Ransomware-Notfall: Was tun in den ersten 24 Stunden?

Isolieren, nicht ausschalten. Ziehen Sie betroffene Systeme physisch oder logisch vom Netzwerk: Netzwerkkabel abstecken, WLAN deaktivieren, betroffene VLANs oder Switch-Ports sperren. Ziel ist, die seitliche Ausbreitung (Lateral Movement) und weitere Verschlüsselung zu stoppen, bevor sie weitere Server, Fileshares und Backups erreicht.

Schalten Sie befallene Maschinen möglichst nicht hart aus. Beim Herunterfahren gehen flüchtige Spuren im Arbeitsspeicher verloren, die für die Forensik wertvoll sind - etwa Verschlüsselungsschlüssel, aktive Prozesse oder Hinweise auf den Einstiegspunkt. Wenn ein System nicht isoliert werden kann und die Verschlüsselung sichtbar weiterläuft, ist Abschalten als letztes Mittel vertretbar; dokumentieren Sie dann Uhrzeit und Begründung.

Trennen Sie als Nächstes die Backup-Systeme vom produktiven Netz, sofern sie nicht ohnehin offline oder unveränderlich (immutable) sind. Angreifer zielen gezielt auf Sicherungen, um Wiederherstellung unmöglich zu machen. Ändern Sie keine Daten auf den befallenen Systemen und löschen Sie nichts - auch nicht die Erpresser-Nachricht.

Bilden Sie sofort einen kleinen, handlungsfähigen Krisenstab statt eines großen Meetings. Typisch sind: IT-Leitung als technische Einsatzleitung, Geschäftsführung für Entscheidungen mit Tragweite, eine Person für Dokumentation und Kommunikation sowie - sobald personenbezogene Daten betroffen sein könnten - der Datenschutzbeauftragte. Legen Sie eine zentrale Entscheiderrolle fest, damit nicht mehrere Personen widersprüchlich handeln.

Aktivieren Sie früh externe Unterstützung. Dazu gehören Ihr IT-Dienstleister beziehungsweise Incident-Response-Partner, gegebenenfalls eine spezialisierte Forensik und - falls vorhanden - die Cyber-Versicherung. Viele Cyber-Policen verlangen eine unverzügliche Schadenmeldung und stellen eigene Krisendienstleister; eine eigenmächtige Wiederherstellung vor Freigabe kann den Versicherungsschutz gefährden.

Klären Sie zügig, ob eine Strafanzeige sinnvoll ist. In Deutschland sind die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter die richtigen Anlaufstellen für betroffene Unternehmen. Dokumentieren Sie ab der ersten Minute lückenlos: Uhrzeit der Entdeckung, betroffene Systeme, durchgeführte Schritte und Verantwortliche. Diese Chronologie brauchen Sie später für Behörden, Versicherung und die Aufsichtsbehörde.

Treffen Sie diese Entscheidung nicht unter Schock und nicht in den ersten Stunden. Behörden wie das BSI raten grundsätzlich davon ab, Lösegeld zu zahlen. Eine Zahlung garantiert keine vollständige oder fehlerfreie Entschlüsselung, finanziert kriminelle Strukturen und macht das Unternehmen zum bekannten, zahlungsbereiten Ziel für Folgeangriffe.

Eine Zahlung kann zudem rechtlich heikel sein, etwa wenn die Tätergruppe auf einer Sanktionsliste steht. Prüfen Sie vor jeder Zahlungsüberlegung gemeinsam mit Rechtsberatung und Versicherung die Rechts- und Haftungslage. Verhandlungen, falls überhaupt, übernehmen erfahrene Incident-Response-Spezialisten - nicht das gestresste interne Team.

Der bessere Hebel ist Vorbereitung: Wer aktuelle, getestete und vom Produktivnetz getrennte Backups hat, kann die Erpressung in den meisten Fällen ins Leere laufen lassen und ohne Zahlung wiederherstellen. Genau deshalb entscheidet die Backup-Strategie von gestern über Ihre Verhandlungsposition von heute.

Forensik beantwortet die entscheidenden Fragen: Wie kamen die Angreifer hinein, seit wann waren sie im Netz, welche Daten wurden eingesehen oder abgezogen, und ist der Zugang wirklich geschlossen? Ohne diese Antworten besteht das Risiko, dass Sie ein noch kompromittiertes System wiederherstellen und die Verschlüsselung erneut beginnt.

Sichern Sie Beweise, bevor Sie bereinigen oder neu aufsetzen. Dazu gehören forensische Abbilder (Images) betroffener Systeme, relevante Log-Dateien von Servern, Firewalls, VPN und Verzeichnisdiensten sowie die Erpresser-Nachricht und Beispiele verschlüsselter Dateien. Logs sind oft nur begrenzt vorgehalten - sichern Sie sie früh, bevor sie überschrieben werden.

Gerade hier zeigt sich der Wert kontinuierlicher Überwachung: Wenn Systeme und Netzverkehr ohnehin lückenlos protokolliert und Anomalien überwacht werden, lässt sich der Angriffsverlauf deutlich schneller rekonstruieren. Behandeln Sie kompromittierte Zugangsdaten als verbrannt: Setzen Sie Passwörter zurück, sperren Sie auffällige Konten und erneuern Sie betroffene Schlüssel und Zertifikate.

Ein Ransomware-Vorfall ist datenschutzrechtlich fast immer eine Verletzung des Schutzes personenbezogener Daten - schon weil Verschlüsselung die Verfügbarkeit der Daten beeinträchtigt. Damit greift Art. 33 DSGVO: Liegt voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen vor, müssen Sie die zuständige Aufsichtsbehörde unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, informieren.

Die 72-Stunden-Frist läuft ab dem Zeitpunkt, zu dem Ihnen die Verletzung bekannt wird - nicht erst nach Abschluss der Forensik. Eine Meldung ist auch dann möglich, wenn noch nicht alle Details feststehen; fehlende Informationen dürfen schrittweise nachgereicht werden. Im Zweifel ist eine Meldung der sicherere Weg, da ein Versäumnis bußgeldbewehrt ist.

Ist zusätzlich ein hohes Risiko für die Betroffenen wahrscheinlich - etwa beim Abfluss sensibler Personaldaten - kommt nach Art. 34 DSGVO eine Benachrichtigung der betroffenen Personen hinzu. Beziehen Sie den Datenschutzbeauftragten früh ein und dokumentieren Sie die Risikoeinschätzung. Prüfen Sie parallel, ob Meldepflichten aus anderen Regelwerken greifen, etwa nach NIS2 oder branchenspezifischen Vorgaben.

Beginnen Sie die Wiederherstellung erst, wenn zwei Bedingungen erfüllt sind: Die Einstiegslücke ist geschlossen und das Netz ist sauber, und die Backups sind als nicht infiziert verifiziert. Eine Wiederherstellung in eine noch kompromittierte Umgebung verschlüsselt nur erneut. Setzen Sie nach Möglichkeit auf einer frisch gehärteten, vom alten Netz getrennten Infrastruktur neu auf.

Priorisieren Sie nach Geschäftskritikalität statt alles gleichzeitig zurückzuholen. Definieren Sie vorab, welche Systeme zuerst laufen müssen (etwa Verzeichnisdienst, ERP, zentrale Fileshares) und welche RPO- und RTO-Ziele gelten. Stellen Sie aus einem sauberen, idealerweise unveränderlichen oder per Air-Gap getrennten Backup-Stand wieder her - nicht aus dem zuletzt erreichbaren, der bereits mitverschlüsselt sein kann.

Entscheidend ist, dass die Wiederherstellung vorher geprobt wurde. In einem von uns begleiteten, anonymisierten Fall war ein mittelständischer Betrieb nach rund vier Stunden wieder arbeitsfähig - möglich war das, weil getrennte, unveränderliche Sicherungen vorlagen und der Restore-Prozess regelmäßig getestet worden war. Ein Backup, das nie wiederhergestellt wurde, ist im Ernstfall eine Annahme, kein Sicherheitsnetz. Genau diese getesteten Restore-Pläne sind ein Kern unserer Arbeit in Datensicherung und IT-Überwachung.

Wenn die akute Phase vorbei ist, beginnt die Nacharbeit. Schließen Sie die Forensik ab, dokumentieren Sie den vollständigen Vorfallsverlauf und reichen Sie offene Informationen bei Aufsichtsbehörde und Versicherung nach. Erst danach gilt die Lage als beherrscht - nicht schon mit dem ersten wieder laufenden Server.

Leiten Sie aus dem Vorfall konkrete Härtungsmaßnahmen ab: Multi-Faktor-Authentifizierung für alle externen Zugänge, konsequente Netzsegmentierung, zeitnahes Patchen exponierter Systeme, unveränderliche Offsite-Backups und ein regelmäßig getesteter Wiederanlaufplan. Halten Sie die Erkenntnisse in einem schriftlichen Notfallplan fest, der ohne funktionierende IT erreichbar ist - etwa ausgedruckt mit den wichtigsten Kontaktnummern.

Der wirksamste Zeitpunkt für all das ist vor dem Ernstfall. Eine geübte Eskalationskette, getestete Backups und kontinuierliche Überwachung verkürzen die kritischen ersten Stunden von Tagen auf Stunden. Genau diese Vorbereitung trennt Unternehmen, die nach einem Befall in einem Tag weiterarbeiten, von solchen, die wochenlang stillstehen.