Ransomware-Angriff: Sofortmaßnahmen, Kommunikation und Wiederherstellung

Wenn plötzlich nichts mehr geht

Der Bildschirm zeigt eine Nachricht, die kein IT-Verantwortlicher jemals sehen möchte: „Your files have been encrypted. Pay 5 Bitcoin within 72 hours or your data will be published." Die Buchhaltung meldet, dass keine Dateien mehr geöffnet werden können. Das ERP-System reagiert nicht. Am Telefon häufen sich die Rückfragen aus den Abteilungen.

Ransomware-Angriffe gehören zu den destruktivsten Cyberangriffen, die ein Unternehmen treffen können. Sie verschlüsseln Daten, legen Geschäftsprozesse lahm und setzen die Betroffenen unter massiven Zeitdruck. Gleichzeitig drohen die Angreifer zunehmend damit, gestohlene Daten zu veröffentlichen, was die ohnehin kritische Situation um eine Datenschutz-Dimension erweitert.

Die gute Nachricht: Wie gut ein Unternehmen einen Ransomware-Angriff übersteht, hängt weniger davon ab, ob es getroffen wird, sondern wie es reagiert. Und diese Reaktion lässt sich vorbereiten, trainieren und in weiten Teilen automatisieren. Die schlechte Nachricht: Wer erst im Ernstfall anfängt, sich Gedanken über die richtigen Schritte zu machen, verliert wertvolle Zeit und macht vermeidbare Fehler.

Dieser Artikel führt dich durch den gesamten Prozess: von den ersten Minuten nach der Entdeckung über die Kommunikation mit allen Stakeholdern bis zur Wiederherstellung und forensischen Aufarbeitung. Er basiert auf den Empfehlungen des BSI und des BKA und ist so aufgebaut, dass du die Inhalte direkt in deinen Incident Response Plan übernehmen kannst.

Die ersten 30 Minuten: Sofortmaßnahmen

Die ersten Minuten nach der Entdeckung einer Ransomware-Infektion sind die kritischsten. In dieser Phase werden die Weichen gestellt: Breitet sich die Verschlüsselung weiter aus oder wird sie eingedämmt? Werden forensische Beweise gesichert oder versehentlich vernichtet? Entsteht Panik oder wird strukturiert gehandelt?

Schritt 1: Betroffene Systeme vom Netzwerk trennen

Die allererste Maßnahme ist die Netzwerktrennung der betroffenen Systeme. Ziehe das Netzwerkkabel, deaktiviere WLAN, trenne VPN-Verbindungen. Das Ziel ist simpel: Die laterale Bewegung des Angreifers stoppen und verhindern, dass sich die Verschlüsselung auf weitere Systeme, Netzlaufwerke und Backup-Speicher ausbreitet.

Dabei gilt eine wichtige Regel: Trenne das Netzwerk, aber fahre die Systeme nicht herunter. Im flüchtigen Speicher (RAM) befinden sich oft Informationen, die für die forensische Analyse wertvoll sind, etwa der Verschlüsselungsschlüssel, der noch im Arbeitsspeicher liegt, oder Spuren der Malware, die nach einem Neustart verloren wären. Ein betroffener Rechner, der vom Netz getrennt, aber noch eingeschaltet ist, ist für Forensiker deutlich wertvoller als einer, der heruntergefahren wurde.

Wenn du ein segmentiertes Netzwerk betreibst, trenne die betroffenen Segmente gezielt. Wenn nicht, ist eine komplette Netzwerktrennung oft die sicherere Variante, auch wenn das bedeutet, dass kurzfristig nichts mehr funktioniert. Lieber eine kontrollierte Unterbrechung als eine unkontrollierte Ausbreitung.

Schritt 2: Beweise sichern

Bevor irgendjemand anfängt, Systeme zu bereinigen oder wiederherzustellen, müssen Beweise gesichert werden. Das klingt in einer Krisensituation wie ein Luxus, den man sich nicht leisten kann, aber es ist das Gegenteil: Ohne Beweissicherung kannst du weder die Ursache identifizieren noch den Umfang der Kompromittierung feststellen, und du hast nichts in der Hand, falls es zu einer strafrechtlichen Verfolgung kommt.

Konkret bedeutet das:

• Screenshots der Ransomware-Nachricht (Lösegeldforderung, Bitcoin-Adresse, Kontaktdaten der Angreifer)
• RAM-Dumps der betroffenen Systeme, sofern möglich (Tools wie FTK Imager oder WinPmem)
• Logfiles der betroffenen Systeme und der Netzwerkinfrastruktur (Firewall-Logs, AD-Logs, E-Mail-Logs)
• Zeitstempel dokumentieren: Wann wurde der Angriff bemerkt? Wann wurde was getrennt? Wer hat was entschieden?
• Verschlüsselte Dateien sichern, nicht löschen. Für einige Ransomware-Varianten existieren Entschlüsselungstools, die aber die verschlüsselten Dateien als Input benötigen

Die Beweissicherung muss nicht perfekt sein. Systematisch vorgehen und dokumentieren, was du tust, reicht als Grundlage.

Schritt 3: Krisenstab aktivieren

Ransomware ist kein reines IT-Problem. Es betrifft den Geschäftsbetrieb, die Kommunikation, den Datenschutz, möglicherweise vertragliche Verpflichtungen gegenüber Kunden. Deshalb gehört die Bewältigung nicht allein in die Hände der IT-Abteilung, sondern in die eines Krisenstabs.

Der Krisenstab sollte im Vorfeld definiert und im Notfallplan dokumentiert sein. Typische Mitglieder:

• IT-Leitung oder ISB: Technische Koordination, Schadensbewertung
• Geschäftsführung: Entscheidungsbefugnis für weitreichende Maßnahmen (z. B. komplettes Herunterfahren, externe Dienstleister beauftragen)
• Datenschutzbeauftragter: Bewertung, ob personenbezogene Daten betroffen sind, Koordination der Meldepflichten
• Kommunikation/PR: Interne und externe Kommunikation steuern
• Rechtsabteilung oder externer Anwalt: Rechtliche Einschätzung, Meldepflichten, Versicherungsfragen
• Externer Incident-Response-Dienstleister: Falls intern nicht genügend Forensik-Kompetenz vorhanden ist

Rufe den Krisenstab zusammen, informiere über die Lage, verteile Aufgaben. Ab diesem Moment sollte jede Entscheidung dokumentiert werden: wer, was, wann, warum. Diese Dokumentation ist nicht nur für die spätere Aufarbeitung wichtig, sondern auch für die Kommunikation mit Behörden und Versicherungen.

Was du in den ersten 30 Minuten NICHT tun solltest

Genauso wichtig wie die richtigen Maßnahmen ist es, bestimmte Fehler zu vermeiden:

Kein Lösegeld zahlen. Das ist die offizielle Empfehlung von BSI, BKA und praktisch allen Sicherheitsbehörden weltweit. Die Zahlung finanziert kriminelle Strukturen, es gibt keine Garantie, dass du einen funktionierenden Entschlüsselungsschlüssel erhältst, und du signalisierst, dass du bereit bist zu zahlen, was dich zu einem attraktiven Ziel für zukünftige Angriffe macht. In Einzelfällen, etwa wenn Menschenleben auf dem Spiel stehen oder die wirtschaftliche Existenz bedroht ist, kann die Entscheidung anders ausfallen. Aber diese Entscheidung trifft die Geschäftsführung nach sorgfältiger Abwägung, nicht die IT-Abteilung im Stress der ersten Stunde.

Nicht selbst verhandeln. Wenn die Geschäftsführung eine Verhandlung in Betracht zieht, überlasse das spezialisierten Incident-Response-Unternehmen mit Erfahrung in der Kommunikation mit Ransomware-Gruppen.

Nicht vorschnell formatieren. Der Impuls ist verständlich, aber fatal: Du vernichtest forensische Beweise und kannst nicht nachvollziehen, wie der Angreifer ins Netz gelangt ist. Solange die Ursache unbekannt ist, besteht die Gefahr einer erneuten Kompromittierung über denselben Weg.

Nicht über kompromittierte Kanäle kommunizieren. Wenn der Angreifer Zugriff auf das E-Mail-System hat, nutze alternative Wege: Mobiltelefone, verschlüsselte Messenger, persönliche Gespräche.

Kommunikationsplan: Wer erfährt was und wann

Die Kommunikation während eines Ransomware-Vorfalls ist mindestens so wichtig wie die technische Bewältigung. Schlechte Kommunikation erzeugt Unsicherheit, Gerüchte und Vertrauensverlust. Gute Kommunikation schafft Klarheit und ermöglicht koordiniertes Handeln.

Ebene 1: Internes Krisenteam (sofort)

Das Krisenteam wird als Erstes informiert und erhält alle verfügbaren Fakten: Was ist betroffen? Seit wann? Welche Maßnahmen wurden bereits ergriffen? Diese Kommunikation ist sachlich und vollständig. Es geht darum, ein gemeinsames Lagebild zu schaffen.

Ebene 2: Geschäftsführung (innerhalb der ersten Stunde)

Die Geschäftsführung muss zeitnah informiert werden, weil sie die Entscheidungsbefugnis für weitreichende Maßnahmen hat. Bereite ein kurzes Briefing vor: Was ist passiert? Was ist der aktuelle Stand? Was empfiehlt das Krisenteam? Welche Entscheidungen stehen an? Vermeide technischen Jargon und konzentriere dich auf die geschäftliche Auswirkung.

Ebene 3: Mitarbeiter (innerhalb der ersten Stunden)

Informiere die Mitarbeiter zeitnah und ehrlich. Sie merken ohnehin, dass etwas nicht stimmt, wenn Systeme nicht funktionieren. Eine offene Kommunikation verhindert Gerüchte und gibt klare Handlungsanweisungen: Welche Systeme dürfen nicht mehr verwendet werden? Wie läuft die Arbeit übergangsweise weiter? An wen können sie sich bei Fragen wenden?

Eine bewährte Formulierung: „Wir haben einen IT-Sicherheitsvorfall festgestellt und arbeiten mit Hochdruck an der Lösung. Bitte nutzt bis auf Weiteres keine Netzlaufwerke und meldet euch nicht an [betroffenen Systemen] an. Wir informieren euch regelmäßig über den Fortschritt."

Ebene 4: Behörden (innerhalb der gesetzlichen Fristen)

Die Meldepflichten sind klar geregelt und nicht verhandelbar. Dazu gleich mehr im Detail.

Ebene 5: Kunden und Partner (sobald der Umfang bekannt ist)

Wenn Kundendaten betroffen sind oder die Lieferfähigkeit eingeschränkt ist, müssen Kunden und Partner informiert werden. Warte nicht, bis du alle Details kennst. Eine frühe, ehrliche Kommunikation mit dem Hinweis, dass die Untersuchung noch läuft, ist besser als Schweigen, das als Vertuschung interpretiert wird.

Ebene 6: Öffentlichkeit (nur wenn nötig)

Nicht jeder Ransomware-Vorfall muss öffentlich kommuniziert werden. Aber wenn der Vorfall publik wird, etwa weil Kunden betroffen sind oder die Angreifer Daten veröffentlichen, brauchst du ein vorbereitetes Statement. Lass die Kommunikation von jemandem mit PR-Erfahrung formulieren, nicht von der IT-Abteilung.

Meldepflichten: NIS2 und DSGVO

Ransomware-Angriffe lösen in den meisten Fällen gesetzliche Meldepflichten aus. Die Fristen sind eng bemessen und beginnen ab dem Zeitpunkt, an dem der Vorfall erkannt wird, nicht ab dem Zeitpunkt, an dem die Untersuchung abgeschlossen ist. Deshalb ist es entscheidend, die Meldeprozesse vorbereitet zu haben und nicht erst im Ernstfall nachzulesen, welches Formular wo eingereicht werden muss.

NIS2-Meldepflicht an das BSI

Wenn dein Unternehmen unter die NIS2-Richtlinie fällt, bist du verpflichtet, erhebliche Sicherheitsvorfälle dem BSI zu melden. Ein Ransomware-Angriff erfüllt in der Regel die Schwelle eines erheblichen Vorfalls, insbesondere wenn der Geschäftsbetrieb beeinträchtigt ist.

Die NIS2-Meldefristen sind gestaffelt:

• Frühwarnung innerhalb von 24 Stunden: Eine erste Meldung mit den grundlegenden Informationen, auch wenn der Umfang noch nicht vollständig bekannt ist. Ziel ist es, das BSI in die Lage zu versetzen, andere potenziell betroffene Unternehmen zu warnen.
• Vorfallmeldung innerhalb von 72 Stunden: Eine detailliertere Meldung mit einer Erstbewertung des Vorfalls, seiner Schwere und der getroffenen Gegenmaßnahmen.
• Abschlussbericht innerhalb eines Monats: Ein vollständiger Bericht mit Ursachenanalyse, Auswirkungen und ergriffenen Maßnahmen.

Bereite die Meldung vor, sobald der Krisenstab steht. Tools wie ISMS Lite generieren die BSI-Erstmeldung direkt aus den erfassten Vorfallsdaten, sodass du in der 24-Stunden-Frist nicht bei null anfangen musst. Warte nicht, bis du alle Details hast. Die Frühwarnung darf und soll unvollständig sein. Lieber eine frühe, ergänzbare Meldung als eine verspätete, vollständige.

DSGVO-Meldepflicht an die Datenschutzaufsichtsbehörde

Wenn bei dem Ransomware-Angriff personenbezogene Daten betroffen sind, also wenn sie verschlüsselt, gestohlen oder veröffentlicht wurden, liegt eine Datenschutzverletzung im Sinne der DSGVO vor. Die Meldepflicht an die zuständige Datenschutzaufsichtsbehörde greift innerhalb von 72 Stunden ab Kenntnis der Verletzung.

Die Meldung muss enthalten:

• Art der Verletzung (Verschlüsselung, Abfluss, Veröffentlichung)
• Betroffene Kategorien und ungefähre Anzahl der betroffenen Personen
• Kontaktdaten des Datenschutzbeauftragten
• Wahrscheinliche Folgen der Verletzung
• Ergriffene und geplante Maßnahmen

Zusätzlich kann eine Benachrichtigung der betroffenen Personen erforderlich sein, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Das ist bei Ransomware mit Datenabfluss regelmäßig der Fall.

Strafanzeige beim BKA oder der Polizei

Die Erstattung einer Strafanzeige ist keine Pflicht, wird aber vom BSI und BKA ausdrücklich empfohlen. Die Zentrale Ansprechstelle Cybercrime (ZAC) deines Bundeslandes ist der richtige Ansprechpartner. Die Anzeige hat mehrere Vorteile: Sie ermöglicht die Zusammenarbeit mit Strafverfolgungsbehörden, kann bei der Identifizierung der Angreifer helfen und ist oft Voraussetzung für Leistungen der Cyberversicherung.

Cyberversicherung informieren

Wenn du eine Cyberversicherung hast, informiere den Versicherer unverzüglich. Die meisten Policen haben enge Meldefristen und verpflichten dich, bestimmte Maßnahmen zu ergreifen (oder zu unterlassen). Insbesondere eine Lösegeldzahlung ohne Abstimmung mit dem Versicherer kann zum Verlust des Versicherungsschutzes führen.

Wiederherstellung aus Backups

Nachdem die Sofortmaßnahmen abgeschlossen, die Kommunikation läuft und die Meldepflichten erfüllt sind, beginnt die eigentliche Wiederherstellung. Das Ziel: Geschäftskritische Systeme so schnell wie möglich wieder online bringen, ohne den Angreifer erneut ins Netz zu lassen.

Vor der Wiederherstellung: Integrität der Backups prüfen

Der häufigste Fehler bei der Wiederherstellung nach Ransomware ist die Annahme, dass die Backups sauber sind. Professionelle Angreifer kompromittieren gezielt Backup-Systeme, entweder indem sie die Backups selbst verschlüsseln oder indem sie Backdoors einbauen, die nach der Wiederherstellung erneut aktiviert werden.

Bevor du ein Backup einspielst, kläre folgende Fragen:

• Wann begann die Kompromittierung? Die meisten Angreifer bewegen sich wochen- oder monatelang unbemerkt im Netzwerk, bevor sie die Verschlüsselung auslösen. Die sogenannte Dwell Time beträgt im Durchschnitt 10 bis 21 Tage, kann aber auch mehrere Monate betragen. Backups, die innerhalb dieses Zeitraums erstellt wurden, können kompromittiert sein.
• Sind die Backup-Systeme selbst betroffen? Prüfe, ob der Angreifer Zugriff auf die Backup-Infrastruktur hatte. Offline-Backups und Air-Gapped-Backups sind in dieser Situation Gold wert.
• Gibt es unveränderliche Backups (Immutable Backups)? Backup-Lösungen mit WORM-Speicher (Write Once, Read Many) bieten einen zusätzlichen Schutz, da die Daten nach dem Schreiben nicht mehr verändert werden können.

Im Zweifelsfall spiele das Backup in eine isolierte Umgebung ein und prüfe es auf Malware, bevor du es in die Produktionsumgebung überträgst.

Priorisierung der Wiederherstellung

Nicht alle Systeme müssen gleichzeitig wiederhergestellt werden. Erstelle eine priorisierte Liste, die sich an der Business-Impact-Analyse orientiert:

Priorität 1: Infrastruktur-Grundlagen Active Directory, DNS, DHCP, Authentifizierungssysteme. Ohne diese Systeme funktioniert nichts anderes. Stelle sicher, dass die AD-Datenbank nicht kompromittiert wurde, insbesondere dass keine neuen Admin-Accounts angelegt oder Gruppenrichtlinien manipuliert wurden.

Priorität 2: Geschäftskritische Systeme ERP, E-Mail, Kundendatenbank, Finanzsysteme. Die Systeme, ohne die das Unternehmen keinen Umsatz generieren kann.

Priorität 3: Wichtige Systeme Fileserver, Intranet, Projektmanagement-Tools. Systeme, die den Arbeitsalltag ermöglichen, aber kurzfristig durch Workarounds ersetzt werden können.

Priorität 4: Alle übrigen Systeme Sekundäre Anwendungen, Testsysteme, nicht-kritische Dienste.

Sichere Wiederherstellungsumgebung

Spiele die Systeme nicht in dasselbe Netzwerk ein, in dem der Angriff stattgefunden hat, solange die Ursache nicht identifiziert und behoben ist. Baue eine saubere Wiederherstellungsumgebung auf, idealerweise in einem separaten Netzwerksegment, und migriere die Systeme erst nach Bereinigung des Einfallstors in die Produktionsumgebung.

Ändere im Zuge der Wiederherstellung alle Zugangsdaten: Administrator-Passwörter, Service-Accounts, API-Keys, Zertifikate. Gehe davon aus, dass der Angreifer Zugriff auf sämtliche Credentials hatte, die auf den kompromittierten Systemen gespeichert oder verwendet wurden.

Datenrettung als letzte Option

Wenn keine sauberen Backups verfügbar sind, gibt es noch zwei Möglichkeiten: Erstens, die Daten aus den verschlüsselten Dateien wiederherstellen. Für einige Ransomware-Varianten existieren kostenlose Entschlüsselungstools, beispielsweise über die Initiative „No More Ransom" (nomoreransom.org). Zweitens, auf Datenrettungsunternehmen zurückgreifen, die auf die Wiederherstellung verschlüsselter Daten spezialisiert sind. Beide Optionen haben keine Erfolgsgarantie, sind aber einen Versuch wert, bevor man Daten endgültig als verloren abschreibt.

Forensische Analyse: Den Angriff verstehen

Parallel zur Wiederherstellung oder direkt im Anschluss muss eine forensische Analyse durchgeführt werden. Das Ziel ist dreifach: Erstens den Angriffsweg identifizieren, damit das Einfallstor geschlossen werden kann. Zweitens den Umfang der Kompromittierung feststellen, um zu wissen, welche Daten betroffen sind. Drittens Beweismaterial für eine mögliche Strafverfolgung sichern.

Typische Einfallstore bei Ransomware

Die forensische Analyse konzentriert sich zunächst auf die wahrscheinlichsten Angriffsvektoren:

Phishing-E-Mails: Ein Mitarbeiter hat auf einen Link geklickt oder einen Anhang geöffnet, der die initiale Malware geladen hat. Prüfe die E-Mail-Logs auf verdächtige Nachrichten im Zeitraum vor dem Angriff.

Exponierte Remote-Zugänge: RDP-Server, VPN-Zugänge oder andere Remote-Access-Dienste, die über das Internet erreichbar waren und über schwache oder gestohlene Credentials kompromittiert wurden. Prüfe die Anmeldeprotokolle auf ungewöhnliche Zugriffe.

Ungepatchte Schwachstellen: Bekannte Sicherheitslücken in VPN-Gateways, Webservern oder anderen exponierten Systemen, für die kein Patch eingespielt wurde. Vergleiche den Patch-Stand deiner Systeme mit den zum Zeitpunkt des Angriffs bekannten Schwachstellen.

Kompromittierte Supply-Chain oder gestohlene Zugangsdaten: Schadsoftware über legitime Software-Updates oder Credentials, die über Datenlecks oder Social Engineering erbeutet wurden.

Umfang der Kompromittierung

Die forensische Analyse muss klären:

• Welche Systeme waren betroffen, nur die verschlüsselten oder auch weitere?
• Hatte der Angreifer Zugriff auf Active Directory oder andere zentrale Systeme?
• Wurden Daten exfiltriert (also kopiert und gestohlen) oder nur verschlüsselt?
• Welche Accounts wurden kompromittiert?
• Wie lange war der Angreifer im Netzwerk aktiv?

Diese Informationen sind nicht nur für die technische Bereinigung relevant, sondern auch für die Meldungen an Behörden und die Benachrichtigung betroffener Personen.

Externe Forensik-Unterstützung

Falls du intern nicht über Forensik-Expertise verfügst, ziehe einen externen Incident-Response-Dienstleister hinzu. Die Kosten sind nicht unerheblich, aber die Alternative, nämlich ohne Ursachenanalyse wiederherzustellen und den Angreifer möglicherweise erneut im Netz zu haben, ist teurer. Viele Cyberversicherungen decken die Kosten für externe Forensik ab. Kläre das frühzeitig mit dem Versicherer.

Lessons Learned: Aus dem Vorfall lernen

Nachdem der akute Vorfall bewältigt ist, die Systeme wiederhergestellt sind und der Normalbetrieb wieder läuft, beginnt die vielleicht wichtigste Phase: die strukturierte Aufarbeitung. Jeder Ransomware-Angriff enthält wertvolle Informationen darüber, wo die Schwachstellen lagen und wie sich das Unternehmen besser schützen kann.

Der Lessons-Learned-Workshop

Plane einen Workshop mit allen am Vorfall beteiligten Personen. Führe ihn zeitnah durch, idealerweise innerhalb von zwei Wochen nach Abschluss der Wiederherstellung, solange die Erinnerungen noch frisch sind. Der Workshop ist keine Schuldzuweisung, sondern eine sachliche Analyse.

Leitfragen für den Workshop:

• Wie wurde der Angriff entdeckt? Durch technische Systeme (SIEM, EDR) oder durch einen Mitarbeiter? Hätte er früher entdeckt werden können?
• Wie schnell wurde reagiert? Wurden die Sofortmaßnahmen zeitnah und richtig durchgeführt? Wo gab es Verzögerungen?
• Hat der Notfallplan funktioniert? War er vollständig? Aktuell? Wurde er befolgt? Wo gab es Lücken?
• Hat die Kommunikation funktioniert? Wurden die richtigen Personen rechtzeitig informiert? Gab es Kommunikationsprobleme?
• Waren die Backups ausreichend? Waren sie vollständig, aktuell und sauber? Wie lange dauerte die Wiederherstellung?
• Welche Maßnahmen hätten den Angriff verhindern können? Was fehlte an Prävention?

Maßnahmenplan ableiten

Aus den Erkenntnissen des Workshops leitest du konkrete Maßnahmen ab. Diese Maßnahmen werden priorisiert, mit Verantwortlichkeiten versehen und in einem Zeitplan festgehalten. Typische Maßnahmen nach einem Ransomware-Vorfall:

• Netzwerksegmentierung einführen oder verbessern
• Multi-Faktor-Authentifizierung für alle Remote-Zugänge und Admin-Accounts
• Backup-Strategie überarbeiten (Offline-Backups, Immutable Storage, regelmäßige Restore-Tests)
• Patch-Management beschleunigen
• E-Mail-Security verstärken (SPF, DKIM, DMARC, Sandboxing)
• EDR/XDR-Lösung einführen oder konfigurieren
• Mitarbeiter-Schulungen zu Phishing und Social Engineering
• Incident-Response-Plan aktualisieren
• Regelmäßige Incident-Response-Übungen einführen

Notfallplan aktualisieren

Der Incident-Response-Plan, der während des Vorfalls verwendet wurde, muss nach dem Lessons-Learned-Workshop aktualisiert werden. Jede erkannte Lücke, jeder Prozess, der nicht funktioniert hat, jede Kontaktliste, die veraltet war, wird korrigiert. Der aktualisierte Plan wird anschließend im Krisenteam kommuniziert und im nächsten Quartal erneut getestet.

Prävention: Damit der nächste Angriff scheitert

Ransomware-Prävention ist kein einzelnes Produkt oder eine einzelne Maßnahme. Es ist eine Kombination aus technischen, organisatorischen und menschlichen Schutzschichten, die in ihrer Gesamtheit die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Angriffs reduzieren.

Technische Schutzmaßnahmen

Backup-Strategie nach der 3-2-1-1-Regel: Drei Kopien der Daten, auf zwei verschiedenen Medien, eine Kopie offsite, eine Kopie offline oder immutable. Die letzte „1" ist die Lehre aus den Ransomware-Wellen der letzten Jahre: Ein Backup, an das der Angreifer nicht herankommt, ist die letzte Verteidigungslinie.

Netzwerksegmentierung: Trenne kritische Systeme, Admin-Netzwerke und Produktivumgebungen voneinander, damit sich ein Angreifer nach dem initialen Eindringen nicht frei im Netzwerk bewegen kann.

Patch-Management: Halte alle Systeme aktuell, insbesondere exponierte Dienste wie VPN-Gateways und E-Mail-Server. Viele Ransomware-Angriffe nutzen bekannte Schwachstellen, für die längst Patches verfügbar sind.

Endpoint Detection and Response (EDR): Moderner Endpunktschutz erkennt verdächtiges Verhalten wie massenhaftes Verschlüsseln in Echtzeit und kann einen Angriff im Frühstadium stoppen.

E-Mail-Security: SPF, DKIM, DMARC und ein E-Mail-Gateway mit Sandbox-Analyse bilden die erste Verteidigungslinie gegen Phishing-Mails mit Ransomware-Payloads.

Privileged Access Management: Separate Admin-Accounts, Least-Privilege-Prinzip und MFA für alle privilegierten Zugänge verhindern, dass ein einzelnes kompromittiertes Konto zum Totalschaden führt.

Organisatorische Schutzmaßnahmen

Incident-Response-Plan: Erstelle einen Plan, der Sofortmaßnahmen, Kommunikation, Eskalationswege und Wiederherstellung beschreibt. Teste ihn regelmäßig in Tabletop-Übungen.

Business Continuity Plan: Definiere, wie das Unternehmen bei Totalausfall der IT weiterarbeiten kann, welche Prozesse manuell laufen und wie lange die Organisation durchhält.

Cyberversicherung: Prüfe deine Police genau und stelle sicher, dass Ransomware explizit abgedeckt ist. Viele Policen decken Forensik-Kosten, Betriebsunterbrechung und Rechtsberatung ab.

Menschliche Schutzmaßnahmen

Security Awareness Schulungen: Regelmäßige Schulungen zu Phishing und Social Engineering als kontinuierliches Programm mit Phishing-Simulationen und einer Kultur, in der Meldungen aktiv gefördert werden.

Meldeprozesse etablieren: Der Meldeweg muss einfach, niedrigschwellig und frei von Konsequenzen sein. Jede gemeldete verdächtige E-Mail ist ein Frühwarnsignal, das einen Angriff im Frühstadium stoppen kann.

Checkliste: Ransomware-Notfallplan auf einen Blick

Zum Abschluss eine kompakte Checkliste, die du als Grundlage für deinen eigenen Notfallplan verwenden kannst:

Erste 30 Minuten:

• Betroffene Systeme vom Netzwerk trennen (nicht herunterfahren)
• Beweise sichern (Screenshots, RAM-Dumps, Logs)
• Krisenstab aktivieren
• Alternative Kommunikationswege nutzen
• Kein Lösegeld zahlen, nicht selbst verhandeln

Erste 24 Stunden:

• NIS2-Frühwarnung ans BSI senden (falls applicable)
• Geschäftsführung briefen
• Mitarbeiter informieren
• Cyberversicherung kontaktieren
• Strafanzeige bei ZAC erstatten
• Umfang der Kompromittierung einschätzen

72 Stunden:

• DSGVO-Meldung an Datenschutzaufsichtsbehörde (falls personenbezogene Daten betroffen)
• NIS2-Vorfallmeldung ans BSI
• Forensische Analyse starten oder externe Forensik beauftragen
• Backup-Integrität prüfen
• Wiederherstellungsreihenfolge festlegen

Erste Woche:

• Kritische Systeme wiederherstellen
• Alle Zugangsdaten ändern
• Einfallstor identifizieren und schließen
• Betroffene Kunden und Partner informieren
• Kunden- und Lieferantenkommunikation steuern

Innerhalb eines Monats:

• NIS2-Abschlussbericht ans BSI
• Lessons-Learned-Workshop durchführen
• Maßnahmenplan ableiten und priorisieren
• Notfallplan aktualisieren
• Sicherheitsmaßnahmen umsetzen

Wenn es passiert, macht ein vorbereiteter, getesteter Notfallplan den Unterschied zwischen einer kontrollierten Krise und einer existenzbedrohenden Katastrophe. Bereite dich vor, solange du die Ruhe dafür hast.

Weiterführende Artikel

• Sicherheitsvorfälle erkennen und melden: Der richtige Prozess
• NIS2-Erstmeldung ans BSI: So gelingt die fristgerechte Meldung
• Backup-Strategie und Restore-Tests: Deine letzte Verteidigungslinie
• Incident-Response-Plan erstellen: Vom leeren Dokument zum funktionierenden Prozess
• Phishing erkennen und melden: Praxisguide für Mitarbeiter und IT