Interview mit CANCOM-Experte Walter Wirl zum CANCOM Rapid Response Service
Der Schutz vor Cyberangriffen ist für Unternehmen heute von essenzieller Bedeutung. Dennoch ist es inzwischen unmöglich, Cyberattacken gänzlich zu verhindern. Im Gegenteil: Die Frage für Unternehmen ist nicht mehr, ob, sondern wann sie Opfer eines Cyberangriffs werden. Tritt der Ernstfall ein, zählt vor allem eines: eine schnelle Reaktion (Incident Response). Mit dem Rapid Response Service unterstützt CANCOM in dieser schwierigen Situation. Doch wie sieht diese Unterstützung konkret aus? Das verrät Krisenmanager und CANCOM-Experte Walter Wirl (Senior Business Consultant bei CANCOM) im Interview.
1. August 2025
|
Lesedauer: ca. 7 Min.
Im Ernstfall ist CANCOM über eine Hotline 24/7 erreichbar – um betroffenen Unternehmen schnellstmöglich zu helfen (Bild: © Vadym/stock.adobe.com).
Im CANCOM.info-Interview erklärt Walter Wirl, wie CANCOM mit dem Rapid Response Service Unternehmen bei Cyberangriffen unterstützt. Ziel dabei ist stets, den Schaden durch den Angriff zu begrenzen und die Betriebsfähigkeit zu sichern. Tritt der Ernstfall ein, ist CANCOM als vom BSI zertifizierter ATP-Response-Dienstleister 24/7 über eine Hotline erreichbar und leitet sofort Gegenmaßnahmen ein: von der Eindämmung des Angriffs über die forensische Analyse bis zur Wiederherstellung der Daten und Systeme. All diese Maßnahmen koordiniert Walter Wirl als Krisenmanager. Darüber hinaus umfasst der Service präventive Leistungen wie Notfallpläne und Schulungen. Weitere Informationen erhalten Sie auf der Themenseite.
Dieser Text wurde mit Unterstützung von AI erstellt und redaktionell überprüft.
CANCOM.info: Zahlreiche Studien, etwa der aktuelle Cyber Security Report von CANCOM, zeigen: Cyberangriffe lassen sich nicht mehr gänzlich verhindern – trotz umfangreicher Präventivmaßnahmen. In Ihrer Position bei CANCOM helfen Sie und Ihr Team Unternehmen im Ernstfall. Welche Aufgaben übernehmen Sie konkret?
Walter Wirl: Im Ernstfall bin ich als Krisenmanager der zentrale Koordinator. Ich halte alles zusammen und sorge dafür, dass strukturiert und zielgerichtet gehandelt wird – damit der Schaden durch den Cyberangriff begrenzt und das Unternehmen betriebsfähig bleibt.
CANCOM.info: Können Sie uns einen schwerwiegenden Vorfall schildern, den Sie koordiniert und gemanagt haben?
Walter Wirl: Ja, ein Fall ist mir besonders im Gedächtnis geblieben: Ein mittelständisches Produktionsunternehmen wurde durch einen Ransomware-Angriff komplett lahmgelegt. Alles stand still: Nicht nur wurden die Systeme verschlüsselt, sondern das Unternehmen sah sich auch mit einem massiven Datenabfluss konfrontiert. Es handelte sich also um einen klassischen Double-Extortion-Angriff.
CANCOM.info: Das heißt konkret?
Walter Wirl: Konkret heißt das, dass die Cyberkriminellen zwei Angriffsmethoden miteinander kombiniert haben – die übliche Vorgehensweise bei einem Double-Extortion-Angriff. Hier werden nicht nur Daten und Systeme der Opfer verschlüsselt, sondern vor der Verschlüsselung zusätzlich Daten gestohlen – die häufig hochsensibel sind. Anschließend drohen die Angreifer damit, die gestohlenen Daten zu veröffentlichen oder im Darknet zu verkaufen, falls das Lösegeld nicht gezahlt wird. So können die Cyberkriminellen den Druck auf das betroffene Unternehmen massiv erhöhen. Denn selbst wenn das Unternehmen in der Lage ist, die verschlüsselten Daten und Systeme erfolgreich wiederherzustellen, bleibt das Risiko einer Veröffentlichung sensibler Informationen bestehen.
CANCOM.info: Das ist ohne Zweifel eine ernste Situation. Wie haben Sie und Ihr Team dem mittelständischen Produktionsunternehmen nun geholfen?
Walter Wirl: Wir haben sofort reagiert, einen Krisenstab mit der Geschäftsleitung eingerichtet und unser First-Responder-Team losgeschickt, um das Ganze einzudämmen. Parallel dazu haben unsere Forensik-Kollegen den Angriffsweg analysiert und angefangen, Spuren zu sichern. Das war auch mit Blick auf die DSGVO extrem wichtig.
CANCOM.info: Inwiefern?
Walter Wirl: Wenn sensible Daten bei einem Cyberangriff kopiert werden, wie in diesem Fall, liegt ein Datenschutzvorfall vor. Diesen muss das betroffene Unternehmen gemäß DSGVO melden – und vor allem die Ursache, den Ablauf und die ergriffenen Gegenmaßnahmen angeben. Um dieser Meldepflicht nachzukommen, ist eine forensische Analyse erforderlich: Sie bildet dafür eine wesentliche Grundlage. Genau diese Analyse haben wir beim betroffenen Unternehmen durchgeführt.
CANCOM.info: Was geschah im Anschluss – also nach der Analyse?
Walter Wirl: Anschließend haben wir die Wiederherstellung der Daten und Systeme durchgeführt. Dabei sind wir schrittweise vorgegangen. Zunächst standen die produktionskritischen Systeme auf der Agenda, im Anschluss die restlichen. In diesem Kontext haben wir auch die Backups des Unternehmens gründlich überprüft – um sicherzustellen, dass diese nicht kompromittiert wurden. Zudem haben wir das Unternehmen bei der Kommunikation eng begleitet – sowohl intern als auch extern. Es wurde sogar kurz darüber nachgedacht, Lösegeld zu zahlen. Ein Szenario, von dem wir als BSI-zertifizierter ATP-Response-Dienstleister grundsätzlich abraten. Zum Glück konnten wir die Systeme ohne Lösegeldzahlung wiederherstellen.
CANCOM.info: Sie sagen, dass CANCOM ein vom BSI-zertifizierter ATP-Response-Dienstleister ist. Was bedeutet das konkret?
Walter Wirl: Es bedeutet eine offizielle Bestätigung des Bundesamts für Sicherheit in der Informationstechnik, dass wir als CANCOM höchste Standards in den Bereichen IT-Sicherheit, Beweissicherung, Datenschutz und Krisenmanagement erfüllen – und darüber hinaus bei Cybersicherheitsvorfällen 24/7 erreichbar und schnell einsatzfähig sind. Unternehmen können sich also im Ernstfall auf höchste Qualität und Erfahrung verlassen.
CANCOM.info: Sie haben verschiedene Maßnahmen beschrieben, die Sie und Ihr Team beim mittelständischen Produktionsunternehmen erbracht haben – von der Identifikation des Angriffs bis hin zur Wiederherstellung der Daten und Systeme. Nach welchen Kriterien legen Sie die Reihenfolge dieser Maßnahmen fest?
Walter Wirl: Die Reihenfolge richtet sich stets nach ihrer Priorität. Und dafür gibt es genau definierte Kriterien, die wir im Krisenstab gemeinsam festlegen und kontinuierlich bewerten. An oberster Stelle steht die Eindämmung, um eine weitere Ausbreitung des Cyberangriffs zu verhindern. Danach folgt der Schutz kritischer Systeme und Daten – inklusive Beweissicherung für die Forensik – und die Wiederherstellung. Auch die Erfüllung rechtlicher Pflichten, wie DSGVO-Meldungen, wird hoch priorisiert. Entscheidungen treffen wir im Krisenstab iterativ, passen Maßnahmen an neue Informationen an und diskutieren Optionen offen. Meine Rolle ist es dabei, diesen Prozess zu moderieren, technische Sachverhalte verständlich zu machen und sicherzustellen, dass Entscheidungen nachvollziehbar dokumentiert werden.
CANCOM.info: All diese und weitere Maßnahmen sind ja im CANCOM Rapid Response Service gebündelt. Was zeichnet diesen Service aus?
Walter Wirl: Der CANCOM Rapid Response Service und die darin enthaltenen Maßnahmen zeichnen sich dadurch aus, dass die Schäden eines Cybersicherheitsvorfalls minimiert werden können. Zudem können wir die Betriebsfähigkeit der Kunden schnellstmöglich wiederherstellen und die Cyber-Resilienz unserer Kunden stärken. Tritt der Ernstfall auf, sind wir über eine Hotline 24/7 erreichbar und leiten nach initialer Bewertung bzw. Identifikation des Cyberangriffs sofort Maßnahmen zur Eindämmung ein. Es folgen die Beseitigung der Ursachen, die sichere Wiederherstellung der Daten und Systeme und schließlich die wichtige „Lessons Learned“-Phase zur nachhaltigen Verbesserung der Sicherheitsmaßnahmen. All diese Schritte haben wir auch beim mittelständischen Produktionsunternehmen durchgeführt. Neben diesen reaktiven Maßnahmen, also nach einem Cybersicherheitsvorfall, bieten wir auch proaktive Vorsorgeleistungen an. Dass wir für sämtliche Leistungen die notwendige Expertise mitbringen, hat das BSI eben mit der Zertifizierung als ATP-Response-Dienstleister bestätigt. Tatsächlich verfügen wir CANCOM-intern über eine Reihe von Security-Experten – von Forensikern bis hin zu Beratern für Krisenkommunikation und Datenschutz.
Seite 1
