Ein Cyberangriff beginnt selten mit einem dramatischen Knall. Meist beginnt er mit Irritationen: Systeme reagieren nicht mehr, Mitarbeitende kommen nicht ins Netzwerk, erste Fachbereiche melden Ausfälle, die IT spricht von „ungewöhnlichen Aktivitäten“.
Dann folgt die Erkenntnis: Es ist kein technisches Problem mehr. Es ist eine Unternehmenskrise.
Genau in diesem Moment zeigt sich, ob ein Vorstand vorbereitet ist — oder improvisiert. Denn bei einem Ransomware-Angriff geht es in den ersten zwei Stunden nicht um Firewalls, Logs oder Malware-Analysen. Es geht um Führungsentscheidungen.
Ohne Vorbereitung wird improvisiert. Und Improvisation ist in einer Cyberkrise fast immer die teuerste Strategie.
Das Szenario: Montag, 07:12 Uhr
Ein mittelständisches Unternehmen mit mehreren Standorten startet in den Arbeitstag. Innerhalb weniger Minuten häufen sich Störungsmeldungen:
Benutzer können sich nicht mehr anmelden. Das ERP-System ist nicht erreichbar.
Mehrere Server zeigen eine Lösegeldforderung. Die Produktion in einem Werk steht.
Das Kundenportal ist offline. Hinweise auf Angriff auf das Active Directory.
Verdacht auf Datenexfiltration. Vertrieb meldet Kundenausfälle. Erste Medienanfragen.
Jetzt beginnt das eigentliche Problem. Nicht die Malware. Nicht der Serverausfall. Sondern die Frage, ob die Unternehmensleitung in dieser Lage entscheidungsfähig ist.
Entscheidung 1: IT-Störung oder Unternehmenskrise?
Die erste Entscheidung ist oft die folgenreichste. Viele Unternehmen verlieren hier bereits wertvolle Zeit, weil sie auf Vollständigkeit warten.
Option A: Die IT analysiert zunächst alleine weiter
Wirkt vernünftig, führt aber dazu, dass die Krise zu spät als unternehmensweiter Vorfall erkannt wird. Folge: Zeitverlust, fehlende Koordination, widersprüchliche Entscheidungen.
Option B: Informeller Ad-hoc-Kreis
Vorstand, IT, Recht und Kommunikation schnell zusammengeschaltet — aber ohne klaren Krisenmodus. Folge: Stark personenabhängig, kippt bei steigender Komplexität.
Option C: Vorstand aktiviert den Krisenstab
Frühe Behandlung als Unternehmenskrise. Rollen, Lagebild, Freigaben und Prioritäten werden zentral geführt. Folge: Höhere Handlungsfähigkeit, schnellere Entscheidungen.
Unternehmen ohne definierte Krisenschwellen diskutieren im Ernstfall zu lange über die Frage, ob sie eskalieren sollen — statt darüber, wie sie wirksam führen.
Entscheidung 2: Schadensbegrenzung oder Betriebsfortführung?
Soll man Systeme bewusst vom Netz nehmen und den Geschäftsbetrieb einschränken? Oder versucht man, so viel wie möglich am Laufen zu halten?
Option A: Betrieb aufrechterhalten
Wirtschaftlich nachvollziehbar, aber riskant. Folge: Angreifer können sich weiter lateral bewegen, Backups beschädigen, weitere Standorte kompromittieren.
Option B: Nur betroffene Segmente isolieren
Der politische Mittelweg. Folge: Funktioniert nur bei sauberer Netzwerksegmentierung und dokumentierten Abhängigkeiten. Sonst wird selektives Abschalten zum Ratespiel.
Option C: Konsequente Isolation
Kurzfristig schmerzhaft, langfristig oft die bessere Option. Folge: Eindämmung hat Priorität, Ausweitung wird verhindert.
Wer kritische Geschäftsprozesse und Ausfalltoleranzen nicht vorab definiert hat, entscheidet in Echtzeit aus dem Bauch heraus.
Entscheidung 3: Wen informieren wir sofort?
Forensiker, Incident-Response-Spezialisten, Rechtsberater, Versicherer, Behörden, Kunden — sie alle können früh relevant werden. Die Frage ist nicht ob, sondern wann und in welcher Reihenfolge.
Option A: Alles bleibt zunächst intern
Folge: Teams werden überlastet, Beweissicherung leidet, Fristen werden übersehen, externe Expertise kommt zu spät.
Option B: Externe IR und Rechtsberatung sofort aktivieren
Folge: Krisensteuerung wird belastbarer. Voraussetzung: Retainer, Budgets und Freigaben sind vorbereitet.
Option C: Zusätzlich relevante Stakeholder früh informieren
Aufsichtsrat, Versicherer, Behörden, Schlüsselkunden. Folge: Schafft Vertrauen, erfordert aber abgestimmte Kommunikationslinie.
Fehlen Kontaktlisten, Retainer und Meldewege, vergeht in den ersten zwei Stunden viel Zeit mit organisatorischer Improvisation statt mit Krisenbewältigung.
Entscheidung 4: Was sagen wir intern und extern?
In den ersten zwei Stunden entsteht ein gefährliches Informationsvakuum. Mitarbeitende hören Gerüchte. Kunden erleben Störungen. Medien fragen nach. Wenn das Unternehmen nicht selbst kommuniziert, kommunizieren andere für das Unternehmen.
Option A: Keine Aussage, bis alles geklärt ist
Folge: Intern Unsicherheit und Spekulation, extern wird Schweigen als Kontrollverlust interpretiert.
Option B: Spontane Erstkommunikation
Folge: Besser als Funkstille, aber unklare oder zu frühe Aussagen lassen sich später schwer korrigieren.
Option C: Vorbereiteter Kommunikationsplan
Definierte Botschaften, abgestimmte Freigabewege, alternative Kanäle. Folge: Das Unternehmen wirkt geordnet, ohne mehr zu behaupten als gesichert ist.
Entscheidung 5: Wie ist unsere Linie zu Lösegeld und Wiederanlauf?
In den ersten zwei Stunden zahlt meist noch niemand. Aber in dieser Phase wird die strategische Linie festgelegt, die alle weiteren Schritte prägt.
Option A: Klare Linie „Keine Zahlung“
Eindeutig und strategisch konsistent. Voraussetzung: Saubere Backups, getestete Restore-Prozesse, priorisierte Wiederanlaufpläne.
Option B: Zahlung nur als letzter Ausweg
Flexibel, aber erfordert strukturierte Bewertung: technische Wiederherstellbarkeit, rechtliche Risiken, Versicherung, Sanktionen, Exfiltration.
Option C: Frühe Verhandlungsbereitschaft
Strategisch riskant. Realität: Eine Zahlung garantiert weder Entschlüsselung noch Datenlöschung noch sichere Rückkehr in den Betrieb.
Die eigentliche Frage lautet nicht, ob man theoretisch zahlen würde. Die eigentliche Frage lautet: Hat das Unternehmen vorab genug in Resilienz investiert, um nicht aus Verzweiflung entscheiden zu müssen?
Was alle fünf Entscheidungen gemeinsam haben
Sie lassen sich im Ernstfall nicht zum ersten Mal sauber lösen.
Wer keinen Krisenstab vorbereitet hat, diskutiert über Zuständigkeiten.
Wer keine Ausfallprioritäten definiert hat, diskutiert über Einzelfälle.
Wer keine Kommunikationslinie vorbereitet hat, kommuniziert reaktiv.
Wer keine externen Partner vorab gebunden hat, verliert wertvolle Zeit.
Wer Backups nicht getestet hat, entscheidet auf Basis von Annahmen.
Ein Ransomware-Angriff ist kein reiner Techniktest. Er ist ein Test der Entscheidungsreife des Vorstands.
Die Lehre: Was ein Vorstand vorbereiten muss
Ein Vorstand muss nicht wissen, wie man einen kompromittierten Domain Controller isoliert. Aber er muss dafür sorgen, dass die Organisation auf die fünf Entscheidungen vorbereitet ist:
Krisenorganisation vorab festlegen. Wer entscheidet was? Wer vertritt wen? Wann wird eskaliert?
Kritische Prozesse und Systeme priorisieren. Welche Geschäftsprozesse sind überlebenswichtig? Wie lange darf was ausfallen?
Kommunikationspläne vorbereiten. Erstbotschaften, Freigabewege, alternative Kanäle.
Externe Unterstützung vertraglich sichern. Forensik, IR, Rechtsberatung und Versicherung müssen vor dem Angriff handhabbar sein.
Wiederanlauf real testen. Backups sind nur ein Sicherheitsanker, wenn sie intakt, isoliert und unter realistischen Bedingungen wiederherstellbar sind.
Fazit
Die ersten zwei Stunden eines Ransomware-Angriffs entscheiden nicht immer über den technischen Ursprung des Vorfalls. Aber sie entscheiden sehr oft über dessen geschäftliche Eskalation.
Ein Cyberangriff verlangt vom Vorstand fünf Dinge: Eskalation, Priorisierung, Führung, Kommunikation und Prinzipienfestigkeit.
Wer diese Entscheidungen vor dem Angriff vorbereitet, gewinnt im Ernstfall Zeit, Orientierung und Handlungsspielraum. Wer sie nicht vorbereitet, wird improvisieren. Und Improvisation ist in einer Cyberkrise fast immer teurer als Vorbereitung.
Häufige Fragen
Welche Rolle hat der Vorstand bei einem Cyberangriff?
Der Vorstand trägt die Verantwortung für Eskalation, Priorisierung, Kommunikation, externe Einbindung und strategische Grundsatzentscheidungen.
Warum sind die ersten 2 Stunden bei Ransomware so wichtig?
Weil in dieser Phase die Weichen gestellt werden. Zu späte Eskalation, verzögerte Isolation oder fehlende Stakeholder-Einbindung erhöhen den Schaden erheblich.
Sollte ein Unternehmen Lösegeld zahlen?
Nicht pauschal beantwortbar. Entscheidend: technische Wiederherstellbarkeit, rechtliche Rahmenbedingungen, Versicherung, Exfiltrationslage. Problematisch ist vor allem, wenn diese Entscheidung unter Panik und ohne vorbereitete Prinzipien getroffen werden muss.
Sie wollen diese 5 Entscheidungen unter realistischen Bedingungen trainieren?
In der Cycademy Krisensimulation durchläuft Ihr Führungsteam genau dieses Szenario — mit dem Incident Simulator, dynamischen Injects und echtem Zeitdruck. 3–4 Stunden, die zeigen, wo Sie wirklich stehen.