Sie sind der CISO. Die Ransomware hat vor drei Stunden zugeschlagen. Die 24-Stunden-Meldefrist läuft bereits. Jede Entscheidung, die Sie in der nächsten Stunde treffen, wird von einer Aufsichtsbehörde, einer Vorstandsvorsitzenden mit persönlicher Haftung und einer kriminellen Gruppe geprüft, die genau weiß, was Ihre Daten wert sind.
340.000 Datensätze. 24 Stunden. Ihr Name auf der Meldung.
Ihre Rolle
Alex Reeves
CISO bei Meridian Energy Group — einem mittelständischen Energieunternehmen, das kritische Infrastruktur in Deutschland und den Niederlanden betreibt. 2.000 Beschäftigte. 340.000 Privatkunden für Erdgas. Wesentliche Einrichtung im Sinne der NIS2. Ihr Name steht auf jeder Cybersicherheitsrichtlinie, die der Vorstand genehmigt hat.
Montag, 6:00 Uhr. Ihr Telefon hat Sie aus dem Schlaf gerissen. Drei Wörter vom SOC-Analysten: „Es ist Ransomware.“ Drei Produktionsserver. Sie stehen noch in der Küche. Das Büro ist 22 Minuten entfernt.
Vor dem Start
So funktioniert das Szenario
Dies ist ein Entscheidungsszenario. Sie treffen drei Entscheidungen, mit denen echte CISOs in den ersten Stunden eines live laufenden Ransomware-Vorfalls konfrontiert sind. Es gibt keine sichere Option. Jede Entscheidung schließt eine weitere Tür. Ihre Entscheidungen prägen, was mit Ihrem Unternehmen, Ihrer Vorstandsvorsitzenden, einem 74-jährigen Kunden in Groningen und Ihnen selbst geschieht.
Die 4 Interessengruppen-Balken (oben rechts)
Aufsichtsbehörde
Betrieb
Vorstand
Rechtsabteilung
Jeder Balken startet bei 50 %. Ihre Entscheidungen verändern sie. Es gibt kein Ergebnis, bei dem alle zufrieden sind. Das ist der Kern der Sache.
24-Stunden-Frist
NIS2 verlangt eine Frühwarnung an das CSIRT innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls. Die Uhr lief seit 6:04 Uhr. Sie stoppt nicht, während Sie nachdenken.
Gesetzliche Verweise
Artikelverweise erscheinen im Text — klicken Sie darauf, um den genauen NIS2-Wortlaut zu lesen. Sie müssen diese verstehen, um zu beurteilen, ob Ihre Entscheidungen vertretbar sind.
Was Sie wissen müssen
NIS2-Vorfallmeldung — Was das Gesetz tatsächlich verlangt
Artikel 23 — Dreistufige Meldung
24 Std.Frühwarnung an CSIRT — was Sie bisher wissen. Unvollständig ist akzeptabel. Zu spät ist es nicht.
72 Std.Incident-Meldung — erste Schweregradeinsätzung, Umfang und Kompromittierungsindikatoren
Das Leitungsorgan haftet persönlich für die Genehmigung und Überwachung der Cybersicherheits-Risikomanagementmaßnahmen. Einzelne Vorstandsmitglieder können sanktioniert werden. Sie müssen sofort informiert werden — nicht vor schlechten Nachrichten geschützt werden, bis Sie eine saubere Geschichte haben.
Durchsetzung
Wesentliche Einrichtungen drohen Bußgelder bis zu €10 Mio. oder 2 % des weltweiten Jahresumsatzes. Die Frühwarnung erfordert keine Gewissheit. Sie erfordert Schnelligkeit. Melden Sie, was Sie wissen. Aktualisieren Sie, wenn Sie mehr erfahren. Die 24-Stunden-Frist interessiert sich nicht für Ihren Untersuchungszeitplan.
06:03:15 UTC · DLP-SENTINEL · Indikatoren für Datenexfiltration erkannt
HOCH
Laterale Bewegung — PROD-DB-03 → OT-GATEWAY-01
06:03:58 UTC · NDR-VECTRA · Sondierung der OT-Netzwerkgrenze
MITTEL
Anomaler ausgehender Datenverkehr — 2,4 GB an externe IP übertragen (185.xx.xx.xx)
06:01:22 UTC · FW-PALOALTO · Verbindung seit 47 Minuten aktiv
Vier Warnungen in unter zwei Minuten. Drei Produktionsserver verschlüsselt. Die laterale Bewegung sondiert OT-GATEWAY-01 — die Grenze zum Gasverteilungs-Leitsystem. Wenn das fällt, ist das kein Abrechnungsproblem mehr.
Ihr SOC-Analyst spricht schnell. Dann vibriert Ihr Telefon. Signal-Nachricht. Unbekannte Nummer.
Wir befinden uns in Ihrem Netzwerk. Wir haben Ihre Kundendatenbank. 340.000 Datensätze. Namen. Privatadressen. Zahlungsdaten. Gasverbrauchshistorie. Wir haben Ihre Abrechnungsserver und Ihr Betriebsplanungssystem verschlüsselt.
Sie haben 72 Stunden. Anweisungen folgen.
— SHADOWVAULT
Sie sitzen noch im Auto. 19 Minuten bis zum Büro. Sie lesen es zweimal. Sie blüffen nicht über die OT-Sondierung — dieses Detail steht in keiner öffentlichen Einreichung. Sie waren lange genug im Netzwerk, um es zu kartieren.
Ihr Telefon klingelt. Tomás Vidal, Leiter Betrieb. Er ist bereits im Werk. Er klingt schon, als hätte er nicht geschlafen.
Tomás Vidal — Leiter Betrieb
„Die Abrechnung ist ausgefallen. Komplett. Keine Zahlungen, keine Rechnungen. Das Betriebsplanungssystem ist gesperrt. 14 Außendiensttechniker sitzen gerade in ihren Fahrzeugen ohne Arbeitsaufträge.“
„50.000 € pro Stunde. Das sind unsere Verluste. Also sagen Sie mir — wann können Sie die Systeme wiederherstellen?“
Sie „Wenn ich diese Server beeinträchtige, bevor die Forensik dort war, verlieren wir die Beweise. Wir würden nie herausfinden, wie sie hereingekommen sind.“
Tomás „Ich interessiere mich nicht dafür, wie sie hereingekommen sind. Ich kümmere mich um meine Techniker. Ich kümmere mich um 340.000 Kunden, die ihre Konten nicht einsehen können. Geben Sie mir Systeme.“
Tomás „Stefan Brandt — seit neun Jahren bei uns — sitzt in Groningen mit einer vollen Besatzung und ohne Arbeitsaufträge. Er hat mich um 6:15 Uhr angerufen. Sein Team erledigt Notfallreparaturen an Gasleitungen. Wenn heute ein Leck auftritt und wir ihn nicht losschicken können — das ist kein IT-Problem. Das ist ein Sicherheitsvorfall.“
Entscheidung 1 von 3 — Priorität der Incident Response
Drei Server verschlüsselt. 340.000 Datensätze auf einem System, das Sie nicht mehr vollständig kontrollieren. OT-Grenze wird sondiert. 50.000 € bluten pro Stunde ab. Ihr SOC-Team hat ein Set Hände. Es kann forensische Beweise sichern oder mit der Wiederherstellung beginnen. Beides gleichzeitig riskiert eine Kontamination der Beweiskette. Sie müssen wählen.
Zuerst Beweise sichern, dann eindämmen
Forensik erstellt Server-Images, bevor irgendjemand sie berührt. Saubere Beweise. Sie kennen den Einstiegspunkt. Der Betrieb bleibt noch 4-6 Stunden offline. Tomás wird Sie dafür hassen.
Sofort eindämmen — isolieren und aus Backups wiederherstellen
Infizierte Server löschen, aus Backups wiederherstellen. Betrieb in 2-3 Stunden wieder einsatzbereit. Tomás bekommt seine Techniker zurück. Die forensischen Beweise sind weg. Und damit jede Möglichkeit, der Aufsichtsbehörde zu erklären, wie sie hereingekommen sind.
Team aufteilen — Forensik auf Server 1, Wiederherstellung Server 2-3
Hälfte Ihres Teams für Forensik, Hälfte für Wiederherstellung. Keinem Team stehen alle Ressourcen zur Verfügung. Sie erhalten teilweise Beweise und eine teilweise Wiederherstellung. Und der Angreifer beobachtet möglicherweise noch von irgendwo im Netzwerk.
Sie
„Niemand rührt diese Server an, bis die Forensik saubere Images hat. Ich weiß, was das kostet, Tomás.“
Tomás „Sechs Stunden. Sie bitten mich, 300.000 € zu verlieren, damit Ihr Team einen Tatort fotografieren kann.“
Sie „Ich bitte Sie, mir zu helfen, die Tür zu finden, durch die sie hereingekommen sind. Denn wenn wir das nicht tun, werden sie sie wieder benutzen.“
Die Forensik findet den Einstiegspunkt in unter drei Stunden. Ein kompromittiertes VPN-Zugangsdaten eines Drittanbieter-Wartungsunternehmens — einer Firma namens Grenzmann IT Services. Ihr Zugriffstoken war gültig. Der erste Exploit lief um 02:17 Uhr, vier Stunden bevor das SOC ihn erkannte. Ohne das Server-Image wäre diese Spur verschwunden.
Um 9:47 Uhr erhält der Kundendienst einen Anruf von Elke Jansen aus Groningen. Ihre Lastschrift wurde abgelehnt. Das Abrechnungssystem war noch ausgefallen, als die Bank ihre Zahlung verarbeitete. Sie ist 74 Jahre alt. Die Überziehungsgebühr beträgt 35 €. Sie will wissen, wer dafür zahlt.
Warum das vertretbar war
Artikel 23 verlangt, dass der Abschlussbericht die Grundursache enthält. Ohne forensische Images können Sie diese Frage nicht beantworten. Die Aufsichtsbehörde wird fragen. Die Kosten von 300.000 € durch die verzögerte Wiederherstellung sind real — aber ein Bruchteil der 10-Millionen-Euro-Höchststrafe für einen unvollständigen Bericht, und nichts im Vergleich dazu, den Einstiegspunkt für den nächsten Angriff offen zu lassen.
+3 Aufsichtsbehörde | -1 Betrieb
Sie
„Löschen und wiederherstellen. Betrieb wieder aufnehmen.“
Tomás „Endlich vernünftig.“
Abrechnung kommt um 9:30 Uhr wieder online. Stefans Team bekommt seine Arbeitsaufträge. Die Lastschrift von Elke Jansen wird trotzdem abgelehnt — das System war ausgefallen, als die Bank ihre Zahlung verarbeitete. Sie erhält eine Überziehungsgebühr. Niemand ruft sie an, um es zu erklären.
Zwei Wochen später stellt Dr. Petra Lindström beim NCSC-NL eine einzige Frage: „Wie hat der Angreifer erstmaligen Zugang zu Ihrem Netzwerk erlangt?“ Sie haben keine Antwort. Die Beweise befanden sich auf diesen Servern. Sie haben sie um 7:12 Uhr gelöscht.
Die Bweislücke
Artikel 23 verlangt, dass der Abschlussbericht die Grundursache enthält. Ohne die forensische Spur bleibt dieser Abschnitt Ihres Berichts leer. Die Aufsichtsbehörde kann die Untersuchung ohne diese Angabe nicht abschließen. Und ohne den Einstiegspunkt zu kennen, hindert nichts die Angreifer daran, durch dieselbe Tür zurückzukommen.
-1 Aufsichtsbehörde | +2 Betrieb
Erzähler
Sie teilen das Team auf. Die Forensik erhält teilweise Images — genug, um die Malware-Familie zu identifizieren, nicht den Einstiegspunkt. Zwei Server kommen wieder online. Der dritte ist zu stark beschädigt, um sauber wiederhergestellt zu werden. Er wird unter Quarantäne gestellt.
Tomás hat 60 % des Betriebs. Sie haben 40 % der Beweise. Beide Teams sind überlastet. Stefans Team bekommt einige Arbeitsaufträge um 10:15 Uhr zurück, aber nicht die Notfallreparaturwarteschlange. Niemand ist zufrieden, und der Angreifer hat möglicherweise noch eine Fußposition irgendwo, wo Sie noch nicht nachgeschaut haben.
Artikel 23 — Der Kompromiss, der niemanden zufriedenstellt
Das Aufteilen der Ressourcen wirkt wie eine ausgewogene Entscheidung. Sie ist es nicht. Artikel 23 verlangt, dass der Abschlussbericht die Grundursache enthält — und teilweise forensische Images können diese Frage nicht beantworten. Gleichzeitig bedeutet eine teilweise Wiederherstellung anhaltende Betriebsschäden und fortgesetzte regulatorische Exposition. Die Aufsichtsbehörde wird auch prüfen, ob Sie einen dokumentierten Incident-Response-Plan hatten, der Prioritäten definierte. Eine Ad-hoc-Aufteilung unter Druck deutet darauf hin, dass Sie keinen hatten oder ihm nicht folgten.
0 Aufsichtsbehörde | 0 Betrieb
Nebel des Krieges
Den Vorfall untersuchen
Die Reaktion läuft. Aber Sie wissen noch immer nicht, wie sie hereingekommen sind, ob die Daten das Netzwerk verlassen haben oder was Sie dem Vorstand rechtlich mitteilen müssen. Das Briefing ist in zwei Stunden.
Wählen Sie 3 von 6 Untersuchungslinien. Die anderen drei bleiben im Dunkeln.
0 / 3 ausgewählt
🔍
Server-Protokolle prüfen
System- und Zugriffsprotokolle abrufen, um genau nachzuverfolgen, wann der Angreifer sich bewegte und wie weit er kam
📞
CloudVault-Kundenbetreuer anrufen
Die kompromittierten Server laufen auf CloudVault-Infrastruktur. Herausfinden, was sie wissen — und was sie nicht sagen
💾
Backup-Integrität prüfen
Bestätigen, dass Ihre Backup-Sets sauber und wiederherstellbar sind. Wenn sie seit 11 Tagen drin sind, könnten die Backups ebenfalls kompromittiert sein
📤
Bestätigen, ob Daten das Netzwerk verlassen haben
Ausgehende Datenverlaufsprotokolle analysieren. Die SHADOWVAULT-Nachricht behauptet, sie hätten die Daten. Sie müssen wissen, ob das stimmt
👥
Kundenbenachrichtigungspflichten bewerten
Wie viele Datensätze sind wirklich gefährdet? Was verlangen DSGVO und NIS2, betroffenen Kunden mitzuteilen, und wann?
🚶
Strafverfolgungsbehörden kontaktieren
Bei der nationalen Cybercrimeeinheit melden und Geheimdienstinformationen anfordern. Sie haben SHADOWVAULT möglicherweise schon gesehen
● Was Sie erfahren haben
● Was Sie verpasst haben
⚠ Nebel des Krieges: Die Linien, die Sie nicht gezogen haben, sind noch aktiv. Sie wissen nur nicht, was dort steht. In einem echten Vorfall gehen Sie in jedes Briefing in dem Wissen, dass Ihnen etwas fehlt. Die Frage ist, ob das, was Ihnen fehlt, das Entscheidende ist.
Vorstandsvorsitzende — London
Helen Marsh
Helen Marsh ist in London. Gerade jetzt liest sie E-Mails und trinkt Kaffee und hat keine Ahnung, dass ihr Unternehmen unter einem Ransomware-Angriff steht. Letzten Oktober haben Sie eine Empfehlung für ein vollständiges Sicherheitsaudit eingereicht. Helen hat es verschoben — „Das Budget im Q1 ist knapp, lassen Sie uns das im März erneut besprechen.“ Es ist März. Das Audit hat nie stattgefunden.
Gemäß Artikel 23 müssen Sie dem CSIRT innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls eine Frühwarnung übermitteln. Die Uhr läuft seit 6:04 Uhr.
Gemäß Artikel 20 trägt Helen persönliche Haftung für die Cybersicherheits-Governance. Sie muss informiert werden. Die Frage ist nicht ob — sondern wann und wie viel Sie ihr mitteilen.
Entscheidung 2 von 3 — Vorstandsbenachrichtigung
Sie haben noch kein vollständiges Bild. Sie wissen nicht, wie schlimm die Datenexfiltration ist. Sie kennen den Einstiegspunkt nicht. Was Sie wissen: Helen haftet persönlich gemäß Artikel 20, und jede Stunde, in der Sie sie nicht informieren, verbringt sie in Verletzung ihrer eigenen Governance-Pflichten — ohne es zu wissen.
Helen jetzt anrufen — volle Offenlegung
Ransomware. Drei Server. 340.000 Datensätze möglicherweise kompromittiert. 24-Stunden-NIS2-Frist läuft. Sie wird diesen Anruf nicht genießen. Aber sie wird es von Ihnen hören, nicht von einer Aufsichtsbehörde.
Kontrollierte E-Mail senden — „Cybervorfall wird untersucht“
Technisch korrekt. Keine Erwähnung von Ransomware oder Kundendaten. Erfüllt die Meldepflicht auf dem Papier. Gibt Ihnen Zeit, das vollständige Bild zu erhalten, bevor das schwerere Gespräch fällig ist.
Bis 17 Uhr warten — Briefing mit dem vollständigen Bild
Um 17 Uhr haben Sie die forensischen Daten, die Exfiltrationsbestätigung und einen klaren Abhilfezeitplan. Ein sauberes Briefing. Aber Helen trägt 11 Stunden lang persönliche Haftung, ohne irgendetwas zu wissen.
Sie (am Telefon)
„Helen. Es ist Ransomware. Drei Produktionsserver verschlüsselt. Die Angreifer behaupten, 340.000 Kundendatensätze zu haben. Wir haben eine 24-Stunden-Frühwarnfrist gemäß NIS2. Ich rufe Sie jetzt an, weil Sie es jetzt wissen müssen.“
HelenStille. Vier Sekunden lang. „Was wissen wir? Nicht was wir denken — was wissen wir?“
Sie „Drei Server bestätigt verschlüsselt. Datenexfiltration ist wahrscheinlich, aber noch nicht bestätigt. OT-Grenze sondiert, aber nicht durchbrochen. Forensik arbeitet am Einstiegspunkt. Ich habe in drei Stunden mehr.“
Helen „Rufen Sie mich in drei Stunden an. Was brauchen Sie gerade von mir?“
Helen aktiviert den Krisenstab. Um 10 Uhr sind Rechtsabteilung, Kommunikation und der CEO informiert. Sie haben Rückendeckung von der Führungsebene. Helen ist nicht glücklich — aber sie ist informiert, und gemäß Artikel 20 ist das entscheidend.
Artikel 20 — Verantwortung des Leitungsorgans
Artikel 20 verlangt, dass das Leitungsorgan die Cybersicherheits-Risikomanagementmaßnahmen persönlich genehmigt und überwacht. Vorstandsmitglieder können bei Verstößen individuell sanktioniert werden. Helen sofort anzurufen — auch mit unvollständigen Informationen — gibt ihr die Möglichkeit zu handeln. Jede Stunde Verzögerung ist eine Stunde, in der sie persönliche Haftung trägt, ohne die Informationen, um ihr nachzukommen.
+3 Vorstand | +1 Rechtsabteilung
Erzähler
Sie senden die E-Mail um 7:58 Uhr: „Der Vorstand wird informiert, dass Meridian einen Cybervorfall bearbeitet, der die Abrechnungssysteme betrifft. Die Situation wird aktiv untersucht. Eine weitere Aktualisierung folgt.“
Helen liest sie um 8:15 Uhr. Sie ruft um 8:16 Uhr an.
Helen „»Cybervorfall« könnte eine Phishing-E-Mail bedeuten. Es könnte einen vollständigen Systemausfall bedeuten. Ich hafte persönlich nach diesem Gesetz und Sie haben mir zwei Sätze geschickt. Was passiert tatsächlich?“
Sie „Es ist Ransomware. Drei Produktionsserver. Sie behaupten, 340.000 Kundendatensätze zu haben.“
Helen „Ransomware. 340.000 Datensätze. Und Sie haben »Abrechnungssysteme« geschrieben. Alex, ich brauche Fakten, kein Kommunikationsmanagement. Wenn die Aufsichtsbehörde diese E-Mail sieht, sieht es so aus, als hätten Sie den Schweregrad vor mir verborgen.“
Artikel 20 — Transparenz ist keine Option
Die Sprache abzumildern wirkt wie Krisenmanagement. Gemäß Artikel 20 muss das Leitungsorgan in der Lage sein, Cybersicherheits-Risikomanagementmaßnahmen zu „genehmigen und zu überwachen“ — was genaue Informationen erfordert. „Cybervorfall, der die Abrechnungssysteme betrifft“ beschreibt eine Passwortsperre, keinen Ransomware-Angriff mit 340.000 gefährdeten Datensätzen. Wenn die Aufsichtsbehörde später Ihre Vorstandskommunikation prüft, ist diese E-Mail ein Beweis dafür, dass Sie kontrolliert haben, was der Vorstand wusste. Das ist keine Aufsicht. Das ist das Gegenteil davon.
-1 Vorstand | 0 Rechtsabteilung
Helen (17:00 Uhr)
„Der Angriff wurde um 6:04 Uhr erkannt. Es ist jetzt 17 Uhr. Sie wissen seit elf Stunden davon. Ich hafte persönlich gemäß Artikel 20 und Sie haben mich nicht angerufen. Sie haben mir keine E-Mail geschickt. Sie haben mir nichts geschickt.“
„Ich habe das Sicherheitsaudit, das Sie im Oktober eingereicht hatten, verschoben. Aus Budgetgründen. Wenn die Aufsichtsbehörde eine Untersuchung eröffnet — und das wird sie — und fragt, warum ich es verschoben habe, und ich sagen muss, ich wusste bis 17 Uhr desselben Tages nicht einmal, dass wir aktiv angegriffen wurden — wie sieht das für mich aus?“
Artikel 20 — Elf Stunden persönlicher Haftung
Jede Stunde zwischen Ihrer Kenntnis und Helens Kenntnis ist eine Stunde, in der das Leitungsorgan persönliche Haftung gemäß Artikel 20 trägt, ohne die Informationen, um darauf zu reagieren. Helen hat im Oktober ein Sicherheitsaudit verschoben. Sie ist persönlich für diese Entscheidung verantwortlich. Ohne zu wissen, dass das Unternehmen aktiv angegriffen wurde, konnte sie den Krisenplan nicht aktivieren, keinen Rechtsbeistand einschalten oder das verschobene Audit eskalieren. Die 11-stündige Verzögerung beschädigt nicht nur Ihre Beziehung — sie erzeugt eine dokumentierte Governance-Lücke, die die Aufsichtsbehörde prüfen wird, und die Helen nicht erklären kann.
-3 Vorstand | -1 Rechtsabteilung
Stunde 6 — Die Forderung
SHADOWVAULTs vollständige Anweisungen treffen um 12:09 Uhr ein:
Zahlung: €2.000.000 in Bitcoin.
Wallet: bc1q...7f3k
Frist: 60 Stunden verbleibend.
Als Nachweis unseres Zugangs haben wir 500 Kundendatensätze beigefügt. Namen. Privatadressen. Bankdaten. Überprüfen Sie sie.
Wenn die Zahlung nicht innerhalb von 60 Stunden eingeht, wird die gesamte Datenbank mit 340.000 Datensätzen in einem öffentlichen Forum veröffentlicht.
— SHADOWVAULT
Sie öffnen den Anhang. Sie überprüfen drei Datensätze stichprobenartig mit der Live-Datenbank. Alle drei stimmen überein. Elke Jansen steht auf Seite 3. Vollständiger Name, Heimadresse, IBAN, monatlicher Gasverbrauch seit 2019.
Die nächste Entscheidung hat ein Zeitlimit. Unentschlossenheit ist eine Entscheidung.
Entscheidung 3 von 3 — Das Lösegeld
2 Millionen Euro. 340.000 Datensätze. 500 als echt verifiziert. 60 Stunden, bis sie veröffentlicht werden. Die CSIRT-Frühwarnfrist läuft noch.
60
Automatische Auswahl „verhandeln“ bei Zeitablauf — Unentschlossenheit ist eine Entscheidung
Ablehnen und Strafverfolgungsbehörden einschalten
Keine Verhandlung. Frühwarnung beim CSIRT einreichen. Bei der nationalen Cyberkriminalitätseinheit melden. Die Daten könnten veröffentlicht werden — das können Sie nicht kontrollieren. Konzentrieren Sie sich auf das, was Sie können: Eindämmung, Beweissicherung, Kundenbenachrichtigung.
Verhandeln — Zeit kaufen während der Untersuchung
Einen Kanal zu SHADOWVAULT eröffnen. Die Uhr verlängern. Die Zeit nutzen, um die tatsächliche Exposition zu bestätigen, bevor die Entscheidung fällt. Riskant. Sie reden mit Kriminellen. Und jede Stunde, die Sie reden, ist eine Stunde, die Sie nicht beim CSIRT melden.
Lösegeld zahlen
2 Millionen Euro. Wenn sie ihr Wort halten, bleibt die Datenbank privat. Wahrscheinlich werden sie es nicht. Und Sie haben eine kriminelle Organisation finanziert, Ihre Behördenmeldung verzögert, um die Überweisung zu arrangieren, und stehen immer noch vor einem Verstoß gegen Artikel 23.
Dr. Petra Lindström — NCSC-NL „Herr Reeves. Danke für die Frühwarnung. Sie liegen innerhalb des 24-Stunden-Fensters. Wann können Sie die vollständige Incident-Meldung vorlegen?“
Sie „Innerhalb von 72 Stunden. Ich kann Grundursache, Angriffsvektor und Abhilfezeitplan bestätigen.“
Petra „Gut. Und Herr Reeves — die Entscheidung, nicht zu zahlen, war richtig. Wir haben SHADOWVAULT zweimal zuvor gesehen. Sie verkaufen die Daten trotzdem.“
Artikel 23 — Der dreistufige Melderahmen
Artikel 23 setzt drei harte Fristen: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Incident-Meldung innerhalb von 72 Stunden einschließlich erster Schweregradeinsätzung, und einen Abschlussbericht innerhalb eines Monats mit Ursachenanalyse und Abhilfemaßnahmen. Die Ablehnung der Zahlung und die sofortige Meldung erfüllen sowohl die regulatorischen Anforderungen als auch die betriebliche Logik. Die Zahlung eines Lösegelds garantiert keine Löschung — sie finanziert den nächsten Angriff auf jemand anderen. Das NCSC-NL betrachtet eine rasche Selbstmeldung als erheblichen mildernden Faktor bei eventuellen Aufsichtsmaßnahmen.
+3 Aufsichtsbehörde | +2 Rechtsabteilung
Erzähler
Sie eröffnen einen Kanal. Über zwei Stunden bestätigt SHADOWVAULT, dass sie über ein kompromittiertes Auftragnehmer-VPN-Zugangsdaten ins Netzwerk eingedrungen sind und seit 11 Tagen drin sind. Sie wissen, welche Backups sauber sind und welche nicht.
Tatsächlich nützliche Aufklärung. Sie prägt Ihren Abhilfeplan. Aber Sie haben zwei Stunden damit verbracht, mit einer kriminellen Organisation zu reden, anstatt beim CSIRT zu melden.
Als Sie um 14 Uhr melden, stellt Dr. Lindström eine Frage: „Sie wurden um 6:04 Uhr aufmerksam. Es ist jetzt 14 Uhr. Was haben Sie acht Stunden lang getan?“ Die von Ihnen gewonnene Aufklärung beantwortet das nicht.
Artikel 23 — Aufklärung ist keine Verteidigung für Verzögerung
Die Zusammenarbeit mit dem Angreifer kann nützliche Informationen liefern. Aber gemäß Artikel 23 muss die Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden des erheblichen Sicherheitsvorfalls eingereicht werden — nicht nachdem Sie Ihre Fragen zum Umfang geklärt haben. Das Fenster ist bereits eng. Zwei Stunden im Dialog mit SHADOWVAULT zu verbringen, bevor Sie melden, verbraucht Zeit, die Sie nicht zurückgewinnen können. Die Aufsichtsbehörde wird die Lücke zwischen 6:04 Uhr und 14 Uhr bemerken. Jede gewonnene Aufklärung kompensiert die dokumentierte Verzögerung bei der Meldung nicht.
0 Aufsichtsbehörde | -1 Rechtsabteilung
Erzähler
Sie zahlen. 2 Millionen Euro überwiesen. SHADOWVAULT schickt den Entschlüsselungsschlüssel um 16:47 Uhr. Die Server kommen zurück.
Drei Wochen später erscheint die vollständige Datenbank in einem Dark-Web-Leak-Forum. SHADOWVAULT hat sie vor der Annahme Ihres Geldes an eine zweite Gruppe verkauft. Elke Jansens Name, Adresse und Bankdaten sind öffentlich durchsuchbar. Die Zahlung hat Ihnen nichts als die Illusion einer Lösung gebracht.
Dr. Lindström „Sie haben Gelder an eine kriminelle Organisation überwiesen. Die Daten wurden trotzdem veröffentlicht. Ihre Meldung an uns wurde um sechs Stunden verzögert, während Sie die Zahlung arrangierten. Drei separate Probleme. Wir eröffnen eine formelle Untersuchung.“
Artikel 23 & Erwägungsgrund 101 — Zahlung ist keine Compliance-Strategie
Die Zahlung eines Lösegelds führt zu drei verschiedenen Compliance-Verstößen. Erstens finanziert die Überweisung eine kriminelle Organisation und könnte gegen Sanktions- oder Geldwäschepräventionsgesetze verstoßen. Zweitens verbraucht die Zeit für die Zahlungsabwicklung Stunden aus Ihrem Artikel 23-Meldefenster. Drittens werden die Daten trotzdem veröffentlicht — die Zahlung hat keinen Sicherheitsvorteil gebracht. NIS2 Erwägungsgrund 101 ist eindeutig: Einrichtungen sollten nicht dazu veranlasst werden, Lösegelder zu zahlen. Die Höchststrafe von 10 Millionen Euro gemäß Artikel 34 ist höher als das von Ihnen gezahlte Lösegeld. Möglicherweise stehen Sie jetzt vor beidem.
Die fünf Phasen der NIS2-Vorfallmeldung sind unten aufgeführt — in der falschen Reihenfolge. Bringen Sie sie in die korrekte Abfolge. Schritt 1 zuerst. Schritt 5 zuletzt.
Klicken Sie auf eine Karte, um ihr die nächste Schrittnummer zuzuweisen. Klicken Sie auf Zurücksetzen, um neu zu beginnen.
?
Vollständige Incident-Meldung einreichen
Erste Bewertung von Schweregrad, Auswirkungen und Kompromittierungsindikatoren
?
Frühwarnung an das CSIRT übermitteln
Erstmeldung — keine Grundursache erforderlich, nur den Vorfall melden
?
Abschlussbericht einreichen
Ursachenanalyse, ergriffene Abhilfemaßnahmen und Lektionen
?
Fortschrittsberichte liefern
Laufende Statusmeldungen auf Anfrage der zuständigen Behörde
?
Vorfall erkennen und bewerten
SOC-Warnung erhalten — Schweregrad klassifizieren und prüfen, ob NIS2-Schwellenwerte erreicht sind
Incident-Nachbesprechung
Compliance-Bewertung
0
Aufsichtsbehörde
50%
Betrieb
50%
Vorstand
50%
Rechtliches Risiko
50%
Ihre Incident-Zeitleiste
Das Urteil
Relevante NIS2-Artikel
Artikel 20 — Persönliche Haftung der Leitungsorgane Artikel 21 — Cybersicherheits-Risikomanagement Artikel 23 — Frühwarnung 24h, Meldung 72h Artikel 34 — Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes
Ihre Entscheidungen
Sechs Wochen später
Sie haben erreicht. Drei Entscheidungen. Jede hatte einen Preis. Die Wege, die Sie nicht gewählt haben, sind noch da.
