Ihr Angreifer arbeitet nicht zwischen 9 und 17 Uhr. Ihr SOC schon.

Stellen Sie sich vor, Ihre Werkshalle wäre genau dann unbesetzt, wenn die Diebe kommen. Genau das ist der Zustand der IT-Sicherheit in 90 % der deutschen Mittelständler. Der größte ungelöste strukturelle Fehler in der Cybersecurity des Mittelstands ist nicht technischer, sondern temporaler Natur: Wir verteidigen 40 Stunden in der Woche – Angriffe laufen 24/7 rund um die Uhr. Diese Asymmetrie ist kein Zufall. Sie ist die Geschäftsstrategie der Angreifer.

Der Arctic Wolf Security Operations Report 2025 hat über 330 Billionen Sicherheitsbeobachtungen ausgewertet. Das Ergebnis: 51 Prozent aller Alerts traten außerhalb der Geschäftszeiten auf, 15 Prozent am Wochenende. Darktrace dokumentiert noch deutlicher: In 76% der Ransomware-Infektionen beginnt der Verschlüsselungsprozess entweder nach Feierabend oder am Wochenende.

Das Angreifer-Playbook ist dabei subtiler, als viele denken: Bedrohungsakteure dringen zu Zeiten ein, wenn möglichst viele Nutzerinnen und Nutzer aktiv sind, um unerkannt zu bleiben. Doch die eigentliche Ausführung des Angriffs erfolgt dann nach Geschäftsschluss. Initial Access zwischen 10:00 und 16:00 Uhr (im Rauschen des Tagesgeschäfts), Lateral Movement abends, Verschlüsselung um 03:00 Uhr Samstagnacht – wenn der erste Mitarbeiter Montag ins Büro kommt, läuft der Vorfall bereits 60 Stunden.

Ein EDR-Tool, das niemand um 02:47 Uhr Sonntag liest, ist eine sehr teure Voicemail. NIS2 §32 BSIG verlangt eine 24-Stunden-Erstmeldung an das BSI – wer den Vorfall erst Montag um 09:30 Uhr bemerkt, ist bereits 36 Stunden zu spät.

Die richtige Frage ist nicht „haben wir ein SIEM?“, sondern „wer schaut dort um 04:00 Uhr Sonntag rein?“ Die ehrlichen Antworten sind drei Maßnahmen:

  • 24/7-MDR/SOC-Service einkaufen,
  • automatisierte Containment-Funktionen aktivieren (nicht nur Detection),
  • oder die Nacht, Feiertage und Wochenenden mit Rufbereitschaft und Tabletop-Übungen abdecken (auch eine GF oder Vorstand muss für Entscheidungen greifbar sein) .

Alles andere ist Selbstbetrug. Haben Sie eine dokumentierte Eskalationskette für 03:00 Uhr Sonntag – inklusive Stellvertreter, Notfall-Mobilnummern und vorab definierter Containment-Befugnisse? Oder steht im Plan: „IT-Leiter informieren“?

Erwartete Gegenargumente & Konter:

  • „Ein eigenes SOC können wir uns nicht leisten.“

Stimmt. Für den Schichtbetrieb eines eigenen Security Operations Centers (SOC) sind mindestens acht Analysten nötig, um Wochenenden, Feiertage, Urlaub und Krankheit abzudecken. Hinzu kommen 1-2 Führungskräfte sowie die XDR Software und Threat Intelligence Databases. In Summe kann das 1.000.000 Euro pro Jahr kosten. Genau deshalb gibt es Managed-Detection-Response-Angebote (MDR/MXDR) ab fünfstelligen Jahresbeträgen. Die Frage ist nicht „eigenes SOC ja/nein“, sondern „24/7-Coverage durch wen?“

  • „Wir haben doch Antivirus und Firewall.“

 Beides arbeitet automatisiert – aber bei modernen Angriffen werden legitime Tools genutzt: Ausnutzung von RMM-Lösungen und Cloud-Speicherdiensten (OneDrive, Dropbox) für die Ransomware-Bereitstellung ohne traditionelle Malware-Binärdateien. Genau diese „Living-off-the-Land“-Angriffe erkennen automatisierte Systeme nicht. Es braucht Augen und Hirn auf dem Alert.

  • „Bei uns ist nachts ja niemand im System aktiv – auffällig wäre also alles.“

Genau das ist der Trugschluss. Backup-Jobs, Update-Fenster, automatische Replikationen, Cloud-Sync-Vorgänge laufen nachts. Angreifer wissen das und tarnen sich darin. Ohne Baseline und 24/7-Triage ist „auffällig“ nur lautes Rauschen.

  • „Wir haben Cyberversicherung.“

Cyberversicherer prüfen seit 2025 zunehmend, ob ein 24/7-Monitoring vertraglich zugesagt war. Antwortzeiten sind in vielen neuen Policen Obliegenheit – verspätete Reaktion = Leistungskürzung.

  • „Wir lassen am Wochenende einfach kritische Systeme offline.“

 Charmante Idee, in der Praxis selten umsetzbar (Logistik, Produktion, Cloud-Services, Außendienst). Und: Ein Angreifer, der bereits im System ist, wartet einfach. Air-Gap löst Initial Access, aber nicht Lateral Movement.

Weitere Einblicke finden Sie im Video unten.

Nach oben scrollen