Zum Hauptinhalt springen
BarmeniaGothaer
Markus Focht
Startseite/Ratgeber/Ransomware im Unternehmen: Die ersten 24 Stunden – Schritt-für-Schritt-Playbook
Gewerbe & Business
10 Min. Lesezeit

Ransomware im Unternehmen: Die ersten 24 Stunden – Schritt-für-Schritt-Playbook

Ransomware im Unternehmen: Die ersten 24 Stunden – Schritt-für-Schritt-Playbook

Kurzantwort

  • Sofort isolieren, nicht herunterfahren. Netzwerkkabel ziehen, WLAN deaktivieren — aber keinen Strom ausschalten. Laufende Prozesse im Arbeitsspeicher sind für die Forensik wertvoll.
  • Nicht mit den Erpressern kommunizieren, keine eigenmächtige Lösegeldzahlung. Beides gefährdet den Versicherungsschutz nach Teil IV Ziffer 4 AVB der Gothaer Cyber-Versicherung.
  • Cyber-Hotline der Versicherung anrufen — 24/7 erreichbar. Die Hotline koordiniert IT-Forensiker, Anwälte, DSGVO-Meldung und Krisenkommunikation.

Für wen dieser Artikel relevant ist

  • Geschäftsführer und IT-Leiter, die akut oder präventiv mit Ransomware konfrontiert sind
  • Mitarbeiter, die Angriffe zuerst bemerken (Buchhaltung, Empfang, IT-Support)
  • Berater und externe IT-Dienstleister, die im Krisenfall eingebunden werden

Stunde 0 bis 2: Erkennung und Isolation

Was meistens zuerst auffällt: verschlüsselte Dateien mit merkwürdigen Endungen (.locked, .encrypted, .ryuk), eine Readme-Datei mit Lösegeldforderung auf dem Desktop, nicht mehr erreichbare Server, sichtbare Datei-Renaming-Vorgänge in Echtzeit.

Sofortmaßnahmen — in dieser Reihenfolge:

  1. Netzwerkkabel der betroffenen Systeme ziehen. Bei WLAN: Access Points abschalten oder Geräte aus dem Netz nehmen. Strom nicht ausschalten — der RAM-Inhalt enthält für Forensik wertvolle Spuren.
  2. Externe Speichermedien trennen. USB-Festplatten, Cloud-Sync-Clients (OneDrive, Dropbox, Google Drive) sofort deaktivieren. Ransomware frisst sich oft durch Sync-Ordner bis in die Cloud.
  3. Backup-Systeme isolieren. Ein verschlüsseltes Backup ist nutzlos. Sobald Sie Netz-Backups haben, sofort offline nehmen.
  4. Domain-Admin-Accounts sperren. Wenn der Angreifer Zugangsdaten übernommen hat, kann er weiter eskalieren. Admin-Konten temporär deaktivieren.

Was Sie NICHT tun sollten:

  • Keine Strom-Abschaltung — zerstört forensische Spuren
  • Keine eigene Entschlüsselungsversuche mit „Tools aus dem Internet" — viele sind Fakes
  • Keine Kommunikation mit den Erpressern
  • Keine Zahlung des Lösegelds ohne vorherige Absprache mit dem Versicherer und spezialisierten Dienstleistern

Stunde 2 bis 6: Meldung und Krisenstart

Cyber-Hotline anrufen. Die Nummer steht in Ihrem Versicherungsschein. Die Gothaer-Hotline ist 24/7 erreichbar und koordiniert:

  • Beauftragung qualifizierter IT-Forensiker (erste 48 Stunden nach Ziffer 3.1 AVB auch bei Fehlalarm gedeckt)
  • Krisenmanager (Ziffer 3.7 AVB)
  • Rechtliche Begleitung für DSGVO-Meldepflichten
  • Benachrichtigungskosten nach Ziffer 3.3 AVB

Formelle Schadensmeldung in Textform innerhalb einer Woche an den Versicherer.

Krisenstab einberufen. Wer trifft jetzt welche Entscheidungen? Typisch: Geschäftsführung, IT-Leitung, ggf. externe Forensiker, Datenschutzbeauftragter, Presseverantwortlicher. Die Rollenverteilung sollte vorab geklärt sein.

Polizei einschalten. In vielen Bundesländern gibt es Zentrale Ansprechstellen Cybercrime (ZAC) bei der Staatsanwaltschaft. Die Anzeige schließt spätere Regressoptionen nicht aus — im Gegenteil.

Cyber-Versicherung anfragen – wer heute noch keine Police hat, sollte den Abschluss in ruhigen Zeiten vorbereiten, nicht während eines Angriffs.

Stunde 6 bis 24: Forensik und Entscheidungen

Was die Forensiker tun:

  • Artefakt-Sammlung von betroffenen Systemen
  • Identifikation des Einfallstors (häufig: Phishing-Mail, kompromittierte RDP-Zugänge, ungepatchte Schwachstellen)
  • Prüfung des Angriffsumfangs: Wie viele Systeme betroffen? Daten auch abgeflossen (Double Extortion)?
  • Rückwärtsanalyse: Wie lange war der Angreifer im Netz? Oft wochen- bis monatelang vor dem Verschlüsselungsschlag.

Kommunikationsentscheidung. Wer wird wann informiert?

  • Mitarbeiter: zeitnah, damit sie nicht über Kolleg:innen anderer Betriebe oder Medien erfahren
  • Kunden/Mandanten: abhängig von DSGVO-Meldepflicht und Betroffenheit
  • Presse: nur über den Krisenmanager, nicht spontan
  • Aufsichtsbehörde (Datenschutz): bei Datenabfluss Pflichtmeldung innerhalb 72 Stunden

Lösegeldentscheidung. Zahlen oder nicht? Die Antwort ist fast immer: nicht zahlen. Gründe:

  • Keine Garantie, dass der Entschlüsselungs-Key funktioniert
  • Bestätigung für Angreifer, dass sich Ihr Unternehmen lohnt — Wiederholungen drohen
  • Mögliche Sanktionsrechtsverletzung, wenn Gruppe auf Sanktionslisten steht
  • Versicherungsleistung entfällt ohne vorherige Absprache (Teil IV Ziffer 4 AVB)

Entscheiden Sie nie allein. Der Krisenmanager Ihrer Cyber-Versicherung kennt den Verhandlungsrahmen und die rechtlichen Fallstricke.

Die nächsten Tage: Wiederherstellung und Nachbereitung

  • Backup-Wiederherstellung auf vorher sauber geprüften Systemen
  • Hardware-Austausch, wo Entschlüsselung wirtschaftlich nicht sinnvoll ist (Ziffer 3.6.5 AVB)
  • Schließung der Sicherheitslücke — sonst droht der nächste Angriff
  • Betriebsunterbrechungsleistung wenn vereinbart (Teil IV Ziffer 1 AVB): fortlaufende Kosten und entgangener Gewinn
  • Datenüberwachungsdienst bis zu 12 Monate bei kompromittierten Kundendaten (Ziffer 3.5 AVB)

Häufige Fragen

Wie wahrscheinlich ist ein Ransomware-Angriff auf einen KMU?

Branchenberichte deuten darauf hin, dass deutlich mehr als die Hälfte aller erfolgreichen Ransomware-Angriffe Betriebe unter 250 Mitarbeitern treffen. Die Dunkelziffer ist hoch — viele Vorfälle werden nicht öffentlich.

Zahlt die Versicherung, wenn ich Lösegeld zahle?

Nur wenn der optionale Baustein Cyber-Erpressung vereinbart ist und die Zahlung vorher durch Gothaer freigegeben wurde. Eigenmächtige Zahlungen werden nicht erstattet.

Kann ich während des Angriffs noch eine Cyber-Versicherung abschließen?

Nein. Vertragsabschluss während eines bekannten Schadenfalls ist Obliegenheitsverletzung — die Rückwärtsversicherung (24 Monate) greift nur für Altfälle, deren Ursache vor Abschluss unbekannt war.

Was ist Double Extortion?

Moderne Angreifer verschlüsseln nicht nur, sondern stehlen auch Daten und drohen mit Veröffentlichung. Selbst wer ein gutes Backup hat, steht unter Druck, weil die Datenveröffentlichung Reputations- und DSGVO-Schaden anrichtet.

Wie lange dauert die Wiederherstellung typischerweise?

Je nach Größe und Vorbereitung: wenige Tage bis mehrere Wochen. Betriebe ohne getestetes Backup oder mit Active-Directory-Kompromittierung brauchen regelmäßig drei bis sechs Wochen für die vollständige Wiederherstellung.

Nächster Schritt

Ein funktionierender Notfallplan ist Gold wert — aber auch eine Versicherung, die im Ernstfall trägt. Wer noch nicht abgesichert ist, sollte das vor dem nächsten Phishing-Klick klären.

Cyber-Versicherung anfragen

Oder: Beratung vereinbaren

MF
Markus Focht
BarmeniaGothaer Versicherungsvermittler, Karlsruhe

Als gebundener Versicherungsvertreter der Barmenia Krankenversicherung AG in Karlsruhe berate ich Privat- und Gewerbekunden zu allen Versicherungsfragen. Persönlich, kompetent und kostenlos.

Zurück zum Blog

Persönlich beraten lassen

Haben Sie Fragen zum Thema Gewerbe & Business? Ich berate Sie kostenlos!

0721 35480518Online anfragen

Weitere Artikel

Berufsunfähigkeit: Was zahlt die BU-Versicherung wirklich – und was nicht?
5 Min.
Versicherungskennzeichen 2027: Farbe, Gültigkeit und was E-Scooter-Fahrer jetzt wissen müssen
3 Min.
bAV Arbeitgeberzuschuss 15 Prozent: was gilt und welche Fehler KMU machen
4 Min.