🚨 Sicherheit steht bei uns an erster Stelle: Was wir vom LVM-Angriff gelernt haben

Bei Evoex arbeiten wir schon seit längerem anders. Kein Code-Fragment erreicht unsere Kunden ohne vollständiges Sicherheits-Audit, unsere Server haben keine externen "Türen" zum Anklopfen, und falls doch jemand versucht, dies zu tun – das System erkennt es und blockiert es innerhalb von Sekunden, nicht danach, wenn bereits etwas passiert ist. Wie das in der Praxis aussieht und warum wir mehrere tausend Euro darin investiert haben!
In den Jāņu-Ferien dieses Jahres geschah in der lettischen IT-Branche etwas, das man kaum vergessen kann - ein Angriff auf die IT-Infrastruktur der Lettischen Staatlichen Wälder. Der Angriff wurde am 22. Juni 2026 entdeckt, doch später stellte sich heraus, dass der Hacker bereits seit 11. Juni im System war und mehrere Tage unbemerkt tätig war, mit aktiven Maßnahmen erst in der Nacht vom 22. zum 23. Juni. Verantwortung für den Angriff übernahm eine Ransomware-Gruppe – dieselbe Art von Angriffen, die in den letzten Jahren immer häufiger Organisationen des öffentlichen und privaten Sektors traf. Einige Quellen nennen sogar einen konkreten Lösegeldbetrag, den der Angreifer forderte, aber die LVM bestreitet dies offiziell, daher konzentrieren wir uns hier auf das, was bestätigt ist: Das Unternehmen musste seine gesamte IT-Infrastruktur abschalten, mehrere öffentliche Systeme (LVM GEO, die Jagd-App Mednis) und interne Dienste waren mehrere Tage lang nicht erreichbar.
Dies erinnerte alle, die in diesem Bereich arbeiten, an eine einfache, aber unangenehme Wahrheit: Wenn Sicherheit erst dann angegangen wird, nachdem bereits etwas passiert ist, ist es bereits zu spät. Im Fall der LVM konnte der Angreifer mehrere Tage lang im System tätig sein, weil es keine Werkzeuge gab, die Anomalien zeitgerecht erkannt hätten – diese Situation wurde später auch vom Ministerpräsidenten so charakterisiert. Konfigurationsmängel und unentdeckte Lücken im System können lange Zeit unbemerkt bleiben, bis sie jemand findet – und leider oft nicht die richtige Person.
Als wir bei Evoex unsere Infrastruktur planten, wählten wir einen anderen Weg. Nicht warten und reagieren, sondern versuchen, Probleme von vornherein zu vermeiden.
Sicherheit beginnt, bevor der Code den Server erreicht
In unserem Entwicklungsprozess gelangt keine Änderung ohne vollständige automatisierte Überprüfung auf den Produktionsserver. Jeden neuen Code-Abschnitt analysieren in Echtzeit spezialisierte Sicherheitstools, die auf den weltweit anerkannten OWASP Top 10-Prinzipien basieren – das ist der Standard, um die häufigsten und gefährlichsten Arten von Schwachstellen zu erkennen.
Falls die Tools auch nur ein geringes Risiko erkennen, wird die Änderung nicht weiterleitet. Das System versucht automatisch, die problematische Code-Stelle zu beheben, überprüft sie erneut, und der Prozess läuft weiter, bis die Anzahl der Risiken genau null ist. Erst dann können Änderungen zu den Benutzern gelangen.
Der LVM-Fall zeigte, dass ein System normal zu funktionieren scheint, während ein Angreifer bereits seit Tagen im Inneren ist – und ohne die richtigen Tools kann man das einfach übersehen.
In unserem Ansatz ist das kein Randfall, sondern das Hauptszenario, gegen das wir bereits vom ersten Tag an entwerfen: minimaler Zugriff, getrennte Systeme und kontinuierliche automatische Audits, nicht der Glaube, dass eine Person alles einmal pro Jahr überprüft.

Diese Benachrichtigung erreicht unser Team jedes Mal, wenn Änderungen den vollständigen Sicherheits-Audit- und Auto-Reparatur-Zyklus durchlaufen, bevor sie bereitgestellt werden.
Server, die von außen nichts zu verlieren haben
Einer der einfachsten, aber oft vergessenen Sicherheitsprinzipien – wenn Türen nicht offen sind, kann man nicht einbrechen. Unsere Server laufen auf der Hetzner-Infrastruktur, und wir haben alle externen Zugangsports geschlossen, die traditionell für Remote-Zugriff auf den Server verwendet werden.
Stattdessen überprüft der Server selbst von innen ein autorisiertes Code-Repository und zieht Updates herunter, wenn alles überprüft und sicher ist. Niemand kann von außen "anklopfen", denn Türen gibt es dort einfach nicht.
Zusätzlich dazu sind auf den Websites strenge Sicherheits-Header implementiert (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy), die Benutzer vor Datenabfang, Website-Klonen und anderen verbreiteten Angriffsarten schützen.
Wenn doch jemand versucht...
Es ist unmöglich, Angriffsversuche völlig auszuschalten – das Internet ist voll von automatisierten Bots, die ständig Websites scannen und nach schwachen Stellen suchen. Daher haben wir unser eigenes System geschaffen, das diese Versuche erkennt und sofort reagiert.
Falls beispielsweise ein Brute-Force-Versuch oder ein verdächtiger Scan erkannt wird, wird die IP-Adresse des Angreifers sofort auf der Firewall-Ebene blockiert. Aber das ist nicht das Ende – unser entwickeltes Analyse-Tool beginnt sofort mit der Untersuchung des Vorfalls: Welche Anfragen waren es, welches Muster hatten sie, was versuchte der Angreifer zu erreichen.
Das Ergebnis – ein kurzer, verständlicher Bericht auf Lettisch, der sofort in unseren Discord-Kanal der Programmierteams gelangt.
Darüber hinaus entwickeln wir derzeit auch das sogenannte "Page-Call"- oder On-Call-Warnsystem – eine Lösung, die im Falle ernsthafter Zwischenfälle automatisch den verantwortlichen Entwickler anruft, unabhängig von der Tageszeit, damit die Reaktion nicht nur stattfindet, wenn jemand zufällig auf den Discord-Kanal schaut. So blockieren wir nicht nur den Angriffsversuch, sondern wissen auch genau, was passiert ist.


Ein reales Beispiel aus unserem System – ein verdächtiger Request wird sofort blockiert, und jede Stunde wird automatisch eine Zusammenfassung aller Versuche, ihrer Herkunft und möglichen Absicht erstellt
Was das für den Kunden bedeutet
Mit der Wahl von Evoex erhält der Kunde nicht nur eine Website oder ein System – er erhält eine Infrastruktur, in der Sicherheit keine Nachgedanke ist, sondern die Grundlage.
Ein Ransomware-Angriff ist heute selten nur ein technisches Problem – es ist ein Geschäftskontinuitätsrisiko. Im Fall der LVM waren mehrere Tage lang sowohl öffentliche als auch interne Dienste nicht verfügbar, eine Ausfallzeit von mehreren Tagen und möglicher Datenverlust können einem Unternehmen unvergleichlich mehr kosten als eine Investition in Vorbeugung.
In der Praxis bedeutet dies mehrere konkrete Dinge, die wir tun und auch unseren Kunden empfehlen:
Regelmäßige Backups mit wirklich getesteter Wiederherstellungsprozedur, nicht Backups, deren Funktionalität nie überprüft wurde.
Zugriffs- und Berechtigungsverwaltung nach dem Prinzip der minimalen erforderlichen Berechtigung, damit ein kompromittierter Zugriff nicht zum Ganzen führt.
Kontinuierliche Überwachung und Anomalieerkennung, nicht der Glaube auf ein jährliches Audit.
Segmentierte Infrastruktur, damit ein Problem in einem Systemteil nicht auf das gesamte Unternehmen übergreift.
Fehlerbehebung vor der Bereitstellung, nicht nachdem bereits etwas im Internet passiert ist.
Updates im Hintergrund, ohne Unterbrechungen, damit Websites und Portale kontinuierlich funktionieren.
Cybersicherheit ist kein Prozess, den man "einmal regeln und vergessen" kann. Es ist fortlaufende Arbeit. Und wir meinen – je weniger sich unsere Kunden darüber Gedanken machen müssen, desto besser machen wir unseren Job.
Warum wir darüber sprechen
Wir haben das alles nicht aufgebaut, weil jemand es verlangt hätte. Im vergangenen Jahr haben wir mehrere tausend Euro investiert, um dieses System aufzubauen und weiter zu entwickeln – Zeit, Tools und selbstentwickelte Software, die heute im Hintergrund läuft, unterbrechungsfrei, jeden Tag.
Es ist nicht eine einmalige Investition, die man abhaken und vergessen kann – es ist eine Infrastruktur, in die wir weiterhin investieren, weil wir wissen, dass sich die Angriffsmethoden schneller ändern, als die meisten Unternehmen reagieren können.
Der LVM-Fall zeigte, dass selbst große Unternehmen mit Ressourcen genau das vermissten können – ein System, das ein Problem selbst erkennt, bevor es zur Krise wird.
Das bedeutet, dass ein Kunde, der sich für EvoEx entscheidet, sich nicht Gedanken machen muss, ob seine Daten und sein System nach dem Resteverwertungsprinzip geschützt sind. Sicherheit ist kein zusätzlicher Service, der später hinzugefügt werden kann – sie ist bereits in jedem Projekt integriert, das wir bauen.
Wenn du dich dafür interessierst, wie die Sicherheit deiner Website oder deines Systems von außen aussieht, kontaktiere uns – wir bewerten sie gemeinsam und sagen dir ehrlich, wo die Risiken sind und was man dagegen tun kann.
Buche dein Audit – Evoex Audit ab 390 EURO

Passende Leistungen
Bereit, dein Projekt zu starten?
Erzähl uns von deiner Idee — wir schicken dir per E-Mail einen vorgeschlagenen Termin für ein Videogespräch, um die Details zu besprechen und ein Angebot zu erstellen.
