Szenario Ransomware: Freitagabend, 18 Uhr – Schritt für Schritt durch den Ernstfall

Freitag, 17:52 Uhr: Die Ruhe vor dem Sturm

Die Müller Maschinenbau GmbH in Schwäbisch Hall fertigt Spezialwerkzeuge für die Automobilindustrie. 100 Mitarbeiter, davon fünf in der IT. Das Unternehmen betreibt ein ERP-System on-premises, eine Konstruktionsabteilung mit CAD-Workstations, einen Fileserver mit 12 Terabyte Projektdaten und eine VPN-Anbindung für den Außendienst. Die IT-Infrastruktur ist solide, aber nicht auf dem neuesten Stand. Es gibt ein Backup-System, aber der letzte Restore-Test liegt acht Monate zurück.

Es ist Freitag, kurz vor 18 Uhr. Die Produktion hat Feierabend gemacht, die Büros leeren sich. IT-Leiter Thomas Brenner sitzt noch an seinem Schreibtisch und arbeitet die letzten Tickets ab. Drei der fünf IT-Mitarbeiter sind bereits im Wochenende. Die Geschäftsführerin, Petra Müller, ist auf dem Heimweg.

Um 17:52 Uhr meldet das Monitoring-System eine ungewöhnlich hohe Festplattenaktivität auf dem Fileserver. Thomas registriert die Meldung, denkt aber zunächst an den wöchentlichen Virenscan, der manchmal zu Lastspitzen führt. Acht Minuten später wird diese Annahme obsolet.

Freitag, 18:00 Uhr: Die Erkennung

Um 18:00 Uhr ruft die letzte Mitarbeiterin in der Buchhaltung an. Sie wollte noch schnell eine Rechnung abspeichern und sieht jetzt eine Datei namens „README_RESTORE.txt" auf dem Netzlaufwerk. Gleichzeitig haben alle ihre Excel-Dateien eine neue Endung bekommen: .locked. Thomas öffnet die Textdatei und liest den Satz, den kein IT-Verantwortlicher jemals lesen möchte:

„All your files have been encrypted with military-grade encryption. Transfer 4.5 Bitcoin to the following wallet within 96 hours, or your data will be published on our leak site."

In diesem Moment beginnt die Uhr zu ticken. Was Thomas in den nächsten 60 Minuten tut, entscheidet darüber, ob die Müller Maschinenbau GmbH am Montag wieder arbeitsfähig ist oder wochenlang stillsteht.

Was passiert gerade technisch?

Die Ransomware hat vermutlich über einen kompromittierten Nutzer-Account Zugriff auf den Fileserver erlangt und verschlüsselt systematisch alle erreichbaren Dateien. Je nach Variante breitet sich die Verschlüsselung gleichzeitig auf weitere Netzlaufwerke, SharePoint-Freigaben und verbundene Systeme aus. Jede Minute, die verstreicht, bedeutet mehr verschlüsselte Daten.

Was Thomas noch nicht weiß: Die Angreifer sind wahrscheinlich schon seit Tagen oder Wochen im Netzwerk. Ransomware-Gruppen verschlüsseln selten sofort. Sie bewegen sich lateral durch das Netzwerk, identifizieren kritische Systeme, exfiltrieren Daten und deaktivieren im besten Fall sogar Backup-Mechanismen, bevor sie die Verschlüsselung starten. Der Freitagabend ist kein Zufall. Angreifer wählen bewusst Zeitpunkte, an denen die IT-Besetzung minimal ist.

Freitag, 18:05 Uhr: Die ersten fünf Minuten

Thomas handelt jetzt nach dem Notfallplan, den er vor einem Jahr zusammen mit einem externen Berater erstellt hat. Er hat das Dokument ausgedruckt in seiner Schublade, denn auf dem verschlüsselten Fileserver nützt ein digitaler Plan wenig.

Sofortmaßnahme 1: Netzwerksegmentierung

Thomas trennt den Fileserver physisch vom Netzwerk, indem er das Netzwerkkabel zieht. Er fährt den Server nicht herunter, denn im Arbeitsspeicher könnten sich noch der Verschlüsselungsschlüssel oder andere forensisch wertvolle Daten befinden.

Dann prüft er die weiteren Server: ERP-System, Domänencontroller, Backup-Server. Das ERP-System scheint noch nicht betroffen zu sein. Den Backup-Server trennt er sofort präventiv vom Netzwerk, denn wenn die Angreifer auch die Backups verschlüsselt haben, wäre die Situation um ein Vielfaches schlimmer.

Sofortmaßnahme 2: Überblick verschaffen

Thomas öffnet die Active-Directory-Konsole auf seinem Rechner (der noch funktioniert) und prüft die letzten Anmeldungen. Er sieht, dass der Account eines Konstrukteurs, der seit zwei Wochen im Urlaub ist, heute Nachmittag um 15:30 Uhr eine Anmeldung am Fileserver hatte. Das ist der wahrscheinliche Angriffsvektor.

Er deaktiviert den kompromittierten Account sofort und setzt gleichzeitig die Passwörter aller Service-Accounts zurück, die Zugriff auf den Fileserver hatten.

Sofortmaßnahme 3: Dokumentation starten

Thomas greift zu einem Notizbuch (Papier, nicht digital) und beginnt, jede Maßnahme mit Uhrzeit zu protokollieren. Diese Dokumentation wird später für die forensische Analyse, die behördlichen Meldungen und die Versicherung entscheidend sein.

Freitag, 18:15 Uhr: Die Eskalation

Jetzt beginnt die Eskalationskette. Thomas ruft drei Personen an, in genau dieser Reihenfolge:

Anruf 1: Geschäftsführerin Petra Müller

Thomas schildert die Lage in drei Sätzen: „Wir haben einen Ransomware-Angriff. Der Fileserver ist verschlüsselt, ich habe ihn vom Netz getrennt. Die Produktion ist aktuell nicht direkt betroffen, aber ich kann das noch nicht mit Sicherheit sagen."

Petra stellt die richtige Frage: „Was brauchst du von mir?" Thomas braucht zwei Dinge: Die Freigabe, den externen Incident-Response-Dienstleister zu beauftragen (Kosten: ab 15.000 Euro aufwärts), und die Entscheidung, ob die Produktion am Samstag planmäßig laufen soll oder sicherheitshalber gestoppt wird. Petra gibt die Beauftragung des Dienstleisters frei und entscheidet, die Samstagschicht abzusagen, bis die Lage klar ist.

Anruf 2: Externer Incident-Response-Dienstleister

Thomas hatte vorsorglich einen Rahmenvertrag mit einem IR-Dienstleister abgeschlossen. Das zahlt sich jetzt aus, denn ohne Vertrag hätte er am Freitagabend Schwierigkeiten, überhaupt jemanden zu erreichen. Der Dienstleister hat eine 24/7-Hotline und sagt zu, dass ein Forensik-Team am Samstagmorgen vor Ort sein wird. Bis dahin gibt der Berater am Telefon konkrete Anweisungen: Keine Systeme herunterfahren, keine Daten löschen, den RAM-Dump des Fileservers sichern, falls möglich, und alle Logdateien der Firewall und des Domänencontrollers exportieren und auf einen sauberen USB-Stick kopieren.

Anruf 3: IT-Kollegen

Thomas ruft seine zwei erfahrensten IT-Kollegen an und bittet sie, ins Büro zu kommen. Einer übernimmt die Sicherung der Firewall-Logs, der andere prüft systematisch alle weiteren Server und Workstations auf Anzeichen einer Kompromittierung.

Freitag, 18:30 bis 20:00 Uhr: Die Eindämmung

Das kleine IT-Team arbeitet jetzt unter Hochdruck. Die nächsten anderthalb Stunden sind der Eindämmung gewidmet.

Netzwerk-Segmentierung erweitern

Thomas und sein Team isolieren das gesamte Firmennetz in drei Zonen: Die Zone „kompromittiert" (Fileserver, die betroffenen Workstations), die Zone „verdächtig" (alle Systeme, die mit dem Fileserver kommuniziert haben) und die Zone „sauber" (Systeme, die nachweislich nicht betroffen sind, wie der isolierte Backup-Server).

Die externe VPN-Verbindung wird sofort deaktiviert. Das schließt zwar auch den Außendienst vom Zugriff aus, verhindert aber, dass die Angreifer über den VPN-Tunnel nachsteuern können. Auch das WLAN wird abgeschaltet, falls sich die Ransomware über interne Netzwerkfreigaben weiterverbreitet.

Backup-Integrität prüfen

Das ist der Moment der Wahrheit. Thomas startet den isolierten Backup-Server in einer abgeschotteten Umgebung und prüft die letzten Sicherungen. Die gute Nachricht: Die täglichen Backups der letzten Woche sind intakt. Die Angreifer haben den Backup-Server offenbar nicht erreicht, vermutlich weil er in einem separaten VLAN steht und nicht über die regulären Domänen-Credentials zugänglich ist.

Die weniger gute Nachricht: Das letzte vollständige Backup ist von Donnerstagnacht. Alles, was am Freitag gearbeitet wurde, ist verloren, sofern es nur auf dem Fileserver lag. Thomas notiert das für die spätere Schadensaufstellung.

Scope der Kompromittierung bestimmen

Anhand der Firewall-Logs und der Active-Directory-Protokolle rekonstruiert das Team den ungefähren Ablauf: Der kompromittierte Account des Konstrukteurs wurde vermutlich über eine Phishing-Mail gekapert, die er vor seinem Urlaub angeklickt hat. Die Angreifer haben sich mit seinen Credentials angemeldet und über Tage hinweg das Netzwerk erkundet. Am Freitagabend haben sie dann die Verschlüsselung gestartet.

Betroffen sind: der Fileserver (komplett verschlüsselt), drei CAD-Workstations (teilweise verschlüsselt) und ein Print-Server (verschlüsselt, aber unkritisch). Nicht betroffen sind: das ERP-System, der Domänencontroller, der E-Mail-Server (Exchange Online, gehostet bei Microsoft), die Produktionssteuerung (eigenes Netz, keine Windows-Domäne) und der Backup-Server.

Freitag, 20:00 Uhr: Die Kommunikation beginnt

Die technische Eindämmung ist abgeschlossen. Jetzt beginnt die Kommunikationsphase, die oft unterschätzt wird, aber ebenso kritisch ist wie die technischen Maßnahmen.

Interne Kommunikation

Petra Müller verschickt um 20:00 Uhr eine E-Mail an alle Mitarbeiter (über Exchange Online, das noch funktioniert):

„Liebe Kolleginnen und Kollegen, wir haben heute Abend einen IT-Sicherheitsvorfall festgestellt, der Teile unserer internen Systeme betrifft. Unser IT-Team und externe Spezialisten arbeiten bereits an der Lösung. Die Samstagschicht entfällt. Bitte schaltet keine Firmengeräte ein und greift nicht per VPN auf das Firmennetz zu, bis wir Entwarnung geben. Am Montag wird es einen aktualisierten Stand geben. Bei dringenden Fragen erreicht ihr Thomas Brenner unter seiner Mobilnummer."

Die Nachricht ist bewusst knapp gehalten. Sie informiert, gibt konkrete Handlungsanweisungen (keine Geräte einschalten, kein VPN) und vermeidet Panik. Das Wort „Ransomware" taucht absichtlich nicht auf, um Spekulationen und voreilige Kontakte zur Presse zu vermeiden.

Juristische Einordnung

Thomas und Petra telefonieren mit dem Unternehmensanwalt. Drei Fragen müssen geklärt werden:

Erstens: Ist die Müller Maschinenbau GmbH NIS2-pflichtig? Als Zulieferer für die Automobilindustrie mit mehr als 50 Mitarbeitern und über 10 Millionen Euro Jahresumsatz fällt sie als „wichtige Einrichtung" unter NIS2. Das bedeutet: Erstmeldung ans BSI innerhalb von 24 Stunden.

Zweitens: Sind personenbezogene Daten betroffen? Auf dem Fileserver liegen Personalakten, Bewerbungsunterlagen und Kundenkontaktdaten. Es muss davon ausgegangen werden, dass die Angreifer diese Daten vor der Verschlüsselung exfiltriert haben. Das bedeutet: DSGVO-Datenpanne melden an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden.

Drittens: Besteht Versicherungsschutz? Die Müller GmbH hat eine Cyber-Versicherung. Thomas dokumentiert akribisch alle Maßnahmen und Kosten, da die Versicherung eine lückenlose Dokumentation verlangt.

Freitag, 22:00 Uhr: Schichtübergabe und Nachtplanung

Um 22 Uhr hat das Team die Lage stabilisiert. Thomas richtet einen Wachdienst ein: Ein IT-Mitarbeiter bleibt über Nacht vor Ort und überwacht die isolierten Systeme auf weitere Aktivitäten. Die Aufgabe ist klar definiert: Beobachten, dokumentieren, bei jeder Auffälligkeit sofort Thomas anrufen. Nicht selbstständig Systeme ändern.

Thomas selbst fährt nach Hause, stellt den Wecker auf 5:30 Uhr und legt sein Telefon neben das Bett. Er weiß, dass der Samstag der härteste Tag wird.

Samstag, 07:00 Uhr: Das Forensik-Team trifft ein

Am Samstagmorgen trifft das externe Incident-Response-Team ein. Zwei Forensiker und ein Verhandlungsspezialist. Ja, Verhandlungsspezialist: Nicht weil man bezahlen will, sondern weil die Kommunikation mit den Angreifern manchmal taktisch sinnvoll ist, um Zeit zu gewinnen oder den Umfang der Datenexfiltration zu ermitteln.

Forensische Analyse

Die Forensiker beginnen mit einem RAM-Dump des noch laufenden Fileservers. Danach erstellen sie forensische Images der betroffenen Festplatten. Diese Arbeiten dauern mehrere Stunden, sind aber unverzichtbar, denn ohne sie lässt sich weder der genaue Angriffsweg rekonstruieren noch feststellen, welche Daten tatsächlich abgeflossen sind.

Parallel analysiert ein Forensiker die Ransomware-Variante. Es handelt sich um eine Variante der LockBit-Familie, die über einen Initial Access Broker erworben und mit angepasstem Branding versehen wurde. Die gute Nachricht: Für ältere Versionen dieser Variante existiert ein öffentlicher Decryptor. Die schlechte Nachricht: Diese Version ist neuer und noch nicht geknackt.

Datenexfiltration bewerten

Die Forensiker prüfen die Netzwerk-Logs der letzten zwei Wochen. Sie finden ungewöhnliche ausgehende Datenströme zu einer externen IP-Adresse, insgesamt etwa 800 Gigabyte über einen Zeitraum von fünf Tagen. Das bestätigt den Verdacht: Die Angreifer haben vor der Verschlüsselung Daten kopiert. Das ist die sogenannte Double Extortion, bei der nicht nur die Verschlüsselung, sondern auch die Drohung mit der Veröffentlichung als Druckmittel dient.

Für die Müller GmbH bedeutet das: Die Wahrscheinlichkeit, dass personenbezogene Daten und Geschäftsgeheimnisse in den Händen der Angreifer sind, ist hoch. Das verschärft sowohl die DSGVO-Meldepflicht als auch die geschäftlichen Konsequenzen.

Samstag, 10:00 Uhr: Behördliche Meldungen

Petra Müller und Thomas setzen sich zusammen und verfassen die behördlichen Meldungen.

NIS2-Erstmeldung ans BSI

Die Erstmeldung muss innerhalb von 24 Stunden nach Kenntnis des Vorfalls erfolgen. Da der Vorfall am Freitagabend um 18:00 Uhr erkannt wurde, läuft die Frist bis Samstagabend 18:00 Uhr. Thomas nutzt das BSI-Meldeportal und gibt die bekannten Informationen ein: Art des Vorfalls (Ransomware), betroffene Systeme, vermuteter Angriffsvektor, bisherige Gegenmaßnahmen. Die Meldung muss nicht vollständig sein, sie ist eine Erstmeldung. Innerhalb von 72 Stunden folgt eine detailliertere Folgemeldung, und innerhalb eines Monats der Abschlussbericht.

DSGVO-Meldung an die Datenschutzaufsicht

Da personenbezogene Daten betroffen sind und eine Datenexfiltration wahrscheinlich ist, muss innerhalb von 72 Stunden nach Bekanntwerden eine Meldung an die zuständige Landesdatenschutzbehörde erfolgen. Die Frist läuft bis Montagabend 18:00 Uhr. Thomas bereitet die Meldung vor, die unter anderem folgende Informationen enthalten muss: Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen.

Strafanzeige

Der Unternehmensanwalt rät zu einer Strafanzeige bei der Zentralstelle Cybercrime der zuständigen Staatsanwaltschaft. Das hat keine unmittelbaren praktischen Auswirkungen auf die Wiederherstellung, ist aber für die Versicherung relevant und kann langfristig bei der Strafverfolgung helfen.

Samstag, 14:00 Uhr bis Sonntag: Recovery

Nachdem die Forensiker grünes Licht geben (die Beweissicherung ist abgeschlossen und das Einfallstor identifiziert), beginnt die Wiederherstellung.

Reihenfolge der Wiederherstellung

Das Team erstellt eine Priorisierungsliste:

1. Domänencontroller (Active Directory): Alle Passwörter werden zurückgesetzt, der Krbtgt-Account zweimal rotiert, um Golden-Ticket-Angriffe zu unterbinden. Verdächtige Accounts werden gesperrt.

2. ERP-System: War nicht direkt betroffen, wird aber trotzdem auf Integrität geprüft, bevor es wieder ans Netz geht. Die Datenbank wird gegen das letzte bekannte saubere Backup verifiziert.

3. Fileserver: Wird komplett neu aufgesetzt (Clean Install des Betriebssystems) und die Daten werden aus dem Donnerstag-Backup wiederhergestellt. Die Freitags-Daten sind verloren.

4. CAD-Workstations: Werden über das Deployment-System neu installiert. Lokale Projektdaten, die nicht auf dem Fileserver lagen, sind verloren.

5. Alle anderen Systeme: Print-Server, Monitoring, weitere Clients werden der Reihe nach geprüft und bei Bedarf neu aufgesetzt.

Sicherheitsmaßnahmen vor dem Go-Live

Bevor irgendein System wieder ans produktive Netz darf, werden folgende Maßnahmen umgesetzt:

• Alle Benutzerpasswörter werden zurückgesetzt, ausnahmslos
• Multi-Faktor-Authentifizierung wird für alle VPN-Zugänge und alle Administratorkonten aktiviert (das hätte schon vorher passieren sollen)
• Die Firewall-Regeln werden verschärft: Ausgehender Traffic wird auf bekannte Dienste beschränkt
• Der Backup-Server bekommt einen eigenen, vom Domänen-Admin getrennten Zugang
• Die Netzwerksegmentierung wird überprüft und härtet

Sonntagabend: Testlauf

Am Sonntagabend führt das Team einen kontrollierten Testlauf durch. Das ERP-System wird hochgefahren, Testbuchungen durchgeführt. Der Fileserver ist wieder erreichbar, die Daten aus dem Backup sind konsistent. Die CAD-Workstations funktionieren, die Konstrukteure können am Montag arbeiten, verlieren aber die Freitagsarbeit.

Montag, 07:00 Uhr: Der Neustart

Am Montagmorgen versammelt Petra Müller die gesamte Belegschaft in der Kantine. Sie erklärt, was passiert ist, ohne technische Details, aber ehrlich und transparent:

„Wir hatten am Freitag einen Cyberangriff. Kriminelle haben Teile unserer Daten verschlüsselt und möglicherweise auch kopiert. Unser IT-Team hat seit Freitagabend rund um die Uhr gearbeitet, und die Systeme laufen wieder. Die Arbeit vom Freitag ist auf einigen Systemen verloren gegangen, aber alle anderen Daten konnten wiederhergestellt werden. Wir arbeiten mit externen Spezialisten und den Behörden zusammen."

Dann folgen die konkreten Anweisungen:

• Jeder Mitarbeiter muss sein Passwort ändern, bevor er sich anmeldet
• Verdächtige E-Mails der letzten zwei Wochen sollen an die IT gemeldet werden
• Bis auf Weiteres dürfen keine USB-Sticks an Firmenrechner angeschlossen werden
• Die VPN-Verbindung funktioniert wieder, aber nur mit dem neuen MFA-Verfahren

Kundenkommunikation

Parallel beginnt Petra mit der Kundenkommunikation. Die Müller GmbH beliefert zwölf Automobilzulieferer, von denen drei sensible Konstruktionsdaten auf dem Fileserver hatten. Diese drei Kunden werden persönlich angerufen, nicht per E-Mail, und über den Vorfall informiert. Die Botschaft ist klar: Es gab einen Angriff, die Daten wurden möglicherweise kompromittiert, und die Müller GmbH arbeitet mit Forensikern an der genauen Aufklärung. Das ist unangenehm, aber notwendig und in vielen Fällen auch vertraglich vorgeschrieben.

Die übrigen Kunden erhalten eine schriftliche Information, die den Vorfall sachlich darstellt und die ergriffenen Maßnahmen beschreibt.

Lieferantenkommunikation

Auch die IT-Dienstleister und Lieferanten mit Netzwerkzugang werden informiert. Falls die Angreifer Zugangsdaten zu Lieferantenportalen oder Partner-VPNs erbeutet haben, müssen auch diese Verbindungen geprüft und Passwörter geändert werden.

Montag bis Freitag: Die Nachbereitung

Die akute Krise ist bewältigt, aber die Arbeit ist bei Weitem nicht abgeschlossen. In der Woche nach dem Vorfall stehen folgende Aufgaben an:

DSGVO-Benachrichtigung der Betroffenen

Die forensische Analyse bestätigt, dass Personalakten von 100 Mitarbeitern und Kontaktdaten von etwa 500 Kundenmitarbeitern exfiltriert wurden. Gemäß Art. 34 DSGVO müssen die betroffenen Personen benachrichtigt werden, da ein hohes Risiko für ihre Rechte und Freiheiten besteht. Thomas und der Datenschutzbeauftragte entwerfen ein Benachrichtigungsschreiben, das den Vorfall erklärt, die Art der betroffenen Daten benennt und Empfehlungen gibt (Passwörter ändern, auf Phishing achten, Kreditkartenabrechnungen prüfen).

NIS2-Folgemeldung

Innerhalb von 72 Stunden nach der Erstmeldung reicht Thomas die Folgemeldung beim BSI ein, die jetzt deutlich detaillierter ist: Angriffsvektor (Phishing, kompromittierter Account), Ransomware-Variante, Umfang der Datenexfiltration, ergriffene Gegenmaßnahmen und aktueller Status der Wiederherstellung.

Versicherungsmeldung

Die Cyber-Versicherung wird mit dem vollständigen Schadensbericht informiert. Der Schaden setzt sich zusammen aus: Kosten für den IR-Dienstleister (ca. 25.000 Euro), Kosten für Überstunden und Wochenendarbeit des IT-Teams, Produktionsausfall am Samstag (Umsatzausfall ca. 40.000 Euro), verlorene Arbeitszeit durch die Freitags-Daten und Kosten für die beschleunigten Sicherheitsmaßnahmen (MFA-Rollout, Firewall-Upgrade). Insgesamt schätzt Thomas den Gesamtschaden auf etwa 120.000 bis 180.000 Euro, abhängig von den Folgekosten der Datenexfiltration.

Woche 2 bis 4: Lessons Learned

Zwei Wochen nach dem Vorfall setzt sich das gesamte Incident-Response-Team zu einem strukturierten Lessons-Learned-Workshop zusammen. Nicht um Schuldzuweisungen zu machen, sondern um systematisch zu analysieren, was funktioniert hat und was nicht.

Was hat funktioniert?

• Der ausgedruckte Notfallplan war verfügbar und hat die ersten Minuten strukturiert
• Die Netzwerksegmentierung hat verhindert, dass die Produktionssteuerung betroffen wurde
• Der Rahmenvertrag mit dem IR-Dienstleister hat die Reaktionszeit auf unter 12 Stunden gedrückt
• Die Backup-Integrität war gegeben, die Wiederherstellung hat funktioniert
• Die Kommunikation der Geschäftsführung war klar und hat Panik verhindert

Was hat nicht funktioniert?

• Der kompromittierte Account hatte keine MFA, obwohl das seit Monaten geplant war
• Der letzte Restore-Test lag acht Monate zurück, das war zu risikoreich
• Die Netzwerksegmentierung zwischen Fileserver und Backup-Server war zwar vorhanden, aber der Backup-Server war über einen SMB-Share erreichbar, der nur durch ein anderes Passwort geschützt war. Das hätte leicht auch schiefgehen können
• Es gab keinen vorbereiteten Kommunikationsplan für Kunden, alles musste unter Zeitdruck formuliert werden
• Die IT-Besetzung am Freitagabend war zu dünn. Ein Bereitschaftsdienst hätte die Erkennung beschleunigt

Maßnahmenplan

Aus dem Workshop leitet das Team einen konkreten Maßnahmenplan ab:

Was dieser Fall lehrt

Die Müller Maschinenbau GmbH hatte Glück im Unglück. Die Backups waren intakt, die Produktionssteuerung nicht betroffen, und das Team hat in den ersten Minuten richtig gehandelt. Trotzdem waren die Kosten erheblich, der Stress immens und die Geschäftsbeziehungen vorübergehend belastet.

Die zentralen Lehren aus diesem Szenario lassen sich in fünf Punkten zusammenfassen:

Vorbereitung schlägt Improvisation. Der ausgedruckte Notfallplan, der Rahmenvertrag mit dem IR-Dienstleister und die vorhandene Netzwerksegmentierung haben den Unterschied gemacht. Ohne diese Vorbereitung hätte Thomas am Freitagabend bei null angefangen.

Die erste Stunde ist entscheidend. Netzwerk trennen, Beweise sichern, Krisenstab aktivieren. Diese drei Schritte müssen sitzen, ohne Nachdenken, ohne Diskussion. Übe sie regelmäßig in Tabletop-Übungen. Tools wie ISMS Lite unterstützen dich bei der Dokumentation von Notfallplänen, Vorfallsdaten und Meldefristen, damit du im Ernstfall strukturiert und fristgerecht handeln kannst.

Kommunikation ist kein Nachgedanke. Wer keine vorbereiteten Kommunikationsvorlagen hat, formuliert unter Zeitdruck. Das führt zu Fehlern, Missverständnissen und Vertrauensverlust. Bereite die Texte vor, solange du die Ruhe dafür hast.

Meldepflichten laufen parallel. NIS2 (24 Stunden), DSGVO (72 Stunden), Strafanzeige, Versicherung, Kunden. All das passiert gleichzeitig mit der technischen Wiederherstellung. Ohne klare Zuständigkeiten und Checklisten geht etwas unter.

Backups sind nur so gut wie ihr letzter Test. Die Müller GmbH hatte funktionierende Backups, aber das war mehr Glück als Planung. Ein acht Monate alter Restore-Test ist kein Vertrauensbeweis, sondern ein Risiko. Teste monatlich, dokumentiere die Ergebnisse und sichere den Backup-Server so ab, als wäre er dein wertvollstes Asset, denn das ist er.

Ransomware trifft nicht nur Konzerne. Sie trifft Maschinenbauer, Handwerksbetriebe, Arztpraxen und Steuerkanzleien. Der Unterschied zwischen einem Vorfall, der in zwei Tagen bewältigt wird, und einem, der das Unternehmen wochenlang lahmlegt, liegt nicht in der Technik, sondern in der Vorbereitung.

Weiterführende Artikel

• Ransomware-Angriff: Sofortmaßnahmen, Kommunikation und Wiederherstellung
• Incident-Response-Plan erstellen: Vom leeren Dokument zum funktionierenden Prozess
• Sicherheitsvorfälle kommunizieren: Intern, extern und an die Presse
• Backup-Strategie und Restore-Tests: Deine letzte Verteidigungslinie
• NIS2-Erstmeldung ans BSI: So gelingt die fristgerechte Meldung