Ausgangslage
Ein mittelständischer Maschinenbauer mit 180 Mitarbeitern und einem Jahresumsatz von rund 45 Millionen Euro wurde Opfer eines gezielten Ransomware-Angriffs. Der Angriff erfolgte über einen kompromittierten VPN-Zugang ohne Zwei-Faktor-Authentifizierung.
Betroffene Systeme
- 12 Server verschlüsselt (Windows Server 2019/2022)
- 115 Clients betroffen
- ERP-System, CAD-Workstations, Fileserver
- Active Directory kompromittiert
- Teilweise vorhandene Backups (nicht alle aktuell)
Forderung der Angreifer
Die Ransomware-Gruppe forderte 4,2 Bitcoin (damals ca. 280.000 Euro) für den Entschlüsselungskey. Bei Nichtzahlung innerhalb von 72 Stunden drohten sie mit der Veröffentlichung gestohlener Konstruktionsdaten.
Chronologie des Einsatzes
Cyberangriff? Jetzt Soforthilfe erhalten.
24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.
Stunde 0: Der Anruf
Montagmorgen, 6:47 Uhr. Der IT-Leiter des Unternehmens bemerkt beim Eintreffen die verschlüsselten Systeme. Um 7:02 Uhr erreicht uns der Notfall-Anruf.
Stunden 1–2: Triage & Remote-Analyse
Unser Incident-Response-Team beginnt innerhalb von 23 Minuten mit der Remote-Analyse:
- Identifikation der Ransomware-Familie (LockBit 3.0)
- Bewertung des Verschlüsselungsumfangs
- Analyse des Active Directory auf Kompromittierung
- Prüfung der Backup-Integrität
Entscheidende Erkenntnis: Die Produktionssteuerung (SPS/SCADA) war auf einem separaten Netzwerksegment und wurde vom Angriff nicht erfasst. Teile der Fertigung konnten weiterlaufen.
Stunden 2–6: Gezielte Eindämmung
Statt eines Komplett-Shutdowns isolierten wir gezielt:
- Kompromittierte Server vom Netzwerk getrennt
- Neue, sichere Admin-Accounts im AD angelegt
- VPN-Zugang deaktiviert und neu aufgesetzt
- Produktionsnetz überwacht, aber nicht abgeschaltet
Tag 1–2: Parallele Wiederherstellung & Forensik
Drei Teams arbeiteten parallel:
Team Forensik:
- Vollständige Analyse des Angriffswegs
- Sicherung forensischer Beweise
- Identifikation des Einfallstors (VPN ohne MFA)
Team Wiederherstellung:
- ERP-System aus Backup wiederhergestellt (36 Stunden alt)
- Fileserver-Daten: 78% aus Backups, 16% durch Datenrettung
- AD-Neuaufbau mit gehärteter Konfiguration
Team Verhandlung:
- Kontaktaufnahme mit der Ransomware-Gruppe
- Zeitgewinn durch professionelle Kommunikation
- Bewertung der Entschlüsselungsoption als Backup-Plan
Tag 3–4: Normalbetrieb
- ERP-System wieder vollständig verfügbar
- 94% aller Daten wiederhergestellt
- Alle kritischen Geschäftsprozesse laufen
- Neue Sicherheitsmaßnahmen implementiert
Ergebnis
| Kennzahl | Ohne Allianz (geschätzt) | Mit Allianz |
|---|---|---|
| Ausfallzeit | 7–14 Tage | 3,5 Tage |
| Potenzieller Schaden | ~315.000 € | ~112.000 € |
| Datenwiederherstellung | Unsicher | 94% |
| Lösegeld gezahlt | Möglicherweise | Nein |
Schadensreduzierung: 65%
Durch selektive Isolation statt Komplett-Shutdown und parallele Wiederherstellung konnte der Gesamtschaden um rund 203.000 Euro reduziert werden.
Lessons Learned
Was gut lief
- Schnelle Reaktion: Erster Anruf nur 15 Minuten nach Entdeckung
- Netzwerksegmentierung hatte Produktionssteuerung geschützt
- Backups waren vorhanden (wenn auch nicht vollständig aktuell)
- Professionelle Kommunikation mit dem Management
Was verbessert wurde
Nach dem Vorfall implementierte das Unternehmen:
- MFA für alle Remote-Zugänge (VPN, RDP, Cloud-Dienste)
- Immutable Backups (unveränderliche Backups, die nicht verschlüsselt werden können)
- 24/7 Security-Monitoring durch die Cyber-Notfall-Allianz
- Active Directory Tiering nach Best Practices
- Quartalsweise Phishing-Simulationen für alle Mitarbeiter
- Incident-Response-Plan dokumentiert und getestet
Zitat des IT-Leiters
"Durch selektive Isolation konnten Teile der Fertigung weiterlaufen – das hat uns vor weit größerem Schaden bewahrt. Ohne das Incident-Response-Team hätten wir wahrscheinlich alles abgeschaltet und mindestens zwei Wochen gestanden."
Weiterführende Informationen
- Ransomware-Hilfe: Entschlüsselung und Datenrettung
- Incident Response: Unser Vorgehen im Detail
- IT-Forensik nach Cyberangriffen
- Penetration Testing: Schwachstellen finden
Fazit
Diese Fallstudie zeigt: Ein Ransomware-Angriff muss kein Totalausfall sein. Mit der richtigen Reaktionsstrategie – gezielte Isolation statt Panik-Shutdown, parallele Arbeit an Forensik und Wiederherstellung, professionelle Verhandlungsführung – lässt sich der Schaden drastisch reduzieren.
Alle Angaben anonymisiert. Der Fall wurde 2025 von der Cyber-Notfall-Allianz bearbeitet.
