Wenn Sofortmaßnahmen Beweise zerstören: Was Unternehmen nach einem Cyberangriff vermeiden sollten

July 7, 2026
Tags
Autor

Nach einem Cyberangriff ist der erste Impuls oft verständlich: Systeme wieder hochfahren, Anwendungen verfügbar machen, Mitarbeitende arbeitsfähig halten und den Geschäftsbetrieb stabilisieren. Gerade in produktionsnahen oder industriellen Umgebungen kann jede Stunde Ausfall spürbare Folgen haben. Doch genau dieser Reflex kann im Ernstfall zum Problemwerden.

In einem Incident-Response-Einsatz von Argos Security zeigte sich, wie gut gemeinte Sofortmaßnahmen die spätere Analyse erheblich erschweren können. Bevor Argos Security eingebunden wurde, waren betroffene Systeme bereits neu gestartet und einzelne Server teilweise neu installiert worden. Aus Sicht der Verantwortlichen war das nachvollziehbar. Aus forensischer Sicht gingen dadurch jedoch wichtige Spuren verloren. Der Fall macht deutlich: In der Incident Response zählt Geschwindigkeit. Aber Geschwindigkeit ohne forensische Leitplanken kann Risiken vergrößern.

Der Fall: Ein Industrieunternehmen unter hohem Handlungsdruck

Der Vorfall betraf ein Unternehmen aus dem industriellen Umfeld mit rund 500 Mitarbeitenden. Aufgrund der verarbeiteten Informationen hatte der Incident eine hohe Datenschutzrelevanz. Im Fokus standen daher nicht nur technische Fragen, sondern auch DSGVO-Aspekte, die Bewertung eines möglichen Datenabflusses sowie die Abstimmung mit Rechtsberatung, Datenschutzverantwortlichen, Behörden und Cyberversicherung.

Nach der Entdeckung verdächtiger Aktivitäten auf mehreren Systemen entschied das interne Team, betroffene Maschinen kurzfristig neu zu starten. Einzelne Systeme wurden zusätzlich neu installiert, um sie möglichst schnell wieder in einen vermeintlich sauberen Zustand zu bringen.

Die Annahme dahinter war klar: Wer Systeme schnell neu startet oder neu aufsetzt, bekommt den Betrieb schneller zurück. Im laufenden Geschäftsbetrieb klingt das plausibel. Aus forensischer Sicht ist es jedoch riskant.

Warum schnelle Neustarts nach einem Cyberangriff gefährlich sein können

Kompromittierte Systeme enthalten häufig wichtige Hinweise auf den Ablauf eines Angriffs. Dazu gehören nicht nur klassische Logdateien, sondern auch flüchtige Informationen, die nach einem Neustart nicht mehrverfügbar sind.

Dazu zählen unter anderem:

  • aktive Netzwerkverbindungen
  • Prozesse im Arbeitsspeicher
  • temporäre Dateien
  • lokale Ereignisprotokolle
  • Hinweise auf verwendete Benutzerkonten
  • Spuren von lateraler Bewegung
  • Indikatoren für Persistenzmechanismen
  • Hinweise auf mögliche Datenabflüsse

Wer Systeme vorschnell neu startet oder neu installiert, verändert den ursprünglichen Zustand. Dadurch können genau die Informationen verloren gehen, die später benötigt werden, um den Angriff belastbar zu rekonstruieren.

Im konkreten Fall war ein Teil dieser Spuren bereits nicht mehr verfügbar, als Argos Security den Incident übernahm. Damit änderte sich die gesamte Ausgangslage der Incident Response.

Wie fehlende Beweise die Incident Response erschweren

Die technische Analyse wurde durch die vorangegangenen Sofortmaßnahmen nicht unmöglich. Sie wurde aber deutlich schwieriger.

Wichtige Informationen zum ursprünglichen Zugriffspfad, zu lokalen Ereignisprotokollen, temporären Artefakten und möglichen Bewegungen innerhalb der Umgebung waren nur noch eingeschränkt vorhanden. Besonders kritisch war: Der ursprüngliche Angriffsweg ließ sich nicht mehr belastbar rekonstruieren.

Das hatte direkte Auswirkungen auf mehrere zentrale Fragen:

  • Welche Systeme waren tatsächlich kompromittiert?
  • Welche Benutzerkonten wurden missbraucht?
  • Gab es Hinweise auf Datenabfluss?
  • Wann begann der Angriff wirklich?
  • War der Angreifer zum Zeitpunkt der Wiederherstellung noch aktiv?
  • Welche Aussagen konnten gegenüber Versicherung, Datenschutzaufsicht und Rechtsberatung belastbar getroffen werden?

Statt klare Beweise auszuwerten, mussten Indizien zusammengeführt, Wahrscheinlichkeiten bewertet und Lücken im Lagebild transparent kommuniziert werden. Genau hier zeigt sich, wie eng technische Forensik, Managemententscheidungen und rechtliche Bewertung in realen Cybervorfällen miteinander verbunden sind.

Der eigentliche Knackpunkt war keine technische Frage

In der späteren Aufarbeitung wurde deutlich: Der kritische Moment war nicht nur eine technische Entscheidung. Es war eine Führungsentscheidung unter Druck.

Die IT wollte helfen. Das Business wollte den Betrieb zurück. Die Rechts- und Datenschutzseite benötigte belastbare Fakten. Gleichzeitig gab es keinen klaren Entscheidungsrahmen, der festlegte, wann Systeme isoliert, wann sie forensisch gesichert und wann sie wiederhergestellt werden dürfen.

Genau an dieser Schnittstelle entstehen in vielen Cybervorfällen die größten Risiken. Nicht, weil einzelne Personen falsch handeln wollen. Sondern weil in der Krise mehrere Ziele gleichzeitig kollidieren: Der Betrieb muss wiederhergestellt, Beweise müssen gesichert, rechtliche Pflichten erfüllt und die Kommunikation vorbereitet werden. Gleichzeitig müssen Anforderungen der Cyberversicherung berücksichtigt und mögliche Reputationsschäden begrenzt werden.

Ohne vorbereitete Incident-Response-Prozesse gewinnt häufig der lauteste Druck. In diesem Fall war es der Wunsch nach schneller Wiederaufnahme des Betriebs.

Die Folgen: weniger Gewissheit, mehr Abstimmungsaufwand

Die verlorenen Spuren erschwerten nicht nur die technische Analyse, sondern auch die Abstimmung mit externen Stakeholdern. Der Cyberversicherer benötigte Nachweise zum Ablauf des Angriffs und zur Schadensbegrenzung. Die Rechtsberatung brauchte eine belastbare Einschätzung, ob personenbezogene Daten betroffen sein könnten. Für die DSGVO-Bewertung musste jedoch mit Unsicherheiten gearbeitet werden, weil zentrale forensische Artefakte nicht mehr vollständig verfügbar waren.

Dadurch mussten Aussagen vorsichtiger formuliert, Indiziengenauer eingeordnet und technische Lücken transparent gemacht werden. Auch die Prüfung durch die Cyberversicherung verzögerte sich, weil wichtige Nachweise nur eingeschränkt erbracht werden konnten. Ein Satz aus der Nachbesprechung blieb besonders hängen:

„Wir hatten die Systeme schneller wieder an – aber nicht mehr die Beweise.“

Wie Argos Security den Vorfall stabilisierte

Argos Security sicherte zunächst das verbliebene Lagebild. Noch vorhandene Logs, Netzwerkdaten, Authentifizierungsereignisse, zentrale Systeme und verfügbare Backup-Stände wurden priorisiert ausgewertet. Parallel wurden betroffene Systeme isoliert, weitere Veränderungen kontrolliert und die Kommunikation zwischen IT, Management, Rechtsberatung, Datenschutz und Cyberversicherung strukturiert.

Entscheidend war, keine falsche Sicherheit zu erzeugen. Fehlende Beweise wurden klar benannt, belastbare Indizien sauber dokumentiert und offene Risiken in Entscheidungsvorlagen für Management und Rechtsberatung übersetzt. Genau darin liegt der Wert erfahrener Incident Response: Nicht jede Lücke lässt sich nachträglich schließen. Aber sie lässt sich professionell einordnen und in belastbare nächste Schritte überführen..

Die wichtigste Lehre aus diesem Fall

Schnelligkeit ist in der Incident Response entscheidend. Unkontrollierte Schnelligkeit kann den Schaden jedoch vergrößern. Kompromittierte Systeme sollten nicht vorschnell neu gestartet oder neu installiert werden, bevor zentrale forensische Informationen gesichert wurden. Dazu gehören volatile Daten, relevante Logquellen, Systemzustände, Benutzeraktivitäten und Hinweise auf mögliche Persistenzmechanismen.

Das bedeutet nicht, dass der Betrieb bis zum Abschluss jeder Analyse warten muss. Es bedeutet, dass Wiederherstellung und Beweissicherung koordiniert werden müssen – mit klaren Rollen, vorbereiteten Entscheidungswegen und einem Incident-Response-Plan, der im Ernstfall bekannt und geübt ist.

Was Unternehmen vorbereiten sollten

Aus dem Vorfall wurden gemeinsam mit Argos Security konkrete Maßnahmen abgeleitet: ein verbindlicher Incident-Response-Ablauf, klare Freigabeprozesse für Neustarts und Wiederherstellungen, definierte Kommunikationswege zwischen IT, Management, Datenschutz und Rechtsberatung sowie ein Verfahren zur schnellen forensischen Sicherung betroffener Systeme.

Ebenso wichtig ist die Sensibilisierung des Managements. Denn im Ernstfall geht es nicht nur um Technik, sondern um Entscheidungen unter Unsicherheit – und um die Frage, welche Informationen benötigt werden, bevor Systeme verändert, gelöscht oder wiederhergestellt werden.

Fazit

Dieser Incident war kein Beispiel für mangelnden Einsatz. Im Gegenteil: Die Verantwortlichen handelten schnell, engagiert und mit dem Ziel, Schaden vom Unternehmen abzuwenden. Das Problem war, dass Geschwindigkeit ohne forensische Leitplanken zu neuen Risiken führte.

Für Argos Security bestätigt dieser Fall eine zentrale Erfahrung aus vielen Incident-Response-Einsätzen: Der erste Umgang mit kompromittierten Systemen entscheidet oft darüber, wie gut ein Angriff später verstanden, begrenzt und gegenüber Dritten erklärt werden kann.

Nicht jeder schnelle Wiederanlauf ist ein guter Wiederanlauf. Erst wenn Beweise gesichert, Risiken bewertet und Entscheidungen dokumentiert sind, entsteht echte Handlungsfähigkeit.

Bereit, Ihre Cyber-Resilienz zu stärken?

Vereinbaren Sie ein kostenloses 30-Minuten-Erstgespräch mit einem unserer Security-Experten.

Lächelnder Mann mit legerem weißen Hemd und grauem Bart vor verschwommenem Hintergrund.
Ihr Ansprechpartner
Dr. Nils Kaufmann
Chief Sales Officer