Dateien lassen sich plötzlich nicht mehr öffnen, die Dateiendungen haben sich verändert, auf dem Bildschirm erscheint eine Lösegeldforderung: Ein Ransomware-Vorfall gehört zu den Situationen, in denen die ersten 30 Minuten häufig darüber entscheiden, wie glimpflich es ausgeht. Dieser Beitrag ist ein praktischer Notfallplan für Unternehmen im Saarland, kein Ersatz für eine forensische Untersuchung im Einzelfall.

Schritt 1: Sofort vom Netzwerk trennen

Die wichtigste Maßnahme in den ersten Minuten: das betroffene Gerät physisch vom Netzwerk trennen, also Netzwerkkabel ziehen und WLAN deaktivieren. Das verhindert, dass sich die Verschlüsselung auf weitere Systeme, Netzlaufwerke oder Backups ausbreitet. Schalten Sie das Gerät nach Möglichkeit nicht sofort aus, da im Arbeitsspeicher unter Umständen Spuren liegen, die für die spätere Analyse hilfreich sind. Trennen ist der richtige erste Schritt, Ausschalten kann warten.

Schritt 2: Ausbreitung stoppen

Schritt 3: Beweise sichern

Wichtig: Zahlen Sie kein Lösegeld, ohne sich vorher fachkundig beraten zu lassen. Eine Zahlung ist keine Garantie für funktionierende Entschlüsselung, finanziert im Zweifel weitere Angriffe und kann je nach Empfänger sogar rechtliche Risiken bergen.

Schritt 4: Die richtigen Stellen informieren

Ein Ransomware-Vorfall ist in den meisten Fällen mehr als ein internes IT-Problem, er berührt auch rechtliche Meldepflichten:

Schritt 5: Wiederherstellung, aber richtig

Der naheliegende Impuls, betroffene Systeme einfach zu bereinigen und weiterzuarbeiten, birgt ein Risiko: Ohne vollständige Neuaufsetzung bleibt oft unklar, ob sich noch Reste der Schadsoftware im System befinden. Der sicherere Weg:

Vorbeugen ist günstiger als der Ernstfall

Die wirksamste Ransomware-Abwehr entsteht lange vor dem eigentlichen Vorfall:

Wie IT-Notruf-Saar unterstützt

Bei einem akuten Vorfall unterstützt IT-Notruf-Saar bei der Ersteinschätzung und den nächsten Schritten, mit Rückmeldung innerhalb einer Stunde an Werktagen. Wichtiger ist aber die Vorbeugung: Im Rahmen des IT-Schutzbriefs gehören funktionierende, getrennte Backups und aktuelle Patchstände zum Kern der laufenden Systembetreuung. Das Compliance-Paket ergänzt das um eine NIS-2-Ersteinschätzung und Dokumentation, die zunehmend auch von Auftraggebern und Versicherern verlangt wird.

Vermuten Sie gerade einen Cyberangriff?

Rückmeldung innerhalb einer Stunde, an Werktagen.

Soforthilfe anfragen →