Im Dezember 2025 geriet die IDEAL Versicherung ins Visier der Cybererpressergruppe Akira, die für jeden fünften Ransomwareangriff weltweit verantwortlich gemacht wird. Wolfgang Müller, Bereichsleiter Recht, Personal und Compliance, schilderte auf dem 13. Vertriebsrechtstag in Berlin den Ablauf des Vorfalls und zog Bilanz: Mit besonnenen Entscheidungen, konsequenter Vorbereitung und ein wenig Glück gelang es dem mittelständischen Versicherer, den Angriff abzufangen, bevor Daten abfließen konnten.
Der entscheidende Griff zum Internetstecker
Die Angreifer nutzten eine Schwachstelle in der Firewall, um Zugangsdaten abzugreifen. Erst Tage später aktivierten sie ein internes Notfallkonto mit umfassenden Rechten und versuchten, sämtliche virtuellen Server zu verschlüsseln. In dieser Phase griff die hauseigene IT ein: Statt die Server abrupt herunterzufahren, trennte der Leiter des Rechenzentrums die Internetverbindung. Der Befehlsstrom der Täter brach ab, der Verschlüsselungsprozess endete vorzeitig. Müller bezeichnete diese Entscheidung im Rückblick als wichtigsten Einzelschritt der gesamten Abwehr.
Strikt zweigeteiltes Krisenmanagement
Innerhalb weniger Stunden teilte das Unternehmen den Krisenstab in zwei Einheiten. Eine technische Gruppe arbeitete mit den Forensikern an Analyse und Wiederherstellung, eine zweite Einheit übernahm Führung, Kommunikation und behördliche Meldungen. Diese Trennung ermöglichte es, parallele Aufgaben ohne gegenseitige Störung zu erledigen. Auch die Mitarbeiter wurden früh nach Hause geschickt und über persönliche Kanäle informiert, da sämtliche Unternehmenssysteme zu diesem Zeitpunkt vom Netz waren.
Vorab geschlossener Forensikvertrag zahlt sich aus
Ein zentraler Erfolgsfaktor war der vorab geschlossene Bereitschaftsvertrag mit einem auf Cyberforensik spezialisierten Berliner Anbieter. Das Team stand binnen kürzester Zeit zur Verfügung, screente parallel das Darknet auf Erpresserveröffentlichungen und analysierte den Datenverkehr. Aus dem Nichtvorhandensein von zusätzlichem Traffic vor der Trennung konnten die Fachleute ableiten, dass keine Daten exfiltriert worden waren. Eine zuvor mit dem Anbieter durchgeführte Übung erwies sich rückblickend als wertvolle Investition.
DORA Meldung im Praxistest
Die regulatorischen Vorgaben aus DORA und Datenschutzgrundverordnung verlangten parallel zur technischen Bewältigung umfangreiche Meldungen. Die Vier-Stunden Frist für schwerwiegende Vorfälle wurde knapp gehalten, weitere Zwischenmeldungen folgten. Müller berichtete von einem konstruktiven Austausch mit der BaFin. Da kein Datenabfluss erfolgt war, blieb der datenschutzrechtliche Aufwand begrenzt. Eine Strafanzeige bei der Berliner Zentralstelle Cybercrime ergänzte das Vorgehen und unterstützte die externe Kommunikation.
Offene Kommunikation als Vertrauensgewinn
Die IDEAL entschied sich früh für volle Transparenz und ging aktiv an die Öffentlichkeit. Diese Linie wurde von Branche, Partnern und Medien honoriert. Negative Berichterstattung blieb aus, mehrere Häuser boten sogar personelle Unterstützung an. Vor der Wiederinbetriebnahme tauschte das Unternehmen sämtliche Passwörter, prüfte die gesamte Systemlandschaft und buchte zusätzliche externe Überwachung. Eine Unbedenklichkeitsbescheinigung der Forensiker ermöglichte Partnern den raschen Wiederanschluss. Seit dem Vorfall ist die Zahl der Verdachtsmeldungen aus der Belegschaft deutlich gestiegen, was Müller als nachhaltigen Sensibilisierungseffekt bewertet.
Empfehlungen aus Sicht eines Betroffenen
Erstens braucht es einen technisch realisierbaren Schalter zur sofortigen Trennung der Internetverbindung. Zweitens lohnt sich ein Bereitschaftsvertrag mit einem spezialisierten Forensiker, idealerweise ergänzt um eine gemeinsame Übung. Drittens muss die Notfalldokumentation auch ohne Internetzugang nutzbar sein. Viertens trägt offene Kommunikation entscheidend zur Schadensbegrenzung bei. Müller plädierte für mehr branchenweiten Austausch, da kleinere Häuser entlang der Vertriebskette ein Einfallstor für die gesamte Branche darstellen können.
Verfassen Sie den ersten Kommentar