Ein erfolgreicher Ransomware-Angriff trifft Unternehmen meist völlig unvorbereitet – und führt oft zu tagelangem Stillstand. Wenn die Server plötzlich verschlüsselt sind und die Bildschirme Lösegeldforderungen zeigen, entscheiden die ersten zwei Stunden über den Grad des Schadens. Ein BSI-konformer IT-Notfallplan legt fest, wer im Ernstfall zu kontaktieren ist, welche Netze sofort getrennt werden müssen und wie Sie den Betrieb geordnet retten.
Ersthelfer-Leitfaden bei Ransomware & Cyberangriffen
Wenn Sie den Verdacht haben, dass Schadsoftware (Trojaner) in Ihrem Netzwerk aktiv ist, müssen Sie sofort strukturiert handeln:
- Keine Panik: Schalten Sie die betroffenen Rechner nicht einfach per Power-Button aus (wichtig für die spätere forensische Analyse und Beweissicherung), sondern trennen Sie sie sofort vom Netzwerk (Kabel ziehen!).
- Kommunikation sichern: Nutzen Sie zur Krisenkommunikation keine internen Systeme mehr (Mail, Teams, Festnetztelefonie können kompromittiert sein). Weichen Sie auf Mobilfunk aus.
- Meldefristen einhalten: Unter NIS-2 und der DSGVO müssen Sie Sicherheitsvorfälle je nach Kritikalität innerhalb von 24 bis 72 Stunden an die zuständigen Behörden (BSI, Landesdatenschutzbeauftragte) und betroffene Partner melden.
Wir erarbeiten mit Ihrem Unternehmen einen maßgeschneiderten IT-Notfallplan, führen regelmäßige Desasterszenarien-Tests durch und stehen Ihnen im Ernstfall als zertifizierte Incident-Response-Experten rund um die Uhr zur Seite.
🛠️ Technische Incident Response & Netzwerk-Isolierung
Für Administratoren und IT-Sicherheitsverantwortliche sind im Angriffsfall folgende technische Sofortmaßnahmen auf den betroffenen Systemen einzuleiten:
1. Sofortige physische und logische Isolation (Netzwerktrennung)
Trennen Sie betroffene Subnetze (VLANs) sofort auf der Firewall. Wenn Sie virtuell arbeiten (z. B. unter VMware ESXi oder Proxmox), trennen Sie die virtuellen Netzwerkkarten (vNICs) der Server:
# Beispiel: Trennung eines VM-Netzwerkadapters über die ESXi CLI esxcli network vm list # VM-ID ermitteln und das Netzwerk-Interface deaktivieren: esxcli network vm port ethernet disable --port-id [Port_ID]
2. Eindämmung der lateralen Bewegung (Lateral Movement)
Trojaner versuchen sofort, administrative Anmeldedaten im RAM auszulesen und sich auf Domain Controller auszubreiten. Deaktivieren Sie augenblicklich alle aktiven Domänen-Administrator-Konten und setzen Sie die Passwörter der Dienstkonten zurück.
3. Backup-Sicherung
Trennen Sie physisch alle NAS-Systeme und Backup-Server vom Netzwerk, die noch nicht verschlüsselt sind, um ein Übergreifen der Schadsoftware auf die Datensicherungen zu verhindern. Erst nach vollständiger Säuberung der Active-Directory-Domäne darf ein Restore durchgeführt werden.
Besitzt Ihr Unternehmen bereits einen funktionierenden, offline verfügbaren IT-Notfallplan? Wir auditieren Ihre Notfallprozesse, erstellen Incident-Playbooks und sichern Ihre Backups gegen Totalverlust ab.
Haben Sie Fragen zu diesem Thema?
Wir unterstützen kleine und mittelständische Unternehmen bei der Absicherung, Cloud-Migration und gesamten IT-Betreuung.