Diese Spezialisten untersuchen den Angriff eingehend: Sie sichern Beweise, rekonstruieren den Angriffsverlauf und schließen Sicherheitslücken. Nur so lässt sich der Vorfall nachhaltig aufarbeiten und weiterer Schaden verhindern. In Deutschland sind KMU besonders betroffen: Laut einer Untersuchung waren 202 etwa 42 % der Firmen Opfer eines Cyberangriffs, bei kleinen und mittelständischen Unternehmen (KMU) lag der durchschnittliche Schaden nach einem Angriff bei rund 95.000 Euro. Damit ist klar: Wer keinen Fachmann hinzuzieht, riskiert gravierende Datenverluste und zusätzliche Kosten.

Aufgaben der IT-Forensiker

IT-Forensiker arbeiten wie digitale Spurensucher. Nach einem Angriff gehen sie systematisch vor, um alle relevanten Daten zu sichern, zu analysieren und in Form eines Gutachtens aufzubereiten. Ein etabliertes Vorgehensmodell gliedert sich typischerweise in drei Phasen:

• Secure (Sichern): Alle relevanten Datenspuren werden in ihrer ursprünglichen Form gesichert. Dazu kopieren Forensiker Festplatten, Speicherabbilder oder Log-Dateien gerichtsverwertbar, sodass keine Änderungen eintreten.

• Analyse: Die Daten werden ausgewertet, um den Angriffsweg, die eingesetzte Schadsoftware und die betroffenen Systeme zu ermitteln. IT-Forensiker ziehen dazu spezialisierte Software und eigene Datenbanken heran, etwa Tools für Speicherforensik (z.B. Sleuthkit, Autopsy) oder Malware-Analyse. Dabei identifizieren sie, welche Schwachstellen ausgenutzt wurden und wer als Täter in Frage kommen könnte.

• Präsentation: Abschließend dokumentieren Forensik-Experten die Untersuchungsergebnisse in einem präzisen Bericht. Dieser zeigt Tathergang, Zeitpunkte und Verantwortliche auf und bewertet den Schaden, etwa für interne Entscheidungsprozesse oder polizeiliche Ermittlungen.

Bereits das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, dass IT-forensische Analysen genau diese Ziele verfolgen: Ursachenklärung, Schadensumfang und rechtliche Nachverfolgbarkeit. Ohne diesen strukturierten Ansatz droht, dass etwa flüchtige Daten verloren gehen; das BSI warnt, dass unbedachtes Vorgehen wichtige Datenspuren zerstören kann. IT-Forensiker sind daher nicht nur „Techniker“, sondern auch Dokumentations- und Rechtsprofis: Sie gewährleisten, dass alle Schritte nachvollziehbar und manipulationsfrei ablaufen.

Forensiker vs. Standard-IT-Fachkraft

IT-Forensiker:innen verfügen über deutlich tiefere und breitere Fachkenntnisse als die meisten IT-Administratoren oder Entwickler. Sie kombinieren technisches Know-how (etwa in Netzwerktechnologien, Betriebssystemen wie Windows, Linux, macOS und Mobilbetriebssystemen) mit speziellen Tools der digitalen Spurensicherung. Außerdem bringen sie oft juristisches Verständnis mit: Sie kennen etwa die Anforderungen an Beweismittel vor Gericht und sichern Daten entsprechend gesetzeskonform. Viele Forensiker haben eine Zusatzqualifikation über Polizei- oder BKA-Ausbildungen erworben und beherrschen professionell Forensik-Software (z.B. EnCase, X-Ways, Autopsy) sowie tiefgehende Protokollanalysen.

Demgegenüber konzentriert sich ein durchschnittlicher Informatiker oder Systemadministrator in einem Unternehmen meist auf den laufenden Betrieb: Installation, Wartung und Support der IT-Systeme. In KMU ist oft nur eine Person für die gesamte IT zuständig. Diese hat zwar grundsolide Kenntnisse, aber selten die spezialisierte Ausbildung in digitaler Spurensuche oder Beweissicherung. Ohne forensische Erfahrung kann ein solcher Fachmann nach einem Angriff leicht Fehler machen, etwa Systeme neu aufsetzen, bevor alle Spuren gesichert sind. Das Mittelstandswiki warnt, dass IT-Forensik eine eigene Disziplin ist, die „besondere Fachkenntnisse“ voraussetzt. Unvorsichtiges Eingreifen durch ungeübte Mitarbeiter kann kritische Beweise vernichten  und die Ursachenanalyse unmöglich machen.

Stärken der IT-Forensiker:

• Spezialisierte Ausbildung: Häufig mit polizeilichem Hintergrund oder spezialisierten Fortbildungen.

• Breites Fachwissen: Expertise in Netzwerken, Betriebssystemen, Speicher- und Malware-Analyse.

• Gerichtsverwertbare Arbeitsweise: Striktes Protokollieren (Chain-of-Custody) und manipulationsfreie Datenkopien.

• Erfahrung mit Vorfällen: Viele Forensiker haben bereits echte Cybercrimes aufgeklärt und wissen, welche Spuren besonders aussagekräftig sind.

Limitationen des Standard-IT-Personals:

• Fokus auf Wartung statt forensischer Analyse.

• Weniger Erfahrung mit spezialisierten Tools und Rechtsfragen.

• Gefahr, durch normale Wiederherstellungsmaßnahmen Beweise zu zerstören .

Kostenfaktor IT-Forensik

IT-Forensik ist kostspielig: Die Untersuchung komplexer Cybervorfälle bindet teure Expertenstunden. Das Bitkom-Leitfaden betont, dass Tagessätze in der Forensik durch die Anforderungen und den Eilbedarf „in der Regel höher liegen als bei anderen IT-Dienstleistungen“ . Typische Honorarsätze für IT-Forensiker liegen meist im niedrigen bis mittleren vierstelligen Euro-Bereich pro Tag. Der GDV-Verband (Versicherer) weist darauf hin, dass selbst klassische IT-Techniker oft schon 1.000 Euro und mehr pro Tag berechnen, hoch spezialisierte Forensiker kommen häufig darüber hinaus.

Hinzu kommen Folgekosten eines Angriffs: Bitkom nennt Beispiele, in denen Unternehmen sechsstellige Summen zahlen mussten. Ein Fallbericht beschreibt einen Gastronomiebetrieb, der nach einem Datendiebstahl einen britischen Forensik-Experten eine Woche lang beschäftigte, der Gesamtschaden betrug rund 115.000 Euro. Damit schlägt die Forensik (inklusive Neuausstattung des Kassensystems) mit einem mittleren fünfstelligen bis sechsstelligen Betrag zu Buche. Bitkom rechnet vor, dass sich Schadenssummen oft vom kleinen fünfstelligen bis in den hohen sechsstelligen Bereich erstrecken, je nach Komplexität des Vorfalls.

In der Praxis bedeutet das: Selbst für ein kleines KMU summieren sich nach einem Angriff schnell Tausende Euro pro Arbeitstag der Forensiker. Unternehmen investieren längst massiv in Sicherheit, laut Bitkom gaben deutsche Firmen 2024 erstmals über 10 Milliarden Euro für IT-Sicherheit aus, doch wenn ein Vorfall eintritt, sind spezialisierte Experten unabdingbar. Ihre Tagessätze spiegeln dies wider: Eine Untersuchung stellte fest, dass der durchschnittliche Tagessatz externer IT-Consultants in Europa inzwischen erstmals über 1.000 Euro liegt. Forensik-Experten verlangen oft sogar noch höhere Sätze, da sie oft kurzfristig und mit komplexer Spezialausrüstung eingesetzt werden.

KMU im Visier und Cyberversicherung als Schutz

Gerade kleine und mittelständische Unternehmen sind häufig unzureichend gewappnet: Sie verfügen oft weder über eigene IT-Sicherheitsabteilungen noch über Experten für Forensik. Laut Branchenanalysen ist nur etwa jedes dritte KMU in Deutschland vollständig durch Sicherheitskonzepte geschützt. Viele KMU scheuen den Gang zur Polizei aus Imagegründen und beauftragen lieber externe IT-Forensiker, wenn ein Angriff passiert.

Diese Sicherheitslücke hat Konsequenzen: Cyberkriminelle erkennen, dass gerade KMU im Notfall externe Experten brauchen – und sie fordern Lösegeld oder richten Schaden an. Dennoch haben 2022 erst 21 % der KMU in Deutschland eine Cyberversicherung abgeschlossen, während 75 % völlig ungeschützt sind. Dieser Versicherungsrückstand ist fatal, denn Cyberversicherungen übernehmen typischerweise genau die Kosten, die bei einem Angriff entstehen – einschließlich IT-Forensik.

Klassische Cyberpolicen decken neben Betriebsunterbrechungen und Rechtsstreitigkeiten auch technische Soforthilfe und Analyse ab. So nennt der GDV explizit die „Bezahlung der IT-Forensik“ als Versicherungsleistung: Im Ernstfall schickt die Police speziell geschulte IT-Experten, die Ursachen untersuchen und datenschutz- sowie juristisch einwandfrei Beweise sichern. Entsprechendes bestätigt ein Branchenblog: Eine Cyberversicherung „übernimmt die Kosten für IT-Forensik, Datenwiederherstellung, Krisenkommunikation und Rechtsberatung“ im Schadenfall.

Für KMU bedeutet das: Die Cyberversicherung trägt in der Regel die Honorare der Forensiker. Ohne sie müsste die Firma Tausende Euro pro Tag aus eigenen Mitteln stemmen. Dadurch entlastet die Police das Unternehmen finanziell und ermöglicht schnellen Einsatz der besten Experten. Unternehmen jeder Größe sind heute angesichts der hohen Angriffswahrscheinlichkeit auf solche Policen angewiesen – erst recht kleinere Firmen mit engen Budgets.

Fazit: Nach einem Cyberangriff ist die Arbeit von IT-Forensikern unverzichtbar: Nur sie liefern eine fundierte Ursachenanalyse, sichern digitale Beweise und helfen, zukünftige Schäden zu vermeiden. Ihre spezialisierten Kenntnisse und Tools gehen weit über das Alltags-Know-how der meisten IT-Mitarbeiter hinaus. Entsprechend liegen ihre Tagessätze meist deutlich über denen gewöhnlicher IT-Dienstleister. Für kleine und mittlere Unternehmen ist das allein oft kaum leistbar – umso wichtiger ist hier eine Cyberversicherung, die diese Kosten übernimmt.