Ransomware-Angriff: Was sofort zu tun ist
Ein Ransomware-Angriff ist einer der schlimmsten IT-Notfälle. Erpresser-Software verschlüsselt innerhalb von Minuten Daten auf dem befallenen Rechner und im Netzwerk. Schnelles, richtiges Handeln begrenzt den Schaden erheblich.
Erste 10 Minuten: Das ist zu tun
1. Sofort vom Netz trennen
Ziehen Sie alle Netzwerkkabel und schalten Sie WLAN aus. Ransomware verbreitet sich aktiv im Netz – jede Minute zählt.
- Netzwerkkabel ziehen
- WLAN-Adapter deaktivieren oder deaktivieren
- Beim Verdacht auf Unternehmensbefall: Netzwerk-Switch des betroffenen Segments abschalten
2. PC ausschalten – ja oder nein?
Grundregel: Wenn Sie sehen, dass die Verschlüsselung gerade läuft → sofort hart ausschalten (Netzschalter halten). Wenn die Verschlüsselung bereits abgeschlossen ist → PC erstmal laufen lassen für forensische Untersuchung.
3. Andere Geräte überprüfen
Alle anderen PCs und Server im Netzwerk sofort auf Anzeichen von Ransomware prüfen:
- Datei-Endungen geändert?
- Hinweis-Dateien (LESEN_SIE_MICH.txt, README.txt)?
- Dateien nicht mehr öffenbar?
4. Backup-Status prüfen
Sofort prüfen: Sind Backups intakt und offline (nicht im gleichen Netz)?
- NAS/Backup-Server ebenfalls befallen?
- Cloud-Backup vorhanden und sauber?
Nächste Schritte
5. Behörden informieren
Für Unternehmen in Deutschland:
- Bundeskriminalamt (BKA): www.bka.de/cybercrime
- Landespolizei: Anzeige erstatten
- Bundesamt für Sicherheit in der Informationstechnik (BSI): 0228 99 9582-0
- Datenschutzbehörde: Bei Personendaten-Betroffenheit muss eine Meldung innerhalb 72 Stunden erfolgen (DSGVO Art. 33)!
6. Incident Response einleiten
Falls Ihr Unternehmen eine Cyberversicherung hat:
- Versicherung sofort informieren – meist innerhalb 24-48h Meldepflicht
- Incident Response Team Ihres Versicherers kontaktieren
7. Kein Lösegeld zahlen
Zahlen Sie kein Lösegeld – das ist der wichtigste Rat aller Sicherheitsbehörden:
- Keine Garantie, dass Daten wirklich entschlüsselt werden
- Kriminelle wissen, dass Sie zahlen → werden erneut angegriffen
- Finanziert weitere Kriminalität
8. Ransomware identifizieren
Besuchen Sie NoMoreRansom.org – die Plattform von Europol, BKA und IT-Sicherheitsfirmen bietet Entschlüsselungstools für viele bekannte Ransomware-Familien kostenlos an.
Wiederherstellung
- Systeme nur aus bestätigten, sauberen Backups wiederherstellen
- Betriebssystem neu aufsetzen – nicht auf infiziertem System bereinigen
- Patches und Updates einspielen
- Einfallstor identifizieren und schließen (Schwachstellen-Scan)
- Passwörter aller Konten ändern
Prävention: Ransomware verhindern
| Maßnahme | Wirksamkeit |
|---|---|
| Offline-Backups (3-2-1-Regel) | ⭐⭐⭐⭐⭐ |
| MFA für alle Zugänge | ⭐⭐⭐⭐⭐ |
| Patch-Management | ⭐⭐⭐⭐⭐ |
| EDR/XDR Endpoint Security | ⭐⭐⭐⭐ |
| Mitarbeiter-Schulungen | ⭐⭐⭐⭐ |
| Netzwerk-Segmentierung | ⭐⭐⭐⭐ |
FAQ
Hilft Antivirus gegen Ransomware?
Traditionelle Antivirus-Software erkennt bekannte Ransomware, versagt aber oft bei neuen Varianten. EDR/XDR-Lösungen (Endpoint Detection and Response) bieten besseren Schutz durch Verhaltensanalyse.
Wir haben kein Backup – gibt es noch Hoffnung?
Manchmal. NoMoreRansom.org prüfen. Falls Schattenkopien (VSS) noch vorhanden sind, können Daten teilweise wiederhergestellt werden. Profis beauftragen.
Wie lange dauert die Wiederherstellung?
Von einigen Stunden bis zu mehreren Wochen – je nach Backup-Qualität und Größe der Umgebung.
IT-Notfallhilfe in der Region
Ransomware-Angriff auf Ihr Unternehmen? SeeColors IT bietet IT-Notfallhilfe für Unternehmen in Heidelberg, Mannheim, Ludwigshafen, Karlsruhe und dem Rhein-Neckar-Kreis. Rufen Sie sofort an.
➡️ Notfall: +49 170 403 9558 | Kontakt aufnehmen