Verschlüsselte Dateien, ein Erpresserschreiben auf dem Bildschirm, keine Zugriffsmöglichkeit mehr auf die eigene Buchhaltung – ein Ransomware-Angriff gehört zu den unangenehmsten Situationen, die einem Unternehmen passieren können. Wie du dich in den ersten Stunden verhältst, entscheidet oft darüber, wie glimpflich die Situation ausgeht.
1. Ruhe bewahren und nichts überstürzen
Panische Reaktionen – etwa vorschnell zu zahlen oder wahllos Systeme neu zu starten – können mehr schaden als nützen. Ein neu gestartetes System kann wichtige forensische Spuren löschen, die später bei der Aufklärung helfen.
2. Betroffene Systeme sofort vom Netz trennen
Trenne infizierte Rechner umgehend von WLAN, LAN-Kabel und eventuell verbundenen externen Festplatten oder Netzlaufwerken. Ziel ist, eine weitere Ausbreitung der Schadsoftware im Netzwerk zu stoppen, bevor sie weitere Systeme oder Backups erreicht.
3. Nicht vorschnell Lösegeld zahlen
Das BSI und die Polizei raten grundsätzlich von Zahlungen ab: Es gibt keine Garantie, dass die Daten nach Zahlung tatsächlich entschlüsselt werden, und jede Zahlung finanziert weitere Angriffe. In manchen Fällen existieren bereits kostenlose Entschlüsselungstools für bekannte Ransomware-Varianten.
4. Beweise sichern
Screenshots der Lösegeldforderung, betroffene Dateien und Logs sollten – soweit möglich – gesichert werden, bevor Systeme bereinigt werden. Das erleichtert sowohl die Strafanzeige als auch eine mögliche Wiederherstellung.
5. Vorfall melden
Ein Ransomware-Angriff ist eine Straftat. Erstatte Anzeige bei der Polizei und melde den Vorfall – je nach Betroffenheit personenbezogener Daten – auch der zuständigen Datenschutzaufsichtsbehörde. Das BSI stellt zudem Meldewege für Unternehmen bereit.
6. Externe Unterstützung hinzuziehen
Spätestens jetzt lohnt sich der Griff zum Telefon zu erfahrenen IT-Sicherheitsexperten. Sie helfen, das Ausmaß des Schadens einzuschätzen, den Angriffsweg zu identifizieren und die Systeme sauber wiederherzustellen, statt die Schadsoftware versehentlich erneut einzuschleppen.
7. Systeme aus sauberen Backups wiederherstellen
Nur wenn Backups nachweislich sauber und aktuell sind, sollten Systeme darüber wiederhergestellt werden. Das unterstreicht, wie wichtig regelmäßig getestete, vom Netzwerk getrennte Backups schon im Vorfeld sind.
8. Aus dem Vorfall lernen
Nach der akuten Krise lohnt sich eine ehrliche Analyse: Wie kam die Ransomware ins Netzwerk – über eine Phishing-Mail, eine ungepatchte Software oder ein offenes Remote-Zugriffs-Tool? Auf dieser Basis lässt sich das Sicherheitskonzept gezielt nachschärfen.
Vorbereitung ist der beste Schutz
Im besten Fall kommt es erst gar nicht so weit. Mit einem Cybersicherheits-Checkup für dein Unternehmen in Bocholt, Rhede oder Isselburg identifizieren wir Schwachstellen, bevor Angreifer das tun – und erarbeiten gemeinsam einen einfachen Notfallplan für den Ernstfall.