Es ist Montag, 8:15 Uhr. Kein Rechner fährt hoch. Auf jedem Bildschirm eine Lösegeldforderung. Die Telefonanlage funktioniert noch – aber wie lange? Die Buchhaltung, das ERP, die Kundendatenbank: alles verschlüsselt. 250.000 Euro in Bitcoin, 48 Stunden Frist. Die Uhr läuft.
In diesem Moment entscheidet nicht Technik über das Überleben Ihres Unternehmens – sondern wie Sie in den nächsten 60 Minuten handeln. Jede falsche Entscheidung vernichtet Beweise, verlängert den Ausfall oder macht eine Wiederherstellung unmöglich. Dieser Artikel ist kein Präventionsratgeber. Dies ist Ihr Notfall-Handbuch für den Ernstfall – die Anleitung, die Sie hoffentlich nie brauchen, aber jetzt griffbereit haben sollten.
⚠️ Wichtig: Dieser Leitfaden ersetzt keinen professionellen Incident-Response-Service. Er gibt Ihnen eine strukturierte Handlungsanleitung, bis professionelle Hilfe eintrifft. Drucken Sie die Checkliste am Ende dieses Artikels aus und legen Sie sie in Papierform bereit – bei einem Cyberangriff haben Sie möglicherweise keinen Zugriff auf digitale Dokumente.
Die ersten 15 Minuten: Sofortmaßnahmen
Die ersten Minuten nach der Entdeckung eines Cyberangriffs sind die kritischsten. Hier passieren die meisten Fehler – aus Panik, Unwissenheit oder falschem Aktionismus. Bevor Sie irgendetwas tun: Atmen Sie durch. Hektische Aktionen richten mehr Schaden an als der Angriff selbst.
Ruhe bewahren, Lage erfassen
Machen Sie sich ein Bild: Wie viele Systeme sind betroffen? Nur ein Arbeitsplatz oder das gesamte Netzwerk? Gibt es Systeme, die noch funktionieren? Notieren Sie alles auf Papier – Uhrzeit, betroffene Geräte, angezeigte Meldungen.
Netzwerk sofort trennen
Ziehen Sie betroffene Systeme vom Netzwerk ab – Netzwerkkabel raus, WLAN deaktivieren. Aber: Rechner NICHT ausschalten! Im Arbeitsspeicher befinden sich möglicherweise Verschlüsselungsschlüssel und forensische Beweise, die beim Herunterfahren verloren gehen.
Internet-Verbindung kappen
Trennen Sie die externe Internet-Verbindung am Router oder an der Firewall. Der Angreifer kommuniziert möglicherweise noch aktiv mit Ihrem Netzwerk, exfiltriert Daten oder breitet sich weiter aus. Kappen Sie diesen Kanal sofort.
Beweise sichern – nichts löschen
Fotografieren Sie Bildschirme mit Lösegeldforderungen. Notieren Sie Dateinamen der Erpresserbotschaften. Löschen Sie keine Dateien, formatieren Sie keine Festplatten. Jede Veränderung vernichtet potenzielle Beweise für die Forensik und die Strafverfolgung.
Backup-Systeme isolieren
Prüfen Sie sofort, ob Ihre Backup-Systeme (NAS, externe Festplatten, Cloud-Backup) noch erreichbar und intakt sind. Trennen Sie sie umgehend vom Netzwerk, bevor die Ransomware auch diese erreicht. Offline-Backups sind jetzt Ihre Lebensversicherung.
⚠️ Wichtig: Die drei größten Fehler in den ersten Minuten: 1) Betroffene Rechner ausschalten oder neu starten – damit gehen forensische Daten im RAM unwiederbringlich verloren. 2) Die Lösegeldforderung sofort bezahlen – das garantiert weder Entschlüsselung noch verhindert es weitere Angriffe. 3) Selbst versuchen, die Ransomware zu entfernen – ohne Forensik wissen Sie nicht, wie tief der Angreifer im System steckt.
Minute 15–60: Analyse und Kommunikation
Die unmittelbare Gefahr ist eingedämmt. Jetzt beginnt die Phase, in der Sie den Umfang des Schadens erfassen und die richtigen Leute an den Tisch holen. Kommunikation ist jetzt genauso wichtig wie Technik.
Geschäftsführung informieren
Ein Cyberangriff ist kein reines IT-Problem – er ist eine Unternehmenskrise. Die Geschäftsleitung muss sofort informiert werden, denn es stehen Entscheidungen an, die nur sie treffen kann: Budget für externe Hilfe, Kommunikation nach außen, juristische Schritte.
IT-Partner oder Incident-Response-Team kontaktieren
Rufen Sie Ihren IT-Dienstleister an – nicht per E-Mail, die funktioniert möglicherweise nicht mehr. Schildern Sie knapp: Was ist passiert? Wie viele Systeme sind betroffen? Welche Ransomware-Variante wird angezeigt? Ein erfahrener Partner kennt die nächsten Schritte und kann oft remote oder vor Ort sofort unterstützen.
Umfang des Angriffs ermitteln
Welche Server, Arbeitsplätze und Dienste sind betroffen? Funktionieren E-Mail, Telefonie, Internet noch? Sind Cloud-Dienste (Microsoft 365, ERP) erreichbar? Erstellen Sie eine Liste aller betroffenen und nicht betroffenen Systeme – das wird die Grundlage für alle weiteren Entscheidungen.
Krisenstab einberufen
Benennen Sie sofort einen Krisenstab: Geschäftsführung, IT-Verantwortlicher, Datenschutzbeauftragter, ggf. Rechtsanwalt und Kommunikationsverantwortlicher. Definieren Sie einen zentralen Kommunikationskanal – wenn E-Mail ausfällt, nutzen Sie Mobiltelefone oder einen Messenger-Dienst.
Alternative Kommunikationswege sicherstellen
Erstellen Sie eine Telefonliste aller relevanten Ansprechpartner auf Papier: IT-Dienstleister, Versicherung, Rechtsanwalt, Datenschutzbehörde, wichtige Kunden. Bei einem Totalausfall haben Sie keinen Zugriff auf digitale Kontaktlisten.
Die Lösegeldforderung enthält oft Hinweise auf die Ransomware-Familie. Dienste wie ID Ransomware (id-ransomware.malwarehunterteam.com) oder No More Ransom (nomoreransom.org) können anhand verschlüsselter Dateien die Variante identifizieren. Für einige ältere Varianten existieren bereits kostenlose Entschlüsselungstools. Nutzen Sie dafür allerdings einen nicht betroffenen Rechner – laden Sie keine verdächtigen Dateien von kompromittierten Systemen auf saubere Geräte.
Stunde 1–4: Eindämmung und Containment
Die erste Stunde ist vorbei. Sie haben einen Überblick, Ihr IT-Partner ist informiert, der Krisenstab steht. Jetzt geht es darum, den Angriff systematisch einzudämmen und die Ausbreitung endgültig zu stoppen.
Netzwerk-Segmentierung durchsetzen
Falls nicht bereits geschehen: Isolieren Sie Netzwerksegmente voneinander. Trennen Sie Produktionsnetzwerk, Verwaltung und Server-Segment. Deaktivieren Sie Switch-Ports zu betroffenen Segmenten. Ziel ist es, noch saubere Bereiche zu schützen.
Alle Passwörter ändern
Ändern Sie sofort alle administrativen Passwörter – Active Directory, Firewall, Router, VPN, Cloud-Dienste. Nutzen Sie dafür ein nachweislich sauberes Gerät. Der Angreifer hat möglicherweise Zugangsdaten abgegriffen und kann sich sonst jederzeit erneut einloggen.
Cloud-Konten absichern
Prüfen Sie Microsoft 365, Google Workspace und andere Cloud-Dienste auf verdächtige Aktivitäten. Aktivieren Sie Multi-Faktor-Authentifizierung, falls noch nicht geschehen. Sperren Sie unbekannte Sitzungen und widerrufen Sie OAuth-Tokens.
Notbetrieb organisieren
Identifizieren Sie die geschäftskritischsten Prozesse und finden Sie Workarounds: Können Aufträge telefonisch angenommen werden? Gibt es Papier-Lieferscheine? Kann die Buchhaltung vorübergehend manuell arbeiten? Priorisieren Sie die Wiederherstellung nach Geschäftskritikalität.
Forensische Sicherung starten
Erstellen Sie forensische Images (bit-genaue Kopien) der betroffenen Festplatten, bevor Sie irgendwelche Wiederherstellungsversuche starten. Diese Images sind essentiell für die spätere Analyse, für Versicherungsansprüche und für die Strafverfolgung.
Die DSGVO-Uhr tickt: Meldepflichten und rechtliche Schritte
Ein Ransomware-Angriff ist fast immer ein meldepflichtiger Datenschutzvorfall. Ab dem Moment, in dem Sie von der Verletzung Kenntnis erlangen, beginnt eine 72-Stunden-Frist. Und diese Frist gilt auch am Wochenende und an Feiertagen.
| Meldepflicht | Frist | Zuständige Stelle | Grundlage |
|---|---|---|---|
| Datenschutzverletzung | 72 Stunden | Landesdatenschutzbehörde (BW: LfDI) | Art. 33 DSGVO |
| Betroffene Personen informieren | Unverzüglich (bei hohem Risiko) | Kunden, Mitarbeiter, Partner | Art. 34 DSGVO |
| Strafanzeige | Zeitnah empfohlen | Polizei / Zentrale Ansprechstelle Cybercrime (ZAC) | StGB §§ 202a, 303a, 253 |
| BSI-Meldung | Unverzüglich (bei KRITIS/NIS2) | Bundesamt für Sicherheit in der Informationstechnik | BSI-Gesetz / NIS2-Umsetzung |
| Cyber-Versicherung | Sofort, spätestens innerhalb der Vertragsfrist | Ihr Versicherungsanbieter | Versicherungsvertrag |
⚠️ Wichtig: Die 72-Stunden-Frist der DSGVO beginnt, sobald Sie Kenntnis von der Datenschutzverletzung haben – nicht erst, wenn Sie das volle Ausmaß kennen. Eine verspätete Meldung kann Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes nach sich ziehen. Im Zweifel melden Sie lieber zu früh und ergänzen später, als die Frist zu versäumen.
Landesdatenschutzbehörde kontaktieren
Für Unternehmen in Baden-Württemberg: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) bietet ein Online-Meldeformular unter lfdi-bw.de. Die Erstmeldung kann vorläufig sein – Sie können und sollten nachträglich ergänzen.
Strafanzeige erstatten
Erstatten Sie Anzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) des LKA Baden-Württemberg. Die ZAC ist spezialisiert auf Cyberkriminalität und arbeitet deutlich effektiver als die örtliche Polizeidienststelle. Telefon: 0711 5401-2444.
Cyber-Versicherung informieren
Falls Sie eine Cyber-Versicherung haben, melden Sie den Vorfall sofort. Viele Policen decken Incident-Response-Kosten, forensische Analyse und sogar Betriebsunterbrechungsschäden. Aber Achtung: Versäumte Meldefristen können zum Verlust des Versicherungsschutzes führen.
Rechtsanwalt einschalten
Ein auf IT-Recht spezialisierter Anwalt berät Sie zu Meldepflichten, Haftungsfragen und der Kommunikation mit Behörden. Bei einem schweren Angriff ist rechtliche Begleitung keine Option, sondern Pflicht.
Kommunikation nach außen: Kunden, Partner, Öffentlichkeit
Schweigen ist keine Option. Kunden merken es, wenn Ihre Systeme tagelang nicht erreichbar sind. Partner wundern sich über ausbleibende Lieferungen. Und gerüchte verbreiten sich schneller als jede offizielle Mitteilung. Kontrollieren Sie die Kommunikation, bevor andere es tun.
Proaktiv informieren
Informieren Sie wichtige Kunden und Geschäftspartner aktiv, bevor sie es von Dritten erfahren. Ehrlichkeit schafft Vertrauen – Vertuschungsversuche zerstören es nachhaltig.
Klare Botschaft formulieren
Kommunizieren Sie sachlich: Was ist passiert? Welche Daten könnten betroffen sein? Was tun Sie? Was müssen Kunden jetzt tun? Vermeiden Sie technischen Jargon.
Einen Sprecher benennen
Alle Anfragen – von Kunden, Presse, Behörden – laufen über eine zentrale Person. Das verhindert widersprüchliche Aussagen und unkontrollierte Informationsweitergabe.
Mitarbeiter briefen
Ihre Mitarbeiter müssen wissen, was sie sagen dürfen und was nicht. Erstellen Sie ein kurzes Briefing mit Sprachregelung: Welche Informationen sind öffentlich? An wen werden Anfragen weitergeleitet?
Regelmäßig Updates geben
Halten Sie Betroffene auf dem Laufenden – auch wenn es keine Neuigkeiten gibt. Ein kurzes "Wir arbeiten daran, nächstes Update um 16 Uhr" ist besser als tagelange Funkstille.
Forensik: Was ist passiert und wie kam der Angreifer rein?
Parallel zur Eindämmung und Kommunikation beginnt die forensische Untersuchung. Sie ist aus drei Gründen unverzichtbar: Erstens müssen Sie verstehen, wie der Angreifer eingedrungen ist, um die Lücke zu schließen. Zweitens brauchen Sie Beweise für Versicherung und Strafverfolgung. Drittens müssen Sie wissen, welche Daten betroffen sind, um Ihre Meldepflichten korrekt zu erfüllen.
Einfallstor identifizieren
War es eine Phishing-Mail? Ein kompromittierter VPN-Zugang? Eine ungepatchte Schwachstelle? Die Firewall-Logs, E-Mail-Logs und Authentifizierungsprotokolle geben Aufschluss. Ohne diese Erkenntnis riskieren Sie, dass der Angreifer über denselben Weg erneut eindringt.
Timeline erstellen
Wann hat der Angriff begonnen – nicht die Verschlüsselung, sondern der erste Zugriff? Ransomware-Gruppen bewegen sich oft tage- oder wochenlang unbemerkt im Netzwerk (Dwell Time). Die Timeline bestimmt, welche Backups noch sauber sind.
Datenabfluss prüfen
Moderne Ransomware-Gruppen praktizieren Double Extortion: Sie stehlen Daten, bevor sie verschlüsseln. Prüfen Sie die Netzwerk-Logs auf ungewöhnliche Datenübertragungen, besonders große Uploads oder Verbindungen zu unbekannten externen Servern.
Betroffene Daten katalogisieren
Welche Datenbanken, Dateiserver und Systeme waren zum Zeitpunkt des Angriffs erreichbar? Welche personenbezogenen Daten könnten betroffen sein? Diese Inventur ist Pflicht für die DSGVO-Meldung und die Information betroffener Personen.
Für die meisten mittelständischen Unternehmen ist eine professionelle externe Forensik der richtige Weg. Spezialisierte Incident-Response-Dienstleister haben die Tools, die Erfahrung und die rechtssichere Methodik. Die Kosten (typisch 10.000–50.000 €) werden von vielen Cyber-Versicherungen übernommen. Wichtig: Beauftragen Sie die Forensik bevor Sie Systeme wiederherstellen – sonst werden Beweise überschrieben.
Wiederherstellung: Systeme sicher zurückbringen
Erst wenn Einfallstor und Ausmaß bekannt sind, beginnt die Wiederherstellung. Vorher riskieren Sie, ein kompromittiertes System wiederherzustellen und dem Angreifer erneut die Tür zu öffnen. Die zentrale Frage lautet: Clean Rebuild oder Restore from Backup?
| Methode | Vorteile | Nachteile | Empfohlen wenn |
|---|---|---|---|
| Clean Rebuild (Neuaufbau) | Garantiert sauberes System, keine versteckten Hintertüren | Zeitaufwendig, Konfiguration muss neu erstellt werden | Angriff war tiefgreifend, Dwell Time war lang, Backup-Integrität unklar |
| Backup-Restore | Schneller, gewohnte Konfiguration bleibt erhalten | Risiko, dass Backup bereits kompromittiert ist | Sauberes Backup verifiziert, Angriffszeitpunkt klar eingegrenzt |
| Hybrid-Ansatz | Balance aus Sicherheit und Geschwindigkeit | Erfordert genaue Analyse pro System | Empfohlener Standardansatz für die meisten KMU |
Saubere Basis schaffen
Installieren Sie Betriebssysteme und kritische Server-Software neu von verifizierten Installationsmedien. Verwenden Sie keinesfalls Installationsdateien von den kompromittierten Systemen selbst.
Backup-Integrität prüfen
Testen Sie Backups auf einem isolierten System, bevor Sie sie zurückspielen. Prüfen Sie das Backup-Datum: Liegt es sicher vor dem Beginn des Angriffs (nicht der Verschlüsselung, sondern des ersten Eindringens)?
Priorisiert wiederherstellen
Stellen Sie Systeme nach Geschäftskritikalität wieder her: Zuerst E-Mail und Kommunikation, dann ERP und Buchhaltung, dann weitere Arbeitsplätze. Dokumentieren Sie jeden Schritt.
Sicherheitslücken schließen
Bevor Sie wiederhergestellte Systeme ans Netzwerk hängen: Patches einspielen, Passwörter ändern, MFA aktivieren, Firewall-Regeln verschärfen. Stellen Sie sicher, dass das ursprüngliche Einfallstor geschlossen ist.
Monitoring intensivieren
Nach der Wiederherstellung ist erhöhte Wachsamkeit Pflicht. Angreifer versuchen häufig, über zuvor platzierte Hintertüren erneut einzudringen. Überwachen Sie Netzwerkverkehr, Logins und Systemänderungen engmaschig über Wochen.
Lösegeld zahlen oder nicht?
Die Frage, die niemand stellen möchte – und die trotzdem im Raum steht. Die Position des BSI und der deutschen Strafverfolgungsbehörden ist eindeutig: Zahlen Sie nicht. Aber die Realität ist komplizierter, besonders wenn die Existenz des Unternehmens auf dem Spiel steht.
| Argument | Gegen Zahlung | Für Zahlung (in Extremfällen) |
|---|---|---|
| Datenwiederherstellung | Nur 65 % erhalten nach Zahlung alle Daten zurück | Wenn kein Backup existiert und Daten existenzkritisch sind |
| Finanzierung von Kriminellen | Jede Zahlung finanziert weitere Angriffe | -- |
| Folgeangriffe | 80 % der Zahler werden erneut angegriffen (Cybereason 2025) | -- |
| Rechtskonformität | Zahlungen an sanktionierte Gruppen können strafbar sein | Rechtliche Prüfung vorher zwingend |
| Entschlüsselungstools | Für viele Varianten existieren kostenlose Tools | Nicht für alle aktuellen Varianten verfügbar |
| Zeitfaktor | Verhandlungen dauern oft tagelang | Bei Lebensbedrohung (z.B. Krankenhaus) kann schnelle Wiederherstellung zwingend sein |
Nach dem Angriff: Lessons Learned und Härtung
Der Angriff ist überstanden, die Systeme laufen wieder. Jetzt beginnt die Phase, die viele Unternehmen überspringen – und damit den nächsten Angriff einladen. Ein durchlebter Cyberangriff ist die wertvollste (wenn auch teuerste) Sicherheitsschulung, die ein Unternehmen durchlaufen kann.
Post-Incident-Review durchführen
Versammeln Sie innerhalb von zwei Wochen alle Beteiligten: Was lief gut? Was lief schlecht? Wo fehlten Informationen, Werkzeuge oder Zuständigkeiten? Dokumentieren Sie alles schriftlich und ohne Schuldzuweisungen.
Sicherheitsarchitektur überarbeiten
Basierend auf den Erkenntnissen der Forensik: Schließen Sie nicht nur das eine Einfallstor, sondern prüfen Sie Ihre gesamte Sicherheitsarchitektur. Netzwerksegmentierung, Endpoint Protection, E-Mail-Security, Backup-Strategie – alles kommt auf den Prüfstand.
Mitarbeiter schulen
Der Angriff ist der beste Anlass für Security-Awareness-Trainings. Ihre Mitarbeiter haben gerade am eigenen Leib erfahren, was ein Cyberangriff bedeutet. Nutzen Sie diese Aufmerksamkeit für nachhaltige Schulungen, insbesondere zu Phishing und Social Engineering.
Notfallplan aktualisieren
Überarbeiten Sie Ihren IT-Notfallplan mit den Erfahrungen aus dem realen Vorfall. Was hat gefehlt? Welche Telefonnummern waren nicht aktuell? Welche Prozesse haben nicht funktioniert? Ein Notfallplan, der einen echten Vorfall überstanden hat, ist Gold wert.
Backup-Strategie härten
Implementieren Sie die 3-2-1-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 Kopie offsite, 1 Kopie offline (Air-Gapped). Testen Sie die Wiederherstellung regelmäßig – ein Backup, das nie getestet wurde, ist kein Backup.
Netzwerksegmentierung einführen
Trennung von Verwaltung, Produktion und Gäste-WLAN verhindert, dass sich ein Angreifer vom E-Mail-Postfach bis zum Produktionsserver durcharbeiten kann.
Zero-Trust-Prinzip umsetzen
Vertraue niemandem, überprüfe jeden – auch intern. Multi-Faktor-Authentifizierung, Least-Privilege-Zugriffe und kontinuierliche Überprüfung von Zugriffsrechten.
Endpoint Detection & Response (EDR)
Klassische Antivirensoftware reicht nicht mehr. EDR-Lösungen erkennen verdächtiges Verhalten in Echtzeit und können kompromittierte Endgeräte automatisch isolieren.
Security Information & Event Management (SIEM)
Zentrale Sammlung und Analyse aller sicherheitsrelevanten Logs ermöglicht die Erkennung von Angriffen in der Frühphase – bevor die Verschlüsselung beginnt.
Incident Response Retainer: Warum ein IT-Partner auf Abruf Gold wert ist
Im Ernstfall zählt jede Minute. Wer erst dann einen IT-Sicherheitsexperten sucht, verliert wertvolle Zeit – und zahlt im Notfall Premiumpreise. Ein Incident Response Retainer ist eine Vereinbarung mit Ihrem IT-Partner, die im Krisenfall garantierte Reaktionszeiten, vorab definierte Prozesse und priorisierte Unterstützung sicherstellt.
Garantierte Reaktionszeit
Statt tagelanger Suche nach verfügbaren Experten: Ihr IT-Partner reagiert innerhalb von Stunden, oft sogar Minuten. Bei einem aktiven Angriff kann das den Unterschied zwischen Teilverschlüsselung und Totalverlust bedeuten.
Vorab definierte Prozesse
Kommunikationswege, Eskalationsstufen und Zuständigkeiten sind im Voraus geklärt. Im Krisenfall greift ein eingespielter Plan, statt hektischer Improvisation.
Kenntnis Ihrer Infrastruktur
Ein IT-Partner, der Ihr Netzwerk kennt, arbeitet sofort zielgerichtet. Er muss nicht erst Ihre Systeme verstehen, sondern kann direkt mit der Eindämmung beginnen.
Kalkulierbare Kosten
Die monatliche Retainer-Gebühr ist planbar. Im Vergleich zu den Kosten eines unkontrollierten Vorfalls – durchschnittlich 1,8 Mio. Euro laut IBM – ist sie eine minimale Investition.
Als IT-Dienstleister in Südbaden bieten wir mittelständischen Unternehmen genau diese Sicherheit: Einen verlässlichen Partner, der im Ernstfall sofort handlungsfähig ist – und im Normalfall dafür sorgt, dass der Ernstfall gar nicht erst eintritt.
Checkliste: Incident Response Kurzanleitung zum Ausdrucken
Diese Checkliste fasst die wichtigsten Schritte bei einem Cyberangriff zusammen. Drucken Sie sie aus und legen Sie sie an einen physisch zugänglichen Ort – im Serverraum, im Büro der Geschäftsleitung, beim Empfang. Im Ernstfall haben Sie möglicherweise keinen digitalen Zugriff.
Sofortmaßnahmen (Erste 15 Minuten)
- Ruhe bewahren – keine überstürzten Aktionen
- Betroffene Systeme vom Netzwerk trennen (Kabel ziehen, WLAN aus)
- Rechner NICHT ausschalten (RAM enthält Beweise)
- Internet-Verbindung am Router/Firewall kappen
- Bildschirme mit Lösegeldforderung fotografieren
- Backup-Systeme sofort isolieren
- Uhrzeit und betroffene Geräte auf Papier notieren
Kommunikation und Analyse (Minute 15–60)
- Geschäftsführung informieren
- IT-Partner/Incident-Response-Team anrufen (nicht mailen!)
- Krisenstab einberufen
- Umfang des Angriffs ermitteln (betroffene Systeme auflisten)
- Alternative Kommunikationswege einrichten (Mobiltelefon, Messenger)
- Ransomware-Variante identifizieren (nomoreransom.org)
Eindämmung (Stunde 1–4)
- Netzwerksegmente voneinander isolieren
- Alle administrativen Passwörter ändern (von sauberem Gerät)
- Cloud-Konten prüfen und absichern (MFA aktivieren)
- Notbetrieb für kritische Geschäftsprozesse organisieren
- Forensische Sicherung der betroffenen Systeme starten
Meldepflichten (innerhalb 72 Stunden)
- Datenschutzbehörde melden (LfDI Baden-Württemberg: lfdi-bw.de)
- Strafanzeige bei ZAC LKA Baden-Württemberg (0711 5401-2444)
- Cyber-Versicherung informieren
- Betroffene Personen benachrichtigen (bei hohem Risiko)
- Rechtsanwalt für IT-Recht einschalten
Fazit: Vorbereitung entscheidet über das Überleben
Ein Cyberangriff trifft jedes Unternehmen hart. Aber er muss nicht das Ende bedeuten. Der Unterschied zwischen Unternehmen, die einen Ransomware-Angriff überstehen, und solchen, die daran zerbrechen, liegt nicht in der Technik – er liegt in der Vorbereitung und der Reaktionsgeschwindigkeit in den ersten 60 Minuten.
Die wichtigsten Erkenntnisse aus diesem Notfall-Leitfaden: Trennen Sie betroffene Systeme sofort vom Netzwerk, aber schalten Sie sie nicht aus. Bewahren Sie Beweise. Holen Sie professionelle Hilfe. Melden Sie den Vorfall fristgerecht. Und zahlen Sie kein Lösegeld, wenn es irgendwie vermeidbar ist.
Am besten ist es natürlich, wenn dieser Notfall-Leitfaden in Ihrer Schublade verstaubt und nie zum Einsatz kommt. Dafür sorgen wir gerne: Mit durchdachten Schutzmaßnahmen für ransomware-sichere IT-Infrastrukturen, regelmäßigen Sicherheitschecks und einem verlässlichen Incident-Response-Retainer – damit Ihr Montagmorgen so beginnt, wie er soll.