Wie Sophos MDR gemeinsam mit Datimo einen echten Vorfall frühzeitig neutralisierte
Cyberangriffe beginnen selten mit einem lauten Knall. Meist starten sie leise – unauffällig – über legitime Zugänge.
Genau so auch in diesem realen Fall bei einem unserer Kunden.
Der Einstieg: Zugriff über einen legitimen SSL-VPN-Zugang
Der Initial Access erfolgte über einen gültigen SSL-VPN-Zugang eines Lieferanten. Kein klassischer Phishing-Angriff. Kein offensichtlicher Malware-Alarm. Sondern ein Zugang, der grundsätzlich erlaubt war.
Ein Szenario, das viele Unternehmen unterschätzen.
Nach dem erfolgreichen Login begann die Reconnaissance-Phase – also das systematische Auskundschaften der Umgebung.
Die erste Verteidigungslinie: Endpoint Protection
Der eingesetzte Endpoint-Schutz von Sophos erkannte verdächtige Aktivitäten.
Daraufhin wechselte der Angreifer die Taktik – und setzte auf IMPACKET Remote Execution, ein Werkzeug, das häufig für laterale Bewegungen innerhalb eines Netzwerks missbraucht wird.
Ein klarer Hinweis auf einen gezielten Angriff.
Der entscheidende Moment: Der Anruf von Sophos MDR
An diesem Punkt kam Sophos MDR ins Spiel – das externalisierte Security Operations Center (SOC).
Noch während der Angreifer versuchte, sich weiter auszubreiten, erfolgte die Alarmierung durch das MDR-Team.
Die Sofortmassnahme:
👉 Isolation des betroffenen Systems.
Damit wurde die weitere Ausbreitung unmittelbar gestoppt.
Strukturierte Incident Response statt Chaos
Gemeinsam mit dem MDR-Team und den Verantwortlichen des Kunden und des betroffenen Lieferanten konnten wir:
- den Vorfall präzise analysieren
- klären, ob Datenabflüsse stattgefunden haben
- prüfen, ob Persistenzmechanismen eingerichtet wurden
- das Risiko sauber bewerten
- und rasch wieder in den Produktionsbetrieb übergehen
Ohne MDR-Unterstützung hätte sich der Angreifer möglicherweise unbemerkt eingenistet.
Die Folgen wären gravierend gewesen:
- Langandauernde Betriebsunterbrüche
- Hohe Wiederherstellungskosten
- Datenschutzrelevante Vorfälle
- Reputationsschäden
Cybersecurity ist kein IT-Thema – sondern Unternehmensschutz
Dieser Vorfall zeigt deutlich:
✔️ Prävention alleine reicht nicht
✔️ Schnelle Detection ist entscheidend
✔️ Netzwerksegmentierung und Endpointschutz (XDR/EDR) sind Pflicht
✔️ MFA und starke Passwörter sind hohe Hürden aber keine Garantie
✔️ Professionelle Response spart Zeit, Geld und Nerven
Eine strukturierte Grundlage bietet der IKT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung (BWL), basierend auf dem NIST Cybersecurity Framework.
Er hilft Unternehmen, Cyberrisiken systematisch zu identifizieren, zu bewerten und zu reduzieren.
Datimo – Ihr Partner in allen Phasen
Wir bei Datimo unterstützen Unternehmen:
- bei der Umsetzung des IKT-Minimalstandards
- beim Aufbau nachhaltiger Cybersecurity-Strategien
- bei der Implementierung von Sophos-Lösungen
- bei Incident Response und Krisenmanagement
- bei der kontinuierlichen Sicherheitsoptimierung
Mit der richtigen Kombination aus Technologie, Prozessen und Erfahrung lassen sich auch komplexe Angriffe frühzeitig stoppen.