{"id":15596,"date":"2026-02-03T06:01:54","date_gmt":"2026-02-03T06:01:54","guid":{"rendered":"https:\/\/newestek.com\/?p=15596"},"modified":"2026-02-03T06:01:54","modified_gmt":"2026-02-03T06:01:54","slug":"was-tun-wenn-die-erpresser-kommen","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15596","title":{"rendered":"Was tun, wenn die Erpresser kommen?"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
Ruhe bewahren und keine \u00fcbereilten Sachen machen, empfiehlt Podcast-Gast Joanna Lang-Recht.
<\/figcaption><\/figure>\n

intersoft consulting services AG<\/p>\n<\/div>\n

Montagmorgen, 8:00 Uhr. Die Mitarbeitenden k\u00f6nnen sich nicht einloggen. Die Produktionsb\u00e4nder stehen still, und auf den Bildschirmen prangen digitale Erpresserschreiben. Der Albtraum eines jeden CIOs ist wahr geworden: Ein Ransomware-Angriff hat den Betrieb lahmgelegt. Jetzt endet der Regelbetrieb, und der Ausnahmezustand beginnt.<\/p>\n

F\u00fcr Joanna Lang-Recht<\/a>, Director IT Forensics und Prokuristin bei der intersoft consulting services AG in Hamburg, ist dies der Alltag. Sie leitet eine hochspezialisierte Eingreiftruppe, die den Tathergang rekonstruiert und den Schaden eind\u00e4mmt, w\u00e4hrend die anderen tief im Chaos versinken.<\/p>\n

\u201eMan kann sich das tats\u00e4chlich \u00e4hnlich vorstellen wie in der kriminalistischen Forensik\u201c, erkl\u00e4rt Lang-Recht. Doch die Realit\u00e4t habe dann doch wenig mit grellen Taschenlampen in dunklen R\u00e4umen zu tun, auch wenn die Parallelen in der Vorgehensweise zu erkennen seien. \u201eWir sammeln keine Schmauchspuren oder Fu\u00dfabdr\u00fccke, wie konzentrieren uns auf Spuren im digitalen Raum\u201c, so die Forensikerin.<\/p>\n

Wenn Cyberkriminelle zuschlagen, hinterlassen sie trotz aller Verschleierungstaktiken digitale Fragmente. Das k\u00f6nnen Logfiles sein, ver\u00e4nderte Zeitstempel oder Fragmente im Arbeitsspeicher. All das sind Puzzleteile, aus denen Lang-Recht und ihr Team das Bild des Angriffs zusammensetzen. Ihr Motto: Rekonstruieren statt Spekulieren. Doch bevor die detektivische Arbeit beginnen kann, m\u00fcssen Unternehmen erst einmal aus der Schockstarre herausfinden.<\/p>\n

Zwischen Panik und Paralyse<\/h2>\n

Ransomware<\/a>-Angriffe folgen meist einem perfiden Timing. Beispielsweise wissen die T\u00e4ter genau, wann IT-Abteilungen besonders verwundbar sind. \u201eH\u00e4ufig finden solche Angriffe \u00fcber das Wochenende oder an Feiertagen statt\u201c, berichtet die Expertin aus Hamburg in dem Podcast TechTalk Smart Leadership von COMPUTERWOCHE und CIO-Magazin. Die \u201eEncryption-Phase\u201c, in der die Daten des Opfers verschl\u00fcsselt werden, laufe dann von Freitag- bis Sonntagabend durch. Wenn die Belegschaft am Montag ins B\u00fcro kommt, sei das Unheil bereits geschehen.<\/p>\n

Die erste Reaktion in den betroffenen Unternehmen beschreibt Lang-Recht als einen Zustand absoluter Panik. \u201eWir reden hier von einem wirklichen Ausnahmezustand\u201c, betont sie. Keine E-Mails, kein Zugriff auf Kundendaten, keine Produktion. In diesem ersten \u201eStadium der Akzeptanz\u201c, wie Lang-Recht es nennt, w\u00fcrden oft die gr\u00f6\u00dften Fehler gemacht, die eine sp\u00e4tere Aufkl\u00e4rung massiv erschweren k\u00f6nnten.<\/p>\n

Der menschliche Impuls sei verst\u00e4ndlich: Man m\u00f6chte retten, was zu retten ist. Doch die Forensikerin warnt eindringlich vor Aktionismus. \u201eWir sehen h\u00e4ufig, dass IT-Teams gleich versuchen, zu bereinigen oder Backups einzuspielen, bevor sie \u00fcberhaupt wissen, was passiert ist.\u201c<\/p>\n

Warum der Stecker nicht gezogen werden darf<\/h2>\n

Lang-Recht empfiehlt, die Systeme vom Internet zu trennen, aber nicht auszuschalten. Das Herunterfahren eines Servers k\u00f6nne einen \u201eforensischen Suizid\u201c bedeuten. \u201eDas vernichtet wertvolle Hinweise\u201c, erkl\u00e4rt sie. Viele Angreifer hinterlassen demnach Spuren im RAM-Speicher. Wird der Strom gekappt, sind diese Informationen unwiederbringlich verloren. Die Daten sind aber essenziell, um zu verstehen, wie die Hacker sich im Netzwerk bewegt haben (Lateral Movement) und ob sie noch aktiv sind.<\/p>\n

Die korrekte Vorgehensweise, so die Expertin, sei die Isolierung. \u201eDie Verbindungen zu Dienstleistern, Kunden und Lieferanten sollten gekappt werden, um die Supply Chain nicht zu gef\u00e4hrden.\u201c Erst wenn die Infrastruktur in sich gesichert sei, beginne die eigentliche Arbeit der Forensik. Und diese erfordere oft das Auffahren schwerer Gesch\u00fctze.<\/p>\n

Die Dimension von Cyberangriffe sprenge n\u00e4mlich nicht selten die verf\u00fcgbaren Speicherkapazit\u00e4ten vor Ort. Um forensische Images \u2013 exakte 1:1-Kopien der Datentr\u00e4ger \u2013 zu erstellen, m\u00fcssen laut Lang-Recht riesige Datenmengen gesichert und analysiert werden. Sind aber hunderte Server und tausende Clients zu untersuchen, werden die Verantwortlichen an physikalische Grenzen sto\u00dfen.<\/p>\n

Wer steckt hinter den Angriffen?<\/h2>\n

Das Bild vom einsamen Hacker im Hoodie, der zwischen Pizzaschachteln im Keller hockt, ist laut Joanna Lang-Recht unrealistisch. \u201eWir haben es mit hochprofessionellen T\u00e4tergruppen zu tun\u201c, stellt sie klar. Die Cyberkriminalit\u00e4t hat sich industrialisiert. Das Gesch\u00e4ftsmodell \u201eRansomware-as-a-Service\u201c (RaaS) dominiert den Markt.<\/p>\n

Die Gruppierungen seien wie mittelst\u00e4ndische Betriebe aufgestellt. Sie verf\u00fcgten oft sogar \u00fcber Personalabteilungen, die Entwickler anwerben, und \u00fcber Marketingabteilungen, die den Brand der Hackergruppe pflegten. Nicht selten h\u00e4tten sie sogar einen mehrsprachigen Kundensupport installiert.<\/p>\n

\u201eWenn man in die Verhandlung geht, hat man es tats\u00e4chlich teilweise mit einem First-Level- und einem Second-Level-Support zu tun\u201c, sagt Lang-Recht. Es gebe Preislisten, Rabattaktionen und Ticket-Systeme.<\/p>\n

Diese Professionalisierung mache die Angriffe effizient und besonders gef\u00e4hrlich, biete aber auch Ansatzpunkte f\u00fcr Verhandlungen. F\u00fcr die Angreifer gehe es um ein Gesch\u00e4ft und nicht etwa um eine pers\u00f6nliche Vendetta. Das einzige Ziel ist der Profit. Doch genau hier entsteht oft ein moralisches Dilemma f\u00fcr die betroffenen Unternehmen: Zahlen oder nicht zahlen?<\/p>\n

Das Dilemma der L\u00f6segeldzahlung<\/h2>\n

W\u00e4hrend Beh\u00f6rden wie das BSI empfehlen, grunds\u00e4tzlich nicht zu zahlen, ist die Realit\u00e4t in den Vorstandsetagen eine andere: Wenn die Existenz des Unternehmens auf dem Spiel steht, wird die Moral zur Nebensache. \u201eEs ist am Ende eine rein wirtschaftliche Entscheidung\u201c, sagt sie n\u00fcchtern.<\/p>\n

Gesch\u00e4ftsf\u00fchrern r\u00e4t sie dringend davon ab, selbst in den Chat mit den Erpressern zu gehen. Hier seien Emotionen absolut fehl am Platz. Besser sei es, auf spezialisierte Unterh\u00e4ndler zu setzen. Ziel m\u00fcsse sein, zun\u00e4chst Zeit zu gewinnen, die Forderung zu dr\u00fccken und herauszufinden, ob die T\u00e4ter \u00fcberhaupt in der Lage sind, die Daten wiederherzustellen.<\/p>\n

Besonders \u00e4rgerlich aus Sicht des angegriffenen Unternehmens ist die sogenannte Double Extortion. Dabei verschl\u00fcsseln die T\u00e4ter nicht nur die Daten, sondern sie drohen auch mit deren Ver\u00f6ffentlichung. Wenn sich also das Opfer weigert zu zahlen, erh\u00f6hen die Kriminellen den Druck und k\u00fcndigen die Ver\u00f6ffentlichung sensibler Kundendaten oder Konstruktionspl\u00e4ne an.<\/p>\n

Die Hausaufgaben f\u00fcr den C-Level<\/h2>\n

\u201eDie Haupteinfallstore sind schwache Passw\u00f6rter, die per Brute-Force<\/a> geknackt werden, ungesicherte Fernwartungszug\u00e4nge (VPN\/RDP) und klassisches Phishing\u201c, res\u00fcmiert Lang-Recht. Vers\u00e4umnisse in der \u201eIT-Hygiene\u201c \u00f6ffneten den T\u00e4tern T\u00fcr und Tor. Dazu z\u00e4hlen insbesondere veraltete Systeme, unzureichendes Patch-Management und eine fehlende Netzwerksegmentierung.<\/p>\n

Wenn ein Angreifer einmal im Netz ist, sollte er sich nicht ungehindert bewegen k\u00f6nnen. In vielen Unternehmen seien die Netzwerke aber \u201eflach\u201c, so die Forensikerin, wer drin sei, komme \u00fcberall hin. \u201eWenn ein Angreifer in einen Teilbereich eindringt, darf er nicht die gesamte Infrastruktur verschl\u00fcsseln k\u00f6nnen\u201c, fordert Lang-Recht. Die Segmentierung des Netzwerks sei die wirksamste Ma\u00dfnahme, um den Schaden zu begrenzen.<\/p>\n

Der Faktor Mensch und Organisation<\/h2>\n

Technik ist aber nur die eine Seite der Medaille. Die Expertin betont, wie wichtig es sei, auf den Notfall vorbereitet zu sein. Ein Unternehmen muss wissen, an wen es sich im Notfall wendet. Vertr\u00e4ge, die garantieren, dass bei einem Angriff ein Expertenteam bereitstehen, sind f\u00fcr sie unverzichtbar.<\/p>\n

Zudem m\u00fcssten Verantwortlichkeiten klar geregelt sein. In der Krise sei keine Zeit f\u00fcr Kompetenzgerangel. Wer entscheidet, ob der Internet-Zugang gekappt wird? Wer kommuniziert mit Kunden, Lieferanten und gegebenenfalls der Presse? Wer informiert den Datenschutzbeauftragten? \u201eEs gibt in der Regel immer eine Person, die kommunikativ die F\u00fchrung \u00fcbernimmt\u201c, beobachtet Lang-Recht. Diese Rolle m\u00fcsse nicht nur definiert, sondern auch trainiert sein \u2013 durch Krisenstabs\u00fcbungen und Notfallsimulationen.<\/p>\n

Ein Wettr\u00fcsten mit KI<\/h2>\n

Der Blick in die Glaskugel zeigt keine Entspannung. Das Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern geht nicht nur weiter, es wird durch den Einsatz von k\u00fcnstlicher Intelligenz auf ein h\u00f6heres Niveau gehoben. Angreifer nutzen KI<\/a>, um bessere Phishing-Mails zu schreiben und um Schwachstellen schneller zu finden. Verteidiger nutzen sie, um Anomalien im Netzwerkverkehr in Echtzeit zu erkennen.<\/p>\n

Lang-Recht bleibt trotz der bedrohlichen Lage Optimistin. Hundertprozentige Sicherheit gibt es nicht, aber man k\u00f6nne es den Angreifern schwer machen. Sie empfiehlt: Investieren Sie in saubere Backups (offline!), Netzwerksegmentierung und Mitarbeiterschulung, und haben Sie einen Plan f\u00fcr den Tag X. (mb)<\/p>\n

\n
\n width=”100%” height=”152″ frameborder=”0″ allowfullscreen allow=”autoplay; clipboard-write; encrypted-media; fullscreen; picture-in-picture” loading=”lazy” src=”https:\/\/open.spotify.com\/embed\/episode\/76glj1FbyI6DYwhk4Z8Nw8?utm_source=oembed”>\n<\/div>\n<\/figure>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Ruhe bewahren und keine \u00fcbereilten Sachen machen, empfiehlt Podcast-Gast Joanna Lang-Recht. intersoft consulting services AG Montagmorgen, 8:00 Uhr. Die Mitarbeitenden k\u00f6nnen sich nicht einloggen. Die Produktionsb\u00e4nder stehen still, und auf den Bildschirmen prangen digitale Erpresserschreiben. Der Albtraum eines jeden CIOs ist wahr geworden: Ein Ransomware-Angriff hat den Betrieb lahmgelegt. Jetzt endet der Regelbetrieb, und der Ausnahmezustand beginnt. F\u00fcr Joanna Lang-Recht, Director IT Forensics und Prokuristin… <\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15596","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15596","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15596"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15596\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}