39100 Bozen
Bruno Buozzi 8
5. Dezember 2025
Gestalten statt verwalten
KI eröffnet neue Chancen für Südtirols Mittelstand
Mehr erfahren
21. November 2025
Von der Warnung zur Cyberkrise
Warum Reaktionsstärke zur Führungsaufgabe wird.
Ein vermeintlich kleiner Cyberangriff kann sich rasch zur echten Krise entwickeln. Wer nicht vorbereitet ist, riskiert nicht nur Sanktionen, sondern auch nachhaltigen Schaden. Die Reaktionsfähigkeit wird damit zur gesetzlich verankerten Führungsaufgabe.
Ein vermeintlich kleiner Cyberangriff kann sich rasch zur echten Krise entwickeln. Ab Januar 2026 müssen betroffene Unternehmen schwerwiegende Cyberangriffe innerhalb von 24 Stunden an die italienische Cyberbehörde ACN melden – vollständig, nachvollziehbar und fristgerecht. Wer nicht vorbereitet ist, riskiert nicht nur Sanktionen, sondern auch nachhaltigen Schaden. Die Reaktionsfähigkeit wird damit zur gesetzlich verankerten Führungsaufgabe.
Vom Vorfall zur Bewältigung in drei Reaktionsphasen
Wie gut ein Unternehmen auf einen Sicherheitsvorfall reagiert, hängt nicht allein von technischer Expertise ab. Entscheidend ist ein klarer, strukturierter Ablauf – von der ersten Einschätzung bis zur Nachbereitung. Dabei lässt sich der Ablauf in drei Phasen einteilen:
Phase 1 – Die erste Stunde nach dem Angriff: erkennen, einordnen, entscheiden
Cyberangriffe kündigen sich selten lautstark an. Erste Warnsignale wie verdächtige Systemaktivitäten oder Monitoring-Alerts müssen rasch bewertet werden. IT und Security Teams analysieren, welche Systeme betroffen und welche Daten gefährdet sein könnten. Verdächtige Geräte werden isoliert, Backups geprüft und erste Kommunikationsketten aktiviert. Es folgt die Einordnung: Handelt es sich um einen IT-Zwischenfall oder bereits um einen potenziellen Angriff? Trifft letzteres zu, wird umgehend das vorbereitete Notfallteam aktiviert – mit klar zugewiesenen Rollen und Eskalationswegen.
Phase 2 – Die ersten Stunden nach dem Angriff: koordinieren, kommunizieren, stabilisieren
Zeigt sich, dass der Vorfall erhebliche Auswirkungen hat, wird das Notfallteam einberufen – bestehend aus IT, Management, Recht, Kommunikation und ggf. externen Expert*innen. Nun gilt es, den Schaden einzugrenzen, den Umfang des Angriffs analysieren und betroffene Kunden oder Partner rechtzeitig zu informieren. Auch rechtliche Pflichten – wie die Meldung an die Cyberbehörde ACN – greifen jetzt. Die Entwicklung und Bewertung möglicher Lösungswege, etwa ein Notbetrieb oder die Datenwiederherstellung, erfordert fundierte Entscheidungen unter Zeitdruck.
Phase 3 – Die Folgetage: wiederherstellen, nachbereiten, stärken
Ist die akute Bedrohung eingedämmt, beginnt der Weg zurück zum Normalbetrieb. Systeme werden kontrolliert bereinigt und mit gesicherten Daten neu aufgesetzt. Ein Abschlussbericht dokumentiert Ursachen, Verlauf und Maßnahmen. Schwachstellen in Prozessen und Technik werden analysiert, Verbesserungen angestoßen und gewonnenen Erkenntnisse in die Organisationsentwicklung bzw. in den Krisenplan übertragen. Auch die Kommunikation nach außen ist jetzt entscheidend für das Vertrauen aller Beteiligten. Alle wichtigsten Erkenntnisse fließen schließlich in Trainings, Tests und künftige Präventionsmaßnahmen ein.
Dennoch stellt sich die Frage:
Wie können sich Unternehmen wirksam vor einen Cyberangriff schützen?
Effektive Prävention beginnt weit vor dem Cyberangriff – mit klaren Zuständigkeiten, durchdachten Prozessen und der passenden technischen Infrastruktur. Entscheidend ist, alle relevanten Bereiche ganzheitlich zu betrachten:
Prozessuale Prävention:
Notfallmanagement ist eine zentrale Führungsaufgabe. Unternehmen sollten mögliche Szenarien im Voraus durchdenken, klare Abläufe definieren und diese mit praxisnahen Checklisten hinterlegen. Ebenso unerlässlich sind vorbereitete Kommunikationspläne, die in Stresssituationen eine schnelle, abgestimmte und transparente interne wie externe Kommunikation ermöglichen.
Organisatorische Prävention:
Ein genaues Verständnis geschäftskritischer Prozesse und ihrer IT-Abhängigkeiten ist essenziell. Unternehmen müssen wissen, welche Abläufe besonders zeitkritisch sind – eine fundierte Business Impact Analyse (BIA) liefert hier klare Antworten. Ebenso ist es von zentraler Bedeutung, zuverlässige externe Partner wie SOC-Dienstleister frühzeitig auszuwählen, die eine kontinuierliche Überwachung der IT-Sicherheit gewährleisten. Dabei sollten die Kriterien Qualität, Reaktionszeiten und vertragliche Rahmenbedingungen eindeutig definiert werden.
Technische Prävention:
Unternehmen sollten über ein getestetes Incident-Response-Konzept verfügen und regelmäßig unter realistischen Bedingungen üben. Damit Vorfälle nachvollzogen werden können, sollten Logdaten vollständig und zentral erfasst sowie ausgewertet werden. Ein lückenloses Asset-Management schafft Übersicht über alle Systeme und deren Schutzbedarf. Immutable Backups (unveränderliche Datensicherung) sorgen dafür, dass Daten im Ernstfall vom Angreifer weder verschlüsselt noch gelöscht werden können. Die Systeme sollten kontinuierlich optimiert, umfassend abgesichert und mindestens einmal jährlich durch externe Security-Assessments geprüft werden. Ergänzend stärken die Awareness-Trainings die Aufmerksamkeit der Mitarbeitenden für Bedrohungen und Social Engineering.
Fazit:
Jetzt die Basis schaffen.
Ein klar strukturiertes Basis-Notfallkonzept sorgt mit geringem Aufwand für große Wirkung. Entscheidend ist jedoch, nicht bei der Theorie stehenzubleiben: Entscheidend ist die Praxis: IT-Notfallübungen und Krisensimulationen stärken die Reaktionsfähigkeit und zeigen, wo nachgebessert werden muss. Professionelle IT-Dienstleister aus der Region unterstützen Unternehmen dabei.
Lesen Sie hier den vollständigen Fachartikel 👉 PDF zum Nachlesen
Dieser Fachartikel wurde in Zusammenarbeit mit Stefan Laimer, Head of Security Operations und Security Manager bei Konverto und Christian Feichter, Senior Berater für IT und Cybersicherheit, verfasst.
