Für einen mittelständischen Maschinenbauer wird ein Albtraum wahr: Über eine Phishing-E-Mail schleusen Hacker Ransomware ins Firmen-Netzwerk ein. Sämtliche Systeme und Devices werden verschlüsselt – weltweit. Was nun folgt, ist eine nervliche Zerreißprobe. Wir schildern den realen Fall vom ersten Kontakt mit der Incident-Response-Hotline über die Lösegeldverhandlungen bis zur Wiederherstellung der Systeme und der Regulierung des Schadens durch den Cyber-Versicherer.

Phishing-E-Mail mit gefährlichem Anhang
Alles begann mit einem unvorsichtigen Klick: Über eine Phishing-E-Mail schleusen Hacker Ransomware in das Netzwerk eines Maschinenbau-Unternehmens ein. Sämtliche Systeme und Devices weltweit werden verschlüsselt. Nichts geht mehr – die Produktion steht still! Zusätzlich werden sensible Entwicklungs- und Finanzdaten abgezogen. Für eine Software zur Entschlüsselung der gekaperten Systeme fordern die Angreifer ein Lösegeld in Millionenhöhe in Bitcoin. Um den Druck zu erhöhen, drohen sie mit der Veröffentlichung der entwendeten Daten.

Kontaktaufnahme mit der Incident-Response-Hotline
Das Unternehmen, das über eine Cyber-Police verfügt, informiert die VSMA GmbH und kontaktiert die Incident-Response-Hotline. Nach einer telefonischen Bewertung wird sofort ein Spezialisten-Team für IT-Forensik, Datenwiederherstellung und Verhandlungsführung mit den Erpressern zusammengestellt. Ein Incident-Response-Manager begleitet den Vorfall von nun an ständig.

Erstmaßnahmen des Incident-Response-Teams
Das Expertenteam beginnt unverzüglich mit der Arbeit. Nach einer Analyse zum Status der Kompromittierung folgen erste Maßnahmen zur Eindämmung des Schadenausmaßes und zur Isolierung beziehungsweise Entfernung der Schadsoftware. Ein erfahrener Verhandlungsführer nimmt Kontakt mit den Erpressern auf, die auf eine sofortige Zahlung des Lösegelds pochen.

Abstimmung des Vorgehens mit dem Cyber-Versicherer
Lösegeld zahlen oder nicht? Eine Worst-Case-Betrachtung ergibt, dass höchstens 60 Prozent der Daten wiederhergestellt werden könnten. Der drohende Betriebsunterbrechungsschaden ist immens – und höher als das geforderte Lösegeld. Es folgt eine Compliance-Prüfung, ob eine Zahlung an die Erpresser rechtlich zulässig wäre. Rechtsberater, Krisen- und PR-Manager werden eingeschaltet, der Verhandlungsführer versucht die Forderungen der Hacker herunterzuhandeln.

Datenverifizierung, Background-Check und Lösegeldzahlung
Nach positiver Compliance-Prüfung entscheidet sich das Unternehmen mit Zustimmung des Cyber-Versicherers für eine Lösegeldzahlung. Es folgen weitere Verhandlungen – zeitgleich werden die Zusagen der Hackergruppe auf Glaubwürdigkeit überprüft. Die entwendeten Daten können verifiziert werden, ein professioneller Background-Check ergibt, dass die versprochene Entschlüsselungssoftware in vergangenen Fällen funktioniert hat. Das Lösegeld wird gezahlt.

Entschlüsselungssoftware und Wiederherstellung
Die Hackergruppe übermittelt die Entschlüsselungssoftware. Die IT-Verantwortlichen des Unternehmens beginnen gemeinsam mit den Incident-Response-Spezialisten mit der Wiederherstellung der Systeme. Eine Wiederaufnahme des Betriebs und der Produktion ist bereits nach einigen Tagen möglich. Die vollständige Wiederherstellung und Absicherung aller Systeme dauert Monate. Das Back-up-Management des Unternehmens wird neu aufgesetzt.

Vorbereitung der Schadenregulierung und Schadenhöhe
Für die Schadenregulierung stellen die IT-Forensiker des Incident-Response-Teams einen Bericht zur Verfügung. Das Unternehmen selbst übermittelt eine Zusammenstellung des Ausfallschadens sowie Kostenbelege über interne und externe Dienstleistungen im Zusammenhang mit dem Vorfall. Der Gesamtschaden beläuft sich nach derzeitigem Stand auf 5,5 Millionen Euro. Dank der lückenlosen Dokumentation wird der Schaden vom Cyber-Versicherer vollumfänglich reguliert.

Fazit und Feedback des betroffenen Maschinenbau-Unternehmens
10 Tage im Ausnahmezustand und bisher 5,5 Millionen Euro Schaden: Wie gravierend die Belastung durch einen Hackerangriff ist, können nicht betroffene Unternehmen nur erahnen. Bei der Bewältigung des Vorfalls war laut Rückmeldung des Maschinenbau-Unternehmens aus dem Fallbeispiel insbesondere das Incident-Repsonse-Team unverzichtbar. „Den Schaden selbst hätten wir bewältigt, die professionelle Abwicklung und Dokumentation des Vorfalls hingegen nicht. Hierbei waren wir auf die Erfahrungen der Experten angewiesen“, lautete das Feedback.

Wir empfehlen daher allen Maschinenbauern, beim Abschluss einer Cyberversicherung darauf zu achten, dass wichtige Assistance-Leistungen wie ein Incident-Response-Team automatisch inkludiert sind. Sie haben Fragen zum Thema Cyberversicherung? Wir beraten Sie gerne!

 

Bildnachweis: Shutterstock: 2026581095 • JLStock
AnlagenbauCyberrisikoCybersecurityCyberversicherungIncident-Response-HotlineIT-ForensikernMaschinenbau UnternehmenPhishing-E-MailRansomware-AngriffSchadenregulierungVSMA GmbH

Unsere Empfehlungen für Sie:

MUSTER IT-NOTFALLPLAN

VSMA CYBER NEWSLETTER

VDMA NOTFALLHILFE RANSOMWARE

VCP Angebotstool

Kontakt

THOMAS VÖLKER

Spartenverantwortlicher Cyber Versicherung

VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org

www.vsma.de    Impressum    Datenschutz