Incident-Response-Analysen in der VDI: Velociraptor scannt in Rekordzeit!
In digitalen Unternehmenslandschaften wächst die Abhängigkeit von «Virtual Desktop Infrastructure (VDI)»-Plattformen. Während einige Umgebungen auf nicht-persistente Sitzungen mit Golden-Image-Wiederherstellung setzen, speichern andere Benutzerdaten dauerhaft in VHDX-Dateien (Virtual Hard Disk v2) auf Remote-Servern – ein entscheidender Unterschied für die forensische Analyse.
Gerade in weitreichenden VDI-Umgebungen wie Citrix stellt diese Architektur einen Knackpunkt für Incident Response und Forensik und erschwert die Identifikation des initialen Angriffspunkts erheblich. VHDX-Dateien enthalten oft wertvolle forensische Artefakte wie NTUSER.DAT-Hives, welche Spuren der Programmausführung aufweisen können. Die manuelle Untersuchung wird jedoch bei mehreren tausend Benutzerprofilen ineffizient.
Die anschliessend präsentierte Methode zeigt, wie sich die forensische Analyse von VHDX-basierten Benutzerprofilen mit dem DFIR-Tool Velociraptor automatisieren lässt. Das Ziel: Forensische Untersuchungen effizient und zuverlässig zu skalieren, ohne die forensische Integrität zu beeinträchtigen.
Deshalb gilt VHDX als wertvoller Artefakt-Lieferant
VHDX ist ein Dateiformat, das eine virtuelle Festplatte repräsentiert und ein eigenes Partitionslayout sowie Dateisystem enthält. VHDX wird in VDI-Umgebungen häufig verwendet, um Benutzerdaten wie Roaming-Profil und NTUSER.DAT-Registry-Hive zu speichern.
Aus forensischer Sicht können VHDX-Dateien besonders wertvolle Artefakte enthalten, etwa Beweise für Programmausführungen über UserAssist sowie Persistenz-Mechanismen über Registry-Run-Keys, welche beide normalerweise in der NTUSER.DAT zu finden sind.
VDI-Plattformen speichern oft den Inhalt von «C:Users<Username>» in einer eigenen VHDX-Datei, wobei jedes Benutzerprofil als eigenständiges virtuelles Festplattenabbild betrachtet wird.
Velociraptor im Einsatz: So gelingt die automatisierte VHDX-Forensik
Velociraptor ist ein modernes, quelloffenes DFIR-Tool, das von zahlreichen Unternehmen verwendet wird, um Bedrohungen zu identifizieren, Artefakte zu sammeln und skalierbare Untersuchungen in grossen Unternehmensumgebungen durchzuführen.
In einem früheren Beitrag, gehen wir darauf ein, wie Velociraptor Artefakte erstellt und für die effiziente forensische Analyse eingesetzt wird.
Velociraptor unterstützt VHDX-Accessoren, die eine direkte Analyse von virtuellen Festplattenabbildungen ermöglichen. Dafür werden üblicherweise spezielle Artefakte für jeden Anwendungsfall benötigt, zum Beispiel für die Analyse von UserAssist oder Registry-Hives innerhalb einer gemounteten VHDX-Datei. Somit wäre für jede forensische Überprüfung ein spezifisches Artefakt nötig, das die VHDX-Struktur interpretieren kann.
Ein skalierbarerer Ansatz ist die Wiederverwendung existierender Velociraptor-Artefakte wie Windows.Registry.UserAssist oder Windows.Registry.NTUser ohne Anpassung.
Ziel dieser Forschung war es, genau dies zu ermöglichen: Die Verwendung nativer Artefakte bei der Analyse von in VHDX-basierten Benutzerprofilen gespeicherten Daten zu ermöglichen.
Dazu werden virtuelle Velociraptor-Clients genutzt: Instanzen, deren Umgebung auf eine bestimmte VHDX-Datei umgemappt ist und ähnlich wie Velociraptor im Deaddisk-Modus arbeitet. In diesem Beitrag nennen wir sie virtuelle Velociraptor-Clients.
Das Prinzip ist einfach: Ein virtueller Client läuft auf dem Dateiserver, auf dem die VHDX-Profile gespeichert werden, und seine Konfiguration wird so umgemappt, dass sie auf eine oder mehrere VHDX-Images zeigt. Dafür sind einige technische Schritte nötig, um eine zuverlässige Funktion zu gewährleisten.
«Wer VHDX-Analysen automatisiert, verschafft sich im Ernstfall den entscheidenden Zeitvorteil – und legt damit den Grundstein für eine erfolgreiche forensische Aufklärung.»
Vertiefen Sie Ihr technisches Know-how: Die ausführliche Schritt-für-Schritt-Anleitung in unserem «IG Labs»-Blog zeigt, wie Sie die technische Umsetzung meistern.
Forensische VHDX-Analysen nur am Offline-Profil? Unbedingt.
Alle Tests dieser Arbeit wurden bewusst an Offline-VHDX-Dateien durchgeführt, also an Profilen, die nicht mehr aktiv von Diensten wie Citrix oder Windows-Profilmanagement verwaltet werden, um die Datenintegrität und forensische Nachvollziehbarkeit sicherzustellen.
In Live-Umgebungen, in welchen VHDX-Profile noch im Einsatz oder gemountet sind, lohnt sich die Betrachtung der folgenden Risiken:
- Writeback-Konflikte: Wenn Velociraptor oder das Betriebssystem versucht, auf eine aktive VHDX-Datei zu schreiben, kann dies zu Datenkorruption oder Race Conditions führen.
- Profil-Sperrung: Manche Virtualisierungsplattformen sperren VHDX-Dateien während ihres Einsatzes, was Remapping verhindert oder zu Ausführungsausfällen führt.
- Systemperformance: Das Mounten und Scannen vieler VHDX-Dateien kann die Systemlast enorm erhöhen.
Empfehlungen für den sicheren Umgang mit VHDX-Profilen:
- Untersuchungen wenn möglich immer an Kopien der VHDX-Dateien durchführen.
- Nicht blind in Live-Citrix- oder VDI-Umgebungen einsetzen, ohne kontrolliert getestet zu haben.
- Mit kleinen Nutzergruppen starten und die Batchgrösse an die Ressourcen anpassen.
- Ressourcenverbrauch (I/O, Speicher, offene Handles) beim Skalieren auf viele Profile beobachten.
Forensik neu gedacht: Skalierbare Effizienz mit Velociraptor
Die entwickelte VHDX-Artefaktsuite für Velociraptor eröffnet neue Dimensionen in der digitalen Forensik. Sie ermöglicht eine skalierbare und effiziente Untersuchung von Benutzerprofilen, die in VHDX-Dateien gespeichert sind – und das mit bewährten Standard-Artefakten wie UserAssist- oder NTUSER.DAT-Parsern, ganz ohne Anpassung.
In unseren Tests liessen sich über 1’000 VHDX-Profile in weniger als einer Minute analysieren – bei gleichbleibend hoher forensischer Integrität und deutlich reduziertem Aufwand gegenüber herkömmlichen Verfahren. Das beschleunigt nicht nur die Triage, sondern entlastet auch Security-Teams in zeitkritischen DFIR-Situationen.
Zwar empfiehlt sich für den produktiven Einsatz eine schrittweise Validierung in Live-Umgebungen, doch das Ergebnis ist wegweisend: Forensische Untersuchungen werden planbarer, schneller und verlässlicher – ohne Kompromisse bei Präzision oder Sicherheit.
Fazit: Wer VHDX-Analysen automatisiert, gewinnt entscheidende Zeit im Ernstfall.
Algorithmus und Erfahrung kombiniert: Die Zukunft forensischer Präzision
Täglich setzt unser CSIRT-Team Velociraptor in komplexen Analysen ein – effizient, zuverlässig und forensisch präzise. Profitieren Sie von dieser Erfahrung und bringen Sie Ihre eigenen Untersuchungsprozesse auf das nächste Level – mit der Expertise eines ISO 27001:2022-zertifizierten Incident-Response-Teams.
InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch
Marketing Manager
Telefon: +41 (41) 74919-00
E-Mail: estelle.ouhassi@infoguard.ch
ISG & NIS2 mit ISMS nach ISO 27001 umsetzen: 6 Schlüsselbranchen im Fokus
Das Informationssicherheitsgesetz (ISG) ist ein wichtiger Schritt zur Stärkung der Cyberresilienz. Das ISG verpflichtet Bundesbehörden, Drittparteien und Betreiber kritischer Infrastrukturen, ein Informationssicherheits-Managementsystem (ISMS) zu etablieren und Cyberangriffe innert 24 Stunden zu melden, sofern diese die Funktionsfähigkeit der Organisation gefährdet und zu schwerwiegenden Auswirkungen führen.
Diese Regelungen betreffen kritische Infrastrukturen wie Spitäler, Energieversorger, Transportunternehmen, viele weitere Sektoren und Bundesbehörden. Die Einführung eines ISMS nach dem internationalen Standard ISO/IEC 27001:2022 wird als Best Practice empfohlen, um die gesetzlichen Anforderungen zu erfüllen und gleichzeitig das Vertrauen von Kunden und Partnern zu stärken.
Rail & Transportation – Cybersicherheit im Schienenverkehr
Die CySec-Rail-Richtlinie des Bundesamts für Verkehr (BAV) verlangt von allen Eisenbahnunternehmen die Einführung eines ISMS. Die Richtlinie orientiert sich an ISO 27001 und legt den Fokus auf den Schutz von Steuerungs-, Signal- und Kommunikationssystemen.
Für Schweizer Unternehmen, die in der EU tätig sind oder mit EU-Partnern zusammenarbeiten, gilt zusätzlich die NIS2-Richtlinie der EU. Diese schreibt vor, dass Betreiber kritischer Transportinfrastrukturen ein ISMS einführen und Cybervorfälle innerhalb von 24 Stunden melden müssen.
Die Kernanforderungen:
- Risikomanagement zum Schutz von Stellwerken, Signalanlagen und Zugleitsystemen vor Cyberangriffen.
- Lieferketten-Sicherheit für Systematische Überprüfung der Cybersicherheit von Zulieferern und Dienstleistern.
- Nachweis der Compliance durch ISO 27001 oder IEC 62443.
- Notfallpläne! Entwicklung und regelmässige Überprüfung von Notfallplänen für den Cyberernstfall.
Gesundheitssektor – Schutz von Patientendaten und Systemen
Das Informationssicherheitsgesetz (ISG) sieht vor, dass Spitäler, Apotheken und Pflegeheime ein ISMS einführen müssen. Cyberangriffe, welche die Funktionsfähigkeit gefährden oder zu Datenabfluss führen, müssen innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) gemeldet werden.
Die Kernanforderungen:
- Risikomanagement, Durchführung von Schutzbedarfsanalysen für Patientendaten, IT-Systeme und medizinische Geräte.
- Meldepflicht! Einrichtung klarer Prozesse für die 24-Stunden-Meldepflicht an das BACS.
- Einführung eines ISMS nach ISO 27001:2022 zur Erfüllung der Compliance-Anforderungen und Stärkung des Vertrauens von Patienten und Partnern.
- Schulungen und regelmässige Sensibilisierung der Mitarbeiter für Cybersicherheitsrisiken.
Operational Technology (OT) – Sicherheit für industrielle Steuerungssysteme
Die NIS2-Richtlinie der EU und das schweizerische ISG verlangen die Einführung eines ISMS für Betreiber kritischer OT-Systeme, z.B. in der Energieversorgung, Wasseraufbereitung, etc. Es gilt eine 24-Stunden-Meldepflicht für Cyberangriffe.
Der internationale Standard IEC 62443 dient als Referenz für die Sicherheit industrieller Steuerungssysteme und wird in der Schweiz und der EU anerkannt.
Die Kernanforderungen:
- OT-Sicherheitsmassnahmen zum Schutz von Steuerungsnetzwerken durch Zugangskontrollen und regelmässige Sicherheitsaudits.
- Integration in ISMS der OT-Sicherheit in das übergeordnete ISMS (z.B. nach ISO 27001:2022).
- Meldepflicht! 24-Stunden-Meldepflicht von Cyberangriffen auf OT-Systeme.
- Dokumentation! Lückenlose Protokollierung aller Sicherheitsvorfälle und Massnahmen.
Kritische Infrastrukturen – Energie, Wasser, Finanzen und digitale Infrastruktur
Die NIS2-Richtlinie der EU und das schweizerische ISG verpflichten Betreiber kritischer Infrastrukturen zur Einführung eines ISMS, zur Durchführung regelmässiger Audits und zur Meldung von Cybervorfällen innerhalb von 24 Stunden. Die Anforderungen gelten für 18 kritische Sektoren, darunter Energie, Wasser und digitale Infrastruktur.
Die Kernanforderungen:
- Risikomanagement, Identifikation und Bewertung von Risiken für Verfügbarkeit, Integrität und Vertraulichkeit.
- Zertifizierung nach ISO 27001:2022 oder Branchenstandards wie IEC 62443 für OT.
- Lieferketten-Sicherheit, Systematische Überprüfung der Cybersicherheit von Partnern und Zulieferern.
- Kontinuierliche Verbesserung und regelmässige Überprüfung und Anpassung der Sicherheitsmassnahmen.
Banken, Versicherungen und öffentliche Verwaltungen: Hohe Standards für sensible Daten
Die FINMA setzt für Banken und Versicherungen klare Risikomanagement-Richtlinien voraus. Das ISG verpflichtet alle Bundesbehörden zur Einführung eines ISMS und zur Meldung von Cyberangriffen.
Die Kernanforderungen:
- Risikomanagement zum Schutz von Kundendaten, Finanztransaktionen und behördlichen Informationen.
- Ein ISMS nach ISO 27001:2022 wird empfohlen, um Compliance mit FINMA und ISG nachzuweisen.
- 24-Stunden-Meldepflicht!
- Interne Richtlinien! Entwicklung und Umsetzung interner Sicherheitsrichtlinien.
ISMS nach ISO 27001:2022 als strategische Notwendigkeit
Die Anforderungen aus ISG und NIS2 wie auch die 24-Stunden-Meldepflicht sind nicht nur gesetzliche Pflichten, sondern zugleich der Schlüssel zu einer zukunftsfähigen Sicherheitsstrategie. Ein ISMS nach ISO 27001:2022 ist der Goldstandard und schafft Transparenz, stärkt das Vertrauen von Kunden wie auch Partnern und reduziert Lieferkettenrisiken nachhaltig. Wer Informationssicherheit (ISMS) und Datenschutz (DSMS) in einem integrierten Managementsystem kombiniert, profitiert von höherer Effizienz, klaren Abläufen und messbarer Compliance.
Mit InfoGuard als Partner gewinnen Sie beides: Rechtssicherheit und Resilienz. Kontaktieren Sie uns, unsere Spezialist*innen unterstützen Sie bei der erfolgreichen Umsetzung der Massnahmen zu den gesetzlichen Vorlagen und entwickeln Ihre Sicherheitsarchitektur gemeinsam mit Ihnen weiter.
InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch
Marketing Manager
Telefon: +41 (41) 74919-00
E-Mail: estelle.ouhassi@infoguard.ch
Begrenzte Ressourcen? Keine Ausrede für unzureichende Cyberabwehr.
Echtzeit-Alarm: Cyberangriffe auf Rekordniveau
Im ersten Halbjahr 2025 stieg die Zahl komplexer Cyberangriffe auf Schweizer Organisationen um satte 115 Prozent – ein Spitzenwert, der die Schweiz stärker trifft als ihre Nachbarländer. Gleichzeitig setzen fast 90 Prozent der Unternehmen auf automatisierte Prozesse mit KI-Unterstützung. Die Folge: Mit der rasant wachsenden Verbreitung von AI-Anwendungen verlieren heutige Sicherheitsaspekte zunehmend an Wirkung.
Auch die Praxis bestätigt den Trend. Das CSIRT von InfoGuard bewältigte bereits im ersten Halbjahr 184 Cybervorfälle. Zum Vergleich: Im Jahr 2024 bearbeitete das Incident-Response-Team 264 Vorfälle.
Angriffsziel Schweiz: Internationale Cyberbanden wittern das Big Business.
Wohlstand und Innovationskraft machen Schweizer Unternehmen besonders attraktiv für Cyberkriminelle. Trotz hoher Digitalisierung mangelt es in vielen Organisationen an Cyberreife – ein Vorteil, den Angreifer gezielt ausnutzen. Cyberkriminelle setzen auf den Faktor Mensch, suchen vergessene Entwicklungs- oder Testsysteme und manipulieren sogar Sicherheits-Tools, um unentdeckt zu bleiben.
Parallel dazu wachsen die blinden Flecken: Legacy-, Test- und Development-Systeme öffnen Einfallstore und geraten verstärkt ins Visier von Cyberkriminellen. Nur eine ganzheitliche Cyberabwehr mit vollständiger Sichtbarkeit über alle IT-, OT- und IoT-Umgebungen sowie kontinuierlicher Innovation sichert langfristige Wettbewerbsfähigkeit.
Deshalb wirkt KI als Treiber für massentauglichen Cybercrime
Generative KI-Medelle verschieben das Kräfteverhältnis zwischen Angriff und Verteidigung radikal. Denn KI senkt die Wissensdefizite bei Cyberkriminellen massiv und stattet sie mit hochentwickelten, verhaltensbasierten Werkzeugen aus.
Statt spezialisierter Hackerteams reicht heute ein KI-Sprachmodell, um täuschend echte Phishing-Kampagnen, Schadsoftware oder Deepfakes zu erstellen. Hinzu kommen CEO-Fraud, Spearphishing und Ransomware-as-a-Service – ein Geschäftsmodell, das selbst wenig technikaffinen Tätern Angriffe ermöglicht.
Cybercrime setzt mit KI-basierten Angriffsmethoden neue Massstäbe in Tempo und Täuschungskraft. Genau hier entscheidet sich, wer vorbereitet ist: Strategie, Innovation, klare Prozesse und smartes Know-how bilden das Fundament, während regelmässige Penetrationstests, offensive Forschung und enge Partnerschaften diese wirksam ergänzen. So entsteht ein nachhaltiger Innovationsvorsprung und echte Widerstandsfähigkeit.
Strategie und digitale Intelligenz: So überlisten Sie Hacker!
Cyberkriminelle brauchen nur eine einzige Schwachstelle, während Verteidiger alle potenziellen Lücken absichern müssen. Diese Asymmetrie macht deutlich: Organisationen brauchen smartere Mittel als die Angreifer. Wirksame Cyberabwehr erfordert deshalb das Zusammenspiel von innovativer Technologie, etablierten Prozessen und menschlicher Expertise – klassische Schutzmechanismen allein reichen nicht mehr.
Entscheidend sind eine durchgehende 24/7-Überwachung, KI-gestützte Detektion und sofortige Reaktion. Ein Security Operations Center (SOC) mit integriertem Computer Security Incident Response Team (CSIRT) bietet genau das – inklusive Pre-Breach-Aktivitäten, die Angriffe stoppen, bevor Schaden entsteht.
Die kommenden Jahre werden Organisationen aller Grössen – insbesondere KMU – stark fordern. Klassische Abwehrmechanismen stossen an Grenzen, während generative KI den digitalen Wettlauf verschärft und die Lücke zwischen Angriff und Verteidigung weiter vergrössert. Fundierte Threat Intelligence und entschlossenes Handeln sind jetzt unerlässlich, um Widerstandskraft und Handlungsfähigkeit sicherzustellen.
Cyberfit trotz knapper Ressourcen: 4 Handlungsempfehlungen stärken Ihre Resilienz
Begrenzte Mittel sind kein Hindernis: Mit einer ganzheitlichen Sicherheitsstrategie wird Cyberresilienz zum wirksamen Schutzschild gegen Bedrohungen.
Diese vier Massnahmen sind ausschlaggebend:
- Threat Intelligence: Bedrohungen frühzeitig erkennen und einordnen.
- Innovative Technologien: KI-gestützte Angriffserkennung und sofortige Reaktion.
- SOC & CSIRT: 24/7-Überwachung und Incident-Response durch Expert*innen.
- Entschlossenes Handeln: Klare Abläufe und schnelle Entscheidungen im Ernstfall.
Wo interne Ressourcen fehlen, sichern externe Cyber-Security-Services die essenziellen Werte: Reputation, Innovationskraft und Wettbewerbsfähigkeit. InfoGuard setzt auf zwei dedizierte SOC in der Schweiz und in Deutschland, betrieben von über 90 erfahrenen SOC- und CSIRT-Spezialist*innen. Ob Managed oder Co-Managed SOC: unsere offene XDR-Architektur, ISO-27001-Zertifizierung und Mitgliedschaften wie FIRST garantieren maximale Sicherheit im 24/7-Live-Betrieb.
So schützen Sie Ihr Unternehmen wirkungsvoll, bevor aus einer Schwachstelle ein sicherheitskritischer Vorfall entsteht und schaffen zugleich dauerhafte Resilienz. Kontaktieren Sie uns und lassen Sie sich praxisnah und mit erprobter Expertise auf dem Weg zu maximaler Sicherheit begleiten.
InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch
Marketing Manager
Telefon: +41 (41) 74919-00
E-Mail: estelle.ouhassi@infoguard.ch
Beyond TTX: Durch Cyber-Threat-Simulationen zur strategischen Resilienz
Stellen Sie sich vor: Montagmorgen, 06:00 Uhr. Die IT-Infrastruktur verhält sich plötzlich ungewöhnlich. Mehrere Systeme sind nicht erreichbar, der E-Mail-Verkehr bricht ein, VPN-Verbindungen brechen ab oder geraten ins Stocken. Gleichzeitig meldet der Helpdesk: «Das System ist langsam – oder ganz weg.»
Sind Sie angegriffen worden? Vielleicht. Doch möglicherweise handelt es sich auch um eine realitätsnahe Inszenierung, die den Ernstfall simuliert: Eine Cyber-Threat-Simulation unter kontrollierten Bedingungen, die sämtliche Rollen umfasst. Ein echter Erkenntnisgewinn!
Simulation statt TTX: So trainieren zentrale Rollen für den Ernstfall
Eine Cyber-Threat-Simulation ist eine realistische, aber meist nicht-technische Cyberkrisenübung, die weit über ein einfaches Tabletop Exercise (TTX) hinausgeht.
Im Mittelpunkt einer diskussionsbasierten Simulation stehen die tatsächlichen operationellen Entscheidungsprozesse, die Kommunikation sowie die Koordination auf allen Ebenen der Organisation – sie geht weit über eine Diskussionsrunde und Dokumentenbesprechung hinaus.
Dafür vertreten Repräsentantinnen und Repräsentanten verschiedener Unternehmensbereiche – von IT, Management und Kommunikation über Security, Betriebsführung und Recht bis hin zu Partnern, Lieferanten und Dienstleistern – ihre Rollen und spielen gemeinsam ein komplexes Bedrohungsszenario durch. So wird sichtbar, wie die Organisation auf eine komplexe Cyberbedrohung reagiert.
Feuerprobe für die Cyber Defence: Lernen aus dem Ernstfall
In einer unserer jüngsten Simulationen wurde ein mehrstufiges Angriffsszenario durchgespielt:
- 06:00 (simuliert): Ein Mitarbeitender klickt ahnungslos auf einen Link in einem Phishing-Mail, kurz darauf ist eine Schadsoftware unbemerkt aktiv.
- 09:00: Vermeintliche Angreifer bewegen sich durch das interne Netzwerk, sammeln Berechtigungen und greifen sensible Systeme an.
- 10:00: Während das IT-Team plötzlich mit einem DDoS-Angriff auf die externe Infrastruktur kämpft, erfolgt im Hintergrund eine gezielte Daten-Exfiltration.
Die Situation eskaliert – und genau das ist der Punkt! Denn in der Übung darf es krachen, jedoch keinesfalls im echten Cyber Threat! Schliesslich gilt das für eine positive Fehlerkultur zentrale Statement: «Scheitern ist erlaubt, aber nur in der Simulation.»
Was im Krisenmodus funktionierte:
- Rollen und Eskalationspfade waren teilweise bekannt und wurden genutzt.
- Die technische Lageeinschätzung funktionierte, zumindest auf Abteilungsebene.
- Es wurde aktiv kommuniziert – auch unter Druck.
Pain Points, die im Krisenmodus sichtbar wurden:
- Wer genau die externe Kommunikation freigibt, war unklar.
- Entscheidungen wurden teils verzögert oder zu spät getroffen.
- Die parallele Verarbeitung mehrerer Bedrohungslagen (DDoS + Daten-Exfiltration) überforderte viele Beteiligte.
- OT- und andere Fachabteilungen wurden zu spät einbezogen.
Was dabei gelernt wurde:
Entscheidungswege, Kommunikationsstrukturen und die Zusammenarbeit zwischen den Teams müssen optimiert, das Verständnis und die Zusammenarbeit intensiviert werden.
Cybersimulation: Diese 6 Rollen entscheiden über Resilienz und Krisenmanagement
Im Ernstfall greifen Policies zu kurz. Erst eine realistische Simulation zeigt auf, dass Resilienz weit über technische Schutzmassnahmen hinausgehen muss.
Eine praxisnahe Simulation beleuchtet folgende sechs Rollen:
- IT: Erkennung allein reicht nicht – Reaktion zählt
- Management: Entscheidungen unter Unsicherheit trainieren
- Kommunikation: Wer spricht mit wem – und wann?
- Betrieb: Prozesse kritisch hinterfragen, bevor es brennt
- Partner & Lieferanten: Externe Zusammenarbeit und Abhängigkeiten verstehen
- Legal & Compliance: Rechtliche und regulatorische Anforderungen einhalten
Simulieren ohne Risiko statt Kontrollverlust im Rechenzentrum
Ein durchdachter Cyber-Threat-Stresstest macht sichtbar:
- Wo Silos stehen und wo Lücken klaffen.
- Wo Dokumente zwar existieren, aber nicht allen bekannt sind.
- Wo Menschen unter Druck improvisieren oder erstarren.
Genau deshalb lohnt sich das Training! Es ist der Probelauf für den Ernstfall: Wer regelmässig übt, ist in der Krisensituation gewappnet.
Simulationen sind somit kein Nice-to-have, sondern eine grundlegende Voraussetzung für Resilienz. Sie gelten für alle Organisationen – ob Grossunternehmen oder KMU – mit digitalen Kernprozessen, Kundendaten, kritischer Infrastruktur oder hohem Reputationsrisiko.
Der angekündigte Belastungstest zeigt:
- Wo die Vorbereitung trägt.
- Wo Optimierung dringend notwendig ist.
- In welchen Bereichen bereits echte Resilienz vorhanden ist.
Sie überlegen, wie die Übung einer Cyberkrise für Ihr Unternehmen aussehen könnte? Dann starten Sie mit einer simplen Frage: «Wer weiss bei uns, was zu tun ist – wenn plötzlich niemand mehr versteht, was los ist?».
Sollten Sie diese Frage nicht eindeutig beantworten können, ist jetzt der richtige Zeitpunkt, eine Simulation gemeinsam mit erfahrenen Expertinnen und Experten vorzubereiten.
Deshalb sind Cyber-Threat-Simulationen mit InfoGuard sinnvoll
Eine strategisch durchdachte Simulation ist weit mehr als eine Pflichtübung. Sie ist zentraler Hebel für Widerstandsfähigkeit und echte Cybersicherheit gegen den Worst Case.
Weshalb sind Simulationen von Vorteil?
- Simulationen stärken die Widerstandsfähigkeit Ihres Teams,
- decken Schwachstellen im Krisenmanagement auf und
- fördern gemeinsames, lösungsorientiertes Handeln.
Stärken Sie die Resilienz Ihres Unternehmens und fördern Sie eine offene Fehlerkultur.
Profitieren Sie von Tabletop Exercises (TTX) und entwickeln Sie dabei praxiserprobte Strategien und Abläufe – von der strategischen Krisenorganisation bis zur operativen Wiederherstellung.
Ob für den Krisenstab, die technische IT-Notfallorganisation oder im Rahmen eines Management-Workshops: Bereiten Sie Ihr Unternehmen auf reale Krisenszenarien vor. Kontaktieren Sie uns, unsere Tabletop-Spezialist*innen sind für Sie da.
InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch
Marketing Manager
Telefon: +41 (41) 74919-00
E-Mail: estelle.ouhassi@infoguard.ch
