Cybervorfall & Datenleck: Was ein aktueller Fall über echte Risiken verrät

Cyber­vor­fäl­le sind längst All­tag – aber man­che Fäl­le zei­gen beson­ders ein­drucks­voll, wie groß die Dis­kre­panz zwi­schen offi­zi­el­ler Dar­stel­lung und tat­säch­li­chen Ereig­nis­sen sein kann.

Ein gro­ßes deut­sches Han­dels­un­ter­neh­men aus dem Pre­mi­um­seg­ment (Name? Geschenkt.) hat uns kürz­lich ein Para­de­bei­spiel gelie­fert: Eine Mischung aus dra­ma­ti­scher Unter­neh­mens­mit­tei­lung, mini­ma­lis­ti­schen Betrof­fe­nen­in­for­ma­tio­nen und einer Hacker-„Gegen­dar­stel­lung“, die in punc­to Detail­tie­fe wohl fast schon lite­ra­ri­sche Qua­li­tä­ten hat.

Das Ergeb­nis: Ein Fall, der viel über Unter­neh­mens­kom­mu­ni­ka­ti­on, Daten­lecks und Infor­ma­ti­ons­si­cher­heit ver­rät – und noch mehr dar­über, was man hät­te bes­ser machen können.

Der Cyber­vor­fall: Die offi­zi­el­le Dar­stel­lung eines deut­schen Handelsunternehmens

Die Unter­neh­mens­mel­dung folgt einem inzwi­schen ver­trau­ten Muster:

• Wir wur­den Opfer eines Cyberangriffs.
• Wir haben sofort alle erfor­der­li­chen Maß­nah­men ergriffen.
• Es kam zu kei­ner Verschlüsselung.
• Eini­ge per­so­nen­be­zo­ge­ne Daten könn­ten betrof­fen sein.
• Wir arbei­ten eng mit den Behör­den zusammen.
• Unse­re Sys­te­me sind sicher.

Das liest sich wie ein Text­bau­stein, der schon lan­ge in der Schub­la­de lag: pro­fes­sio­nell for­mu­liert, mög­lichst beru­hi­gend und mit dem sub­ti­len Sub­text „Alles halb so wild“ bzw. wie die berühm­te Sze­ne aus Die nack­te Kano­ne, in der vor einer explo­die­ren­den Kulis­se beru­higt wird: “Bit­te gehen Sie wei­ter. Es gibt nicht das Gerings­te zu sehen, Leu­te.” (Link zu Youtube)

Der Ton­fall erin­nert an jeman­den, der bei einem bren­nen­den Toas­ter erklärt: „Es knis­tert nur ein biss­chen, wir haben’s im Griff.“

Infor­ma­ti­on an Betrof­fe­ne: DSGVO-Pflicht erfüllt – Trans­pa­renz even­tu­ell eher nicht

Wer als Kund:in eine sol­che Nach­richt erhält, erfährt:

• dass „poten­zi­ell“ Daten betrof­fen sein könnten,
• wel­che Daten das sind, bleibt unklar,
• war­um es pas­siert ist, bleibt unklar,
• wann es pas­siert ist, bleibt unklar.

Also alles wie immer, wenn man ver­sucht, DSGVO-Pflich­ten zu erfül­len, ohne wirk­lich viel zu sagen.

Eine Bot­schaft kommt zuver­läs­sig an: „Hier ist etwas pas­siert, aber wir möch­ten ungern ins Detail gehen.“

Was die Hacker behaup­ten: Daten­leck, lan­ger Zugang, meh­re­re Terabyte

Dann äußern sich plötz­lich die Angrei­fer. Und sie tun das sel­ten leise.

In die­sem Fall mel­den sie sich mit einer „Gegen­dar­stel­lung“ im Dark­net, die inhalt­lich deut­lich unge­müt­li­cher klingt:

• Sie hät­ten mona­te­lang unbe­merk­ten Zugang gehabt.
• Sie hät­ten meh­re­re Tera­byte Daten exfiltriert.
• Es habe gar kei­nen klas­si­schen Angriff gebraucht – angeb­lich hät­ten vie­le Sys­te­me seit Jah­ren kei­ne Updates erhalten.

Die Art, wie Angrei­fer kom­mu­ni­zie­ren, folgt einem ein­fa­chen öko­no­mi­schen Prin­zip: Je pein­li­cher für das Unter­neh­men, des­to glaub­wür­di­ger für den Markt.

Ob alles stimmt? Unklar. Aber die Dis­kre­panz ist so groß, dass bei­de Ver­sio­nen unmög­lich gleich­zei­tig wahr sein können.

War­um die Wahr­heit zwi­schen den Ver­sio­nen pro­ble­ma­tisch ist

Hier liegt der eigent­li­che Kern des Pro­blems: Die Lücke zwi­schen offi­zi­el­ler Unter­neh­mens­mit­tei­lung und dem Hacker-State­ment ist das eigent­li­che Risi­ko – nicht der Angriff selbst.

Denn aus Sicht von Daten­schutz und Infor­ma­ti­ons­si­cher­heit bedeu­ten sol­che Widersprüche:

• man­geln­de Transparenz,
• unkla­re Faktenlage,
• ggf. feh­len­des Monitoring,
• unzu­rei­chen­de Incident-Response-Prozesse.

Oder, wie man es weni­ger höf­lich for­mu­lie­ren könn­te: „Nicht jeder Angriff ist wirk­lich ein Angriff. Manch­mal ist es nur ein Log­in – aber der tut dann rich­tig weh.“

Emp­feh­lun­gen für Unter­neh­men und Behör­den: So kom­mu­ni­ziert man einen Cyber­an­griff besser

Auch Nor­men wie BSI IT-Grund­schutz 200–4 Busi­ness Con­ti­nui­ty Manage­ment (kos­ten­lo­ser Down­load beim BSI) adres­sie­ren den Umgang mit inter­ner und exter­ner Kom­mu­ni­ka­ti­on im Not- und Krisenfall.

Ehr­lich­keit schlägt Beruhigungslyrik

Betrof­fe­ne erken­nen Phra­sen. Sie erken­nen aber auch kla­re, kon­kre­te Fak­ten. Wer sau­ber kom­mu­ni­ziert, behält das Ver­trau­en — wer ver­schlei­ert, ver­liert es. Im Zwei­fel schlecht für die müh­sam und teu­er auf­ge­bau­te Mar­ke. Ok, als Kom­mu­nal­ver­wal­tung eher egal. Kein Bür­ger zieht des­we­gen in eine ande­re Gemein­de – lei­der. Aber damit wohl­füh­len? Muss man können.

Inci­dent-Respon­se-Doku­men­ta­ti­on ist kein Feigenblatt

Betrof­fe­ne Orga­ni­sa­tio­nen, aber auch Ermitt­lungs­be­hör­den brau­chen nach­voll­zieh­ba­re Ant­wor­ten auf Fra­gen wie:

• Wann begann der Vorfall?
• Wie lan­ge lief er?
• Wel­che Daten und Sys­te­me waren betroffen?
• Wie konn­te es zu dem Vor­fall kommen?
• Wel­che TOMs haben ver­sagt – und warum?

Ohne ech­te Doku­men­ta­ti­on gibt es kei­ne ech­te Kri­sen­be­wäl­ti­gung. Denn ein nicht unwe­sent­li­cher Teil der Arbeit beginnt erst nach der eigent­li­chen Kri­sen­be­wäl­ti­gung. Näm­lich die Vor­sor­ge, damit sich so etwas hof­fent­lich nicht wiederholt.

Angrei­fer grei­fen sel­ten an – sie log­gen sich ein

Die meis­ten „Cyber­an­grif­fe“ sind kei­ne film­rei­fe Hol­ly­wood-Sze­nen mit Hoo­die und Matrix-Hin­ter­grund. Es sind schlich­te Schwächen:

• feh­len­de oder unzu­rei­chen­de MFA,
• schwa­che Passwörter,
• ver­al­te­te Systeme,
• unzu­rei­chen­des Monitoring,
• feh­len­des Pri­vi­le­ged Access Management.

Wer glaubt, nur „hoch­pro­fes­sio­nel­le Angrif­fe“ sei­en gefähr­lich, irrt. Gefähr­lich sind feh­len­de Basics.

Trans­pa­renz gegen­über Betrof­fe­nen soll­te nor­mal sein

Kund:innen, Bürger:innen oder Mit­ar­bei­ten­de wol­len wissen:

• Bin ich kon­kret betroffen?
• Wel­che Daten?
• Was muss ich tun?

Je kla­rer die­se Fra­gen beant­wor­tet wer­den, des­to gerin­ger ist der Repu­ta­ti­ons- und Haftungsschaden.

TOMs müs­sen leben – nicht nur existieren

Pen-Tests (waren es über­haupt wel­che, oder nur Schwach­stel­len-Scans?), Schu­lun­gen, Poli­cy-Doku­men­te, Pass­wort­vor­ga­ben – alles wert­los, wenn es nicht regel­mä­ßig auf Wirk­sam­keit geprüft und ange­passt wird. Ein Sicher­heits­kon­zept von ges­tern schützt nicht vor Angrif­fen von heute.

Fazit: Nie­mand ist sicher vor einem Daten­leck – aber Pro­fes­sio­na­li­tät macht den Unterschied

Cyber­vor­fäl­le pas­sie­ren. Über­all. Unter­neh­men und Behör­den sind nicht unfehl­bar – aber sie sind ver­ant­wort­lich für den Umgang damit.

Und gera­de des­halb gibt es zwei Arten von Reaktionen:

1. „Wir sagen das Nötigs­te und hof­fen, dass es reicht.“
2. „Wir sagen die Wahr­heit – pro­fes­sio­nell und transparent.“

Vari­an­te 2 wirkt glaub­wür­dig, reif, ver­ant­wor­tungs­be­wusst – und schafft Vertrauen.

Vari­an­te 1 wirkt wie der Ver­such, den Deckel auf einen Topf zu drü­cken, wäh­rend der Inhalt längst überkocht.

Und eine klei­ne Neben­be­mer­kung: Angrei­fer schwei­gen nicht. Sel­ten bzw. nie, wenn sie sich in Ihrer Hacker-Ehre getrof­fen füh­len. Spä­tes­tens sie erzäh­len die ande­re Ver­si­on des Vorfalls.

Quel­le: https://​www​.born​ci​ty​.com/​b​l​o​g​/​2​0​2​5​/​1​0​/​2​1​/​c​y​b​e​r​-​v​o​r​f​a​l​l​-​b​e​i​-​c​h​r​i​s​t​-​g​r​o​u​p​-​j​u​w​e​l​i​e​r​e​-​a​n​g​r​e​i​f​e​r​-​m​e​l​d​e​n​-​s​i​ch/

Trans­pa­renz­hin­weis /​ Ein­ord­nung zur Quelle

Die­ser Bei­trag basiert auf einer Aus­wer­tung öffent­lich ver­füg­ba­rer Fach­quel­len sowie aus­ge­wähl­ter Fach­blogs und IT-Sicher­heits­por­ta­le. Die bei­spiel­haft beschrie­be­nen Kom­mu­ni­ka­ti­ons­mus­ter und Aus­sa­gen der Angrei­fer­sei­te ent­stam­men unter ande­rem gut doku­men­tier­ten Sekun­där­quel­len, dar­un­ter [die Auf­ar­bei­tung im Born­Ci­ty-Blog (https://​www​.born​ci​ty​.com/​b​l​o​g​/​2​0​2​5​/​1​0​/​2​1​/​c​y​b​e​r​-​v​o​r​f​a​l​l​-​b​e​i​-​c​h​r​i​s​t​-​g​r​o​u​p​-​j​u​w​e​l​i​e​r​e​-​a​n​g​r​e​i​f​e​r​-​m​e​l​d​e​n​-​s​i​ch/)]. Die voll­stän­di­ge Ori­gi­nal­quel­le (Gegen­dar­stel­lung im Dark­net) ist öffent­lich nicht frei zugäng­lich; die wesent­li­chen Kern­aus­sa­gen wur­den aber dort recher­chiert und in Fach­por­ta­len jour­na­lis­tisch aufbereitet.

Alle Bei­spie­le und Zita­te im Bei­trag ste­hen stell­ver­tre­tend für typi­sche Abläu­fe und Kom­mu­ni­ka­ti­ons­mus­ter, wie sie im Herbst 2025 tat­säch­lich beob­ach­tet wer­den konn­ten. Die bewuss­te Anony­mi­sie­rung des betrof­fe­nen Unter­neh­mens dient der Ver­sach­li­chung. Ziel ist es, auf struk­tu­rel­le Her­aus­for­de­run­gen und Best Prac­ti­ces im Umgang mit Cyber­vor­fäl­len und Daten­schutz­ver­let­zun­gen hinzuweisen.

Anmer­kung zum Stil

Der kri­ti­sche, teils iro­ni­sche Schreib­stil die­ses Bei­trags ist gezielt gewählt, um die Lücke zwi­schen Selbst- und Fremd­bild in der Cyber-Kri­sen­kom­mu­ni­ka­ti­on poin­tiert sicht­bar zu machen. Die Absicht ist nicht, ein­zel­ne Orga­ni­sa­tio­nen bloß­zu­stel­len, son­dern kon­kre­te Ver­bes­se­rungs­an­sät­ze im Umgang mit Cyber­vor­fäl­len deut­lich her­aus­zu­ar­bei­ten. Wer sich in den beschrie­be­nen Mus­tern wie­der­fin­det: Will­kom­men im Club.

Cyber­an­grif­fe die­ser Art gehö­ren 2025 lei­der zum All­tag in Deutschland

Wer sich in Bezug auf Not­fall- und Busi­ness Con­ti­nui­ty Manage­ment bes­ser auf­stel­len will, dem legen wir unse­re Kur­se zum Zer­ti­fi­zier­ten BCM Prak­ti­ker (IT-Grund­schutz) an der a.s.k. Aka­de­mie ger­ne ans Herz. Sie benö­ti­gen prag­ma­ti­sche Unter­stüt­zung bei Ein­füh­rung und Betrieb eines BCM? Dann spre­chen Sie uns doch ein­fach an.