Es gibt Momente, in denen IT-Sicherheit plötzlich sehr real wird. Nicht als Strategiepapier oder PowerPoint-Präsentation - sondern als Situation, in der nichts mehr funktioniert. Die Systeme stehen. Die Produktion ist gestoppt. Die gesamte Organisation ist gelähmt. Und alle blicken auf dich.

Wir bei suresecure haben solche Momente erlebt. Mehr als einmal. Zwei große Sicherheitsvorfälle waren dabei besonders prägend. Sie haben uns nicht nur als Team geformt, sondern auch den Grundstein gelegt für das, was unsere Arbeit heute ausmacht: Incident Response, wie wir sie verstehen.

Fall 1: Ein Ransomware-Angriff legt einen Industriekonzern lahm

Ein Samstagabend. Andreas Papadaniil, Gründer und Geschäftsführer von suresecure, sitzt beim Abendessen, als eine E-Mail in seinem privaten Postfach aufpoppt. Der Absender: ein Unternehmen mit über 10.000 Mitarbeitenden. Die Nachricht ist kurz und eindeutig: Die Produktion steht komplett. Ursache: ein Verschlüsselungstrojaner in Kombination mit weiterer Schadsoftware. Kein Logging. Keine Netzwerksegmentierung. Keine Klarheit - aber Zeitdruck auf allen Ebenen.

„Ich hatte keinen Plan auf Papier. Aber ich wusste, dass ich jetzt liefern muss“, erinnert sich Andreas.

Innerhalb weniger Stunden ist er vor Ort. Noch in der Nacht entsteht aus dem Nichts ein erstes Team, Systeme werden isoliert, Malware-Indikatoren identifiziert. Die Infrastruktur ist verwundbar, aber nicht verloren. Sichtbarkeit wird aufgebaut, die Kontrolle Stück für Stück zurückgewonnen. Schon nach wenigen Tagen läuft die Produktion wieder an. Nach rund drei Monaten steht ein belastbares Sicherheitsfundament.

Fall 2: Weltweite Hotelkette komplett verschlüsselt

Einige Monate später der nächste Vorfall. Eine internationale Hotelkette, 20 Standorte, Hunderte individuelle Anwendungen - viele davon ohne Dokumentation. Wieder ein Angriff. Wieder die Ausgangslage: nichts geht mehr. Der Unterschied: Die Systeme sind weltweit verteilt, die Zeitpläne ambitioniert.

„In zwei Monaten muss das erste Hotel wieder Gäste empfangen.“

Ein Projektteam aus 30 Personen übernimmt. Es wird rund um die Uhr gearbeitet, über Zeitzonen hinweg, unter hoher Last. Es geht nicht nur darum, Systeme wiederherzustellen, sondern sie zu verbessern: neue Sicherheitsarchitekturen, technische Modernisierungen, Schulungen, Prozessanpassungen. Parallel entsteht ein Reporting auf Vorstandsebene. Nach neun Monaten ist die gesamte Kette wieder im Betrieb - sicherer als je zuvor.

„Wir wussten nicht, ob es funktioniert. Aber dass wir alles geben würden - das war klar.“

Was wir aus diesen Sicherheitsvorfällen gelernt haben

Diese beiden Vorfälle könnten unterschiedlicher kaum sein. Ein Industriekonzern mit klassischer On-Prem-Infrastruktur, eine global agierende Hotelgruppe mit individuell gewachsener IT-Landschaft. Doch in beiden Fällen wurde deutlich, was in der Realität wirklich zählt:

Tools allein reichen nicht. Entscheidend ist die Fähigkeit, unter Druck schnell die richtigen Entscheidungen zu treffen.
Incident Response ist Teamarbeit. Erfolg entsteht nicht durch Technik allein, sondern durch Menschen, Rollenverständnis und Kommunikation.
Erfahrung macht den Unterschied. Viele Konzepte funktionieren in der Theorie, aber nicht in der Hitze des Gefechts.
Transparenz schafft Vertrauen. Intern wie extern. Wie man kommuniziert, ist gerade im Krisenfall entscheidend.

Unsere heutige Stärke: aus Erfahrung gewachsen

Was wir heute unter Incident Response verstehen, basiert nicht auf Theorie oder Markttrends, sondern auf Erlebtem. Unser Portfolio ist in solchen Momenten entstanden. In Nächten im Rechenzentrum. In Gesprächen mit Vorständen unter Zeitdruck. In Situationen, in denen keine Schablone mehr hilft, sondern nur klares Handeln.

Wir wissen heute, was funktioniert, wenn alles auf dem Spiel steht. Und genau deshalb tun wir, was wir tun.

Mehr dazu im Podcast:

In der aktuellen Folge von Cybersecurity Basement sprechen Michael und Andreas ausführlich über beide Vorfälle.

Incident Response aus Erfahrung, nicht aus dem Lehrbuch