Ransomware: Was tun bei einem Angriff?

Das Wichtigste in Kürze

Trennen Sie betroffene Geräte sofort vom Netzwerk, aber schalten Sie sie nicht aus. Zahlen Sie kein Lösegeld, sichern Sie Beweise und holen Sie fachliche Hilfe. Wer saubere, getrennte Backups hat, stellt den Betrieb wieder her, ohne auf die Erpresser einzugehen.

Ein gesperrter Bildschirm, eine Lösegeldforderung, verschlüsselte Dateien: Ransomware legt ganze Betriebe lahm — vom Handwerksbetrieb bis zur Kanzlei. Wichtig ist jetzt, ruhig und in der richtigen Reihenfolge zu handeln. Die ersten Minuten entscheiden, wie groß der Schaden wird.

Die ersten Schritte: sofort handeln

  1. Betroffene Geräte vom Netzwerk trennen. Ziehen Sie das Netzwerkkabel und schalten Sie WLAN aus. So stoppen Sie die Ausbreitung auf weitere Rechner und Server. Den Rechner selbst möglichst nicht herunterfahren — im Arbeitsspeicher können wichtige Spuren liegen.
  2. Ruhe bewahren und nichts überstürzen. Klicken Sie nichts in der Erpresser-Nachricht an und löschen Sie nichts.
  3. Beweise sichern. Fotografieren Sie die Lösegeldforderung und notieren Sie Uhrzeit und erste Auffälligkeiten. Das hilft später bei Analyse und Anzeige.
  4. Fachliche Hilfe holen. Je früher jemand mit Erfahrung den Vorfall eindämmt, desto kleiner der Schaden.

Was Sie jetzt nicht tun sollten

  • Kein Lösegeld zahlen. Eine Zahlung bringt die Daten oft nicht zurück und macht Sie zum lohnenden Ziel für den nächsten Angriff. Auch das BSI rät davon ab.
  • Keine Backups an das infizierte Netz hängen. Eine Sicherung, die im Moment des Angriffs erreichbar ist, wird gern gleich mitverschlüsselt.
  • Nicht eigenmächtig „sauber” löschen. Vorschnelles Formatieren vernichtet Spuren, die für die Wiederherstellung gebraucht werden.

Wer hilft im Ernstfall?

Ein Ransomware-Vorfall ist ein Notfall — hier zählt Tempo. Über unseren IT-Notdienst sind wir schnell zur Stelle, dämmen den Vorfall ein, sichern Beweise und stellen den Betrieb aus sauberen Sicherungen wieder her. Gemeinsam klären wir auch die Meldepflichten, falls personenbezogene Daten betroffen sind.

So beugen Sie vor

Der beste Zeitpunkt gegen Ransomware ist, bevor sie zuschlägt. Drei Hebel wirken am stärksten:

  • Getrennte, geprüfte Backups. Eine Sicherung, die offline oder unveränderbar (immutable) liegt, lässt sich nicht mitverschlüsseln. Wie das praktisch geht, erklärt unser Ratgeber zur 3-2-1-Backup-Regel.
  • Aktuelle Systeme und Schutzsoftware. Updates schließen genau die Lücken, durch die Angreifer hereinkommen.
  • Aufmerksame Mitarbeiter. Die meisten Angriffe starten mit einer Phishing-Mail. Wer Warnzeichen kennt, klickt seltener.

Diese und weitere Maßnahmen bündeln wir in einem praxistauglichen Schutzkonzept. Mehr dazu auf unserer Seite zur Cybersecurity für Unternehmen.

Häufige Fragen

Soll man bei Ransomware das Lösegeld zahlen?

Davon wird abgeraten — auch vom BSI. Eine Zahlung ist keine Garantie, dass Sie Ihre Daten zurückbekommen, finanziert das nächste Verbrechen und macht Sie zum lohnenden Ziel für weitere Angriffe. Setzen Sie stattdessen auf Wiederherstellung aus einem sauberen Backup.

Sollte ich den befallenen Rechner ausschalten?

Trennen Sie ihn vom Netzwerk (Kabel ziehen, WLAN aus), aber fahren Sie ihn möglichst nicht herunter. Im Arbeitsspeicher können Spuren liegen, die für die Analyse und manchmal sogar für die Entschlüsselung wichtig sind.

Muss ich einen Ransomware-Angriff melden?

Sind personenbezogene Daten betroffen, greift in der Regel die Meldepflicht nach DSGVO (üblicherweise binnen 72 Stunden an die Datenschutzbehörde). Eine Strafanzeige bei der Polizei ist ebenfalls sinnvoll. Im Zweifel klären wir das gemeinsam mit Ihnen.

Wie schnell ist die IT nach einem Angriff wieder einsatzbereit?

Das hängt vom Ausmaß und vor allem von der Qualität der Backups ab. Mit getrennten, geprüften Sicherungen geht es oft in Stunden bis wenigen Tagen; ohne brauchbares Backup kann es deutlich länger dauern.

Mehr dazu: Cybersecurity für Unternehmen