Cyber-Resilienz und Incident Response Warum die Rettung der Daten oft scheitert

Von Dell Technologies 2 min Lesedauer

Anbieter zum Thema

Wenn Cyberkriminelle geschäftskritische Daten verschlüsseln, herrscht oft Chaos. Dell Technologies zeigt, woran die Incident Response scheitert und wie Unternehmen wieder handlungsfähig werden.

Erfolgreiche Bedrohungsabwehr: Wenn die Incident Response reibungslos funktioniert, lassen sich geschäftskritische Daten schützen und die Systeme schnell wieder in einen sicheren Zustand versetzen.(Bild:  © Berlian/stock.adobe.com - generiert mit KI)
Erfolgreiche Bedrohungsabwehr: Wenn die Incident Response reibungslos funktioniert, lassen sich geschäftskritische Daten schützen und die Systeme schnell wieder in einen sicheren Zustand versetzen.
(Bild: © Berlian/stock.adobe.com - generiert mit KI)

Ohne getestete Pläne keine Sicherheit für die Daten

Ein Hauptgrund für das Scheitern im Ernstfall ist das Fehlen sorgfältig ausgearbeiteter Notfallpläne. Neben einem Business-Continuity-Plan (BCP) sind vor allem der Incident-Response-Plan (IRP) und der Disaster-Recovery-Plan (DRP) entscheidend. Während der IRP alle notwendigen Maßnahmen zur Bewertung und Eindämmung eines Vorfalls definiert, legt der DRP fest, welche Daten und Systeme wie gesichert und wiederhergestellt werden. Doch selbst der beste Plan ist wertlos, wenn er nicht regelmäßig unter realistischen Bedingungen getestet wird. Solche Übungen stellen sicher, dass Backups tatsächlich einspielbar sind und die Mitarbeiter die nötige Routine entwickeln, um im Stressmoment keine folgenschweren Fehler zu begehen.

Informationsfluss und Lagebild: Den Zugriff auf Daten verstehen

Nach einer Attacke kommt es auf Geschwindigkeit an. Unklare Zuständigkeiten und schlechte Kommunikation kosten wertvolle Zeit, die Angreifer nutzen können, um noch tiefer in die Infrastruktur einzudringen. Ein wesentliches Problem ist oft das unvollständige Lagebild: IT-Forensiker müssen präzise klären, wie die Täter eingedrungen sind und welche Daten kompromittiert wurden. Fehlt dieses hochspezialisierte Wissen, werden Hintertüren oder manipulierte Accounts oft übersehen. Das Risiko: Die Angreifer werden nicht vollständig aus dem Netzwerk entfernt und können jederzeit eine erneute Attacke auf die sensiblen Unternehmensdaten starten.

Technologische Hürden: Von Ersatzsystemen bis hin zu Legacy-Daten

Damit der Betrieb nach einer Verschlüsselung schnell wieder anläuft, sind verfügbare Ersatzsysteme ein strategischer Vorteil. Sie erlauben es den IT-Teams, Sicherungen der Daten sofort einzuspielen, ohne das Ende der forensischen Untersuchungen an der ursprünglichen Hardware abwarten zu müssen. Erschwert wird die Wiederherstellung häufig durch veraltete Legacy-Systeme, für die im Unternehmen kein Know-how mehr vorhanden ist oder deren Dokumentation lückenhaft ist. Wenn zudem Support-Verträge ausgelaufen sind, fehlt der Zugriff auf aktuelle Firmware oder Expertenhilfe, was die Rettung der betroffenen Daten massiv verzögert und die Kosten in die Höhe treibt.

Christian Scharrer: "Ein Partner für Incident Response und Recovery kann Ruhe in die Abläufe bringen, alle Maßnahmen koordinieren und bei der Umsetzung unterstützen – und damit eine schnellere Rückkehr zur Normalität ermöglichen.“(Bild:  Dell Technologies)
Christian Scharrer: "Ein Partner für Incident Response und Recovery kann Ruhe in die Abläufe bringen, alle Maßnahmen koordinieren und bei der Umsetzung unterstützen – und damit eine schnellere Rückkehr zur Normalität ermöglichen.“
(Bild: Dell Technologies)

Durchhalten statt Lösegeld: Externe Hilfe rettet wertvolle Daten

Die Wiederherstellung nach einem Ransomware-Angriff erfordert Ausdauer. Viele Unternehmen geben zu früh auf und ziehen die Zahlung von Lösegeld in Betracht. Experten raten davon jedoch strikt ab: Die Zahlung garantiert weder die Rückgabe der Daten noch verhindert sie deren Veröffentlichung. Oft lassen sich mit Geduld und externer Unterstützung auch aussichtslos erscheinende Recovery-Pfade erfolgreich abschließen. Da schwerwiegende Sicherheitsvorfälle Extremsituationen sind, empfiehlt es sich, bereits vorab Partnerschaften mit spezialisierten Incident-Response-Dienstleistern zu schließen, die im Ernstfall sofort die Koordination übernehmen und die Daten professionell sichern.

Professionelle Hilfe verkürzt die Wiederherstellung der Daten

„Eine gute Vorbereitung zahlt sich im Ernstfall aus und kann die Wiederherstellungszeit deutlich verkürzen“, betont Christian Scharrer, Enterprise Architect und CTO Ambassador bei Dell Technologies. „Dennoch läuft erfahrungsgemäß nicht immer alles reibungslos, weil der Druck bei tatsächlichen Cyberattacken ungleich größer als bei Testläufen ist und eigentlich immer unvorhergesehene Situationen eintreten. Ein Partner für Incident Response und Recovery kann Ruhe in die Abläufe bringen, alle Maßnahmen koordinieren und bei der Umsetzung unterstützen – und damit eine schnellere Rückkehr zur Normalität ermöglichen.“

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung