[datensicherheit.de, 08.01.2026] Auch 2026 wird wohl wieder ein sehr herausforderndes Jahr für die IT-Sicherheit werden. Martin Zugec, „Technical Solutions Director“ bei Bitdefender, betont indes in seiner aktuellen Stellungnahme, dass es aber auch zu einem „Schaltjahr in der Cyberdefensive“ werden könnte bzw. sollte – und zwar von der Reaktion hin zur Prävention. Künstliche Intelligenz (KI) in den falschen Händen zwinge nämlich dazu – in den richtigen Hände unterstütze sie dabei.

Foto: Bitdefender

Martin Zugec: Weg von einer reaktiven Defensive hin zu proaktiver und präventiver Gefahrenabwehr!

Bitdefender warnt: Cyberkriminelle missbrauchen zunehmend Schwachstellen in „Edge“-Netzwerken

„Neue Technologien, neues Tempo: Die Kompetenzen der Cyberkriminellen entwickeln sich schneller denn je“, betont Zugec. 2026 würden Unternehmen deshalb einen grundlegenden Wandel vollziehen – „weg von einer reaktiven Defensive hin zu proaktiver und präventiver Gefahrenabwehr“.

• Zwingender Auslöser dieses Umschaltens seien Cyberkriminelle, welche zunehmend Schwachstellen in „Edge“-Netzwerken ausnutzten sowie „Living-off-the-Land“-Techniken (LOTL) verwendeten. Letztere zielten darauf ab, eine herkömmliche Abwehr für den Endpunktschutz unauffällig zu umgehen.

„Vor diesem Hintergrund sollten IT-Sicherheitsverantwortliche in den nächsten zwölf Monaten IT-Umgebungen schaffen, die bewusst so gestaltet sind, dass sie Angreifern feindlich gegenüberstehen und entgegentreten“, rät Zugec.

Bitdefender analysierte 700.000 Sicherheitsvorfälle zur Ableitung von Empfehlungen

Er berichtet: „Hacker haben gelernt, die Erkennungsmechanismen einer herkömmlichen EDR oder XDR durch diese LOTL-Tools gezielt zu umgehen oder EDR- und XDR-Agenten bereits zu einem frühen Zeitpunkt der Angriffskette vollständig zu deaktivieren.“

• Jüngste Analysen auf Basis von rund 700.000 Sicherheitsvorfällen hätten gezeigt, dass bereits 84 Prozent der Angriffe auf LOTL-Techniken beruhten. Angreifer setzten dabei auf legitime Applikationen und vorhandene Tools innerhalb der Opfer-IT, anstatt klassische Malware einzusetzen.

Da sich dadurch bösartige Aktivitäten kaum noch von normalem Nutzerverhalten unterscheiden ließen, müssten Unternehmen ihre Sicherheitsmodelle neu ausrichten: „Präventionsorientierte Ansätze, die Angriffsflächen dynamisch reduzieren, Zugriffsrechte granular steuern und Bedrohungen stoppen, bevor sie überhaupt die Erkennungsebene erreichen, werden zur Notwendigkeit.“

EDR sowie XDR nach Bitdefender-Erkenntnissen notwendig, aber längst nicht mehr hinreichend

Nicht die Erkennungsgenauigkeit, sondern die Angriffsfläche selbst werde zum zentralen Schauplatz der Auseinandersetzung: „Über Jahre hinweg folgten Sicherheitsstrategien der Annahme, dass das möglichst schnelle Erkennen und Reagieren einen Schaden begrenzen würde. Diese Logik greift jedoch zu kurz, sobald Angreifer nicht mehr auf Malware angewiesen sind und sich ihr Verhalten kaum von dem legitimer Nutzer unterscheidet.“

• LOTL-Techniken erlaubten es Angreifern, sich mithilfe nativer Betriebssystem-Tools unbemerkt im Netzwerk zu bewegen, Privilegien auszuweiten und sich lateral zu bewegen – ohne Sicherheitsalarme durch herkömmliche „Endpoint Detection and Response“ (EDR) sowie „Extended Detection and Response“ (XDR) auszulösen.

EDR sowie XDR seien heute ausgereift und weit verbreitet. „Sie gelten zunehmend als selbstverständlich statt als Differenzierungsmerkmal. Auch wenn sie unverzichtbar bleiben, reichen sie allein aber nicht mehr aus!“

Bitdenfender rät zum KI-Einsatz als Motor für adaptive Prävention in Maschinengeschwindigkeit

Denn Cyberkriminelle automatisierten ihre eigenen Aufklärungsaktivitäten. Sie nutzten neu veröffentlichte Schwachstellen innerhalb weniger Stunden aus und bedienten sich legitimer Werkzeuge wie „PowerShell“, „WMIC“ oder „Certutil“, um vertrauenswürdiges Verhalten zu imitieren.

• Da diese Aktionen oft keine Malware-Artefakte oder verdächtige Binärdateien hinterließen, könnten selbst fortschrittliche EDR- und XDR-Plattformen eine Vielzahl von Alarmen mit geringem Aussagewert generieren. Für Sicherheitsteams werde es dadurch immer schwieriger, echte Angriffe von normalem Systemverhalten zu unterscheiden.

Ein prägender und notwendiger Trend für 2026 werde daher der Einsatz KI-gestützter, adaptiver Präventionssysteme sein. Diese sicherten IT-Umgebungen kontinuierlich auf Basis realen Nutzerverhaltens und aktueller Informationen zu Gefahren ab.

Bitdefender legt präzise, dynamische und skalierbare Präventionskontrollen nahe

„Während Präventionskontrollen früher oft als starr oder einschränkend galten, gestaltet moderne KI sie präzise, dynamisch und skalierbar. Künstliche Intelligenz erlernt, wie einzelne Mitarbeitende Applikationen und Systemtools nutzen.“

• Sie passe Zugriffsrechte flexibel an die Notwendigkeiten des Arbeitsalltags des einzelnen Nutzers oder einzelner Geräte und die daraus sich ergebenden Risikoprofile an und blockiere riskante Aktionen von vornherein.

So könne ein Administrator beispielsweise den Zugriff auf „PowerShell“ für Nutzer, die dieses Tool nie verwenden, vollständig verwehren. „Für andere Anwender, die es regelmäßig für legitime Aufgaben nutzen, kann die KI typische Befehle erlauben, während sie verschlüsselte oder verschleierte Kommandos mit böswilligem Kontext ablehnt.“

2026 wird proaktive Prävention aus Bitdefender-Sicht zur entscheidenden Disziplin

Zugec unterstreicht: „Das Ergebnis ist eine Sicherheitsarchitektur, die sich kontinuierlich anpasst. Angriffswege werden mit Maschinengeschwindigkeit geschlossen. Die Möglichkeiten, Privilegien zu eskalieren oder sich lateral im Opfernetz zu bewegen, sind deutlich reduziert.“

• Da KI-Systeme autonom agierten und Muster über die gesamte IT hinweg erkennen könnten, erweise sich präventive Sicherheit als der effizientere Weg im Vergleich zum Einsatz menschlicher Analysten, welche große Mengen an Alarmen manuell auswerten und gegebenenfalls bearbeiten müssten.

„Erkennen und Reaktion bleiben auch künftig unverzichtbar!“ Zugec führt aus: „Präventive Technologien der nächsten Generation, die darauf ausgelegt sind, Angriffe zu stoppen, die auf vertrauensbasierte Techniken wie LOTL setzen, ergänzen diese Ausrichtung jedoch zunehmend.“

Bitdefender-Fazit: Den Gefahren voraus sein – statt ihnen hinterherzulaufen

Diese Ansätze würden IT-Security-Teams helfen, unnötige Tools und übermäßige Privilegien abzubauen und laterale Angriffswege zu minimieren. „Zudem unterbinden sie wiederkehrende, automatisierte und skalierte Angriffsmuster cyberkrimineller Quasi-Playbooks, wenn sich jedes System dank individueller Regeln für Nutzer und Geräte bewusst unterschiedlich verhält.“

• Gleichzeitig reduzierten sie durch das granulare Erkennen und Klassifizieren der Risiken die Alarmmüdigkeit. Teams könnten sich auf tatsächlich relevante Gefahren konzentrieren, während Sicherheitskontrollen laufend an Echtzeittempo und Nutzerverhalten angepasst würden.

Unternehmen sind demnach besser gegen neue Angriffsmethoden gewappnet, wenn sie nicht mehr davon ausgehen, dass Erkennung ausreicht, um hochautomatisierten und verdeckten Angriffen zu begegnen. Zugec gibt abschließend zu bedenken: „Wer ausschließlich auf reaktive Maßnahmen setzt, akzeptiert unnötige Risiken und verlässt sich bei maschinengesteuerten Angriffen auf menschliche Reaktionszeiten. Wer aber die Angriffsfläche verkleinert, unnötige Werkzeuge einschränkt, Datenzugriffe konsequent steuert und adaptive Präventionsmechanismen einsetzt, schafft 2026 die Grundlage für eine widerstandsfähigere IT.“

Weitere Informationen zum Thema:

Bitdefender
Bitdefender: Weltspitze in Cybersicherheit! / Schützt seit 2001 mehrere Millionen Systeme und Umgebungen von Privatanwendern und Unternehmen.

Bitdefender
Martin Zugec

Bitdefender, Martin Zugec, 03.06.2025
How Analyzing 700,000 Security Incidents Helped Our Understanding of Living Off the Land Tactics

heise online, Frank Ully, 15.04.2025
Cyberangriffe ohne Malware: Living off the Land / In den letzten Jahren beobachten Sicherheitsexperten zunehmend dateilose Angriffe. Sie sind schwer zu entdecken, aber es gibt Gegenmaßnahmen.

WIKIPEDIA
Edge Computing

WIKIPEDIA
Endpoint Detection and Response

WIKIPEDIA
Extended Detection and Response

datensicherheit.de, 10.12.2025
Im Cyberspace werden Outsider zu heimlichen Insidern: Jeder Cyberangriff prinzipiell eine Innentäter-Bedrohung / Heutige Cyberattacken haben offensichtlich die klassische Definition von Insider-Bedrohungen überholt, denn nunmehr wird quasi jeder Angreifer im Cyberspace zum „Innentäter“, da kaum mehr eine klare Perimetergrenze existiert

datensicherheit.de, 25.03.2025
Paradigmenwechsel: Integration Künstlicher Intelligenz direkt am Edge / Dell Technologies benennt fünf unschlagbare Vorteile

datensicherheit.de, 18.01.2021
XDR vs. EDR – Ansätze zur Cybersicherheit / In der Cybersicherheitsbranche findet eine Evolution statt / Ein Vergleich von Palo Alto Networks

[datensicherheit.de, 07.04.2019] Im Zuge der Weiterentwicklung von Bedrohungen wächst auch der Bedarf von Unternehmen, sich gegen die geschäftsschädigenden Auswirkungen von Cyber-Angriffen zu schützen. Angesichts dieses Trends fordert F-Secure, dass sowohl die ständige Bereitschaft zum Erkennen möglicher Sicherheitsverletzungen als auch die schnelle und effektive Eindämmung, „die das richtige Gleichgewicht von Mensch, Prozess und Technologie abdeckt“, stärker in den Vordergrund gestellt wird.

Cyber-Angriffe für viele Unternehmen inzwischen Selbstverständlichkeit

„Cyber-Angriffe sind für viele Unternehmen inzwischen eine Selbstverständlichkeit. Es geht nicht mehr darum, ob ein Unternehmen angegriffen wird, sondern um die Frage, wann es passiert.“ Dies erfordere eine Veränderung in der Art und Weise, wie Unternehmen mit vielen Sicherheitsaspekten umgehen, so Tim Orchard, „Managing Director“ von F-Secure Countercept.
Eine kürzlich durchgeführte Umfrage von MWR Infosecurity (2018 von F-Secure) hebe den Mangel an Investitionen in effektive Reaktionsstrategien auf derartige Vorfälle als aktuellen Schwachpunkt hervor. 44 Prozent der Teilnehmer hätten angegeben, dass sie weniger in die Reaktionsfähigkeit investierten, als beispielsweise in die Vorhersage, Prävention oder Erkennung von Bedrohungen. Nur zwölf Prozent gäben an, dass sie diese „Response“ gegenüber ihren anderen Sicherheitsaspekten priorisierten.

Geschulte Personen zur richtigen Zeit am richtigen Ort haben

Die sogenannte Continuous Response sei ein neu entstehendes Konzept der Cyber-Sicherheit, welches für die Steigerung der Reaktionsfähigkeit von zentraler Bedeutung sei: Dabei gehe es darum, geschulte Personen zur richtigen Zeit am richtigen Ort zu haben, welche die Kontrolle über die Situation übernehmen. Ziel sei es, Zusammenarbeit, Kontext und Kontrolle in einen flüssigen Prozess zusammenzuführen. In der Praxis könnte dies bedeuten, dass ein einziges Team von Cyber-Kriminologen, Ersthelfern, Administratoren und anderen Mitarbeitern zusammenarbeitet, um potenzielle Bedrohungen aktiv zu identifizieren und zu beseitigen, noch bevor sie eskalieren.
„Wenn Unternehmen über Werkzeuge und Techniken verfügen, um Angriffe schnell zu erkennen, einzudämmen und zu vereiteln, gewinnen sie Zeit und die Möglichkeit, eine genaue Vorstellung davon zu bekommen, wie Angreifer Schwachstellen ausnutzen und wie sie sich durch das Unternehmensnetzwerk bewegen. Diese Werkzeuge und Techniken müssen ausgereift genug sein, damit Angreifer nicht merken, dass man sie bereits aufgespürt hat, um sie dann mit einem einzigen konzertierten Stoß zu exmittieren“, erläutert Orchard. Es sei wichtig, diese Werkzeuge und Techniken in die Hände der richtigen Teams zu geben, damit sie auch funktionieren.

Rund um die Uhr Dienste zur Bedrohungsüberwachung, Erkennung und Reaktion

Laut dem Bericht „Answers to Questions About 3 Emerging Security Technologies for Midsize Enterprises“ von Gartner geht es bei MDR (Managed Detection and Response) darum, „geschultes Personal zu mieten“, um unentdeckte Vorfälle zu erkennen. Insbesondere dann, wenn Unternehmen das entsprechende Know-how nicht in eigenes Personal investieren könnten. Es gehe außerdem darum, genau die zehn Prozent der Vorfälle aufzuspüren, welche die traditionelle Firewall und den Endpoint-Schutz umgehen.
MDR-Lösungen böten in der Regel rund um die Uhr Dienste zur Bedrohungsüberwachung, Erkennung und Reaktion, die Analysen und Bedrohungsinformationen wirksam einsetzten, um Unternehmen zu schützen. Im Allgemeinen setzten MDR-Anbieter Sensoren (z.B. einen Endpoint-Agenten oder eine Netzwerksonde) ein, um Metadaten von den Systemen eines Kunden zu sammeln. Diese Metadaten würden dann auf Angriffsanzeichen hin analysiert und der Kunde werde benachrichtigt, sobald ein potenzieller Vorfall erkannt wird.

Den Gegner stoppen, eindämmen und ausschließen können

Nachdem ein Vorfall erkannt wurde, sollen Kunden entweder selbst reagieren oder externe Experten und Ansätze für „Incident Response“ einbringen. Das könne die Forensik an Ort und Stelle, Fernuntersuchungen sowie eine Beratung über eine mögliche, orchestrierte, technische Reaktion beinhalten.
Die „Reaktion“ als kontinuierliche Aktivität bedeutet demnach, dass Team-Mitglieder in ständiger Kommunikation und Zusammenarbeit miteinander stehen und in der Lage sind, verdächtige Ereignisse zu diskutieren, die überall in ihrer Infrastruktur geschehen. Effektive MDR-Lösungen könnten diesen Prozess erleichtern und den Verteidigern den Vorteil geben, dass sie einen Gegner stoppen, eindämmen und bestenfalls ausschließen könnten. „Unabhängig davon, ob es sich um eine Inhouse-Lösung oder ein Outsourcing handelt, ist eine ausgewogene MDR-Lösung entscheidend. Ich denke, dass unser Ansatz die Essenz einer kontinuierlichen Reaktion ist. Wir bereiten unsere Kunden darauf vor, dass Vorfälle bereits stattgefunden haben, und helfen ihnen dann, diese Bedrohungen zu finden“, erläutert Orchard. Gerade dies ermögliche es Verteidigern, Angreifer beim ersten Versuch schnell zu isolieren und „dementsprechend zu verhindern, dass diese Gegner ihren Angriff wiederholen“.

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2018
Studie: Einstellungen von Führungskräften zu den größten Cyberbedrohungen

datensicherheit.de, 19.10.2016
Berechtigungen: Interne Bedrohungen im Fokus

[datensicherheit.de, 26.10.2016] Eine europäische Studie des Analystenhauses Quocirca, beauftragt von Splunk, habe herausgefunden, dass kritische IT-Ereignisse (Critical IT Event, CIE) Unternehmen teuer zu stehen kämen. So koste ein CIE im Schnitt 115.034 Euro. Kein Wunder sei es daher, dass das Thema „Ausfallzeiten“ die meisten Sorgen bei europäischen IT-Managern hervorrufe. Aber auch Bedenken zur Sicherheit seien stark ausgeprägt und belegen Platz 2. Um die Ursachen von Ausfällen schnell zu erkennen und Services zügig wieder herzustellen, benötigten Unternehmen eine robuste „Operational Intelligence“. Zu dieser Fähigkeit gelangten sie mit transparenten Maschinendaten und intelligenten Lernmechanismen.

Studie „Masters of Machines III vorgestellt

Am 25. Oktober 2016 hat Splunk Inc. die Ergebnisse der neuen Studie mit dem Titel „Masters of Machines III – Schadensbegrenzung bei kritischen IT Ereignissen“ des Analystenhauses Quocirca bekanntgegeben.
Europäische Unternehmen verlieren demnach im Schnitt mehrere Millionen Euro im Jahr. Die Ursache für die Verluste lasse sich auf durchschnittlich drei kritische IT-Ereignisse (CIEs) pro Monat zurückführen (36 pro Jahr). Dabei koste jedes CIE durchschnittlich 115.034 Euro. Als kritisches IT-Event gelte ein Vorfall, wenn eine Geschäftsanwendung oder Infrastruktur ausfällt oder eine Fehlfunktion auftritt. Das führe dazu, dass Geschäftsprozesse zum Stillstand kämen beziehungsweise Anwender keine Aufgaben oder Transaktionen mehr ausführen könnten.

Gefahren bezüglich IT-Sicherheit weiter das größte „Sorgenkind“

Laut der Studie „Masters of Machines III – Mitigating the impact of critical IT events” kosteten Ausfälle und Fehlfunktionen ein deutsches Unternehmen durchschnittlich 112.415 Euro.
Auf europäischer Ebene träten im Schnitt drei CIEs pro Monat auf – bei einer solchen Frequenz wären das für ein deutsches Unternehmen pro Jahr 4.046.940 Euro.
Für die Befragten aus deutschen Unternehmen seien Gefahren bezüglich der IT-Sicherheit weiter das größte „Sorgenkind“, gefolgt von unvorhersehbaren Ausfallzeiten. Dem stimmten Manager in Frankreich und Großbritannien zu.

Reputation und Marke in Gefahr

IT-Ausfälle und Störungen griffen die Reputation und die Marke einer Firma an. Nahezu jedes zweite Unternehmen in Deutschland gebe an, dass sich noch kein kritisches IT-Ereignis negativ auf ihr Image ausgewirkt habe – allerdings sei dies bei der anderen Hälfte mindestens einmal der Fall gewesen.
Besonders auffallend: 93 Prozent aller schwedischen Unternehmen gäben an, dass sie durch einen CIE einen Imageschaden davongetragen hätten. Ein ähnlich erschreckendes Bild gäben die Niederlande ab: Dort habe die Reputation bei 91 Prozent der Unternehmen mindestens einmal Schaden genommen.

Zum Teil lange Reaktionszeiten

Über 60 Prozent deutscher Unternehmen gäben für CIEs eine durchschnittliche Reparaturzeit von bis zu fünf Stunden an. Gerade einmal drei Prozent schafften es in unter einer Stunde, einen Ausfall oder eine Störung zu beseitigen. Auffallend im europäischen Gesamtbild: Über 90 Prozent der schwedischen und niederländischen Firmen benötigten mindestens drei Stunden, um einen CIE zu lösen.
Eine Fehler-Ursachen-Analyse könnten fast ein Drittel der Befragten aus Deutschland innerhalb von zwei Stunden durchführen. Bei den europäischen Nachbarn kämen an diese Zeiten weit weniger Unternehmen heran.
Fast die Hälfte der deutschen Firmen gäben einen Zeitraum von drei bis zehn Stunden an. Schlusslicht in Europa – oder besser: am langsamsten – seien unsere niederländischen Nachbarn: Ganze 80 Prozent der Befragten benötigten elf Stunden oder mehr, um eine solche Analyse durchzuführen.

Deutschland führend beim Einsatz moderner Technologien

Beim Einsatz moderner Technologien wie Cloud, Virtualisierung und Datenmanagement liege Deutschland im europäischen Vergleich im Spitzenfeld, und immer über dem Durchschnitt. Fast jeder zweite der Befragten setze „Software as a Service” (SaaS) als primäres System ein – ebenso sehe es in Frankreich und Schweden aus.
Bei Virtualisierungstechnologien lägen die Unternehmen hierzulande mit einer primären Nutzung von 51,5 Prozent klar vorne. Ihnen folgten die Niederlande mit 46,7 Prozent. Mit 42,3 Prozent stehe Großbritannien bei den Intensivanwendern auf Platz 3.
Besonders deutlich führe Deutschland mit 66 Prozent beim primären Einsatz von Datenmanagement-Technologien. Platz 2 belege Großbritannien (52,6 Prozent), Platz 3 die Niederlande (44,4 Prozent).

Europaweit seien bei Imageschäden die CIEs für diese drei Branchen am kostspieligsten:

1. Telekommunikation (167.270 Euro),
2. Spieleindustrie (140.634 Euro),
3. Finanzsektor (100.853 Euro).

Schäden minimieren!

Die IT-Komplexität steige. Daraus ergäben sich in allen Unternehmen unweigerlich kritische IT-Events, so Bob Tarzey, Analyst bei Quocirca. Wichtig sei, dass IT-Teams die nötigen Einblicke besäßen, um mögliche Ursachen ausfindig zu machen und Services so schnell wie möglich wieder online zu stellen, um potenziellen Schaden so gering wie möglich zu halten.
Mit einer effektiven „Operational Intelligence“ erhielten solche Teams mehr Transparenz, könnten besser untereinander koordinieren sowie produktiver arbeiten. Je eher IT-Teams CIEs angingen und daraus lernten, desto eher könnten sie vom „Feuerwehr-Modus“ wieder dazu übergehen, einen echten Mehrwert zu liefern.

[datensicherheit.de, 09.04.2016] Dass Unternehmen gänzlich vor Sicherheitsverletzungen fällen gefeit sein könnten, ist ein Trugschluss, denn eine 100-prozentige Absicherung kann es nicht geben. Jedes Unternehmen sollte sich dieser Tatsache stellen und auf Störungen vorbereitet sein, empfiehlt NTT Com Security in einer aktuellen Stellungnahme.

Detaillierte „Incident-Response-Strategie“ erforderlich

Klar sei, so NTT Com Security, dass die Abwehr eines Angriffs nicht erst beim Sicherheitsvorfall selbst beginnen sollte – schon im Vorfeld sollte eine Abwehrstrategie etabliert sein.
Eine solche „Incident-Response-Strategie“ müsse detaillierte Vorgehensweisen und Maßnahmen bei der Behandlung von Sicherheitsvorfällen beinhalten. Konkret sollten hierzu beispielsweise Verantwortlichkeiten festgelegt, Aufgaben definiert, Schadensfälle klassifiziert oder Kommunikationsmaßnahmen – auch im Hinblick auf die zentralen Ansprechstellen für Cybercrime der Bundesländer oder Strafverfolgungsbehörden – geregelt werden.
Welche Maßnahmen ein Unternehmen im Ernstfall ergreifen sollte, stellt NTT Com Security in der Stellungnahme beispielhaft in fünf Handlungsschritten dar.

1. Schritt: Identifizierung des Vorfalls
   Zunächst müssten die Verantwortlichen feststellen, um welchen Vorfall es sich genau handelt. Zur Analyse könnten zum Beispiel Log-Files – auch aus SIEM (Security Information and Event Management)-Systemen – herangezogen werden. Zudem müssten sie ermitteln, welche Zielsysteme betroffen sind, welchen aktuellen Status der Angriff hat und inwieweit bereits das gesamte Unternehmensnetzwerk kompromittiert ist.
   Neben der Erkennung und Erfassung von Sicherheitsvorfällen beinhalte dieser Schritt auch die Bewertung der Attacke und ihrer Relevanz für unternehmenskritische Systeme und Daten. Nur auf Basis einer solchen detaillierten Analyse könne ein Unternehmen zielgerichtete Abwehrmaßnahmen ergreifen.
2. Schritt: Eindämmung des Angriffs
   Abhängig vom Angriffsszenario seien hierzu unterschiedliche Maßnahmen denkbar – vom Abschalten einzelner Systeme über das Abtrennen bestimmter Netzwerkbereiche bis hin zu einem vollständigen Kappen aller Internetverbindungen.
   Um weitere Angriffe abzuwehren, sei zudem oft ein sofortiges Patchen der Systeme angezeigt. Natürlich müsse die IT bei der Eindämmung der Auswirkungen von Sicherheitsvorfällen auch immer die „Business Continuity“ berücksichtigen.
3.  Schritt: Schadensbeseitigung und Wiederherstellung
   Dabei müsse die IT alle Systeme, die potenziell betroffen sind, detailliert untersuchen. Dies betreffe Betriebssysteme, Applikationen und Konfigurationsdateien ebenso wie alle Anwenderdateien.
   Zur Überprüfung eigneten sich nur Sicherheitstools, die auf neuestem Stand sind, wie etwa aktuelle Antivirenlösungen. Bei Datenverlust müsse die IT entsprechende Recovery-Maßnahmen ergreifen.
4. Schritt: Wiederaufnahme des Normalbetriebs
   Die Wiederaufnahme des Normalbetriebs könne beispielsweise mit der sukzessiven Zuschaltung aller abgeschalteten Subsysteme erfolgen. Vor der Wiederinbetriebnahme müssten jedoch auf jeden Fall umfassende Testläufe erfolgen, in denen der reibungslose Systembetrieb überprüft wird – zum Beispiel mittels Anwendungsfunktionstests.
5. Schritt: Dokumentation und Maßnahmeneinleitung
   Der letzte Schritt, den nach Erfahrungen von NTT Com Security die meisten Unternehmen vernachlässigten, betreffe die Aspekte Dokumentation beziehungsweise Reporting und Maßnahmeneinleitung.
   Ein Report müsse eine klare Bestandsaufnahme des vergangenen Vorfalls enthalten sowie eine detaillierte Bewertung der ergriffenen Aktivitäten. So sollte zum Beispiel konkret spezifiziert werden, was gut und was weniger gut gelaufen ist, welche Kosten entstanden sind und in welchen Bereichen sich ein deutlicher Handlungsbedarf herauskristallisiert hat.
   Auf dieser Basis könne ein Unternehmen dann entsprechende Veränderungen initiieren und Maßnahmen einleiten, um einen gleichartig gelagerten Sicherheitsvorfall künftig zuverlässig auszuschließen.

Ein etabliertes „Incident-Response“-Verfahren sei angesichts der aktuellen Sicherheitsbedrohungen für ein Unternehmen heute unerlässlich. Doch auch wenn es vorhanden ist, zeige ihre Erfahrung, dass die Notfallpläne nicht regelmäßig überprüft und getestet würden, sagt Patrick Schraut, „Director Consulting & GRC“ bei NTT Com Security in Ismaning. Dies führe dazu, dass im Gefahrenfall oft Unsicherheit herrsche und eine verzögerte Reaktion einen ungewollten Datenabfluss ermögliche. Mit ihren fünf Schritten beim „Incident-Handling“ wollten sie Unternehmen eine Hilfestellung geben, wie sie im Schadenfall agieren sollten, um aktuelle und künftige Auswirkungen soweit wie möglich zu minimieren.