Montag, 7:12 Uhr: Mitarbeitende eines mittelständischen Handelsunternehmens können weder auf das ERP-System noch auf zentrale Dateiablagen zugreifen. Auf mehreren Bildschirmen erscheint eine Lösegeldforderung. Dieses Fallbeispiel zeigt, warum ein Backup nach einem Cyberangriff im Mittelstand nicht nur eine technische Sicherheitskopie ist, sondern über die operative Handlungsfähigkeit entscheidet.
Das Unternehmen ist fiktiv, der Ablauf jedoch realistisch. Rund 85 Mitarbeitende arbeiten an zwei Standorten, die IT umfasst Microsoft 365, virtualisierte Server, ein ERP-System für Einkauf und Buchhaltung sowie eine zentrale Telefonie. Die Geschäftsführung ging davon aus, dass tägliche Backups ausreichend Schutz bieten. Erst im Ernstfall zeigte sich, worauf es tatsächlich ankommt: Trennung, Wiederherstellbarkeit, klare Zuständigkeiten und eine getestete Reihenfolge.
Der Angriff beginnt nicht mit einer verschlüsselten Datei
Am Freitag vor dem Vorfall erhält ein Mitarbeiter eine täuschend echte E-Mail mit Bezug zu einer laufenden Bestellung. Der Anhang führt zur Anmeldung auf einer nachgebildeten Microsoft-365-Seite. Die Zugangsdaten werden abgegriffen. Weil für ein Benutzerkonto keine Mehrfaktor-Authentifizierung eingerichtet ist und die Berechtigungen zu weit gefasst sind, verschafft sich der Angreifer schrittweise Zugang zu weiteren Bereichen.
Über das Wochenende erkundet er die Umgebung, sammelt Daten und deaktiviert einzelne Sicherheitsmechanismen. Am frühen Montagmorgen startet die Verschlüsselung virtueller Server und Netzwerkfreigaben. Parallel werden Daten nach außen übertragen. Diese Kombination ist heute typisch: Es geht nicht allein um den Zugriff auf Systeme, sondern auch um die Drohung, vertrauliche Informationen zu veröffentlichen.
Die ersten Maßnahmen sind richtig und dennoch folgenreich. Die IT trennt betroffene Systeme vom Netzwerk, sperrt Konten und schaltet den externen IT-Partner ein. Produktion und Auslieferung laufen nur eingeschränkt weiter. Rechnungen können nicht erstellt, Wareneingänge nicht gebucht und aktuelle Aufträge nicht zuverlässig geprüft werden. Jede Stunde Verzögerung erzeugt Rückfragen bei Kunden, Lieferanten und Mitarbeitenden.
Das Backup existiert – aber ist es auch nutzbar?
Die tägliche Sicherung war vorhanden. Allerdings lag ein Teil der Sicherungen auf einem Speicher im gleichen Netzwerk. Dieser Speicher war für den Backup-Dienst dauerhaft erreichbar und wurde ebenfalls verschlüsselt. Die Cloud-Sicherung von Microsoft 365 deckte zudem nicht automatisch alle Anforderungen ab. Gelöschte oder manipulierte Daten, Aufbewahrungsfristen und die schnelle Wiederherstellung einzelner Postfächer oder Dateien müssen gezielt geplant werden.
Übrig bleibt eine ältere, getrennte Kopie in einem externen Repository. Sie ist nicht direkt aus der produktiven Umgebung erreichbar. Das ist die entscheidende Grundlage für die Wiederanlaufplanung, bringt aber einen Zielkonflikt mit sich: Je stärker Sicherungen abgeschottet sind, desto mehr Planung und gegebenenfalls Zeit benötigt ihr kontrollierter Zugriff im Notfall.
Bevor Daten zurückgespielt werden, prüft das Incident-Response-Team die Sicherung auf Auffälligkeiten. Ein vorschnelles Restore kann Schadsoftware erneut in die Umgebung bringen. Ebenso problematisch wäre es, einen Server wieder online zu nehmen, bevor kompromittierte Konten, Fernzugänge und Sicherheitslücken bereinigt wurden.
Cyberangriff im Mittelstand: Das Fallbeispiel Backup in der Praxis
Am ersten Tag konzentriert sich das Unternehmen auf Stabilisierung statt auf hektische Vollwiederherstellung. Die Geschäftsführung benennt eine kleine Krisenrunde aus IT, Operations, Finance und Kommunikation. Sie dokumentiert Entscheidungen, bewertet betroffene Geschäftsprozesse und legt fest, welche Systeme zuerst wieder verfügbar sein müssen.
Die Priorisierung lautet nicht einfach „alle Server wiederherstellen“. Vorrang haben Identitätsverwaltung, Netzwerkgrunddienste, das ERP-System mit den zuletzt gesicherten Daten sowie die für Auslieferungen benötigten Arbeitsplätze. Archivsysteme und weniger kritische Fachanwendungen folgen später. Diese Reihenfolge richtet sich nach Geschäftsauswirkung, Abhängigkeiten und Datenqualität.
Am zweiten Tag wird eine saubere, segmentierte Zielumgebung aufgebaut. Administrationskonten erhalten neue Kennwörter, Mehrfaktor-Authentifizierung wird verbindlich eingeführt und nicht mehr benötigte Berechtigungen werden entfernt. Erst danach beginnt die Wiederherstellung. Das ERP-System wird zunächst isoliert getestet: Startet die Anwendung? Stimmen Datenbankkonsistenz und Buchungsstände? Funktionieren Schnittstellen zu Lager, Finanzbuchhaltung und Dokumentenablage?
Am dritten Tag können ausgewählte Teams wieder arbeiten. Der Betrieb ist noch nicht vollständig normalisiert, aber Bestellungen lassen sich bearbeiten und Rechnungen vorbereiten. Entscheidend ist, dass Fachbereiche den Wiederanlauf fachlich abnehmen. Ein technisch erfolgreicher Restore reicht nicht aus, wenn etwa Belege fehlen, Datenstände nicht plausibel sind oder Freigabeprozesse blockieren.
Welche Backup-Architektur den Unterschied macht
Eine wirksame Strategie folgt häufig dem 3-2-1-1-0-Prinzip. Es bedeutet: mindestens drei Kopien der Daten, auf zwei unterschiedlichen Speichermedien, davon eine Kopie außerhalb des primären Standorts und eine zusätzlich unveränderbare oder logisch isolierte Kopie. Die Null steht für regelmäßig geprüfte Sicherungen ohne Fehler. Das Prinzip ist kein Selbstzweck. Es reduziert konkrete Risiken, die bei Ransomware, Hardwaredefekten, Fehlbedienung oder einem Standortausfall auftreten.
Für mittelständische Unternehmen sollte diese Architektur vier Fragen verbindlich beantworten:
- Welche Daten und Systeme werden gesichert – einschließlich virtueller Maschinen, ERP-Datenbanken, Dateien, Microsoft-365-Daten und Konfigurationen?
- Wie häufig wird gesichert, und welcher maximale Datenverlust ist je Prozess akzeptabel?
- Wo befinden sich die Sicherungen, und kann ein Angreifer mit kompromittierten Administrationsrechten darauf zugreifen?
- Wie lange dauert die Wiederherstellung kritischer Anwendungen, und wurde dieser Zeitraum praktisch getestet?
Die Antworten unterscheiden sich je nach Unternehmen. Für die Finanzbuchhaltung kann ein Datenverlust von einem Arbeitstag akzeptabel sein, für laufende Lagerbewegungen möglicherweise nicht. Auch die Wiederherstellungszeit ist kein pauschaler Wert. Ein kleiner Dateiserver lässt sich anders absichern als eine ERP-Umgebung mit Datenbank, Schnittstellen, Berechtigungen und individuellen Anpassungen.
Unveränderbare Sicherungen, oft als Immutable Backups bezeichnet, sind besonders relevant. Innerhalb einer festgelegten Aufbewahrungszeit können sie nicht gelöscht oder verändert werden – auch nicht durch ein kompromittiertes Administrationskonto. Sie ersetzen jedoch weder Zugriffsschutz noch Tests. Eine unvollständige oder falsch konfigurierte Sicherung bleibt unbrauchbar, selbst wenn sie technisch unveränderbar gespeichert wurde.
Wiederherstellung testen, bevor sie benötigt wird
Das Fallbeispiel macht einen häufigen Schwachpunkt sichtbar: Viele Unternehmen testen, ob eine Sicherung erstellt wurde. Deutlich seltener testen sie, ob ein vollständiger Geschäftsprozess nach der Wiederherstellung funktioniert. Ein grüner Status im Backup-Report ist kein belastbarer Nachweis für Betriebsfähigkeit.
Sinnvoll sind feste Wiederherstellungstests für kritische Systeme. Dabei wird nicht nur eine Datei geöffnet, sondern eine Anwendung in einer getrennten Umgebung gestartet und gemeinsam mit dem Fachbereich geprüft. Bei einem ERP-System gehören dazu beispielsweise Anmeldung, Belegerfassung, Auswertungen, Berechtigungen und relevante Schnittstellen. Die Ergebnisse sollten dokumentiert werden: Dauer, Datenstand, festgestellte Abweichungen und notwendige Anpassungen.
Ebenso wichtig ist ein Notfallhandbuch, das auch außerhalb der normalen IT erreichbar ist. Es enthält Ansprechpartner, Entscheidungswege, Zugang zu Notfallkonten, Prioritäten und Kommunikationsvorlagen. Im Angriff bleibt keine Zeit, diese Informationen erst aus verstreuten E-Mails und persönlichen Notizen zusammenzutragen.
Backup ist Teil der Sicherheitsstrategie, nicht deren Ersatz
Ein gutes Backup begrenzt den Schaden, verhindert aber nicht den Angriff. Deshalb gehören Identitätsschutz, Mehrfaktor-Authentifizierung, E-Mail-Sicherheit, Patch-Management, segmentierte Netzwerke und ein restriktives Berechtigungskonzept dazu. Mitarbeitende benötigen zudem konkrete Schulungen, die typische Angriffsmuster anhand ihres Arbeitsalltags vermitteln. Allgemeine Warnungen vor „verdächtigen E-Mails“ reichen selten aus.
Für die Geschäftsführung ist vor allem Transparenz entscheidend: Welche Systeme sind kritisch? Welche Wiederanlaufzeiten wurden vereinbart? Welche Sicherungen sind getrennt gespeichert? Wer entscheidet im Notfall über Prioritäten und externe Kommunikation? Ein Managed-Service-Partner wie LTmemory kann diese Fragen gemeinsam mit IT und Fachbereichen in eine betreibbare Struktur überführen – mit klaren Zuständigkeiten statt mit einem Konzept, das im Alltag nicht gelebt wird.
Der passende Zeitpunkt für einen Restore-Test ist nicht nach einer Lösegeldforderung. Wer die eigene Wiederherstellung jetzt unter realistischen Bedingungen prüft, gewinnt im Ernstfall vor allem eines: die Möglichkeit, besonnen zu entscheiden und den Geschäftsbetrieb kontrolliert zurückzubringen.
