Was passiert in den ersten 24 Stunden nach einem Cyberangriff? (Wenn Sie keinen SOC haben)

Wenn Sie keinen SOC haben

Es ist Montagmorgen. Ihre Buchhalterin kann sich nicht einloggen. Ihr Vertriebsleiter meldet: "Die Datenbank geht nicht." Ihr IT-Leiter schaut in die Systeme und wird blass. Das hier ist keine Störung. Das ist ein Angriff.

Die nächsten 24 Stunden entscheiden, ob Ihr Unternehmen mit einem blauen Auge davonkommt oder ob irreversibler Schaden entsteht. Und wenn Sie keinen SOC (Security Operations Center) haben, läuft es in den meisten Fällen so ab.

Stunde 0-1: Die Erkenntnis

Die Entdeckung kommt fast nie durch Monitoring. Sie kommt durch Symptome: Mitarbeiter können nicht arbeiten. Systeme sind langsam oder nicht erreichbar. Dateien haben merkwürdige Endungen. Auf dem Bildschirm erscheint eine Lösegeldforderung.

Laut AlphaSense-Experten erreichen Unternehmen ohne SOC ihren IT-Dienstleister in "full panic mode." Kein Plan. Keine Struktur. Nur Panik.

Ihr IT-Leiter ruft den MSP an. Der MSP hat eine generische 1-800 Hotline. Sie landen in der Warteschleife. Wenn Sie durchkommen, müssen Sie einem Techniker Ihre gesamte Infrastruktur erklären — während der Angreifer weiter in Ihrem Netzwerk operiert.

Stunde 1-4: Das Chaos

Ihr MSP bestätigt: Es handelt sich um einen Ransomware-Angriff. Aber er kann Ihnen nicht sagen, seit wann. Nicht, welche Systeme betroffen sind. Nicht, ob Daten exfiltriert wurden. Denn es gibt keine Logs. Kein SIEM. Keine forensische Grundlage.

70% der IT-Team-Zeit geht jetzt für manuelle Event-Recherche drauf. Ihr IT-Leiter sitzt vor Servern und versucht herauszufinden, was passiert ist. Ohne forensische Tools. Ohne Training. Ohne Erfahrung mit Incident Response.

Gleichzeitig steht Ihr Betrieb still. Mitarbeiter sitzen an ihren Schreibtischen und können nicht arbeiten. Kunden rufen an und bekommen keine Antwort. Liefertermine werden verpasst.

Stunde 4-8: Die Telefonate

Sie rufen Ihre Cyber-Versicherung an. Die gute Nachricht: Sie haben eine. Die schlechte Nachricht: Die Versicherung muss erst den Incident-Response-Vendor freigeben, bevor jemand anfängt zu arbeiten. Das dauert.

Gleichzeitig müssen Sie entscheiden: Zahlen wir das Lösegeld? Schalten wir die Polizei ein? Informieren wir Kunden? Informieren wir das BSI? (NIS2 verlangt eine Erstmeldung innerhalb von 24 Stunden.)

Ihr Anwalt sagt: "Wir brauchen mehr Informationen bevor wir entscheiden." Ihr IT-Leiter sagt: "Ich kann keine Informationen liefern, die Systeme sind verschlüsselt." Ihr Versicherer sagt: "Wir warten auf den Bericht des IR-Vendors."

Ein Kreis ohne Ausweg.

Stunde 8-16: Der War Room

Der Incident-Response-Vendor ist endlich freigegeben. Ein Team von externen Analysten wird zusammengestellt. Sie brauchen VPN-Zugang, Admin-Credentials, Netzwerkdiagramme. Sie haben keines dieser Dinge vorbereitet.

Es bildet sich ein "War Room" — mit Ihnen als CEO, dem IT-Leiter, dem IR-Vendor, dem Versicherungsvertreter, dem Anwalt. Alle brauchen Informationen, die niemand hat.

Die externen Analysten beginnen mit der Forensik. Aber ohne vorhandene Logs müssen sie bei Null anfangen. Sie setzen proprietäre Datensammlung-Tools ein, die den Umfang der Verschlüsselung feststellen und Eintrittspunkte identifizieren.

Stunde 16-24: Der Realitätscheck

24 Stunden nach der Entdeckung ist klar:

• Umfang: Mehr Systeme sind betroffen als gedacht. Der Angreifer war wahrscheinlich Tage oder Wochen in Ihrem Netzwerk, bevor er die Verschlüsselung ausgelöst hat.
• Daten: Es ist unklar, ob Daten exfiltriert wurden. Ohne Logs lässt sich das nicht feststellen.
• Recovery: Die Wiederherstellung wird Wochen dauern. Wenn die Backups intakt sind. Wenn nicht — Monate.
• Kosten: Der IR-Vendor allein kostet 200-500 Euro pro Stunde. Pro Analyst. Sie haben vier davon. Dazu kommen Anwaltskosten, Betriebsunterbrechung, Kundenentschädigung, Bußgelder.

Und dann kommt die härteste Erkenntnis: Angreifer timen ihre Attacken bewusst. Sie warten auf Monatsabschlüsse, Quartalszahlen, Urlaubszeiten — Momente, in denen Ihr Team gestresst und unaufmerksam ist. Das war kein Zufall. Das war geplant.

Was in diesen 24 Stunden hätte anders laufen müssen

Mit einem SOC: Der Angriff wäre nicht nach 24 Stunden entdeckt worden. Er wäre nach Minuten erkannt worden. Automatisierte Systeme hätten den anomalen Netzwerkverkehr identifiziert, den Endpoint isoliert und das Response-Team alarmiert — bevor die Verschlüsselung begonnen hätte.

Mit Logs und SIEM: Forensik hätte sofort beginnen können. Nicht nach 8 Stunden. Sofort. Der Umfang wäre in Stunden klar gewesen, nicht in Tagen.

Mit einem Incident Response Plan: Kein Chaos. Klare Zuständigkeiten. Definierte Kommunikationswege. Vorbereitete BSI-Meldung. Keine Stunden in der Warteschleife.

Mit 24/7 Monitoring: Der Angreifer wäre gar nicht erst Wochen unentdeckt in Ihrem Netzwerk gewesen. Denn irgendjemand hätte um 2 Uhr morgens auf den Bildschirm geschaut.

Die Detektionszeiten im Vergleich

• Ohne SOC: 2-5 Tage bis zur Erkennung (AlphaSense)
• Containment ohne SOC: 5-10 Tage
• Gesamte Response-Zeit ohne SOC: Bis zu 10 Tage — in denen der Angreifer frei operiert

Die Branchenexperten bringen es auf den Punkt: "By the time they manually assemble an incident response team, it is simply too late."

Mit Kengo: Durchschnittliche Detektionszeit unter 15 Minuten. 24/7. 365 Tage. Kengo prüft Ihre IT in 60 Minuten. Kostenlos.

Gespräch vereinbaren

Weiterlesen