· Cybersecurity · Lesedauer von ca. 6 Min.
Incident Response für KMU: Leitfaden nach Ransomware
Der Bildschirm zeigt eine Lösegeldforderung, und die Frage lautet nicht ob, sondern was jetzt. Dieser Leitfaden führt Sie Schritt für Schritt durch die ersten Stunden, die Meldepflichten und den sauberen Wiederanlauf.
Wenn die Lösegeldforderung auf dem Bildschirm steht
Ein Ransomware-Vorfall trifft fast jeden zur ungünstigsten Zeit, meist freitagnachmittags oder über Nacht. Die Dateien sind verschlüsselt, eine Erpressernachricht fordert Zahlung in Kryptowährung, und der Betrieb steht. Genau jetzt entscheidet sich, ob aus einem Zwischenfall ein Totalschaden wird oder ein kontrollierter Wiederanlauf.
Dieser Leitfaden richtet sich an Geschäftsführung und IT-Verantwortliche in Hamburger KMU. Er beschreibt, was in den ersten Stunden zählt, wer welche Rolle übernimmt und wie Sie sauber wieder hochfahren. Wer einen Notfallplan vorbereitet hat, liest hier die Bestätigung. Wer keinen hat, findet die Vorlage für den nächsten ruhigen Montag.
1. Ruhe bewahren und nicht überstürzt handeln
Der erste Reflex ist oft der falsche. Wer in Panik alle Server hart abschaltet, vernichtet möglicherweise flüchtige Beweise im Arbeitsspeicher, die später für die Ursachenanalyse wichtig sind. Wer voreilig wiederherstellt, spielt unter Umständen Daten zurück, die bereits kompromittiert waren.
Atmen Sie durch. Die nächsten Entscheidungen treffen Sie bewusst, nicht im Affekt.
2. Betroffene Systeme isolieren statt sofort ausschalten
Ziel ist, die Ausbreitung zu stoppen, ohne Spuren zu zerstören. Trennen Sie betroffene Geräte vom Netzwerk, indem Sie das Netzwerkkabel ziehen oder WLAN und VPN deaktivieren. Bei virtuellen Maschinen hilft das Trennen der virtuellen Netzwerkkarte.
Ausschalten ist nur dann angezeigt, wenn die aktive Verschlüsselung sonst nicht zu stoppen ist. Wo Forensik eine Rolle spielt, ist Isolation der Vorzug, weil ein laufendes System mehr Informationen liefert als ein totes. Im Zweifel isolieren, nicht herunterfahren.
3. Beweise und Protokolle sichern
Dokumentieren Sie ab der ersten Minute. Fotografieren Sie die Lösegeldforderung mit dem Smartphone, notieren Sie Uhrzeiten und betroffene Systeme, sichern Sie Log-Dateien von Firewall, Servern und Endpunkten, bevor sie rotieren oder überschrieben werden. Diese Protokolle sind Gold wert für die spätere Aufklärung und für die Kommunikation mit Behörden und Versicherung.
4. Rollen klären und Eskalation auslösen
Ein Vorfall ohne klare Zuständigkeit verliert Zeit, die Sie nicht haben. Legen Sie vorab fest, wer im Ernstfall was tut.
| Rolle | Zuständig für |
|---|---|
| Incident Lead | Gesamtkoordination, Entscheidungen, Statusüberblick |
| IT und Technik | Isolation, Forensik-Sicherung, Wiederanlauf |
| Geschäftsführung | Freigaben, externe Kommunikation, Versicherung |
| Datenschutz | Bewertung der Meldepflicht, Behördenkontakt |
| Externe IT-Partner | Spezial-Know-how, zusätzliche Hände, Wiederherstellung |
Eskalieren Sie früh an Ihren IT-Dienstleister oder Notfall-Partner. Ein zweites Augenpaar mit Erfahrung verhindert Fehler unter Druck.
5. Nicht vorschnell zahlen
Eine Zahlung garantiert weder die Entschlüsselung noch das Ausbleiben einer Veröffentlichung gestohlener Daten. Sie finanziert die nächste Angriffswelle und kann je nach Konstellation rechtlich heikel sein. Behörden wie das BSI raten von Zahlungen ab. Treffen Sie eine solche Entscheidung niemals allein und niemals in den ersten Stunden, sondern erst nach Bewertung durch Geschäftsführung, IT-Partner und gegebenenfalls Rechtsberatung.
6. Meldepflichten prüfen
Hier wird es rechtlich konkret, und genau deshalb gilt: im Einzelfall fachlich und juristisch prüfen lassen. Die folgenden Punkte sind eine Orientierung mit Vertrauensstufe mittel, kein Rechtsrat.
- DSGVO-Meldung an die Aufsichtsbehörde (Art. 33 DSGVO). Sind personenbezogene Daten betroffen, besteht in der Regel eine Meldepflicht innerhalb von 72 Stunden nach Bekanntwerden. In Hamburg ist das der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Die Frist läuft schnell, der Zeitstempel aus Schritt 3 hilft.
- Benachrichtigung Betroffener (Art. 34 DSGVO). Bei hohem Risiko für die Rechte der Betroffenen kann eine direkte Information der betroffenen Personen nötig werden.
- NIS2 und sektorspezifische Pflichten. Je nach Einstufung Ihres Unternehmens können weitere Melde- und Berichtspflichten greifen. Ob und in welchem Umfang das für Sie gilt, hängt von Größe und Branche ab und gehört in eine individuelle Bewertung.
- Anzeige bei der Polizei. Eine Strafanzeige ist sinnvoll und in einigen Konstellationen sachgerecht, die Zentrale Ansprechstelle Cybercrime (ZAC) beim LKA ist der richtige Kontakt.
Klären Sie diese Punkte mit Ihrem Datenschutzbeauftragten und Ihrer Rechtsberatung. Versäumte Fristen kosten zusätzlich zum technischen Schaden.
7. Wiederanlauf aus sauberem, unveränderbarem Backup
Jetzt zahlt sich Vorbereitung aus. Spielen Sie ausschließlich aus einem geprüften, unveränderbaren Backup zurück. Ein Immutable Backup lässt sich nicht nachträglich verschlüsseln oder löschen, auch nicht von einem Angreifer mit Administratorrechten.
So gehen Sie vor:
- Befallsumfang bestimmen, also welche Systeme und welcher Zeitraum betroffen sind.
- Sauberen Wiederherstellungspunkt vor dem Eindringen auswählen.
- Systeme in einer isolierten Umgebung wiederherstellen und auf Restbefall prüfen.
- Zugangsdaten zurücksetzen, bevor die Systeme wieder ans Netz gehen.
- Schrittweise wieder produktiv schalten, mit Monitoring auf erneute Aktivität.
Wer das 3-2-1-Prinzip lebt, hat genau jetzt den entscheidenden Vorteil. Die Grundlagen dazu finden Sie im Beitrag zum Backup mit dem 3-2-1-Prinzip.
8. Intern und extern klar kommunizieren
Schweigen erzeugt Gerüchte, Übertreibung erzeugt Panik. Informieren Sie das Team sachlich über die Lage und die nächsten Schritte. Stimmen Sie externe Kommunikation gegenüber Kunden, Partnern und gegebenenfalls Öffentlichkeit ab, bevor sie nach außen geht. Eine vorbereitete Sprachregelung im Notfallplan spart in der akuten Phase wertvolle Zeit.
9. Lessons Learned und Härtung danach
Der Vorfall ist erst abgeschlossen, wenn er ausgewertet ist. Halten Sie fest, wie der Angreifer hereinkam, was funktioniert hat und was nicht. Leiten Sie daraus konkrete Maßnahmen ab: Multifaktor-Authentifizierung, segmentiertes Netzwerk, zeitnahes Patch-Management, EDR auf allen Endpunkten, regelmäßige Wiederherstellungstests und Schulung der Mitarbeitenden gegen Phishing. Aus einem teuren Vorfall wird so wenigstens ein belastbarer Schutz für die Zukunft.
Zeitachse: Was wann passiert
| Zeitfenster | Schwerpunkt |
|---|---|
| Erste Stunde | Ruhe bewahren, isolieren, Beweise sichern, Eskalation auslösen |
| Erster Tag | Befallsumfang klären, Meldepflichten prüfen, Wiederanlauf vorbereiten |
| Erste Woche | Wiederherstellung aus Immutable Backup, Kommunikation, erste Härtung |
Häufige Fragen
Soll ich den befallenen Rechner sofort ausschalten?
Nein, in den meisten Fällen ist Isolation besser. Trennen Sie das Gerät vom Netzwerk, statt es hart abzuschalten. So stoppen Sie die Ausbreitung und bewahren flüchtige Beweise, die für die Ursachenanalyse wichtig sind.
Müssen wir einen Ransomware-Vorfall melden?
Sind personenbezogene Daten betroffen, gilt in der Regel die DSGVO-Meldepflicht innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde. Je nach Branche und Größe können NIS2 oder weitere Pflichten greifen. Lassen Sie den Einzelfall datenschutzrechtlich prüfen.
Sollen wir das Lösegeld zahlen?
Behörden raten ab, und eine Zahlung garantiert nichts. Sie löst weder die Entschlüsselung verlässlich noch verhindert sie die Veröffentlichung gestohlener Daten. Entscheiden Sie das nie allein und nie in den ersten Stunden.
Wie schnell sind wir nach einem Angriff wieder arbeitsfähig?
Das hängt von Ihrer Vorbereitung ab. Mit getesteten Immutable Backups und einem Notfallplan ist ein Wiederanlauf in Stunden bis wenigen Tagen realistisch. Ohne sauberes Backup wird es teuer und langwierig.
Wie Netzleiter im Ernstfall hilft
Netzleiter unterstützt KMU in Hamburg und der Metropolregion beim Wiederanlauf nach einem Ransomware-Vorfall und bei der Absicherung davor. Im akuten Fall sichern wir Spuren, bestimmen den Befallsumfang und stellen Ihre Systeme aus einem sauberen, unveränderbaren Backup wieder her. Für die Cybersecurity und Datensicherung setzt Netzleiter auf Veeam und die NetzleitAIR-Plattform mit Immutable-Backup-Strategie, damit ein Angreifer Ihre letzte Rettungslinie nicht mit verschlüsselt. Auffälligkeiten im laufenden Betrieb erkennen wir früh über das Remote System Management.
Mindestens so wichtig ist die Zeit davor. Ein vorbereiteter Notfallplan, getestete Wiederherstellung und eine gehärtete Umgebung entscheiden im Ernstfall über schnell, sicher und störungsfrei. Einen Überblick über alle Leistungen von Netzleiter finden Sie auf unserer Website. Für ein konkretes Gespräch über Ihre Notfallvorsorge nutzen Sie gern unser Kontaktformular.
Beratung: Vertrieb 040 20 94 97 67, vertrieb@netzleiter.com. Support: 040 25 499 500, support@netzleiter.com.
