Cybervize – Cybersecurity Beratung
Alle Artikel

Logs im Ransomware-Fall: Warum ein Server-Ausfall Millionen kostet

Alexander Busse·8. Februar 2026
Logs im Ransomware-Fall: Warum ein Server-Ausfall Millionen kostet

Die 400.000-Euro-Frage: Wo sind Ihre Logs im Ransomware-Fall?

Es ist eine dieser Geschichten, die man nicht vergisst. Ein mittelständischer Geschäftsführer erzählt mir bei einem Kaffee von seinem Ransomware-Vorfall. Monate sind vergangen, aber die Wunde sitzt tief. Nicht wegen des Angriffs selbst, sondern wegen eines fatalen Fehlers, der ihn 400.000 Euro gekostet hat.

Der Fehler? Eine simple Frage, die niemand gestellt hatte: Wo liegen unsere Logs, wenn alles ausfällt?

Der Moment, als alles zusammenbrach

Nach dem Ransomware-Angriff lief zunächst alles nach Protokoll. Die IT-Abteilung hatte reagiert, Systeme wurden isoliert, die Versicherung informiert. Das Unternehmen hatte sogar eine Cyber-Versicherung abgeschlossen, genau für solche Fälle.

Die Versicherung stellte die üblichen Fragen:

  • Wann wurde der Angriff erstmals bemerkt?
  • Welche Systeme waren konkret betroffen?
  • Wer hat wann welche Entscheidungen getroffen?
  • Welche Maßnahmen wurden in welcher Reihenfolge ergriffen?

Alles legitime Fragen. Fragen, die dokumentiert sein sollten. Fragen, deren Antworten in den Systemlogs stehen.

Der Geschäftsführer war sich absolut sicher: "Wir haben alles dokumentiert." Seine IT hatte ihm versichert, dass sämtliche Aktivitäten protokolliert werden. Logging war implementiert, die Compliance-Anforderungen erfüllt.

Dann kam der Anruf, der alles veränderte.

Der fatale Fehler in der Log-Architektur

Die IT musste zugeben: Die Logs lagen auf demselben Server, der von der Ransomware verschlüsselt worden war. Alle Nachweise, alle Zeitstempel, alle Entscheidungspfade, alles war weg. Verschlüsselt. Unzugänglich.

In diesem Moment wurde aus einem handhabbaren IT-Sicherheitsvorfall eine existenzbedrohende Krise.

Die Konsequenzen waren verheerend

Die Versicherung kürzte massiv. Ohne belastbare Dokumentation des Vorfalls und der Reaktionsmaßnahmen konnte das Unternehmen nicht nachweisen, dass es seiner Sorgfaltspflicht nachgekommen war. Die Versicherung argumentierte, dass durch unzureichende Vorsichtsmaßnahmen der Schaden größer ausgefallen sei als nötig.

Der Aufsichtsrat stellte unangenehme Fragen. Wie konnte so etwas passieren? Warum waren grundlegende Sicherheitsmaßnahmen nicht implementiert? Wer trägt die Verantwortung?

Die IT-Abteilung wurde zum Sündenbock. Obwohl sie im Rahmen ihrer Möglichkeiten gehandelt hatte, lastete man ihr das Versäumnis an. Dabei war es nicht ihre Schuld allein.

Das eigentliche Problem: Niemand hatte die richtige Frage gestellt

Das Tragische an dieser Geschichte: Es war kein technisches Versagen. Die IT-Abteilung hatte Logging implementiert. Sie hatten Prozesse etabliert. Sie waren nicht inkompetent.

Das Problem war ein strategisches Versäumnis auf Führungsebene. Niemand hatte jemals gefragt:

"Wo liegen unsere Logs, wenn die Systeme, die wir überwachen, kompromittiert sind?"

Eine Frage. Fünf Sekunden zum Aussprechen. Hätte 400.000 Euro gespart.

Best Practices für sichere Log-Verwaltung

Aus diesem Fall lassen sich klare Handlungsempfehlungen ableiten, die jedes mittelständische Unternehmen umsetzen sollte:

1. Zentralisierte, externe Log-Speicherung

Logs müssen räumlich und logisch getrennt von den überwachten Systemen gespeichert werden. Das bedeutet:

  • SIEM-Systeme (Security Information and Event Management) auf separater Infrastruktur
  • Cloud-basierte Log-Management-Lösungen als zusätzliche Sicherheitsebene
  • Geografisch verteilte Backup-Standorte für kritische Protokolldaten

2. Unveränderliche Log-Speicherung (Immutable Logs)

Moderne Angreifer versuchen, ihre Spuren zu verwischen, indem sie Logs manipulieren oder löschen. Unveränderliche Log-Speicherung verhindert dies durch:

  • Write-Once-Read-Many (WORM) Technologie
  • Blockchain-basierte Log-Integritätsprüfung
  • Automatische digitale Signaturen für Log-Einträge

3. Regelmäßige Tests der Log-Verfügbarkeit

Es reicht nicht, ein System zu implementieren. Sie müssen regelmäßig testen:

  • Sind die Logs im Notfall tatsächlich verfügbar?
  • Funktioniert der Zugriff auch bei Ausfall der Hauptsysteme?
  • Können autorisierte Personen die Logs auch unter Stress-Bedingungen abrufen?

4. Klare Retention-Policies

Definieren Sie, welche Logs wie lange aufbewahrt werden müssen:

  • Gesetzliche Anforderungen (z.B. DSGVO, BSI-Grundschutz)
  • Versicherungsanforderungen der Cyber-Versicherung
  • Business-Anforderungen für Forensik und Incident Response

5. Automatisierte Alerting-Mechanismen

Implementieren Sie Warnmechanismen, die sofort Alarm schlagen, wenn:

  • Log-Datenströme unterbrochen werden
  • Ungewöhnliche Zugriffsmuster auf Log-Systeme erkannt werden
  • Speicherkapazitäten kritische Schwellenwerte erreichen

Die Rolle der Geschäftsführung

Dieser Fall zeigt deutlich: IT-Sicherheit ist Chefsache. Die Geschäftsführung muss die richtigen Fragen stellen, auch wenn sie die technischen Details nicht im Detail versteht.

Fragen, die jeder Geschäftsführer seinem IT-Leiter stellen sollte:

  1. Wo werden unsere Sicherheitslogs gespeichert?
  2. Sind diese Logs im Falle eines Ransomware-Angriffs noch verfügbar?
  3. Wie schnell können wir im Ernstfall auf historische Log-Daten zugreifen?
  4. Erfüllt unsere Log-Strategie die Anforderungen unserer Cyber-Versicherung?
  5. Wann haben wir das letzte Mal die Verfügbarkeit unserer Logs im Notfall getestet?

Versicherungsrechtliche Perspektive

Viele Unternehmen unterschätzen, wie kritisch lückenlose Dokumentation für Versicherungsansprüche ist. Cyber-Versicherungen enthalten oft Klauseln, die voraussetzen, dass:

  • Angemessene Sicherheitsmaßnahmen implementiert waren
  • Der Vorfall zeitnah erkannt und dokumentiert wurde
  • Reaktionsmaßnahmen nachvollziehbar protokolliert sind

Ohne belastbare Logs können Versicherungen:

  • Leistungen kürzen oder verweigern
  • Grobe Fahrlässigkeit unterstellen
  • Künftige Prämien drastisch erhöhen

Compliance und rechtliche Anforderungen

Neben den versicherungsrechtlichen Aspekten gibt es auch regulatorische Anforderungen:

  • DSGVO Artikel 33: Meldepflicht innerhalb von 72 Stunden, erfordert detaillierte Vorfallsdokumentation
  • BSI-Grundschutz: Empfiehlt zentrale Protokollierung und regelmäßige Auswertung
  • NIS2-Richtlinie: Verschärfte Anforderungen an Incident-Reporting für bestimmte Branchen

Fehlende oder unzugängliche Logs können auch zu Bußgeldern und rechtlichen Konsequenzen führen.

Fazit: Eine Frage, die Sie sich heute stellen sollten

Die Geschichte dieses Geschäftsführers ist keine Ausnahme. Sie passiert täglich in mittelständischen Unternehmen. Der Unterschied zwischen einem handhabbaren Vorfall und einer existenzbedrohenden Krise liegt oft in scheinbar banalen Details.

Die 400.000-Euro-Frage lautet: Wo liegen Ihre Logs, wenn alles ausfällt?

Wenn Sie diese Frage nicht sofort und mit Gewissheit beantworten können, haben Sie Handlungsbedarf. Die gute Nachricht: Es ist nie zu spät, die richtigen Fragen zu stellen und die notwendigen Maßnahmen zu ergreifen.

Ihr nächster Schritt

Setzen Sie sich diese Woche mit Ihrer IT zusammen und gehen Sie diese Checkliste durch:

  • [ ] Wo werden unsere Security-Logs gespeichert?
  • [ ] Sind sie räumlich und logisch von den überwachten Systemen getrennt?
  • [ ] Haben wir die Log-Verfügbarkeit im Ernstfall getestet?
  • [ ] Erfüllen wir die Dokumentationsanforderungen unserer Cyber-Versicherung?
  • [ ] Gibt es einen dokumentierten Prozess für den Log-Zugriff im Krisenfall?

Fünf Minuten Investment. Potenziell Hunderttausende Euro gespart.

Wissen Sie, wo Ihre Logs im Ernstfall liegen?

Zurück zur Übersicht