Incident Response: Die ersten 72 Stunden nach einem Cyberangriff
Ein Cyberangriff ist keine Frage des Ob, sondern des Wann. Entscheidend ist, was in den ersten 72 Stunden danach passiert. Denn sie bestimmen, wie groß der Schaden wirklich wird.

Ein realer Vorfall: Sonntagabend, 21:40 Uhr
Es ist Sonntagabend, kurz vor 22 Uhr. In unserem Security Operations Center schlagen die Alarme an. Ein Gerät im Netzwerk eines Kunden kontaktiert plötzlich hunderte IP-Adressen weltweit: systematisch, automatisiert, ohne menschliche Interaktion.
Der Command-and-Control-Server dahinter taucht auf keiner bekannten IOC-Liste auf. Rein signaturbasierte Erkennungsmethoden hätten hier versagt. Aufgefallen ist das Gerät nicht durch eine bekannte Schadsoftware-Signatur, sondern durch sein Verhalten im Netzwerk.
Der Übeltäter: ein Netzwerk-Videorekorder, installiert von einem Drittanbieter. Das Gerät stand in einer DMZ, einem eigentlich separierten Netzwerkbereich, hatte aber vollen Internetzugang. Kompromittiert und bereits auf der Suche nach weiteren Angriffspunkten.
Da die Firewall des Kunden in unser Monitoring eingebunden ist, konnte das Gerät innerhalb von Minuten isoliert werden. Doch der eigentliche Schaden kam erst danach: Die IP-Adresse des Kunden stand inzwischen auf so vielen Blocklisten, dass am Montagmorgen der Webshop seines wichtigsten Lieferanten ihn aussperrte. Einkauf stand still, das Telefon klingelte. Übergangslösung: ein LTE-Cube, parallel liefen Delisting-Anträge. Der Hersteller des NVR bestritt die Sicherheitslücke zunächst.
Warum die ersten 72 Stunden entscheidend sind
Ein Cyberangriff endet nicht mit der Erkennung. Was in den ersten drei Tagen passiert, entscheidet darüber, wie groß der finanzielle Schaden wird, wie lange der Betrieb stillsteht und ob Kundendaten kompromittiert wurden.
Wer keinen strukturierten Incident-Response-Plan hat, improvisiert. Und Improvisation kostet Zeit, Geld und Vertrauen.
Phase 1: 0 bis 24 Stunden – Erkennen und Eindämmen
Die erste Phase dreht sich um Geschwindigkeit. Jede Minute, in der ein kompromittiertes System aktiv bleibt, kann weiteren Schaden anrichten. Die wichtigsten Schritte:
- Angriff erkennen und bestätigen
- Betroffene Systeme vom Netzwerk isolieren
- Incident-Response-Team alarmieren
- Erste Beweissicherung einleiten: Logs sichern, bevor sie überschrieben werden
- Krisenstab einberufen und Kommunikationswege festlegen
Wer in dieser Phase zögert, gibt dem Angreifer Zeit. Wer handelt, begrenzt den Schaden.
Phase 2: 24 bis 48 Stunden – Analysieren und Bewerten
Sobald die unmittelbare Gefahr eingedämmt ist, beginnt die forensische Arbeit. Es gilt zu verstehen, was passiert ist und was noch passieren könnte:
- Angriffsvektor und Ausmaß der Kompromittierung bestimmen
- Alle betroffenen Systeme und potenziell gestohlenen Daten erfassen
- Meldepflichten prüfen: NIS2 und DSGVO sehen enge Fristen vor
- Behörden informieren, sofern erforderlich
- Wiederherstellungsplan auf Basis der Analyse entwickeln
Häufig zeigt sich in dieser Phase, dass der Angriff längst vor der Erkennung begann. Die Dwell Time, die Zeit zwischen Einbruch und Entdeckung, beträgt im Durchschnitt mehrere Wochen.
Phase 3: 48 bis 72 Stunden – Wiederherstellen, Kommunizieren & Stabiliseren
In der letzten Phase geht es darum, den Betrieb schrittweise wieder aufzunehmen, gleichzeitig zu kommunizieren und die gewonnenen Erkenntnisse direkt umzusetzen:
- Systeme aus verifizierten, sauberen Backups einspielen, wenn notwendig
- Sicherheitslücken schließen, bevor Systeme wieder ans Netz gehen
- Interne Kommunikation sicherstellen: Mitarbeiter informieren, Gerüchten vorbeugen
- Kunden und Partner proaktiv informieren, sofern sie betroffen sind
- Betrieb schrittweise und kontrolliert wiederherstellen, falls er zum Erliegen kam
- Monitoring intensivieren, Angreifer versuchen häufig zurückzukehren
- Lessons Learned dokumentieren: Was wurde erkannt, was übersehen?
- Sicherheitsmaßnahmen auf Basis der Erkenntnisse anpassen
Transparenz in der Kommunikation ist kein Zeichen von Schwäche, sie ist Vertrauensschutz. Und jeder Vorfall ist eine Chance, die eigene Sicherheitsarchitektur zu verbessern. Organisationen, die das konsequent tun, sind beim nächsten Angriff besser aufgestellt.



Drei Learnings aus der Praxis
Der eingangs geschilderte Vorfall hinterlässt drei Erkenntnisse, die für jedes Unternehmen gelten:
- Eine DMZ mit vollem Internetzugang ist keine DMZ. Egress-Regeln, also ausgehende Firewall-Regeln, sind kein Nice-to-have, sondern Pflicht.
- Drittanbieter-Geräte gehören ins Monitoring. Gerade unauffällige Geräte wie Kameras, Drucker oder Rekorder werden häufig vergessen und sind genau deshalb ein beliebtes Angriffsziel.
- Der eigentliche Schaden kommt oft erst nach dem Angriff. Reputationsschäden, Blocklisten und Betriebsunterbrechungen können die direkten Kosten des Angriffs weit übersteigen.
Fazit:
Ein Cyberangriff ist kein singuläres Ereignis, er ist ein Prozess. Wer sich nur auf Prävention verlässt, ist nicht vorbereitet. Incident Response ist die Fähigkeit, schnell, strukturiert und besonnen zu handeln, wenn Prävention versagt hat.
Die ersten 72 Stunden entscheiden. Nicht über den Angriff selbst, sondern über seine Folgen.
Unser Managed SOC ist genau dafür da, Cyberangriffe frühzeitig zu erkennen und schnell darauf zu reagieren.
Sie möchten wissen, wie ein Incident-Response-Plan für Ihr Unternehmen aussehen könnte? Sprechen Sie uns an.


