Dateien lassen sich plötzlich nicht mehr öffnen, die Dateiendungen haben sich verändert, auf dem Bildschirm erscheint eine Lösegeldforderung: Ein Ransomware-Vorfall gehört zu den Situationen, in denen die ersten 30 Minuten häufig darüber entscheiden, wie glimpflich es ausgeht. Dieser Beitrag ist ein praktischer Notfallplan für Unternehmen im Saarland, kein Ersatz für eine forensische Untersuchung im Einzelfall.
Schritt 1: Sofort vom Netzwerk trennen
Die wichtigste Maßnahme in den ersten Minuten: das betroffene Gerät physisch vom Netzwerk trennen, also Netzwerkkabel ziehen und WLAN deaktivieren. Das verhindert, dass sich die Verschlüsselung auf weitere Systeme, Netzlaufwerke oder Backups ausbreitet. Schalten Sie das Gerät nach Möglichkeit nicht sofort aus, da im Arbeitsspeicher unter Umständen Spuren liegen, die für die spätere Analyse hilfreich sind. Trennen ist der richtige erste Schritt, Ausschalten kann warten.
Schritt 2: Ausbreitung stoppen
- Trennen Sie auch andere Geräte im selben Netzwerksegment vorsorglich vom Netz, bis die Ausbreitung eingeschätzt werden kann.
- Prüfen Sie von einem unbetroffenen, separaten Gerät aus, ob Netzlaufwerke oder Cloud-Backups ebenfalls Verschlüsselungsspuren zeigen.
- Ändern Sie Passwörter für wichtige Konten von einem nachweislich sauberen Gerät aus, insbesondere für E-Mail und Online-Banking.
Schritt 3: Beweise sichern
- Fotografieren Sie die Lösegeldforderung auf dem Bildschirm mit dem Smartphone, statt sie zu schließen oder zu löschen.
- Notieren Sie, wann und an welchem Gerät der Vorfall zuerst bemerkt wurde.
- Verändern Sie die verschlüsselten Dateien nicht, auch nicht durch Umbenennen oder Verschieben – das kann spätere Entschlüsselungsversuche erschweren.
Schritt 4: Die richtigen Stellen informieren
Ein Ransomware-Vorfall ist in den meisten Fällen mehr als ein internes IT-Problem, er berührt auch rechtliche Meldepflichten:
- Datenschutzaufsicht: Sind personenbezogene Daten betroffen, gilt gegenüber der zuständigen Aufsichtsbehörde – im Saarland das Unabhängige Datenschutzzentrum Saarland – grundsätzlich eine Meldefrist von 72 Stunden nach Bekanntwerden gemäß Art. 33 DSGVO.
- Polizei/Zentrale Ansprechstelle Cybercrime (ZAC): Eine Anzeige lohnt sich unabhängig von der Aussicht auf Täterermittlung, unter anderem für Versicherungsfragen und um Ermittlungsbehörden ein vollständigeres Lagebild zu ermöglichen.
- Betroffene Kunden oder Mandanten: Je nach Schwere des Vorfalls kann auch eine Informationspflicht gegenüber betroffenen Personen bestehen, das sollte im Zweifel mit rechtlicher Beratung geklärt werden.
Schritt 5: Wiederherstellung, aber richtig
Der naheliegende Impuls, betroffene Systeme einfach zu bereinigen und weiterzuarbeiten, birgt ein Risiko: Ohne vollständige Neuaufsetzung bleibt oft unklar, ob sich noch Reste der Schadsoftware im System befinden. Der sicherere Weg:
- Betroffene Systeme komplett neu aufsetzen, statt nur die sichtbaren Symptome zu entfernen.
- Daten ausschließlich aus Backups wiederherstellen, die nachweislich vor dem Angriffszeitpunkt liegen und selbst nicht kompromittiert sind.
- Erst nach Abschluss der Bereinigung die Netzwerkverbindung schrittweise wiederherstellen, mit Beobachtung auf erneute Auffälligkeiten.
Vorbeugen ist günstiger als der Ernstfall
Die wirksamste Ransomware-Abwehr entsteht lange vor dem eigentlichen Vorfall:
- 3-2-1-Backup-Regel: Mindestens drei Kopien der Daten, auf zwei unterschiedlichen Speichermedien, davon eine Kopie physisch getrennt oder offline – genau diese getrennte Kopie ist es, die im Ernstfall den Unterschied macht.
- Konsequentes Patchmanagement: Viele Ransomware-Angriffe nutzen bekannte, längst geschlossene Sicherheitslücken aus, die auf ungepatchten Systemen offenstehen.
- Sensibilisierung im Team: Ein Großteil der Angriffe beginnt mit einer Phishing-E-Mail, die ein aufmerksamer Mitarbeiter erkannt hätte.
- Rechtevergabe einschränken: Nicht jeder Arbeitsplatz braucht Administratorrechte oder Zugriff auf alle Netzlaufwerke.
Wie IT-Notruf-Saar unterstützt
Bei einem akuten Vorfall unterstützt IT-Notruf-Saar bei der Ersteinschätzung und den nächsten Schritten, mit Rückmeldung innerhalb einer Stunde an Werktagen. Wichtiger ist aber die Vorbeugung: Im Rahmen des IT-Schutzbriefs gehören funktionierende, getrennte Backups und aktuelle Patchstände zum Kern der laufenden Systembetreuung. Das Compliance-Paket ergänzt das um eine NIS-2-Ersteinschätzung und Dokumentation, die zunehmend auch von Auftraggebern und Versicherern verlangt wird.
Vermuten Sie gerade einen Cyberangriff?
Rückmeldung innerhalb einer Stunde, an Werktagen.