Daten im Fadenkreuz: Was 100 Sicherheitsverantwortliche während einer Live-Cyberkrisensimulation enthüllten

Dec 7, 2025
Share

Bei DataSecAI 2025Cyera rannte Operation Tiefenverriegelung — Eine vollständig interaktive, Cloud-übergreifende Ransomware-Krisensimulation, die entwickelt wurde, um Entscheidungsprozesse in der Praxis auf die Probe zu stellen. Hundert Sicherheitsverantwortliche nahmen live teil und stimmten in Echtzeit über jeden Entscheidungspunkt ab.

Das Ergebnis? Ein seltener, unverblümter Einblick in die Reaktionen heutiger CISOs und Sicherheitsverantwortlicher unter Beschuss und wie zusätzlicher Kontext ihre Vorgehensweise möglicherweise verändert hätte.

In sieben Modulen – von der anfänglichen Verschlüsselung über die Lösegeldverhandlungen bis hin zur Kundenbenachrichtigung – kristallisierten sich mehrere wichtige Trends heraus. Im Folgenden finden Sie eine Übersicht der wichtigsten Ergebnisse.

Sicherheitsexperten sind sich einig: Eindämmung hat Priorität

In der Anfangsphase des Angriffs priorisierten die Teilnehmer überwiegend Folgendes: entscheidende, defensive AktionDie

Wenn Angreifer kritische Systeme gleichzeitig verschlüsseln, 96 % Die Befragten entschieden sich für Betroffene Systeme isolieren und kontoübergreifenden Zugriff deaktivierenLediglich 3 % entschieden sich dafür, sofort mit der Wiederherstellung der Sicherung zu beginnen. Und nach dem ersten Ereignis 89% priorisiert Aufrechterhaltung der Eindämmung, In Gang setzen der 72-Stunden-Frist gemäß DSGVO und Sicherung forensischer Beweismittel.

Wichtigster Trend: Eindämmung und Beweissicherung sind zu instinktiven Erstreaktionen geworden.
, was die Reife der Programme zur Reaktion auf Zwischenfälle widerspiegelt und erhöhter RegulierungsdruckDie

Teams verstehen die Bedeutung des Datenkontexts

Als Teil des Erlebnisses wird zusätzlicher Kontext aus dem Cyera Datensicherheitsplattform wurde präsentiert und den Teilnehmern wurde die Möglichkeit geboten, ihre Entscheidung auf der Grundlage dieser Informationen zu ändern. Was uns aufgefallen ist: Nachdem die Plattform von Cyera mehr Datenkontext hinter den Anomalien aufdeckte, veränderten sich die Reaktionen dramatisch.

Wenn beispielsweise ein verdächtiger Anstieg ausgehender Datenübertragungen auftrat, 94 % entschied sich dafür Ausgehende Zugriffe sperren und forensische Untersuchungen einleitenDoch sobald Cyera es identifiziert hatte als routinemäßige Replikation mit nicht eingeschränkte Daten, 82 % wurde korrekt als Fehlalarm neu klassifiziert.

Wichtigster Trend: Datentransparenz verhindert unnötige Eskalationen — eine wichtige Lektion, da Unternehmen in einer Flut von Warnmeldungen ertrinken.

Wenn es zu einem tatsächlichen Datenabfluss kommt, greifen Führungskräfte standardmäßig auf die Bereiche Recht und Öffentlichkeitsarbeit zurück.

Nachdem die Angreifer Beweise für den Diebstahl personenbezogener Daten im Darknet veröffentlicht hatten, ging die Menge zu einem koordinierten Krisenmanagement über.

Eine überwältigende 92 % entschied sich dafür Rechts- und PR-Abteilung einschalten, Krisenkommunikation einleiten und mit der forensischen Untersuchung beginnenAuf die Frage, welche Maßnahmen gesetzlich vorgeschriebene Fristen haben, 53 % korrekt ausgewählt Koordinierung der Offenlegung mit Rechts- und Versicherungsangelegenheiten - obwohl 28 % erkannte auch die Notwendigkeit sofortiger behördlicher Benachrichtigungen.

Wichtigster Trend: Sicherheitsverantwortliche wissen, dass öffentliche Leaks nicht mehr nur technische Probleme darstellen – sie sind rechtliche, reputationsbezogene und regulatorische Notfälle.

Vergessene Systeme = Konsequente blinde Flecken

Modul 4 der Übung führte ein typisches Praxisszenario ein: verschlüsselte Test- und Legacy-Umgebungen. Dieses Modul verdeutlichte eine häufige Fehlerquelle, nämlich dass „Test“- und „Entwicklungs“-Systeme oft … Echte Produktionsdatenkopien, aber ohne ProduktionssicherheitskontrollenDie

93 % Ein Teil der Teilnehmer entschied sich für Quarantäne und die Anfertigung von forensischen Aufnahmen. 82 % Der Umfang des Vorfalls wurde erweitert, als Cyera bekannt gab, dass sich der Umfang des Datenlecks aufgrund vergessener Systeme um Hunderttausende von Datensätzen vergrößert hatte.

Wichtigster Trend: Unternehmen sind sich zunehmend bewusst, dass Test- und Entwicklungsumgebungen sensible Live-Daten enthalten können – doch viele haben immer noch Schwierigkeiten, diese zu verwalten.

Kommunikationsstrategie ist wichtiger als sofortige Antworten.

Als Aufsichtsbehörden und Medien begannen, nach Einzelheiten zu drängen, zeigten die Teilnehmer große Disziplin. 86 % Die meisten Unternehmen entschieden sich für eine kurze Stellungnahme, zentralisierten die Kommunikation und hielten sich auf das Wesentliche beschränkt. Nur 4 % veröffentlichten vorschnell detaillierte Zahlen zum Expositionsrisiko.

Wichtigster Trend: Die meisten Sicherheitsverantwortlichen bevorzugen heute eine besonnene Kommunikation gegenüber einer voreiligen Transparenz – ein Zeichen für reifere Krisenkommunikationspraktiken.

Lösegeldforderung: Aufteilung zwischen „Ablehnen“ und „Verzögern“

Das Modul zur Lösegeldverhandlung rief die kontroversesten Reaktionen hervor.

  • 44 % weigerte sich, sofort zu zahlen
  • 43 % Die Entscheidung wurde verzögert, während die Behauptungen des Angreifers überprüft wurden.
  • Nur 6% entschied sich für die sofortige Zahlung

Doch sobald Cyera die Angreifer enthüllte hatte nicht Sie behaupteten, es handele sich um regulierte personenbezogene Daten – und saubere Backups seien innerhalb weniger Stunden verfügbar. 91 % lehnte das Lösegeld kategorisch ab.

Wichtigster Trend: Datenanalyse verändert Lösegeldforderungen dramatisch – ein Beweis dafür, dass es bei der Druckausübung um … geht. Datensensibilität, nicht nur das Datenvolumen.

Präzise Kundenbenachrichtigungen führen zu massiven Kosteneinsparungen.

Eine der aufschlussreichsten Erkenntnisse ergab sich erst später in der Simulation. Bevor bekannt war, welche Kunden tatsächlich betroffen waren, 69% Im Simulationsbeispiel wurde eine allgemeine Benachrichtigung an alle 1,3 Millionen Kunden versendet. Doch sobald Cyera feststellte, dass nur 24 % (312.000) hatte PII reguliert 84 % Man entschied sich dafür, nur diese Personen zu benachrichtigen – wodurch die prognostizierten Kosten gesenkt wurden. 17 Mio. bis 25 Mio. US-DollarDie

Wichtigster Trend: Präzisionsbasierte Benachrichtigungen sind heute ein Muss – nicht nur im Hinblick auf die Genauigkeit, sondern auch auf die Kostenkontrolle.

Die wichtigsten Erkenntnisse aus der Operation Deep Lock

Im Verlauf der gesamten Simulation traten mehrere Muster hervor:

1. Der Datenkontext ist alles. Die Teilnehmer passten ihre Entscheidungen wiederholt an, nachdem Cyera die tatsächliche Sensibilität und den Umfang der betroffenen Daten offengelegt hatte.

2. Erfahrene IR-Teams legen Wert auf Eindämmung und Compliance. Schnelle Isolierung, Beweissicherung und regulatorische Angleichung prägten die ersten Entscheidungen.

3. „Testsysteme“ bleiben eine große Quelle versteckter Risiken. Hunderttausende regulierte Ausweise wurden in vergessenen Umgebungen aufgespürt.

4. Die Entscheidung über die Lösegeldzahlung hängt von der bestätigten Beweislage ab. Nachdem die tatsächliche Sensibilität der Daten bekannt geworden war, lehnten nahezu alle Staatschefs die Zahlung eines Lösegelds ab.

5. Präzision reduziert Kosten, Panik und unnötige Offenlegung. Durch eine präzise Datenklassifizierung konnten Millionen an potenziellen Benachrichtigungskosten eingespart werden.

Schlussbetrachtung

Die Operation Deep Lock lieferte eine seltene, unverfälschte Momentaufnahme davon, wie Führungskräfte unter realem Druck reagieren. Die wichtigste Erkenntnis? Organisationen, die ihre Daten verstehen – wo sie gespeichert sind, wie sensibel sie sind und wer darauf zugreifen kann – treffen in jeder Phase einer Krise deutlich bessere Entscheidungen.

Möchten Sie wissen, wo Ihre Organisation im Bereich Datensicherheitsmanagement und Sicherheitspraktiken steht? Vereinbaren Sie noch heute eine Datenrisikoanalyse. und entdecken Sie Möglichkeiten, um:

  • Stärken Sie Ihre Datensicherheitsstrategie und Ihre Cybersicherheitslage.
  • Präventive Kontrollen und Prozesse optimieren
  • Sicherheitslücken proaktiv aufdecken und beheben

Share