Ein Cyberangriff auf ein KMU – Fallbeispiel und Lektionen

Wir tauchen ein in einen fiktiven, aber realistischen Vorfall: Ein mittelständisches Unternehmen namens Meyer & Söhne GmbH, 100 Mitarbeiter, wird Opfer eines Cyberangriffs. An einem Freitagabend bemerkt ein Mitarbeiter im Kundendienst merkwürdige Dateinamen auf dem Server. Bis Montag hat sich der Vorfall zum kompletten IT-Stillstand ausgeweitet.

Dieses Fallbeispiel zeigt Schritt für Schritt, wie ein Angriff ablaufen kann, welche Fehler gemacht werden und – retrospektiv – was geholfen hätte. Ziel ist es, aus dieser Geschichte praktische Lektionen für Ihr eigenes Unternehmen abzuleiten.

Phase 1: Die Vorbereitung des Angriffs (unbemerkt)

Ein paar Wochen vor dem sichtbaren Angriff erhält ein Buchhalter von Meyer & Söhne eine E-Mail, scheinbar von einem bekannten Lieferanten. Betreff: „Rechnung September – wichtig“. Der Mitarbeiter öffnet den Anhang (ein Word-Dokument). Nichts passiert – scheinbar. In Wirklichkeit hat er damit unbemerkt einer Schadsoftware Tür und Tor geöffnet.

Diese installiert sich als sogenannter Trojaner und bleibt zunächst schlummernd im System. Solche Vorläufer-Schadprogramme dienen Angreifern dazu, Zugang ins Firmennetz zu bekommen und sich dort umzuschauen (Reconnaissance). Bei Meyer & Söhne wird dieser Anhang nicht erkannt, weil der Virenscanner auf dem PC veraltet war und die Makros in Office nicht deaktiviert waren.

Phase 2: Eskalation – der Angriff wird gestartet

Freitag 17 Uhr: Der Trojaner lädt vom Internet aus die eigentliche Ransomware nach. Diese beginnt, sämtliche Dateien auf dem zentralen Server zu verschlüsseln. Da um diese Zeit kaum jemand im Büro ist, bleibt das zunächst unentdeckt.

Am nächsten Morgen versucht ein Servicemitarbeiter, von zuhause auf das VPN zuzugreifen – es funktioniert nicht. Er denkt an eine technische Störung. Erst am Montagmorgen kommt das ganze Ausmaß ans Licht: Keiner der Mitarbeiter kann sich anmelden, auf allen Rechnern findet sich eine Lösegeldnachricht: „Ihre Dateien sind verschlüsselt. Überweisen Sie 50.000 € in Bitcoin innerhalb 7 Tagen, sonst löschen wir den Schlüssel.“ Panik bricht aus.

Phase 3: Reaktion – der Kampf gegen die Zeit

Das Unternehmen hat leider keinen Notfallplan. Es dauert wertvolle Stunden, bis klar ist, wer Entscheidungen trifft. Schließlich ruft der Geschäftsführer seinen Systemhaus-Partner an. Dieser empfiehlt: Sofort alle Systeme vom Netz trennen (um Ausbreitung zu stoppen) und die Backups prüfen.

Doch das tägliche Backup auf der angeschlossenen USB-Festplatte wurde ebenfalls verschlüsselt – sie war die ganze Zeit am Server angeschlossen, und die Ransomware hat sie mit erwischt. Kein Zugang zu Daten, die Produktion steht still, 100 Leute können nicht arbeiten. Täglich entsteht ein Ausfall von geschätzt 20.000 € an entgangenem Umsatz und Kosten weiterlaufender Löhne (zum Vergleich: Schon Extra-Lohnkosten und externe Forensik können zusammen schnell über 100.000 € kosten).

Die Geschäftsleitung bezieht nun die Polizei (ZAC) ein und informiert einen auf IT-Forensik spezialisierten Dienstleister. Die Cyberversicherung – zum Glück hatte man eine – schaltet ebenfalls ihre Experten dazu. Man entscheidet sich gegen die Lösegeldzahlung, zumal unklar ist, ob die Erpresser nach Zahlung wirklich die Daten entschlüsseln und ob nicht längst Kopien der Produktzeichnungen abgezogen wurden (Datenabfluss).

Stattdessen versucht das Forensik-Team, einzelne intakte Datenschnipsel zu retten. Parallel informiert Meyer & Söhne proaktiv seine Kunden, dass es zu Verzögerungen kommt – hier zeigt sich, wer Verständnis hat und wer nicht.

Phase 4: Wiederherstellung und Nachwirkungen

Nach einer knappen Woche kann mit viel Aufwand ein Teil der IT aus früheren, manuell ausgelagerten Backups wiederhergestellt werden (Glück im Unglück: Ein älteres Backup vom Vorjahr lag offline im Tresor und die wichtigsten ERP-Daten konnten daraus rekonstruiert werden).

Der Betrieb läuft wieder an, allerdings gehen einige Wochen Arbeit und aktuelle Daten unwiederbringlich verloren. Die Gesamtkosten – Ausfall, externe Hilfe, Neuanschaffungen – summieren sich auf rund 200.000 €. Das Unternehmen überlebt den Vorfall dank Versicherung und Rücklagen, aber es ist ein Weckruf. Es folgen intensive Security-Schulungen, eine bessere Backup-Strategie (3-2-1-Regel) und Einrichtung eines Notfallplans. Auch die IT-Infrastruktur wird modernisiert.

Wichtige Lektionen aus diesem Angriffsszenario

Menschliches Versagen als Einfallstor

Viele Angriffe starten mit menschlichem Fehlverhalten (hier: Phishing-Anhang geöffnet). Schulung und technische Schutzvorkehrungen (z.B. Makro-Sperre) hätten das Risiko deutlich verringert.

Backup-Strategie entscheidet über Leben und Tod

Backup, Backup, Backup: Hätte Meyer & Söhne ein extern gelagertes, aktuelles Backup gehabt, wäre die Erpressung ins Leere gelaufen. Die 3-2-1-Regel hätte Schlimmeres verhindert.

Notfallpläne sparen wertvolle Zeit

Ein Notfallplan mit klaren Verantwortlichkeiten und vorbereiteten Kontakten (Forensiker, Hotline, Versicherung) hätte die Reaktionszeit verkürzt. Im Ernstfall zählt jede Minute, um Schäden einzudämmen.

Transparente Kommunikation schafft Vertrauen

Kommunikation ist entscheidend: Intern (damit alle wissen, was zu tun ist) und extern (gegenüber Kunden transparent sein). Meyer & Söhne hat hier Vertrauen einiger Kunden gehalten, weil es offen kommunizierte statt die Sache unter den Teppich zu kehren.

Prävention ist kostengünstiger als Reparatur

Prävention ist günstiger als Reparatur: Nach dem Vorfall investiert das Unternehmen 50.000 € in Sicherheit (neue Firewalls, Monitoring, Schulung) – ein Betrag, der im Vergleich zu den 200.000 € Schaden klein aussieht.

Praxis-Tipp: Nutzen Sie dieses Beispiel als Grundlage, um Ihre eigene Verletzbarkeit einzuschätzen. Fragen Sie sich: Wären wir besser vorbereitet gewesen als Meyer & Söhne? Wenn nein, handeln Sie. Lieber in Friedenszeiten ein Backup mehr erstellen, als im Krieg um jede Datei kämpfen zu müssen.