Im Worst-Case funktioniert nichts mehr, kein Telefon, kein Türöffner, kein Server. Damit im Ernstfall bei einem IT-Ausfall Security- und IT-Teams trotzdem arbeiten können, werden in Cleanrooms alle elementaren Daten und Werkzeuge für den Ernstfall vorgehalten. Das Konzept kann aber noch mehr – es hilft Security-Teams dabei, die Attacke proaktiv vor der Zündung zu entschärfen.
(Bild: botond1977 – stock.adobe.com)
Cyberkriminelle sind kreativ und unberechenbar – beides macht es für IT Security Teams schwer, Angriffe zu erkennen und deren Folgen einzudämmen. Das Mitre Attack Framework bildet diese Komplexität von Cyberangriffen in 14 Teilschritten und 292 einzelnen Techniken ab. Dieses Wissen basiert auf genauen Analysen von Angriffen aus der realen IT-Welt und wird kontinuierlich aktualisiert. Security-Teams finden hier alles von Aufklärungstaktiken gegen Zielnetze bis hin zu den finalen Maßnahamen der Cyberakteure, seien es Datenexfiltration, Wiper- oder Ransomware-Angriffe. Alle gängigen Techniken und Taktiken und eines Cyberangriffs und wie sie zusammenhängen, sind hier wiedergegeben.
Cyberangriffe: Flexibilität der Angreifer und neue Bedrohungen für Sicherheitsteams
Die Cyberakteure folgen nicht einem festen Drehbuch. Sie mischen Taktiken, springen zwischen den einzelnen Angriffsschritten hin und her und erfinden neue Ansätze, indem sie beispielsweise frische Zero-Day-Schwächen und -Vulnerabilities kombinieren. Daraus ergeben sich Millionen verschiedener Wege und Techniken einzubrechen, und nochmal so viele Möglichkeiten, diese neu zu kombinieren, zu noch unbekannten Taktiken.
So gelingt es Angreifern, Abwehrstrukturen und Sicherheitsteams zu täuschen. Und wenn die Akteure einmal eingedrungen und ihre Feindaktionen ausgeführt haben, können sie massiven Druck auf ihre Opfer ausüben. Jüngst hat eine Gruppe die Zielfirma der Ransomware-Attacke bei der US-Börsenaufsicht SEC gemeldet, weil das Opfer kein Lösegeld zahlen wollte.
IT-Ausfall: Startpunkt Mittelalter
Beim Krisenmanagement wird massiv unterschätzt, wie sehr ein erfolgreicher Cyberangrifff die Möglichkeiten der Zielfirma beschneidet. Man geht oft davon aus, dass sich die Teams zusammentelefonieren, in Meetings abstimmen und ihre Sicherheitsanalysen und -tools starten können.
Im Ernstfall bei einem erfolgreichen Ransomware-Angriff ist aber alles verschlüsselt und ausgefallen - vom Zugangsserver der physischen Zugangskontrolle über die VoIP Systeme bis hin zu allen IT-Diensten und -Werkzeugen. Bei einem massiven Vorfall sind alle Mitarbeiter, Partner und Kunden isoliert und niemand weiß, was der andere tut. Mitarbeiter können keine Türen öffnen, um in Gebäude zu kommen oder Räume zu verlassen. Und sie können niemanden anrufen, da die VoIP-Systeme unten sind. Firmen- und IT-leiter müssen unbedingt verstehen, dass dieses Mittelalter-Szenario realistisch ist. Und sie müssen diesem Szenario vorbeugen, indem sie eine isolierte Clean-Umgebung errichten.
Isoliertes Spielfeld
Der Clean-Room ist der Notfallkoffer für den Ernstfall und enthält alle elementaren Tools und Datensets, die eine Firma braucht, um den Notbetrieb weiterzubetreiben. Er liefert die Kerndienste, um miteinander zu kommunizieren, auf den Vorfall zu reagieren und die ersten wichtigen Analysemaßnahmen einzuleiten.
Der Cleanroom ist per Definition ein isolierter hochgesicherter Bereich, der vom Rest des Netzes getrennt ist. Die darunter liegende Infrastruktur sollte aus Immutable Storage bestehen und Zero-Trust-Prinzipien folgen. Alle Daten sollten verschlüsselt sein, sowohl beim Transport als auch bei der Lagerung. Die Daten-Security und -Management Plattform von Cohesity liefern all das und generieren dank ihrer Backup- und Disaster-Recovery-Dienste permanent Snapshots aller Produktionsdaten.
Der Cleanroom liefert neben lebenswichtigen Rettungsfunktionen einen weiteren großen Vorteil: Er ist das tägliche Testfeld für die IT Security Analysten, auf dem sie regelmäßig nach möglichen Angriffsspuren suchen können, um einen laufenden Angriff schon bei seiner Entwicklung aufzuspüren.
Wenn im Ernstfall ein Cybervorfall ersten Schaden anrichtet, können die Security-Teams im Cleanroom gleich an mehreren Kopien der Snapshots betroffener Systeme parallel arbeiten und gezielt nach Schwächen und Angriffsspuren suchen. Hilfreich ist, bei diesen Analysen auf externe Threat-Intelligence-Daten zugreifen zu können. Dienstleister wie Qualys protokollieren in Echtzeit, welche typischen Angriffstools und -mechanismen populäre Hackergruppen aktuell nutzen.
Cohesity importiert diese Informationen automatisch. Mit dem Wissen können IT-Security-Teams dann ihren weiteren Suchradius optimieren und gezielt nach diesen Spuren suchen. Eine Analyse der bereits betroffenen Produktionssysteme allein reicht bei weitem nicht aus, da Hacker ihre Einfallstore heimlich irgendwo im Netz platzieren. Um nur ein Beispiel zu nennen: Beim Krankenhaus Sky Lakes in Oregon wurde ein feindliches Objekt in der Active Directory versteckt, von dem aus es den Angreifern immer wieder gelang, die Ransomware in diesem Netz auszurollen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Analyse und Abwehr: Schwachstellen vor IT-Ausfall schließen und Produktionssysteme sichern
Am Ende dieser Analyse werden Sie verstehen, auf welche Weise welcher Schaden und welcher feindliche Code abgelegt wurde. Mit diesem elementaren Wissen können die Security-Teams dann die Regeln und Konfigurationen ihrer eigenen Abwehrschirme schärfen und diesen Einbruchsweg schließen. Parallel können Sie alle Angriffsartefakte von den Snapshots der betroffenen Produktionssysteme entfernen, Konfigurationen optimieren und fehlende Patches aufspielen. Ein Produktionssystem wird gehärtet, bevor es in die Produktionsumgebung transferiert wird.
IT-Ausfall: Vor der Zündung entschärfen
Der Cleanroom liefert neben diesen lebenswichtigen Rettungsfunktionen einen weiteren großen Vorteil: Er ist das tägliche Testfeld für die IT Security Analysten, auf dem sie regelmäßig nach möglichen Angriffsspuren suchen können, um einen laufenden Angriff schon bei seiner Entwicklung aufzuspüren. Ziel ist es, den laufenden Angriff vor dem End-Schritt, Nummer 14, im Mitre Attack Framework zu erkennen. Erst dann wird die Angriffs-Payload gezündet und Schaden entsteht, sei es durch einen Ransomware-, Wiper-Prozess oder Datenexfiltration.
Security Teams haben dann alle Optionen, den Angriff vor der Zündung zu entschärfen und die Angriffsartefakte zu beseitigen. Und sie haben all das Wissen, um ihre Abwehrschirme neu einzustellen und ihre Systeme zu härten, damit zumindest dieser eine Einbruchsweg nicht mehr funktioniert. Dieser Prozess ist ein niemals endender Kreislauf, der Zeit und Ressourcen braucht. Aber er wird Security Teams dabei helfen, das schlimmste Scenario nicht nur zu überstehen, sondern im Idealfall vor dem Eintreten zu verhindern.
James Blake ist Global Head of Cyber Resiliency GTM Strategy bei Cohesity.
:quality(80)/p7i.vogel.de/wcms/0c/65/0c651997aae3f269432ecab69f12e535/gasi-e-invoicing-adobestock-902850134-mitki-1000x563v1.jpeg "(Bild: © Gasi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/c8/15/c8158e65b8e9a0fab166729e8c74df52/digital-20business-20--201-1600x899v1.png "(Bild: Sage GmbH)")
:quality(80)/p7i.vogel.de/wcms/85/6d/856d85b787661e67159bda79b02f8ee5/inform-logimat-16-9-1297x729v1.jpeg "Inform zeigt auf der LogiMAT 2026 KI-Lösungen für Supply Chain, Produktion und Logistik. (Bild: Inform)")
:quality(80)/p7i.vogel.de/wcms/e3/25/e32536b242117b780ffc6d423542458e/hahnenkamm-stubn-streif-kitzbuehel-wine-oclock-aufmacher-640x360v1.jpeg "(Bild: WIN-Verlag/Heiner Sieger)")
:quality(80)/p7i.vogel.de/wcms/1d/ef/1def8868f8b42a11d18bd5e94167fd5e/adobestock-216443774-peterschreiber-media-hosting-plattformen-889x500v1.jpeg "(Bild: © peterschreiber.media/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/0e/860e222f7a06559b87d280c18d4a9132/cloud-kosten-zongyi-adobestock-1173924342-mitki-1200x675v1.jpeg "(Bild: © zongyi/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/62/d762f723c8f5836ff32165315e26529b/oracle-trends-oci-3-2-1400x788v1.jpeg "(Bild: © nurionstudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/8d/798d7510066a8b2838dd1555729f6353/rechenzentrum-real-adobestock-587469792-neu-900x506v1.jpeg "(Bild: © Real/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/90/1c/901c1c145f6408431c9d1ed47ae9a26d/quantencomputing-riverland-20studio-adobestock-829503049-mitki-1197x673v1.jpeg "(Bild: Riverland Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/b0/3ab031df7e7752b407e7228c769d3b3d/quantum-echoes-google-willow-999x562v1.jpeg "(Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/e6/ce/e6cecfa23e7a86aa1f4233bbf642a823/trend-20vision-20one-plattform-16-9-1287x724v1.jpeg "Die Konsole von Trend Vision One visualisiert die gesamte Ereigniskette über alle Sicherheitsstufen hinweg. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/f7/ad/f7adeaeebb22c641e8ac7223a4bc6b31/ki-nirusmee-adobestock-845057742-neu-1200x675v1.jpeg "(Bild: © Nirusmee/stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/59/9c/599c1b87712102a3adafd071642dc39e/cybersecurity-janniklas-adobestock-593901574-16-9-1100x618v1.jpeg "(Bild: © JanNiklas/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/d2/6ed25e8d3b980b1560d45aaa3d816fec/soc-vadym-adobestock-1337750513-mitki-1200x675v1.jpeg "(Bild: © Vadym/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/01/dc/01dce703d7aa4721610687fe395fce7d/quadient-gettyimages-16-9-1200x675v1.jpeg "(Bild: GettyImages)")
:quality(80)/p7i.vogel.de/wcms/89/39/8939bc93a42d35c013fedfc22670cab7/db-deutsche-20telekom-zentrale-16-9-1200x674v1.jpeg "(Bild: Deutsche Telekom Quantum Systems)")
:quality(80)/p7i.vogel.de/wcms/fe/42/fe42ccc4a4354fe0886f7e6dda391af3/ubtech-20robotics-walker-20s2-gro-c3-9f-2172x1221v1.jpeg "Das KI-gestützte Modell Walker S2 von UBTech Robotics ist für komplexe Aufgaben in Industrie und Logistik konzipiert. (Bild: UBTech Robotics)")
:quality(80)/p7i.vogel.de/wcms/d6/9a/d69ae32940bbee693a6ce74e845912f8/jaggaer-trends-202026-istock-2244567557-800x450v1.jpeg "Beschaffung im Wandel: Was autonome Agenten und resiliente Lieferketten im Jahr 2026 bewirken. (Bild: pcess609/ iStock.com)")
:quality(80)/p7i.vogel.de/wcms/3a/d6/3ad6ea137cead57bf9d1d9517dd5f8d7/stackit-sana-20kliniken-16-9-1749x983v1.jpeg "Sana Kliniken setzt auf die souveräne Cloud-Infrastruktur von Stackit. (Bild: Sana Kliniken AG)")
:quality(80)/p7i.vogel.de/wcms/94/eb/94eb9f2fa3eda7c475bbc15ab0a37d7e/digital-20health-sdecoret-adobestock-178705480-neu-999x562v1.jpeg "(Bild: © sdecoret/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/b6/24b68cce7fa55a4602ba4e9fd2745640/telekom-fraunhofer-20iais-schockraum-16-9-1208x679v1.jpeg "Deutsche Telekom, Fraunhofer IAIS und Kliniken der Stadt Köln entwickeln einen KI-Agenten für Unterstützung im Schockraum. (Bild: Generiert mit GPT-5)")
:quality(80)/p7i.vogel.de/wcms/ac/6a/ac6a24bddb3ad60f9ebfaf7de90c571c/doctolib-gesundheitserinnerung-screenshot-2380x1338v1.jpeg "Doctolib unterstützt die Gesundheitserinnerung für Früherkennungs- und Vorsorgetermine. (Bild: Doctolib)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/ca/71ca64d048c7d7568f1c66240fa0a736/esker-mcdermott-16-9-870x489v1.jpeg "(Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/ae/3caedaaf36a91e48aaa438039a0d6ce4/the-20world-20of-20work-202026-204-1280x720v1.jpeg "(Bild: International Workplace Group)")
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b918972f33e/logo-softeq.jpeg "logo-softeq (Softeq Development GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0c/18/0c18417f2f1bd3dafddc08a1b6232b91/adobestock-1073021429-pavel-kachanau-managed-detection-response-mdr-706x397v1.jpeg "adobestock-1073021429-pavel-kachanau-managed-detection-response-mdr-706x397v1 (Bild: Pavel Kachanau / Adobe Stock)")
:quality(80)/p7i.vogel.de/wcms/9f/19/9f1944cadbd8b988a699ce69b9b1b133/zscaler-cyber-resilienz-16-9v1.jpeg "zscaler-cyber-resilienz-16-9v1 (Bild: Zscaler)")