Der Bildschirm zeigt eine Lösegeldforderung. Die Dateien öffnen sich nicht mehr. Kollegen melden dasselbe. Was jetzt zählt, sind die nächsten zehn Minuten, nicht die nächste Stunde.
Ransomware (Erpressungssoftware) verschlüsselt Daten auf befallenen Systemen und macht sie unzugänglich. Die Angreifer fordern anschließend Lösegeld, oft in Kryptowährung, für den Entschlüsselungsschlüssel. Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) gehört Ransomware seit Jahren zu den größten Bedrohungen für Unternehmen in Deutschland.
Was ist Ransomware?
Ransomware ist Schadsoftware, die gezielt Dateien oder ganze Systeme verschlüsselt. Verbreitung erfolgt meist über Phishing-E-Mails, unsichere Remote-Desktop-Zugänge (RDP) oder ungepatchte Software-Schwachstellen. Nach der Infektion bleibt oft nur ein kleines Zeitfenster, bevor sich die Malware im Netzwerk ausbreitet. Schnelles Handeln ist deshalb keine Option, sondern Pflicht.
Die ersten 10 Minuten: Sofort-Checkliste
Handeln Sie strukturiert, nicht panisch. Diese Reihenfolge minimiert den Schaden:
- Netzwerk trennen - Betroffene Geräte sofort vom Netzwerk isolieren. Netzwerkkabel ziehen, WLAN deaktivieren. Nicht ausschalten, noch nicht.
- Anderen Mitarbeitern Bescheid geben - Warnung im Team ausgeben: keine verdächtigen Anhänge öffnen, keine weiteren Systeme nutzen.
- IT-Notfalldienst kontaktieren - Externe Hilfe holen, bevor Sie selbst aktiv werden. Jede falsche Aktion kann Beweise vernichten oder die Wiederherstellung erschweren. Unsere 24/7 IT-Notfall-Hotline ist unter +49 69 247422681 erreichbar.
- Systeme dokumentieren - Fotos vom Bildschirm machen (Fehlermeldungen, Lösegeldforderung). Notieren welche Systeme betroffen sind und seit wann.
- Backups prüfen, aber nicht einspielen - Sind Backups vorhanden und erreichbar? Noch nicht einspielen, erst Umfang des Befalls klären.
- Nicht neu starten - Viele Schadprogramme hinterlassen im laufenden Speicher (RAM) Spuren, die für die forensische Analyse wichtig sind. Erst nach Absprache mit IT-Experten.
- Nicht zahlen - Das Bezahlen des Lösegelds empfiehlt weder das BSI noch das BKA. Garantien gibt es keine, und Sie finanzieren damit weitere Angriffe.
- Strafanzeige erstatten - Ransomware-Angriffe sind Straftaten. Meldung bei der örtlichen Polizei oder dem Landeskriminalamt. Viele Bundesländer haben spezialisierte Cybercrime-Einheiten.
- Datenschutzbehörde informieren - Wenn personenbezogene Daten betroffen sein könnten, besteht nach DSGVO Art. 33 eine Meldepflicht innerhalb von 72 Stunden.
- Kommunikationsstrategie festlegen - Wer kommuniziert was nach außen? Kunden, Partner und Behörden brauchen korrekte Information, keine Panikaussagen.
Was NICHT tun
Typische Fehler, die den Schaden vergrößern:
- Nicht einfach neu aufsetzen, bevor der Angriffsvektor bekannt ist. Sonst droht die nächste Infektion innerhalb von Stunden.
- Nicht selbst entschlüsseln versuchen mit unbekannten Tools aus dem Internet. Viele davon sind selbst Malware.
- Nicht kommunizieren, bevor Sie wissen, was passiert ist. Falsche Aussagen gegenüber Kunden oder Behörden können rechtliche Konsequenzen haben.
- Nicht den Angreifern vertrauen, auch wenn diese behaupten, nach Zahlung alles zurückzusetzen. Die Wiederherstellungsquote nach Lösegeldzahlung ist ernüchternd.
- Nicht betroffene Backups überschreiben mit aktuellen (möglicherweise infizierten) Daten.
Wiederherstellung: Der richtige Weg
Wie gut Sie aus einem Ransomware-Angriff herauskommen, hängt direkt von der Qualität Ihrer Backups ab. Keine schönere Art, das zu sagen.
Die 3-2-1-Backup-Regel
Eine bewährte Faustregel, die im Ernstfall den Unterschied macht:
- 3 Kopien der Daten
- 2 verschiedene Speichermedien oder -technologien
- 1 Kopie außerhalb des Unternehmensstandorts (offline oder Air-Gapped)
Backups, die über das Netzwerk erreichbar sind, werden von moderner Ransomware oft ebenfalls verschlüsselt. Offline-Backups oder unveränderliche Backups (Immutable Backups) sind der entscheidende Schutzfaktor.
Ablauf der Wiederherstellung
- Saubere Systeme aufsetzen (frisch installiert, nicht der alte Stand)
- Schadsoftware vollständig entfernen und Angriffsvektor schließen
- Backups auf Integrität prüfen, bevor diese eingespielt werden
- Schrittweise Wiederherstellung, beginnend mit kritischen Systemen
- Monitoring aktivieren, um erneuten Befall sofort zu erkennen
Die Wiederherstellungsdauer ist stark von der IT-Infrastruktur und Backup-Qualität abhängig. Gut vorbereitet: Stunden bis wenige Tage. Schlecht vorbereitet: Wochen.
Mehr zu IT-Unterstützung für Unternehmen finden Sie unter Business IT Support.
Prävention: Was Sie jetzt tun können
Ein Ransomware-Angriff ist keine Frage des Ob, sondern des Wann. Prävention reduziert die Angriffsfläche deutlich.
Multi-Faktor-Authentifizierung (MFA)
MFA (Mehrfaktor-Authentifizierung) ist eine der wirksamsten Einzelmaßnahmen. Selbst wenn Zugangsdaten kompromittiert werden, schützt der zweite Faktor vor unbefugtem Zugriff. Gilt für E-Mail-Konten, VPN-Zugänge und Remote-Desktop-Verbindungen.
Patch-Management
Ungepatchte Software ist das häufigste Einfallstor. Regelmäßige Updates für Betriebssysteme, Anwendungen und Firmware sollten automatisiert und dokumentiert sein, nicht "wenn Zeit ist".
Segmentierung des Netzwerks
Netzwerksegmentierung verhindert, dass sich Ransomware von einem befallenen Gerät auf die gesamte Infrastruktur ausbreitet. Kritische Systeme gehören in eigene Netzwerkbereiche.
Security Awareness Training
Phishing bleibt der häufigste Angriffsweg. Mitarbeiterschulungen, in denen echte Phishing-Szenarien simuliert werden, senken die Klickrate auf verdächtige Links messbar.
Endpoint Detection and Response (EDR)
Moderne EDR-Lösungen erkennen verdächtiges Verhalten auf Endgeräten, bevor Schaden entsteht. Klassische Antivirenlösungen allein reichen nicht mehr aus.
Notfallplan dokumentieren
Ein Incident-Response-Plan, der vor dem Angriff erstellt wurde, spart im Ernstfall wertvolle Zeit. Zuständigkeiten, Kontaktnummern und Handlungsschritte gehören schriftlich fixiert.
Weitere Informationen zu IT-Sicherheitsmaßnahmen finden Sie in unserem FAQ-Bereich.
Häufige Fragen zu Ransomware (FAQ)
Was soll ich sofort tun, wenn mein Computer mit Ransomware infiziert ist?
Trennen Sie das betroffene Gerät sofort vom Netzwerk, indem Sie das Netzwerkkabel ziehen und WLAN deaktivieren. Starten Sie das System nicht neu. Kontaktieren Sie dann Ihren IT-Dienstleister oder eine IT-Notfallhotline. Dokumentieren Sie mit Fotos, was auf dem Bildschirm zu sehen ist.
Soll ich das Lösegeld bei einem Ransomware-Angriff zahlen?
Nein. Weder das BSI noch das BKA empfehlen die Zahlung von Lösegeld. Es gibt keine Garantie, dass Ihre Daten nach der Zahlung tatsächlich wiederhergestellt werden. Außerdem finanzieren Sie damit weitere Angriffe. Versuchen Sie stattdessen, über saubere Backups wiederherzustellen.
Muss ich nach einem Ransomware-Angriff die Datenschutzbehörde informieren?
Wenn personenbezogene Daten betroffen sein könnten, besteht nach DSGVO Art. 33 eine Meldepflicht bei der zuständigen Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden. Im Zweifel melden und dann weitere Details nachreichen.
Wie lange dauert die Wiederherstellung nach einem Ransomware-Angriff?
Das hängt maßgeblich von der Qualität der vorhandenen Backups und dem Umfang des Befalls ab. Mit aktuellen, getesteten Offline-Backups ist eine Wiederherstellung kritischer Systeme oft innerhalb von ein bis zwei Tagen möglich. Ohne gute Backups kann sich der Prozess über Wochen ziehen.
Schützt eine Antivirensoftware vor Ransomware?
Klassische Antivirenlösungen bieten einen Basisschutz, reichen aber allein nicht aus. Moderne Ransomware nutzt Zero-Day-Schwachstellen oder dateilose Angriffe, die signaturbasierte Antivirus-Software nicht erkennt. EDR-Lösungen in Kombination mit Netzwerksegmentierung, MFA und regelmäßigen Backups bieten deutlich besseren Schutz.
Im Notfall: Jetzt Hilfe holen
Wenn Sie gerade einen aktiven Ransomware-Angriff vermuten oder feststellen: Zögern Sie nicht. Jede Minute zählt.
IT-Notfall-Hotline: +49 69 247422681
Unsere Techniker sind rund um die Uhr erreichbar. Details zu unserem 24/7 IT-Notfallservice finden Sie auf der entsprechenden Seite. Für präventive Maßnahmen und regelmäßige IT-Betreuung steht Ihnen unser Business IT Support zur Verfügung.
Offizielle Ressourcen:
- BSI Ransomware-Leitfaden: https://www.bsi.bund.de/ransomware
- BSI IT-Grundschutz: https://www.bsi.bund.de/grundschutz
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Melde- und Dokumentationspflichten nach DSGVO, StGB und branchenspezifischen Regelungen sollten im Ernstfall mit einem Fachanwalt oder Datenschutzbeauftragten abgestimmt werden. Gonzi Tech übernimmt keine Haftung für die Umsetzung der hier beschriebenen Maßnahmen.

David Joswig
Gründer von Gonzi Tech. Schreibt über IT-Support, Rechenzentrum-Betrieb und alles, was in Frankfurt Oberrad auf dem Schreibtisch landet.

