System wurde kompromittiert, ein Schadprogramm entdeckt oder ein Account missbraucht. In der Praxis zeigt sich jedoch schnell: Ein Cyberangriff ist immer auch ein organisatorischer Ausnahmezustand.
Neben der technischen Analyse müssen Verantwortlichkeiten geklärt, Entscheidungen getroffen, Kommunikationswege aktiviert und rechtliche sowie regulatorische Anforderungen berücksichtigt werden. Wer informiert die Geschäftsführung? Wann wird ein externer Dienstleister eingebunden? Müssen Kunden, Partner oder Behörden informiert werden? Welche Systeme werden isoliert? Welche Daten sind betroffen?
Diese Fragen lassen sich im Ernstfall nur schwer zum ersten Mal sauber beantworten. Deshalb braucht es Vorbereitung.
Vorbereitung entscheidet über Reaktionsfähigkeit
Ein zentrales Thema des Workshops war die Bedeutung klarer Incident-Response-Strukturen. Unternehmen müssen vor einem Vorfall wissen, wer im Krisenfall welche Rolle übernimmt.
Dazu gehören definierte Meldewege, Eskalationsstufen, Entscheidungsbefugnisse und Notfallkontakte. Ebenso wichtig ist ein gemeinsames Verständnis dafür, welche Systeme und Prozesse besonders kritisch sind. Denn im Ernstfall muss schnell entschieden werden, was zuerst geschützt, isoliert oder wiederhergestellt wird.
Ein guter Incident-Response-Plan ist dabei kein theoretisches Dokument für die Schublade. Er muss verständlich, erreichbar und praktisch anwendbar sein. Entscheidend ist nicht, ob ein Unternehmen ein umfangreiches Konzept besitzt, sondern ob die Beteiligten im Ernstfall wissen, was zu tun ist.
Was Unternehmen vor einem Angriff klären sollten
Im Workshop ging es unter anderem um typische Fragen, die Unternehmen vor einem Cyberangriff beantworten sollten:
Welche Personen müssen im Ernstfall sofort eingebunden werden?
Welche Systeme sind geschäftskritisch?
Welche Dienstleister unterstützen bei Forensik, Wiederherstellung oder Kommunikation?
Welche Backups existieren und wurden sie tatsächlich getestet?
Welche Informationen müssen für eine rechtliche oder regulatorische Bewertung verfügbar sein?
Wie wird intern und extern kommuniziert, wenn E-Mail, Telefonie oder zentrale Systeme ausfallen?
Gerade diese scheinbar einfachen Fragen zeigen in der Praxis häufig Lücken. Viele Unternehmen haben einzelne technische Schutzmaßnahmen etabliert, aber keine abgestimmte Gesamtreaktion vorbereitet.
Der Ernstfall braucht klare Kommunikation
Ein weiterer Schwerpunkt war die Krisenkommunikation. Bei einem Hackerangriff entsteht schnell Unsicherheit: intern bei Mitarbeitenden, extern bei Kunden, Partnern oder Dienstleistern. Ohne vorbereitete Kommunikationswege und abgestimmte Botschaften drohen Missverständnisse, Verzögerungen oder widersprüchliche Aussagen.
Deshalb sollten Unternehmen bereits im Vorfeld festlegen, wer kommuniziert, wer freigibt und welche Informationen wann geteilt werden. Auch vorbereitete Textbausteine für interne Meldungen, Kundeninformationen oder Management-Updates können im Ernstfall wertvolle Zeit sparen.
Gute Kommunikation bedeutet dabei nicht, vorschnell Details zu veröffentlichen. Sie bedeutet, transparent, kontrolliert und verantwortungsvoll mit dem Vorfall umzugehen.
Backups allein reichen nicht aus
Viele Unternehmen verlassen sich beim Thema Cyberresilienz vor allem auf Backups. Backups sind wichtig, aber sie sind nur ein Teil der Vorbereitung. Entscheidend ist, ob sie im Ernstfall verfügbar, vollständig und sauber wiederherstellbar sind.
Im Workshop wurde deutlich: Ein Backup, das nie getestet wurde, ist im Krisenfall nur eine Hoffnung. Unternehmen sollten daher regelmäßig prüfen, ob Wiederherstellungen funktionieren, welche Systeme priorisiert werden müssen und wie lange ein realistischer Wiederanlauf tatsächlich dauert.
Besonders bei Ransomware-Angriffen ist außerdem wichtig, ob Backups isoliert, unveränderbar oder ausreichend geschützt sind. Andernfalls besteht das Risiko, dass auch Sicherungen verschlüsselt oder gelöscht werden.
##### Übungen machen Schwachstellen sichtbar
Ein wichtiger Impuls des Workshops war: Unternehmen sollten den Hackerangriff nicht erst dann durchspielen, wenn er passiert.
Tabletop-Übungen, Krisensimulationen und technische Wiederherstellungstests helfen, Schwachstellen frühzeitig sichtbar zu machen. Dabei geht es nicht darum, Beteiligte unter Druck zu setzen oder Fehler zu suchen. Es geht darum, Abläufe zu verbessern, Rollen zu klären und Entscheidungsfähigkeit aufzubauen.
Schon eine einfache Übung kann wertvolle Erkenntnisse liefern: Wer wird informiert? Welche Informationen fehlen? Welche Systeme sind voneinander abhängig? Wo entstehen Verzögerungen? Welche Entscheidungen kann die IT selbst treffen und wo braucht es die Geschäftsführung?
Der Workshop als praktischer Handlungsimpuls
Der Workshop auf der ISX Security Conference zeigte, dass Vorbereitung auf Cyberangriffe nicht kompliziert beginnen muss. Der erste Schritt ist nicht zwingend ein großes Sicherheitsprogramm, sondern ein ehrlicher Blick auf die eigene Reaktionsfähigkeit.
Unternehmen sollten sich fragen: Wenn morgen ein zentraler Server verschlüsselt ist, ein Admin-Account kompromittiert wurde oder die Website nicht mehr vertrauenswürdig ist – wissen wir dann wirklich, was zu tun ist?
Wenn die Antwort unsicher ist, lohnt es sich, genau dort anzusetzen: mit klaren Rollen, getesteten Backups, definierten Kommunikationswegen, belastbaren Notfallkontakten und regelmäßigen Übungen.
Fazit: Nicht der Angriff ist planbar, aber die Reaktion
Ein Hackerangriff lässt sich nie vollständig ausschließen. Was Unternehmen jedoch beeinflussen können, ist ihre Vorbereitung.
Wer erst im Ernstfall Rollen, Kommunikationswege, Zuständigkeiten und Wiederherstellungsprioritäten klärt, verliert wertvolle Zeit. Wer sich dagegen frühzeitig vorbereitet, kann schneller reagieren, Schäden begrenzen und den Geschäftsbetrieb kontrollierter wiederherstellen.
Unser Workshop „Hackerangriff und jetzt? Wie du dein Unternehmen auf einen Hackerangriff vorbereitest“ auf der ISX Security Conference im November 2022 hatte genau dieses Ziel: Unternehmen dafür zu sensibilisieren, dass Cyberresilienz nicht erst beim technischen Schutz beginnt, sondern bei der Fähigkeit, im Ernstfall handlungsfähig zu bleiben.
