bios-tec Magazin
Immer auf dem neuesten Stand
Mit der Hand in der Keksdose: Wie wir einen laufenden Hackerangriff stoppten — und was das für einen Unternehmer bedeutete
„Bei mir ist doch nichts zu holen.“ Diesen Satz hören wir regelmäßig. Unser Kunde sagte ihn auch — bis wir während seines Pentests einen Angreifer entdeckten, der gerade dabei war, vertrauliche Produktionsdaten seiner Kunden zu stehlen. Was folgte: Datenschutzbehörde, fast 30.000 Euro Aufräumkosten, und ein Unternehmer, der am Ende trotzdem dankbar war.
| Was passierte | Was es kostete |
|---|---|
| Angreifer im System, kurz vor Datenexfiltration | Rechtzeitig gestoppt durch Pentest |
| Meldepflicht DSGVO / LDA | Rechtliche Pflicht, 72h Frist |
| Forensik & Systembereinigung | ~30.000 Euro Aufräumkosten |
| Drohender Reputationsschaden | Abgewendet — vertrauliche Kundendaten blieben sicher |
| Regulärer Pentest-Verrechnungssatz | >9.000 Euro — hier nicht in Rechnung gestellt |
„Bei mir ist doch nichts zu holen.“
Diesen Satz hören wir regelmäßig. Und fast jedes Mal ist er falsch.
Unser Kunde — ein mittelständischer Produktionsbetrieb aus Bayern — sagte genau das, als unser Vertrieb einen Penetrationstest vorschlug. Kein Konzern, kein Rüstungslieferant, keine Bank. Ein bodenständiges Unternehmen mit einem überschaubaren IT-Budget und dem ehrlichen Gefühl: Wer soll sich denn für uns interessieren?
Er ließ sich schließlich überzeugen — und zwar nicht wegen des Sicherheitsaspekts. Sondern wegen eines Nebenprodukts: Ein Pentest liefert immer auch einen klaren Überblick über den tatsächlichen Zustand der eigenen IT. Was läuft? Was ist veraltet? Wo gibt es Lücken? Das allein war ihm den Aufwand wert.
Was wir dann fanden, hätte er sich nicht vorstellen können.
Wie ein Cyberangriff wirklich abläuft — in sechs Schritten
Bevor wir zur Geschichte kommen, ein kurzer Exkurs: Moderne Ransomware-Angriffe folgen einem fast industriellen Muster. Kein chaotisches Einbrechen — sondern methodisches, geduldiges Vorgehen. Oft vergehen Wochen zwischen dem ersten Einbruch und dem sichtbaren Schaden.
Schritt 1: Schwachstelle finden und ausnutzen
Der Angreifer sucht nach einer Lücke — veraltete Software, ein ungepatchtes System, ein schwaches Passwort oder eine ungesicherte Remote-Desktop-Verbindung. Oft reicht eine einzige Phishing-E-Mail mit einem Link, den ein Mitarbeiter anklickt. Der initiale Zugang kostet Angreifer im Darknet teilweise weniger als 100 Euro — fertig vorbereitet, für jedermann buchbar.
Schritt 2: Persistenten Zugang aufbauen
Einmal im System, sorgt der Angreifer dafür, dass er bleibt — auch nach einem Neustart. Er installiert versteckte Hintertüren (Backdoors), richtet Scheduled Tasks ein oder verankert sich im Autostart. Ziel ist es, jederzeit wieder hereinzukommen, ohne erneut eine Schwachstelle ausnutzen zu müssen.
Schritt 3: Rechte erweitern (Privilege Escalation)
Mit dem initialen Zugang kommt der Angreifer meist nicht weit — er hat die Rechte eines normalen Benutzers. Also hangelt er sich von System zu System, nutzt bekannte Schwachstellen, stiehlt Passwort-Hashes oder missbraucht Fehlkonfigurationen. Das Ziel: Domain-Administrator-Rechte — der Generalschlüssel für alles im Netzwerk.
Schritt 4: Wertvolle Daten finden (Reconnaissance)
Jetzt beginnt die eigentliche Suche: Was ist hier wertvoll? Kundendaten, Verträge, Produktionspläne, Buchhaltung, unveröffentlichte Entwicklungsdaten? Angreifer nehmen sich Zeit. Sie durchsuchen Dateiserver, Datenbanken, E-Mail-Archive — systematisch, wie ein Einbrecher, der alle Schubladen aufmacht.
Schritt 5: Daten exfiltrieren — das unterschätzte Druckmittel
Bevor verschlüsselt wird, werden die wertvollsten Daten still und leise nach außen kopiert — oft über Wochen, in kleinen Paketen, um nicht aufzufallen. Das ist der entscheidende Schritt: Denn damit hat der Angreifer zwei Druckmittel statt einem. Nicht nur: „Zahlen Sie, sonst kommen Ihre Daten nicht zurück.“ Sondern auch: „Zahlen Sie, sonst veröffentlichen wir, was wir haben.“
Schritt 6: Backups komprimieren, verschlüsseln, erpressen
Erst jetzt kommt der Moment, den die meisten kennen: Alle Daten werden verschlüsselt, Backups werden gezielt gelöscht oder ebenfalls gesperrt. Die Lösegeldforderung erscheint auf dem Bildschirm. Und wer nicht zahlt, riskiert nicht nur den Datenverlust — sondern auch die Veröffentlichung der exfiltrierten Daten im Darknet. Doppelte Erpressung, Double Extortion — mittlerweile Industriestandard.
Was wir bei unserem Kunden fanden
Während unseres Pentests stießen wir auf Spuren, die nicht von uns stammten.
Jemand war bereits im System. Und dieser Jemand war gerade dabei, Schritt fünf abzuschließen — die Exfiltration. Die Daten hatten das Unternehmen noch nicht vollständig verlassen. Wir haben den Angriff gestoppt.
Was folgte, war trotzdem kein entspanntes Aufatmen. Denn auch ein abgewehrter Angriff löst eine Kaskade aus.
Der Rattenschwanz: Was ein Vorfall wirklich kostet
Viele Unternehmer denken: „Wenn wir den Angriff stoppen, ist die Sache erledigt.“ Das ist ein Irrtum. Sobald ein Vorfall stattgefunden hat — auch wenn er gestoppt wurde — greifen rechtliche Pflichten und praktische Konsequenzen, die sich nicht ignorieren lassen.
Meldepflicht beim Datenschutz (DSGVO Art. 33 / 34)
Sobald personenbezogene Daten potenziell betroffen sind, gilt: Meldung an die zuständige Datenschutzbehörde (in Bayern: das Landesamt für Datenschutzaufsicht, kurz LDA) innerhalb von 72 Stunden. Nicht innerhalb einer Woche. Nicht „wenn wir Zeit haben“. 72 Stunden. Dazu kommt die vollständige Dokumentation des Vorfalls: Was ist passiert? Welche Daten waren betroffen? Welche Maßnahmen wurden ergriffen? Und je nach Schwere des Vorfalls auch die Benachrichtigung betroffener Personen — Kunden, Mitarbeiter, Geschäftspartner. Verstöße gegen diese Meldepflicht können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden.
Forensik, Systembereinigung und Neuaufsetzen
Welche Systeme waren kompromittiert? Welche Daten wurden tatsächlich exfiltriert? Wie lange war der Angreifer im Netzwerk — und hat er weitere Backdoors hinterlassen? Diese Fragen lassen sich nicht mit einem Antivirenscan beantworten. Sie erfordern forensische Analyse, vollständige Systembereinigung und in vielen Fällen das Neuaufsetzen kritischer Umgebungen. In diesem Fall summierte sich das auf knapp 30.000 Euro.
Betriebsunterbrechung
Während aufgeräumt, forensisch untersucht und neu aufgesetzt wird, steht vieles still. Mitarbeiter können nicht arbeiten, Prozesse liegen brach, Kunden warten. Der Produktivitätsverlust ist schwer zu beziffern — aber er ist real und schmerzhaft.
Reputationsrisiko: Der unsichtbare Schaden
In diesem Fall lag der eigentlich gefährliche Schaden woanders: Der Angreifer hatte es auf geheime, unveröffentlichte Produktionsdaten der Kunden unseres Kunden abgesehen — Informationen, die unter strengster Vertraulichkeit erarbeitet worden waren. Hätten diese Daten den Weg ins Darknet gefunden, wäre nicht nur ein finanzieller Schaden entstanden. Es wäre ein Vertrauensbruch gewesen, der über Jahre aufgebaute Kundenbeziehungen beendet hätte — unwiederbringlich.
Die Wendung: Was er wirklich hatte
Am Ende des Prozesses saß unser Kunde uns gegenüber. Und er war dankbar.
Nicht wegen der 30.000 Euro Aufräumkosten. Nicht wegen der Meldung an die Datenschutzbehörde. Nicht wegen der schlaflosen Nächte in der Woche danach.
Sondern weil er jetzt wusste, was in seinen Systemen steckte. Und weil er jetzt weiß: „Ich dachte wirklich, bei mir ist nichts zu holen. Jetzt weiß ich, dass ich genau das hatte, wofür jemand bezahlt.“
Die vertraulichen Produktionsdaten seiner Kunden — Daten, die wenn öffentlich gemacht, nicht nur ihn, sondern seine gesamte Kundenbasis getroffen hätten — sind sicher geblieben. Der Reputationsschaden, den eine Veröffentlichung im Darknet verursacht hätte, ist nicht eingetreten.
30.000 Euro Aufräumkosten sind schmerzhaft. Aber sie sind beherrschbar. Ein Reputationsverlust, der das Vertrauen langjähriger Kunden zerstört, ist es oft nicht.
Was das für Sie bedeutet
Die Frage ist nicht: Bin ich interessant genug für einen Angriff?
Die richtige Frage ist: Was hätte jemand davon, wenn er Zugang zu meinen Systemen hätte?
Oft ist die Antwort überraschend. Kundendaten, Geschäftsgeheimnisse, Produktionspläne, Lieferantenverträge, unveröffentlichte Entwicklungsergebnisse — Dinge, die man täglich benutzt und deshalb für selbstverständlich hält, können für Dritte sehr wertvoll sein. Nicht immer in Form von Geld. Manchmal auch als Hebel, um Kunden oder Partner unter Druck zu setzen.
Und noch etwas: Angreifer sind rational. Sie gehen dorthin, wo der Widerstand am geringsten ist. Laut BSI erfüllen KMU im Durchschnitt nur 56 Prozent der Basisanforderungen an IT-Sicherheit. Das macht den Mittelstand nicht uninteressant — sondern zum bevorzugten Ziel.
Was Sie jetzt tun können
1. Den eigenen Keller kennen. Wissen Sie, welche Daten in Ihrem System liegen — und wer Zugriff darauf hat? Viele Unternehmen wissen es nicht. Ein erster Schritt ist eine einfache Bestandsaufnahme: Was haben wir? Wo liegt es? Wer kommt ran?
2. Den eigenen Status ehrlich bewerten. Ein strukturierter IT-Sicherheitscheck zeigt in wenigen Stunden, wo die größten Lücken sind. Ohne Panikmache, ohne Verkaufsshow — nur ein klares Bild.
3. Den Worst Case durchdenken. Was wäre, wenn morgen ein Angreifer in Ihrem System aktiv wäre? Haben Sie einen Notfallplan? Wissen Ihre Mitarbeiter, was zu tun ist? Ist die DSGVO-Meldekette klar? Diese Fragen sollten beantwortet sein, bevor der Ernstfall eintritt.
Ein professioneller Penetrationstest ist dabei kein Luxus für Konzerne. Er ist ein ehrlicher Blick in den eigenen Keller — bevor jemand anderes ihn macht. Und er liefert als Nebenprodukt genau das, was unser Kunde ursprünglich gesucht hat: einen klaren Überblick über den tatsächlichen Zustand der eigenen IT.
Fazit: Der Angreifer war schon da. Wir waren schneller.
Es gibt keine Garantie, dass ein Pentest jeden Angriff aufdeckt. Aber er erhöht die Wahrscheinlichkeit erheblich, einen laufenden Angriff zu finden — bevor er seinen Schaden anrichtet.
Unser Kunde hat mit einem Pentest begonnen, weil er einen Überblick über seine IT wollte. Er hat am Ende mehr bekommen: die Gewissheit, dass das Wertvollste in seinem System — das Vertrauen seiner Kunden — geschützt ist.
Sie möchten wissen, was in Ihrem System steckt — bevor es jemand anderes herausfindet? Wir analysieren Ihre Lage gerne unverbindlich und praxisnah. Sprechen Sie uns an.
Thomas Herzog, Geschäftsführer BIOS-TEC IT-Systemhaus München
