Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Was leistet Incident Response wirklich? Die Realität hinter dem Kriseneinsatz.
Wenn der Ernstfall eintritt, zählt jede Minute. Doch was leistet ein Incident-Response-Dienstleister wirklich, wenn ein Cyberangriff zuschlägt? In dieser Folge sprechen Michael und Andreas offen über Erwartungen, Realität und die Abläufe hinter einem echten Sicherheitsvorfall. Wie läuft ein Incident-Response-Einsatz tatsächlich ab, welche Fehler passieren häufig, und was können Unternehmen tun, um im Krisenfall vorbereitet zu sein?
Ein ehrlicher Blick hinter die Kulissen von IT-Forensik, Krisenmanagement und Wiederherstellung nach einem Angriff - direkt aus der Praxis erfahrener Sicherheitsexperten.
Mehr Folgen zum Thema IT-Sicherheitsvorfälle:
Grenzerfahrungen: Wie zwei Sicherheitsvorfälle die suresecure geprägt haben
IT-Security bei Borussia Mönchengladbach: Eine gut stehende Abwehr, die keine Treffer zulässt
Diagnose Cyberangriff: Erst identifizieren, dann behandeln
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Michael:
Herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast mit echtem Security Content. Heute beschäftigen wir uns mit einem Thema, das uns ein Zuhörer zugeschickt hat: Incident Response. Genauer gesagt mit der Frage, was man eigentlich von einem Incident-Response-Dienstleister erwarten kann - und was nicht. Darüber spreche ich mit jemandem, der schon viele solcher Einsätze begleitet hat. Andreas, einen wunderschönen guten Morgen.
Andreas:
Guten Morgen.
Michael:
Incident-Response-Dienstleister, das sind ja diejenigen, die kommen, wenn’s im Unternehmen brennt. In dieser Phase herrscht meist Dynamik, Hektik, manchmal auch Chaos. Es gibt viele Unsicherheiten und Baustellen, und als Unternehmen steht man vor einem riesigen Projekt. Wenn man Glück hat und bereits einen Vertrag hat, ruft man den Dienstleister an - und viele denken: Die regeln das dann innerhalb von sieben Tagen. Aber die Realität sieht anders aus, oder?
Andreas:
Im Optimalfall sprichst du nicht erst dann mit deinem Dienstleister, wenn es knallt, sondern hast dich vorher vorbereitet. Du schließt einen Vertrag und schaust dir deinen Anbieter genau an. Incident Response ist nicht gleich Incident Response. Es gibt Anbieter, die sich nur auf IT-Forensik konzentrieren, andere decken rechtliche Beratung, Krisenkommunikation oder technische Wiederherstellung ab. Man sollte sich vorher fragen: Was brauche ich im Ernstfall - und kann mein Anbieter das liefern? Dann macht man gemeinsam eine Präparation und bespricht, wer was übernimmt und wo eventuell weitere Partner eingebunden werden müssen.
Viele Vorfälle entstehen in Unternehmen, die keinen Vertrag haben. Heute ist das anders, weil Cyberversicherungen und Regulatorien fordern, dass Experten bereitstehen. Wenn es losgeht, müssen Verantwortlichkeiten klar sein - sonst wird es chaotisch.
Michael:
Also ein wichtiger Punkt, um falsche Erwartungen zu vermeiden, ist, sich genau anzuschauen, was der Dienstleister eigentlich abdeckt. Welche Themen bearbeitet er selbst und welche muss ich anderweitig klären? Was darf man denn realistisch erwarten?
Andreas:
Auf jeden Fall eine forensische Analyse des Vorfalls.
Michael:
Aber man sollte wissen, dass eine forensische Analyse dauern kann. Nicht alles ist nach zwei Tagen klar.
Andreas:
Richtig. Häufig fehlt ein zentrales Logmanagement. Dann sucht man die sprichwörtliche Nadel im Heuhaufen. Unsere Experten erkennen zwar Angriffsmuster, aber Angreifer verschleiern ihre Spuren gezielt. Man darf also keine vorschnellen Schlüsse ziehen. Ein Beispiel: Wenn im Code kyrillische Zeichen auftauchen, heißt das nicht automatisch, dass der Angriff aus Russland kommt. Das kann eine falsche Fährte sein. Wir hatten Fälle, in denen die Verschlüsselung nur ein Ablenkungsmanöver war, um von Datendiebstahl abzulenken.
Michael:
Man darf also erwarten, dass eine forensische Analyse durchgeführt wird, aber realistisch einschätzen, dass sie Zeit braucht. Was man ebenfalls erwarten kann, ist eine erste Einschätzung und Priorisierung.
Andreas:
Genau. Dafür braucht das Unternehmen im besten Fall einen Notfallplan. Dann lässt sich schnell feststellen, welche Systeme betroffen sind, was noch läuft und wie die Wiederherstellung priorisiert werden kann. Fehlen Notfallpläne oder sind sie veraltet, beginnt die Arbeit oft mit Workshops - meist mit Führungskräften, um Prozesse und Abhängigkeiten zu verstehen.
Michael:
Man darf auch erwarten, dass der Dienstleister Sofortmaßnahmen empfiehlt, also etwa bestimmte Systeme isoliert oder Netzwerke trennt.
Andreas:
Absolut. Oft kappen wir als Erstes die Internetverbindung, um zu verhindern, dass der Angreifer noch aktiv eingreift. Das ist keine leichte Entscheidung - besonders, wenn das Geschäft weiterlaufen soll. Aber lieber kontrolliert stoppen, als ein zweites Mal verschlüsselt zu werden.
Michael:
Was ist mit der Wiederherstellung, der Recovery?
Andreas:
Die gehört natürlich dazu, sofern sie im Vertrag enthalten ist. Anfangs sind die Forensiker gefragt, später kommen Teams für Wiederaufbau und Reporting dazu. Wir reporten in der Regel zweimal pro Woche zum Fortschritt und zu den Kosten, zu Beginn oft zusätzlich mit täglichen Stand-ups, weil sich die Lage schnell ändert.
Michael:
Und was darf ich beim Reporting erwarten?
Andreas:
Wir machen am Anfang der Woche eine Prognose, was ansteht, und am Ende der Woche eine Zusammenfassung. Gerade am Anfang sind engmaschige Updates wichtig, weil sich ständig etwas verändert. Später, wenn Prozesse stehen, reicht weniger häufiges Reporting. Aber Transparenz ist entscheidend - gerade, wenn mehrere Dienstleister und hohe Kosten im Spiel sind.
Michael:
Was ist mit der Koordination von Behörden oder Anwälten?
Andreas:
Das gehört ebenfalls dazu, sofern es im Vertrag enthalten ist. Wir übernehmen zum Beispiel oft auch die Kommunikation mit Versicherern, weil dort bestimmte Meldefristen und -formen einzuhalten sind. Viele Kunden wissen gar nicht genau, was ihre Cyberversicherung abdeckt oder welche Pflichten sie haben. Wir unterstützen dabei und stellen sicher, dass nichts übersehen wird - auch international, wenn Niederlassungen im Ausland betroffen sind.
Michael:
Wie lange dauert es realistisch, bis ein Unternehmen nach einem Vorfall wieder arbeitsfähig ist?
Andreas:
Mit einer guten Vorbereitung kann man in ein bis zwei Wochen in den Notbetrieb kommen - also Produktion, Telefon, E-Mail. Danach folgen schrittweise Wiederherstellungen, oft über mehrere Wochen. Bis alles vollständig bereinigt und stabil läuft, kann es je nach Größe bis zu zwölf Monate dauern. Man muss verstehen: Nach einem Vorfall baut man eine IT-Umgebung in Rekordzeit wieder auf. Das ist Stress pur, und manches wird dabei improvisiert. Diese Baustellen müssen später aufgeräumt werden.
Michael:
Und nach dem Vorfall geht es ja auch darum, die Infrastruktur nicht einfach wieder so hinzustellen wie vorher, sondern mit zusätzlicher Härtung. Ist es verwerflich, wenn ein Dienstleister im Anschluss gleich passende Lösungen anbietet?
Andreas:
Nein, nicht verwerflich - es kommt darauf an, wie es gemacht wird. Wenn der Dienstleister im Incident gute Arbeit geleistet hat, kennt er die Schwachstellen und weiß, wie man sie schließen kann. Solange es nicht über Druck passiert, ist das völlig in Ordnung. Bei Software kann man sich zusätzlich über unabhängige Bewertungen informieren. Und wenn die eingesetzten Tools im Einsatz überzeugt haben, spricht nichts dagegen, sie weiter zu nutzen.
Michael:
Dann fassen wir zusammen: Man darf von einem Incident-Response-Dienstleister erwarten, dass er eine schnelle Einschätzung und Priorisierung gibt, eine forensische Analyse durchführt, Empfehlungen zur Eindämmung ausspricht, eine Wiederherstellung begleitet, regelmäßig reportet und Behörden sowie andere Partner koordiniert. Wenn vorhanden, gehört auch die Kommunikation nach außen dazu. Außerdem darf man strategische Empfehlungen erwarten, wie es nach dem Vorfall weitergeht.
Realistisch ist, dass man innerhalb von ein bis zwei Wochen im Notbetrieb ist und weitere vier Wochen braucht, um alle Systeme wiederherzustellen - vorausgesetzt, man war gut vorbereitet.
Vielen Dank, Andreas, für den Einblick. Wenn ihr Fragen habt, schreibt uns gerne. Bleibt sicher und gesund - bis zur nächsten Folge.
Andreas:
Tschüssi.