MDR ist nicht genug: Wenn Cyberangriffe plötzlich deinen Urlaub stoppen

🎤 Interview: MDR ist nicht genug

1. Zum Einstieg ganz grundlegend: Was versteht man eigentlich unter „MDR“ – und welche Aufgabe erfüllt es in der Cyberabwehr?

MDR steht für Managed Detection and Response. Dahinter steckt vereinfacht gesagt ein externer Sicherheitsdienst, der Unternehmens-IT rund um die Uhr überwacht, Angriffe erkennt und bei der Reaktion unterstützt. Das ist ein wichtiger Baustein moderner Cyberabwehr, weil Bedrohungen so schneller sichtbar werden. MDR löst aber vor allem das Problem der Erkennung – nicht automatisch das Problem der sofortigen Eindämmung, wenn ein Angriff bereits aktiv läuft

2. Viele Unternehmen investieren stark in Cybersecurity – und werden trotzdem erfolgreich angegriffen. Woran liegt das?

Viele Unternehmen investieren in Sicherheitswerkzeuge, aber Sicherheit entsteht nicht allein durch Technik. Angriffe sind heute hochprofessionell und nutzen gezielt Lücken zwischen Systemen, Prozessen und Zuständigkeiten. Das eigentliche Problem ist oft nicht, dass ein Angriff unentdeckt bleibt, sondern dass er zwar erkannt, aber nicht schnell genug gestoppt wird. Genau deshalb reichen Investitionen in klassische Cybersecurity allein oft nicht aus.

3. Sie sagen, „MDR ist nicht genug“. Was fehlt konkret, wenn ein Angriff zwar erkannt wird, aber bereits läuft?

Wenn ein Angriff bereits läuft, reicht Erkennung allein nicht mehr aus. Dann braucht es die Fähigkeit, ihn sofort technisch einzudämmen. MDR zeigt, dass etwas passiert. Was zusätzlich nötig ist, ist Containment – also die schnelle Unterbrechung des Angriffs, bevor er sich weiter ausbreitet und größeren Schaden verursacht.“

4. Wenn man Cyberangriffe nicht technisch, sondern aus Sicht des Alltags betrachtet: Was passiert konkret, wenn zentrale Systeme plötzlich ausfallen?

Wenn zentrale Systeme ausfallen, ist das nicht nur ein IT-Problem, sondern ein unmittelbarer Eingriff in den Alltag und in den Geschäftsbetrieb. Plötzlich funktionieren Buchungen, Zahlungen, Kommunikation und interne Prozesse nicht mehr wie gewohnt. Für Unternehmen ist das doppelt kritisch: Zum einen entstehen operative Ausfälle, zum anderen geht Vertrauen verloren – bei Kunden, Partnern und Mitarbeitenden. Und dieses Vertrauen wieder aufzubauen, ist meist deutlich aufwendiger als es zu verlieren. Hinzu kommt, dass viele solcher Vorfälle zugleich auch Datenschutzvorfälle sind, weil nicht nur Systeme gestört, sondern unter Umständen auch sensible Daten betroffen sind.

5. Stellen wir uns eine typische Reisesituation vor: Hotel-Systeme funktionieren nicht mehr, Mietwagen können nicht gebucht werden oder Kartenzahlungen fallen aus. Wie realistisch sind solche Szenarien – und was würde im Hintergrund gerade passieren?

Solche Szenarien sind absolut realistisch, weil Reise-, Buchungs- und Zahlungsprozesse heute hochgradig digitalisiert und miteinander vernetzt sind. Wenn ein Cyberangriff diese Systeme trifft, sehen Kunden zunächst nur Störungen, Wartezeiten oder Ausfälle. Im Hintergrund kann es aber sein, dass Systeme verschlüsselt wurden, Daten nicht mehr verfügbar sind oder Anwendungen gezielt abgeschaltet werden, um den Schaden einzugrenzen. Aus Sicht der Betroffenen wirkt das wie schlechter Service – tatsächlich ist es oft die direkte Folge eines massiven Sicherheitsvorfalls

5. Viele denken bei Cyberangriffen zuerst an Datenverlust. Ist das heute überhaupt noch das größte Problem?

Datenverlust ist weiterhin ein großes Risiko, aber oft nicht mehr das einzige oder größte Problem. Für viele Unternehmen ist der unmittelbare Ausfall zentraler Systeme noch gravierender, weil dadurch der laufende Betrieb, die Kommunikation und der Kundenservice plötzlich beeinträchtigt werden. Gleichzeitig kommt es bei modernen Angriffen häufig nicht nur zu Störungen, sondern auch zu einem möglichen Abfluss sensibler Daten. Dann geht es parallel um Betriebsunterbrechung, Vertrauensverlust und oft auch um einen Datenschutzvorfall mit rechtlichen und reputativen Folgen.

7. Wie verletzlich ist unsere Infrastruktur wirklich – auch im Alltag ganz normaler Menschen?

Unsere Infrastruktur ist im Alltag verletzlicher, als viele denken, weil heute nahezu alle zentralen Bereiche digital vernetzt sind – von Kommunikation und Zahlungsverkehr bis hin zu Verwaltung, Versorgung und Mobilität. Solange alles funktioniert, bleibt diese Abhängigkeit unsichtbar. Kommt es aber zu einem Ausfall oder Angriff, wird schnell deutlich, wie unmittelbar sich digitale Störungen auf ganz normale Menschen auswirken können. Genau deshalb ist Cyberresilienz heute kein Spezialthema mehr, sondern eine Frage gesellschaftlicher Stabilität.

Was ein Cyberangriff konkret im Alltag bedeuten kann, zeigt diese Übersicht:

8. Gibt es typische Denkfehler in Unternehmen, wenn es um Sicherheit geht?

Ja, ein typischer Denkfehler ist die Annahme, dass Sicherheit vor allem durch den Einkauf vieler technischer Lösungen entsteht. In Wirklichkeit reicht Technik allein nicht aus. Entscheidend ist, ob ein Unternehmen im Ernstfall auch schnell und wirksam reagieren kann. Viele Organisationen sind heute gut darin, Risiken sichtbar zu machen, aber noch nicht automatisch ebenso gut darin, laufende Angriffe konsequent einzudämmen. Ein weiterer Fehler ist, Cybersecurity als reines IT-Thema zu behandeln, obwohl im Ernstfall der gesamte Geschäftsbetrieb betroffen ist.

9. Was ist die eine unbequeme Wahrheit, die viele Entscheider nicht hören wollen?

Die unbequeme Wahrheit ist: Sicherheit wird in vielen Unternehmen noch immer zu stark als reines IT-Thema betrachtet. Tatsächlich geht es aber um die Stabilität des gesamten Unternehmens – um Betriebsfähigkeit, Kundenvertrauen, Reputation, rechtliche Pflichten und wirtschaftliche Handlungsfähigkeit. Deshalb kann die Verantwortung dafür nicht allein bei der IT liegen. Sie gehört in die Geschäftsführung. Die entscheidende Frage ist heute nicht mehr, ob ein Unternehmen angegriffen wird, sondern ob es im Ernstfall vorbereitet ist, schnell reagieren kann und handlungsfähig bleibt.

10. Was würden Sie einem Unternehmen raten, das glaubt, bereits gut aufgestellt zu sein?

Unternehmen, die glauben, bereits gut aufgestellt zu sein, sollten genau das regelmäßig überprüfen lassen. Entscheidend ist nicht nur, welche Sicherheitslösungen vorhanden sind, sondern ob sie im Ernstfall auch wirksam sind. Dazu gehören konkrete Prüfungen wie Penetrationstests, aber auch realistische Tests der Reaktions- und Notfallfähigkeit. Denn Sicherheit zeigt sich nicht auf dem Papier, sondern unter realen Bedingungen. Cybersecurity ist deshalb kein reines IT-Thema, sondern eine unternehmerische Aufgabe mit klarer Verantwortung in der Geschäftsführung.

Fazit: MDR ist ein wichtiger Baustein – aber kein Schutzschild

MDR ist ein wichtiger Baustein – aber kein Schutzschild. Wer glaubt, damit ausreichend abgesichert zu sein, unterschätzt die Realität moderner Cyberangriffe. Entscheidend ist nicht nur Erkennung, sondern Reaktion, Automatisierung und ein funktionierendes Gesamtsystem.