Der Angriff auf den Serviettenhersteller Fasana im Mai 2025 gehört zu den drastischsten jüngeren Fällen eines erfolgreichen Cyberangriffs auf ein deutsches mittelständisches Unternehmen. Innerhalb weniger Stunden stand das Unternehmen nahezu vollständig still: Interne Drucker verbreiteten plötzlich Erpressernachrichten, die Produktion kam zum Erliegen, Liefer- und Auftragsprozesse brachen zusammen. Wenige Tage später folgte der Insolvenzantrag. Für CISOs mittelständischer Unternehmen ist dieser Fall nicht nur ein warnendes Beispiel, sondern auch eine wertvolle Quelle für Lessons Learned.
Zu dem Angriff wurden nur begrenzte technische Details veröffentlicht. Die folgenden Einschätzungen basieren auf bestätigten Fakten und plausiblen Szenarien, die auf typischen Angriffsmustern aus unseren Incident-Response-Einsätzen beruhen.
Bekannte Fakten
Am 19. Mai 2025 kam es zu einem massiven IT-Ausfall im gesamten Unternehmen. Mehrere Medien berichten übereinstimmend, dass Erpressertexte über Drucker ausgegeben wurden. Die Produktion kam vollständig zum Stillstand, Liefer- und Auftragsprozesse konnten nicht mehr abgewickelt werden. Am 1. Juni 2025 folgte schließlich der Insolvenzantrag.
Was sehr wahrscheinlich geschah
Ransomware-Angriffe folgen häufig wiederkehrenden Mustern, auch wenn der konkrete Ablauf in jedem Einzelfall variieren kann. Für den Angriff auf Fasana sind weder die eingesetzte Malware-Variante noch konkrete Indicators of Compromise (IOCs), der exakte Angriffsvektor oder forensische Erkenntnisse zu einer möglichen Datenexfiltration öffentlich bekannt. Dennoch lassen sich aus typischen Angriffsszenarien plausible Annahmen und darauf basierend sinnvolle Schutzmaßnahmen ableiten.
Der initiale Zugriff kann über verschiedene Wege erfolgen: etwa über Phishing-Mails, gestohlene VPN-Zugangsdaten, ungepatchte öffentlich erreichbare oder über Zugangsdaten aus früheren Datenlecks. Gerade wenn Mitarbeitende identische Passwörter sowohl im Unternehmenskontext als auch auf privaten oder externen Plattformen verwenden, können bereits kompromittierte Zugangsdaten als Einstiegspunkt dienen.
Nach dem ersten Zugriff bewegen sich Angreifer typischerweise lateral im Netzwerk, häufig mithilfe legitimer Administratorwerkzeuge wie PowerShell, WMI oder Sysinternals-Tools sowie über ein kompromittiertes Active Directory.
Erst in der finalen Phase wird der Angriff für das Unternehmen sichtbar: Daten werden verschlüsselt, produktionsnahe Systeme gestört und zentrale Geschäftsprozesse unterbrochen – im Extremfall bis hin zum vollständigen Stillstand der Produktion.
VPN (Virtual Private Network – gesicherter Fernzugang ins Unternehmensnetz)
WMI (Windows Management Instrumentation – Schnittstelle zur Abfrage und Verwaltung von Windows-Systemen)
Sysinternals-Tools (eine Sammlung administrativer Diagnose- und Verwaltungsprogramme von Microsoft, mit denen sich Prozesse, Benutzerkonten, Netzwerkverbindungen und Systemkonfigurationen detailliert analysieren und steuern lassen)
Was CISOs daraus lernen können
Solche Angriffe entwickeln sich oft über Tage oder Wochen unentdeckt im Netzwerk. Die Eskalation erfolgt dann innerhalb weniger Stunden. Die entscheidende Schutzwirkung entsteht deshalb nicht erst bei der Reaktion im Notfall, sondern vor allem durch eine systematische Vorbereitung und eine robuste Sicherheitsarchitektur.
Viele Produktionsumgebungen sind historisch gewachsen und eng mit der Büro-IT verbunden. Gelingt Angreifern der Einstieg über ein kompromittiertes Office-Konto, können sie sich in solchen Strukturen häufig ungehindert bis in die Produktionsumgebung bewegen. Aus einem IT-Vorfall wird eine operative Krise.
Produktions- und Office-IT sollten konsequent voneinander getrennt betrieben werden. Idealerweise erfolgt diese Trennung über klar definierte Netzwerksegmente, interne Firewalls und präzise konfigurierte Access Control Lists (ACLs), die den Datenverkehr strikt steuern. OT-Systeme sollten nicht direkt in die Office-Domäne integriert sein, damit kompromittierte Benutzerkonten nicht unmittelbar Zugriff auf produktionsnahe Systeme erhalten.
Für besonders kritische Systeme empfiehlt sich zusätzlich der Zugriff über sogenannte Jump-Hosts – speziell gehärtete Administrationssysteme, über die sich Administratoren zunächst authentifizieren müssen, bevor sie Produktionsserver erreichen können. Wesentlich ist dabei, dass für diese Zugänge dedizierte Administrationskonten mit separaten Passwörtern verwendet werden. Nur so lässt sich verhindern, dass kompromittierte Office-Konten automatisch Zugriff auf produktionskritische Systeme erhalten.
ACLs (Access Control Lists – Regeln, die definieren, welche Benutzer oder Systeme auf Dateien, Ordner oder Ressourcen zugreifen dürfen)
OT-Systeme (Operational Technology – Systeme, die industrielle Prozesse steuern, z.B. Produktionsmaschinen oder Steuerungssysteme)
Drucker sind oft unterschätzte Schwachstellen. Technisch handelt es sich um vollwertige Netzwerkgeräte, die jedoch in vielen Umgebungen nicht mit einer angemessenen Sicherheitsdisziplin betrieben werden. In der Praxis sind sie häufig mit öffentlich dokumentierten Default-Credentials konfiguriert, die von Angreifern automatisiert getestet werden können. Wird ein Drucker kompromittiert, kann er als Einstiegspunkt oder als Informationsquelle für Angreifer dienen. Zusätzlich unterstützen viele Geräte noch veraltete Protokolle wie SMBv1, ein inzwischen unsicheres Windows-Dateifreigabeverfahren, das Angreifern das Auffinden, Auslesen und Manipulieren von Systemen erleichtert. Fehlende Updates verschärfen das Risiko: Ungepatchte Firmware enthält bekannte Schwachstellen, die sich ebenfalls automatisiert ausnutzen lassen.
In vielen mittelständischen Unternehmen stellen Legacy-Systeme ein wesentliches strukturelles Problem dar:
- Produktionsrechner mit veralteten Betriebssystemen
- Anwendungen, die nur mit bestimmten, längst abgekündigten Softwareversionen funktionieren
- Fileserver mit historisch gewachsenen Berechtigungsstrukturen
- Alte Datenbanken oder selbst entwickelte Software ohne Wartung
Diese Systeme sind nicht „vergessen“, sondern häufig sogar geschäftskritisch. Gerade in Produktionsumgebungen lassen sie sich oft nicht ohne Weiteres ersetzen, weil sie tief in Maschinensteuerungen, ERP-Prozesse oder Lieferketten integriert sind. Nicht selten fungieren beispielsweise alte Windows-Systeme weiterhin als Steuerungsrechner für Maschinen. Diese Systeme befinden sich häufig seit Jahren im End-of-Life-Zustand und enthalten bekannte, öffentlich dokumentierte Schwachstellen, für die keine Sicherheitsupdates mehr bereitgestellt werden. Migration bedeutet hier also nicht nur ein IT-Projekt, sondern auch ein potenzielles Risiko für den laufenden Betrieb.
Das generelle Problem: Legacy-Systeme erhalten häufig keine Sicherheitsupdates mehr. Moderne Schutzmechanismen wie aktuelle Verschlüsselung, starke Authentifizierung oder EDR-Integration sind oft nicht möglich. Die Systeme laufen mit weitreichenden Rechten und kommunizieren breit im Netzwerk. Kombiniert mit fehlender Netzwerksegmentierung entsteht so ein ideales Ausbreitungsszenario für Angreifer: Wird ein solches System kompromittiert oder dient es als Brücke zwischen Office-IT und Produktion kann es als Verteilstation für Angriffe im gesamten Unternehmen fungieren.
Ein strukturiertes, möglichst alle Systeme umfassendes Schwachstellenmanagement reduziert kontinuierlich die Angriffsfläche und stellt sicher, dass Sicherheitslücken nicht lange unentdeckt bleiben. Druckserver und Legacy-Systeme sollten in klar getrennten, isolierten Netzwerksegmenten betrieben werden und nur von autorisierten Systemen oder Benutzern erreichbar sein. Alte Protokolle wie SMBv1 und unnötige Dienste sollten konsequent deaktiviert werden, um automatisierte Ausbreitungswege zu unterbinden. Firmware-Updates für Drucker sowie verfügbare Sicherheitsupdates für Altsysteme sollten regelmäßig eingeplant und umgesetzt werden.
In der Praxis befinden sich jedoch viele ältere Geräte und Systeme bereits außerhalb des Herstellersupports und erhalten keine Sicherheitsupdates mehr. Solche Systeme sollten daher besonders strikt isoliert und nur über klar definierte Zugangswege erreichbar sein. Der Zugriff kann beispielsweise über ein Privileged-Access-Management-System (PAM) gesteuert werden. Ein PAM-System verwaltet privilegierte Zugänge zentral, vergibt sie nur zeitlich begrenzt und protokolliert sämtliche administrativen Aktivitäten. Dadurch wird der Zugriff auf besonders kritische Systeme kontrollierbar, nachvollziehbar und deutlich sicherer. Aktiviertes Audit-Logging macht ungewöhnliche Aufträge, administrative Aktivitäten oder Zugriffe sichtbar und liefert frühzeitig Hinweise auf eine Kompromittierung.
Mehr zum Schwachstellenmanagement
Mehr zum Privileged Access Management
Viele mittelständische Unternehmen verfügen zwar über Backups, doch nur wenige testen diese unter realen Bedingungen. In unseren Incident-Response-Einsätzen zeigt sich immer wieder dasselbe Muster: Backups existieren zwar, liegen jedoch im selben Netzwerk wie die produktiven Systeme, nutzen die gleichen Admin-Konten oder wurden schlicht nie auf ihre Wiederherstellbarkeit geprüft. Das Risiko liegt auf der Hand: Im Ernstfall sind die Sicherungen entweder ebenfalls verschlüsselt oder lassen sich nicht rechtzeitig wiederherstellen – der Geschäftsbetrieb bleibt blockiert.
Backups sollten unveränderbar (immutable/offline) gespeichert,
die Wiederherstellung regelmäßig getestet und dokumentiert werden, um im
Ernstfall zuverlässig zu funktionieren. Zudem sollten Backup-Identitäten strikt
getrennt von Domain-Admin-Konten angelegt sein, sodass kompromittierte
Admin-Konten nicht automatisch Zugriff auf Sicherungssysteme ermöglichen.
Fast jeder große Ransomware-Angriff hinterlässt vorher Warnsignale. Typische Frühindikatoren sind ungewöhnliche interne Verbindungen – automatisierte Versuche eines kompromittierten Systems, weitere Rechner zu erreichen. Dabei prüfen Angreifer, welche Systeme sie als Nächstes übernehmen können, z.B. über RDP (Remote Desktop Protocol) durch Anmeldeversuche auf entfernten Rechnern oder über SMB (Server Message Block) durch Zugriffe auf Freigaben, Drucker und Server. Dabei suchen sie offene Systeme, testen Passwörter, prüfen gestohlene Zugangsdaten oder übernehmen zusätzliche Server. Auffällig sind außerdem ungewöhnliche Login-Muster, viele fehlgeschlagene Anmeldungen, unerwartete PowerShell- oder Druckbefehle sowie plötzliche Massenzugriffe auf Fileserver. Das Problem: Die Warnsignale existieren, werden aber nicht ausgewertet – der Angriff läuft sichtbar, aber unbeobachtet.
Ein wirksamer Schutz entsteht erst durch durchgängige Telemetrie und ein integriertes Erkennungs und Reaktionsmodell. Moderne EDR-Lösungen (Endpoint Detection & Response) überwachen Endgeräte wie Clients und Server in Echtzeit, erkennen verdächtige Aktivitäten direkt am System und ermöglichen automatische sowie manuelle Gegenmaßnahmen gegen Angriffe, bevor sie sich lateral im Netzwerk ausbreiten können. EDR bildet damit die erste Verteidigungslinie, weil Endpunkte oft der Einstiegspunkt für Angreifer sind und eine frühe Erkennung hier die späteren Schäden deutlich reduziert.
Ein SIEM (Security Information and Event Management) fungiert als zentraler Knotenpunkt, der sicherheitsrelevante Daten aus EDR, Schwachstellenmanagement, Netzwerktelemetrie und weiteren Quellen sammelt, korreliert und strukturierte Analysen ermöglicht. Dadurch werden einzelne Ereignisse zu einer konsistenten, verständlichen Lage zusammengeführt und Angriffe über mehrere Systeme hinweg sichtbar. SIEM ist damit unverzichtbar, um alarmierende Ereignisse nicht isoliert, sondern im Kontext des gesamten IT-Betriebs zu bewerten. Zusätzlich ermöglicht ein SIEM die langfristige Analyse historischer Aktivitäten. Angreifer bewegen sich in vielen Fällen über längere Zeit sehr vorsichtig im Netzwerk („Low and Slow“), um nicht aufzufallen. Durch die langfristige Speicherung und Auswertung von Logdaten lassen sich solche Aktivitäten rückblickend analysieren oder mithilfe moderner Analyseverfahren und Machine-Learning-Methoden als ungewöhnliche Muster identifizieren. Aus diesem Grund empfehlen wir in der Praxis eine Log-Datenvorhaltung von mindestens einem Jahr, um auch langfristige Angriffsaktivitäten nachvollziehen zu können.
Ein Security Operations Center (SOC) sorgt dafür, dass diese Technik in Wirkung umgesetzt wird: Spezialisierte Analysten interpretieren die Telemetrie, erkennen Muster, identifizieren Anomalien und leiten Eskalations‑ oder Gegenmaßnahmen ein. Ein SOC stellt sicher, dass Warnungen nicht im Log‑Archiv verschwinden, sondern bewertet, priorisiert und koordiniert bearbeitet werden. Gerade im Mittelstand ist die Kombination aus Technologie und Expertenwissen zentral, denn der Aufbau einer eigenen 24/7‑Überwachung ist intern oft nicht realisierbar.
Mehr zum Security Operations Center und Endpoint Detection & Response
Fazit: Cyberresilienz ist eine Managementaufgabe
Der Fall Fasana zeigt eindrücklich, wie schnell ein einzelner Cyberangriff ein mittelständisches Unternehmen existenziell bedrohen kann. Entscheidend war vermutlich nicht eine einzelne Schwachstelle, sondern die Verkettung aus fehlender Segmentierung, unzureichend abgesicherten Systemen und mangelnder Sichtbarkeit.
Die dargestellten Abläufe sind für den Fall Fasana nicht abschließend belegt, sondern stellen plausible Ableitungen auf Basis typischer Angriffsmuster und unserer Erfahrungen aus Incident-Response-Einsätzen dar. Sie sollen Unternehmen dabei unterstützen, aus dem Vorfall konkrete Schutzmaßnahmen abzuleiten.
Die wichtigste Erkenntnis für CISOs: Cyberresilienz entsteht nicht durch einzelne Produkte, sondern durch ein Zusammenspiel aus Architektur, Prozessen und Überwachung. Segmentierte Netzwerke begrenzen Schäden, gehärtete Zugänge verhindern Ausbreitung, Monitoring erkennt Angriffe frühzeitig und getestete Backups sichern die Handlungsfähigkeit.
Cybersecurity bedeutet nicht, jeden Angriff zu verhindern, sondern sicherzustellen, dass kein Angriff die Existenz des Unternehmens gefährdet.
WEBINAR
Security Operations Center im Mittelstand
Empfehlungen und Praxisleitfaden für das richtige Security-Niveau
14. April 2026 | 10:00 – 11:00 Uhr
Microsoft Teams
Best Practice Architektur für den Mittelstand
Wann Plattformen wie Microsoft, elastic & Rapid7 sinnvoll sind
Worauf Sie bei der Anbieterwahl achten sollten