Warum Vorbereitung und Führung über den Ausgang entscheiden
Allgäu | Cybersecurity
Als Digital Business Provider und AI-Enabler begleitet CANCOM Unternehmen in der gesamten DACH-Region an rund 80 Standorten – darunter auch in Kempten – bei der sicheren und zukunftsfähigen Gestaltung ihrer IT und unterstützt sie im Ernstfall mit erfahrenen Experten bei der strukturierten Bewältigung von Cyberkrisen. Wir haben mit Walter Wirl, Senior Business Consultant und Krisenmanager bei CANCOM, darüber gesprochen, wie Rapid Response in der Praxis funktioniert und worauf es im Ernstfall wirklich ankommt.
Wenn Sekunden zählen: Der Ernstfall
Allgäuer Wirtschaftsmagazin: Herr Wirl, können Sie einen Cybersecurity-Vorfall schildern und erklären, wie eine Rapid Response bei CANCOM aussieht?
Walter Wirl: Ein besonders kritischer Fall betraf ein mittelständisches Produktionsunternehmen, das durch einen Ransomware-Angriff vollständig lahmgelegt wurde. Neben verschlüsselten Systemen kam es zu einem massiven Datenabfluss – ein klassischer Double-Extortion-Angriff.
Entscheidend war das schnelle Handeln: Wir haben sofort einen Krisenstab mit der Geschäftsführung gebildet, Systeme isoliert und die Ausbreitung gestoppt. Parallel startete die forensische Analyse inklusive Beweissicherung, auch im Hinblick auf DSGVO-Meldepflichten. Die Wiederherstellung erfolgte priorisiert entlang der produktionskritischen Systeme. Eine Lösegeldzahlung konnte vermieden werden.
Genau für solche Situationen ist unser Rapid-Response-Ansatz da: Schäden minimieren, Handlungsfähigkeit sichern – idealerweise auf Basis guter Vorbereitung.
Die Rolle des Krisenmanagers
AWM: Welche Rolle übernehmen Sie persönlich als Krisenmanager?
Walter Wirl: Ich fungiere als zentrale Koordinationsstelle. Meine Aufgabe ist es, technische Maßnahmen, Management-Entscheidungen, rechtliche Anforderungen und Kommunikation zusammenzuführen.
Dazu gehört die Leitung des Krisenstabs, die Übersetzung technischer Fakten für die Geschäftsführung sowie die Abstimmung mit Datenschutzbehörden, Strafverfolgungsbehörden und Kommunikationsverantwortlichen.
Das Ziel ist ein strukturierter, nachvollziehbarer Entscheidungsprozess – auch unter extremem Zeitdruck und bei unvollständiger Informationslage.
Unterschiede zwischen Branchen
AWM: Sie begleiten Cyberkrisen in vielen Branchen. Wo liegen die größten Unterschiede?
Walter Wirl: Die Prioritäten unterscheiden sich deutlich. In der Industrie steht die Wiederaufnahme der Produktion im Fokus, im Gesundheitswesen der Schutz sensibler Patientendaten und die Aufrechterhaltung der Versorgung.
Finanz- und KRITIS-Unternehmen unterliegen besonders strengen regulatorischen Vorgaben. Gemeinsam ist allen Branchen jedoch der enorme Entscheidungsdruck, die hohe Dynamik des Angriffs und die Notwendigkeit sauberer Forensik sowie klarer, abgestimmter Kommunikation.
Kommunikation als Schlüssel
AWM: Wie gelingt die Kommunikation zwischen Technik und Management in solchen Situationen?
Walter Wirl: Indem man konsequent übersetzt. Technische Details müssen so aufbereitet werden, dass ihre geschäftlichen, rechtlichen und reputativen Auswirkungen klar werden.
Wir arbeiten mit festen Kommunikationsstrukturen, regelmäßigen Lagebildern und prägnanten Management-Summaries. Transparenz – auch über Unsicherheiten – ist entscheidend, um Vertrauen zu schaffen und fundierte Entscheidungen zu ermöglichen.
Verantwortung der Geschäftsführung
AWM: Welche Verantwortung trägt die Geschäftsführung während einer Cyberkrise?
Walter Wirl: Eine sehr große. Cyberangriffe sind keine reine IT-Störung, sondern eine unternehmerische Krise.
Die Geschäftsführung muss Prioritäten setzen, Risiken abwägen und Entscheidungen treffen, etwa zu Kommunikation, Wiederanlauf oder rechtlichen Verpflichtungen.
Unternehmen, in denen die Führung aktiv eingebunden ist und Verantwortung übernimmt, kommen deutlich schneller und besser durch solche Situationen.
Handlungsempfehlungen im Ernstfall
AWM: Was raten Sie Unternehmen im akuten Ernstfall?
Walter Wirl: Ruhe bewahren, den Krisenstab aktivieren und betroffene Systeme isolieren und – falls möglich – pausieren, aber nicht unüberlegt abschalten.
Beweissicherung hat höchste Priorität. Backups dürfen nur kontrolliert eingesetzt werden. Externe Spezialisten sollten früh eingebunden werden. Von Lösegeldzahlungen raten wir ab.
Ein strukturierter Ansatz ist entscheidend – und der beginnt idealerweise lange vor dem Angriff.
Prävention als größter Hebel
AWM: Wie wichtig ist Prävention aus Ihrer Sicht?
Walter Wirl: Sie ist der größte Hebel. Risikoanalysen, Notfall- und Kommunikationspläne, funktionierende Backups, Awareness-Trainings und realistische Krisenübungen entscheiden darüber, ob ein Angriff zur existenziellen Bedrohung wird – oder beherrschbar bleibt.
KI im Krisenmanagement
AWM: Und KI im Krisenmanagement – Chance oder Risiko?
Walter Wirl: Beides. Als konkretes Beispiel sei hier die Zusammenfassung und Strukturierung von Inhalten mittels KI genannt. Diese Funktionen sind gerade in stressigen Krisensituationen eine große Erleichterung, aber nicht immer fehlerfrei – Prüfung ist Pflicht!
Kurz zusammengefasst
Cyberkrisen erfordern schnelle Entscheidungen, klare Verantwortlichkeiten und strukturierte Prozesse. Wer vorbereitet ist und Führung übernimmt, minimiert Schäden und sichert die Handlungsfähigkeit.
Nützliche Links
- CANCOM GmbH
- Allgäuer Wirtschaftsmagazin – Digitalisierung & IT
- Allgäuer Firmenportal – Unternehmen entdecken
- BSI – Cybersecurity in Deutschland
Autor: Allgäuer Wirtschaftsmagazin
Bildnachweis: CANCOM GmbH
Häufige Fragen zu diesem Thema
Was ist eine Cyberkrise?
Eine Cyberkrise ist ein schwerer IT-Sicherheitsvorfall, der die Handlungsfähigkeit eines Unternehmens gefährdet.
Was bedeutet Rapid Response?
Schnelles und strukturiertes Eingreifen, um Schäden zu begrenzen und Systeme wiederherzustellen.
Warum ist die Geschäftsführung so wichtig?
Weil Cyberangriffe unternehmerische Krisen sind, die strategische Entscheidungen erfordern.
Welche Fehler sollten Unternehmen vermeiden?
Unkoordiniertes Handeln, fehlende Beweissicherung und vorschnelle Entscheidungen.
Wie kann man sich vorbereiten?
Durch Notfallpläne, Backups, Schulungen und regelmäßige Krisenübungen.
