Ransomware 2026: Incident Response in den ersten 60 Minuten
1 Min. Lesezeit
Ransomware bleibt die größte Cyberbedrohung für Unternehmen. Wenn der Ernstfall eintritt, entscheiden die ersten 60 Minuten über das Ausmaß des Schadens. Ein Leitfaden für die kritische Phase zwischen Erkennung und Eindämmung.
Das Wichtigste in Kürze
- Erste Stunde entscheidend: Je schneller die Eindämmung, desto geringer der Schaden. Breakout-Time liegt bei 48 Minuten.
- Nicht zahlen: BSI und BKA raten von Lösegeldzahlungen ab – sie finanzieren die Täter und garantieren keine Entschlüsselung.
- Isolation vor Analyse: Betroffene Systeme sofort vom Netzwerk trennen, nicht herunterfahren.
- Kommunikation vorbereiten: Krisenkommunikation, Meldepflichten (NIS2: 24h) und Versicherungsbenachrichtigung.
- Backups sind der Schlüssel: Wer regelmäßig testet und offline sichert, überlebt Ransomware ohne Lösegeld.
Minute 0-15: Erkennung und Alarmierung
Der Angriff wird erkannt – durch einen Alarm des EDR-Systems, durch Mitarbeiter die verschlüsselte Dateien melden oder durch eine Lösegeldforderung auf dem Bildschirm. Jetzt zählt jede Minute. Mehr dazu im Beitrag zu Incident Response.
Sofortmaßnahmen: IT-Sicherheitsverantwortlichen alarmieren, Incident-Response-Team aktivieren, Zeitstempel und erste Beobachtungen dokumentieren. Nicht in Panik verfallen – dem vorbereiteten Plan folgen.
Minute 15-30: Isolation und Eindämmung
Betroffene Systeme sofort vom Netzwerk trennen – Netzwerkkabel ziehen, WLAN deaktivieren. Wichtig: Systeme nicht herunterfahren, da flüchtige Daten im RAM für die forensische Analyse wertvoll sind. Netzwerksegmente isolieren, VPN-Zugänge sperren, privilegierte Accounts vorsorglich deaktivieren.
Prüfen, ob Backup-Systeme betroffen sind. Falls nicht: sofort schreibschützen. Angreifer zielen gezielt auf Backups, um die Verhandlungsposition zu stärken.
Minute 30-45: Lagebild und Kommunikation
Erste Einschätzung: Welche Systeme sind betroffen? Welche Ransomware-Familie? Gibt es Indicators of Compromise (IoCs)? Wurden Daten exfiltriert (Double Extortion)?
Krisenkommunikation starten: Geschäftsführung informieren, externe Forensik-Dienstleister aktivieren, Rechtsanwalt kontaktieren (Meldepflichten!). Bei NIS2-Betroffenheit: 24-Stunden-Frist für die Erstmeldung an das BSI läuft.
Minute 45-60: Forensik und Wiederherstellung planen
Forensische Sicherung starten: Speicherabbilder, Logdaten, Netzwerk-Captures. Den Angriffsvektor identifizieren – Phishing-Mail, kompromittierte RDP-Zugänge, Supply-Chain-Angriff? Parallel die Wiederherstellung planen: Backup-Integrität prüfen, Clean-Room-Umgebung vorbereiten, Priorisierung der Systeme nach Business Impact.
Was man auf keinen Fall tun sollte
Lösegeld zahlen: Finanziert die Täter, keine Garantie für Entschlüsselung, macht das Unternehmen zum Wiederholungsziel.
Systeme herunterfahren: Zerstört forensische Beweise im RAM.
Angreifer kontaktieren: Nicht ohne Absprache mit Forensik-Experten und Rechtsanwalt.
Panik-Kommunikation: Keine vorschnellen öffentlichen Statements ohne Abstimmung mit PR und Rechtsabteilung.
Vorbereitung ist alles
Die erste Stunde lässt sich nicht improvisieren. Unternehmen brauchen einen getesteten Incident-Response-Plan mit klaren Rollen, Kontaktlisten (auch offline verfügbar), regelmäßig geprüfte und offline gespeicherte Backups, vertraglich gesicherte Forensik-Dienstleister auf Abruf und eine Cyberversicherung mit klaren Bedingungen.
Key Facts auf einen Blick
Breakout-Time: 48 Minuten (CrowdStrike 2025)
Häufigster Vektor: Phishing, kompromittierte RDP-Zugänge, Schwachstellen
Double Extortion: 70%+ der Ransomware-Angriffe exfiltrieren auch Daten
Meldepflicht NIS2: 24 Stunden Erstmeldung an BSI
BSI-Empfehlung: Kein Lösegeld zahlen
Backup-Regel: 3-2-1 (3 Kopien, 2 Medien, 1 offsite/offline)
Fakt: Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff beträgt laut Sophos 23 Tage.
Fakt: Laut Chainalysis zahlten Unternehmen 2025 weltweit über 1,1 Milliarden US-Dollar an Ransomware-Lösegelder – trotz sinkender Zahlungsbereitschaft.
Häufige Fragen
Sollte man Lösegeld zahlen?
BSI und BKA raten dringend davon ab. Zahlungen finanzieren die Täter, garantieren keine Entschlüsselung und machen das Unternehmen zum bevorzugten Wiederholungsziel. Stattdessen: Backups nutzen, Forensik beauftragen, Anzeige erstatten.
Wie schnell müssen wir den Vorfall melden?
Unter NIS2: 24 Stunden für die Erstwarnung an das BSI, 72 Stunden für den Detailbericht. Auch Datenschutzbehörden (DSGVO, 72h) und Cyberversicherungen haben eigene Meldefristen.
Warum soll man Systeme nicht herunterfahren?
Im RAM befinden sich flüchtige Daten wie Verschlüsselungsschlüssel, aktive Netzwerkverbindungen und Prozessinformationen. Ein Herunterfahren zerstört diese Beweise, die für die Forensik und möglicherweise die Entschlüsselung entscheidend sind.
Wie schützt man Backups vor Ransomware?
3-2-1-Regel: Drei Kopien auf zwei verschiedenen Medien, eine davon offline oder immutable. Air-Gapped Backups sind der beste Schutz. Zusätzlich: regelmäßige Restore-Tests und getrennte Backup-Credentials.
Was kostet eine Ransomware-Attacke?
Laut IBM kostet ein Ransomware-Vorfall im Schnitt 4,5 Millionen Euro – ohne Lösegeld. Kosten entstehen durch Betriebsunterbrechung, Forensik, Rechtsberatung, Kundenbenachrichtigung und Reputationsschaden.
Weitere Artikel zum Thema
→ KI-generierte Phishing-Mails erkennen: 7 Warnsignale für 2026
→ Zero Trust für den Mittelstand: Einstieg in 5 Schritten
→ Multi-Cloud-Sicherheit 2026: Die 5 größten Risiken und wie man sie löst
Weiterführende Lektüre im Netzwerk
Bedrohungslage 2025: Cyberangriffe werden aggressiver (Security Today)
BSI KRITIS-Meldungen: KRITIS 2024 gefährdet (Security Today)
Cloud-Backup und Disaster Recovery: cloudmagazin.com
Business Continuity Strategien: mybusinessfuture.com
Verwandte Artikel
- Zero Trust für den Mittelstand: Einstieg in 5 Schritten
- OT-Security 2026: Warum die Industrie jetzt handeln muss
- Passkeys 2025: Der praktische Leitfaden für die Unternehmenseinführung
Mehr aus dem MBF Media Netzwerk
cloudmagazin | MyBusinessFuture | Digital Chiefs
Quelle Titelbild: Pexels / Antoni Shkraba Studio
