Angriff um 3:47 Uhr: Wie wir einen aktiven Einbruch in ein Produktionsnetz stoppten

Der Anruf, den niemand will

Es gibt Anrufe, die man sofort einordnet. Der Ton in der Stimme des IT-Verantwortlichen am anderen Ende der Leitung sagte alles: keine Panik, aber kontrollierte Anspannung. "Unser Monitoring schlägt an. Wir sehen Verbindungen nach außen, die keiner von uns aufgebaut hat. Ich glaube, wir haben jemanden im Netz."

3:47 Uhr. Das Unternehmen – ein mittelständischer Sondermaschinenbauer mit Standort im Münsterland, den wir hier bewusst nicht namentlich nennen – hatte vor einigen Monaten ein einfaches Netzwerk-Monitoring eingerichtet. Kein ausgewachsenes SIEM, aber ausreichend, um anomale Verbindungen zu einem unbekannten osteuropäischen Endpunkt sichtbar zu machen. Diese schlichte Investition sollte sich in dieser Nacht mehr als auszahlen.

Erste Minuten: Orientierung ohne Blindaktionismus

Die größte Gefahr in den ersten Minuten eines aktiven Incidents ist nicht der Angreifer – es ist die eigene Reaktion. Wer sofort alle Systeme herunterfährt, verliert die Forensik. Wer zu lange wartet, gibt dem Angreifer Zeit, tiefer einzudringen oder Daten zu exfiltrieren.

Unser erster Schritt war deshalb: nichts abschalten, alles beobachten. Wir schalteten uns per gesicherter Remote-Session auf den Monitoring-Server auf und sahen innerhalb von Minuten, was die Alarme ausgelöst hatte: Ein Windows-Server im Büronetzwerk baute alle 90 Sekunden eine verschlüsselte Verbindung zu einer IP-Adresse auf, die zu einem anonymisierten Hosting-Provider in Lettland gehörte. Das Verbindungsmuster war zu regelmäßig für menschliche Aktivität. Das war ein C2-Kanal – Command and Control. Jemand hatte Malware installiert, die auf Befehle wartete.

Was wir vorfanden: der Weg des Angreifers

In den folgenden zwei Stunden rekonstruierten wir den initialen Zugangspunkt. Ein Mitarbeiter hatte vier Tage zuvor eine E-Mail erhalten, die aussah wie eine Auftragsbestätigung eines bekannten Lieferanten. Im Anhang: ein Word-Dokument mit einem eingebetteten Makro. Der Mitarbeiter hatte die Makros aktiviert – ein Klick, der in Sekundenbruchteilen eine Verbindung zu einem Staging-Server aufbaute und eine erste Payload nachlud.

Vier Tage hatte der Angreifer Zeit gehabt. Was hatte er in dieser Zeit getan? Genau das war die beunruhigende Frage. Wir zogen die verfügbaren Logs – Windows-Eventlogs, Firewall-Protokolle, die Aufzeichnungen des Monitoring-Systems – und begannen, die Aktivitäten des Angreifers nachzuvollziehen:

• Tag 1 (Infektion): Erstzugang über den kompromittierten Rechner, Reconnaissance des lokalen Netzwerks mit Standard-Windows-Bordmitteln (net user, ipconfig, arp). Kein Alarm, weil das normale Admin-Tools sind.
• Tag 2: Credential-Dumping über ein Mimikatz-Derivat. Der Angreifer hatte sich NTLM-Hashes von zwei Domänennutzern gesichert, darunter einem IT-Mitarbeiter mit erhöhten Rechten. Lateral Movement begann – Zugriff auf zwei weitere Rechner im Netzwerk.
• Tag 3: Ruhephase. Keine nennenswerte Aktivität. Das ist typisch: viele professionelle Angreifer warten bewusst ab, um zu prüfen, ob ihre Präsenz entdeckt wurde.
• Tag 4 (Nacht unseres Anrufs): Erneute Aktivität. Versuch, auf einen Fileserver zuzugreifen, auf dem Fertigungspläne und Kundendaten lagen. Hier schlug das Monitoring an.

Die Entscheidung: Eindämmen oder Beobachten?

Um kurz nach 5 Uhr morgens standen wir vor einer taktischen Entscheidung. Wir wussten jetzt, wo der Angreifer war, was er bisher getan hatte – und dass er noch aktiv war. Wir hätten ihn noch weiter beobachten können, um mehr über seine Ziele zu erfahren. Aber der Versuch, auf den Fileserver zuzugreifen, änderte die Kalkulation.

Auf diesem Fileserver lagen neben Fertigungszeichnungen auch Kundendaten – Kontakte, Angebote, Lieferpläne. Ein Abfluss dieser Daten hätte das Unternehmen nicht nur in eine NIS2-Meldepflicht gebracht, sondern auch konkrete DSGVO-Konsequenzen ausgelöst. Wir empfahlen der Geschäftsführung, sofort einzudämmen. Die Entscheidung fiel in weniger als zwei Minuten.

Um 5:23 Uhr wurden die kompromittierten Konten gesperrt, die betroffenen Systeme vom Netz getrennt und der C2-Kanal auf Firewall-Ebene geblockt. Der Angreifer war draußen.

Die nächsten 24 Stunden: Forensik, Kommunikation, Wiederherstellung

Das Eindämmen war der einfache Teil. Was folgte, war strukturierte Arbeit unter Zeitdruck. Wir sicherten die forensischen Artefakte auf den betroffenen Systemen, bevor wir sie bereinigten – Image-Kopien, Speicherabbilder, Eventlog-Exporte. Diese Daten würden für die Dokumentation, eine mögliche BSI-Meldung und interne Nachforschungen gebraucht.

Parallel begannen wir mit dem Unternehmen, den Vorfall zu dokumentieren und die Meldepflichten zu prüfen. Waren personenbezogene Daten abgeflossen? Nach aktueller Einschätzung: nein. Der Angreifer hatte zwar Zugriff auf das Verzeichnis des Fileservers versucht, aber keine erfolgreiche Übertragung durchgeführt. Für die DSGVO-Meldepflicht war das relevant – und es war die Frage, auf die die Geschäftsführung sofort eine klare Antwort brauchte.

Bis zum Abend waren alle betroffenen Systeme neu aufgesetzt, Credentials vollständig rotiert und eine erste forensische Zusammenfassung fertig. Weniger als 16 Stunden nach dem Erstanruf war das Unternehmen operativ wieder voll handlungsfähig.

Was dieser Fall lehrt

Dieser Vorfall war kein außergewöhnlicher Angriff. Er war erschreckend gewöhnlich – eine Spear-Phishing-Mail, ein Standard-C2-Framework, laterale Bewegung über gestohlene Credentials. Genau das macht ihn so lehrreich, denn die meisten Angriffe auf den deutschen Mittelstand folgen exakt diesem Muster.

Was das Unternehmen gerettet hat, war keine hochentwickelte Technologie. Es waren drei Entscheidungen, die Monate zuvor getroffen worden waren:

1. Das Einrichten eines einfachen Netzwerk-Monitorings, das anomale Verbindungen sichtbar macht.
2. Das Definieren einer Notfall-Nummer und eines Bereitschaftskonzepts – statt zu hoffen, dass ein Vorfall nie eintritt.
3. Das Ablegen von Logs an einem zentralen, separaten System, das ein Angreifer nicht ohne Weiteres manipulieren kann.

Keiner dieser Punkte ist teuer. Keiner ist technisch komplex. Aber alle drei erfordern, dass man sich vorher damit beschäftigt hat – nicht um 3:47 Uhr, wenn der Anruf bereits kommt. Wenn Sie wissen wollen, wie Ihr Unternehmen in einem solchen Szenario dastehen würde, ist ein strukturiertes Incident-Response-Assessment der erste ehrliche Schritt.