Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Ransomware-Angriff Konzept - verschlüsselte Bildschirme und digitale Ketten an einem Serverrack
Security Awareness

Ransomware: Schutz, Erkennung und Reaktion - Der komplette Guide

Wie Ransomware funktioniert, wie Sie Angriffe erkennen und Ihr Unternehmen schützen. Mit Reaktionsplan, Checklisten und FAQ.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
15 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Inhaltsverzeichnis (12 Abschnitte)

Montagmorgen, 07:30 Uhr. Die erste E-Mail kommt aus der Produktion: „Alle Dateien sind verschlüsselt.” Auf jedem Bildschirm im Unternehmen leuchtet eine Lösegeldforderung. Was jetzt folgt, entscheidet sich in den nächsten Stunden - und hängt davon ab, ob Sie vorbereitet waren oder nicht.

Ransomware ist heute die wirtschaftlich schädlichste Angriffsform, mit der Unternehmen jeder Größe konfrontiert werden. Dieser Guide fasst zusammen, was Ransomware ist, wie Angreifer vorgehen, wie Sie Angriffe frühzeitig erkennen, was Sie präventiv schützt - und was zu tun ist, wenn es dennoch passiert.

Was ist Ransomware?

Ransomware leitet sich vom englischen Wort „ransom” (Lösegeld) ab und bezeichnet Schadsoftware, die Daten auf befallenen Systemen verschlüsselt und anschließend Lösegeld fordert. Nach erfolgreicher Zahlung soll ein Entschlüsselungswerkzeug ausgehändigt werden - eine Garantie existiert dabei nicht.

Die Funktionsweise hat sich über die Jahre erheblich weiterentwickelt. Frühe Varianten verschlüsselten nur den Bildschirm oder einzelne Verzeichnisse. Moderne Ransomware-Gruppen verfolgen mehrmonatige Angriffskampagnen, kompromittieren komplette Netzwerkinfrastrukturen und kombinieren Verschlüsselung mit dem vorherigen Diebstahl sensibler Daten.

Von der Einzelperson zum Unternehmen

Während frühe Ransomware-Wellen wahllos auf Privatpersonen und Unternehmen zielten, haben sich professionelle Gruppen gezielt auf Unternehmen und Behörden verlagert. Kleine und mittlere Unternehmen (KMUs) sind dabei besonders gefährdet - sie gelten als verwundbarer und erpressbarer als Großkonzerne, haben aber ausreichend wertvolle Daten, um lukrative Lösegeldbeträge zu rechtfertigen.

Bekannte Gruppen wie REvil, Maze, LockBit und Egregor haben dieses Geschäftsmodell industrialisiert. REvil-Entwickler berichteten, rund 100 Millionen US-Dollar in einem Jahr erpresst zu haben. Neben direkten Angriffen vermieten solche Gruppen ihre Schadsoftware an andere Kriminelle - das sogenannte Ransomware-as-a-Service-Modell.

Wiper-Varianten: Wenn Lösegeld nicht hilft

Nicht alle Angreifer wollen tatsächlich Daten zurückgeben. GermanWiper überschreibt Dateien mit Nullen anstatt sie zu verschlüsseln - Lösegeld zu zahlen bringt die Daten nicht zurück, weil eine Entschlüsselung technisch nicht möglich ist. Die Erpressungsnotiz erscheint erst, nachdem alle Daten bereits unwiederbringlich vernichtet wurden. Solche Wiper-Varianten zeigen, warum funktionsfähige Backups die einzige zuverlässige Absicherung sind.

Angriffsarten und Angriffsvektoren

Ransomware gelangt über verschiedene Wege in Unternehmensnetzwerke. Das Verständnis der häufigsten Einstiegspunkte ist die Voraussetzung für wirksamen Schutz.

Phishing-E-Mails mit Schaddateien

Der klassische und nach wie vor häufigste Angriffsvektor ist die Phishing-E-Mail. Angreifer tarnen Schadsoftware als Bewerbungsunterlagen, Rechnungen oder Lieferbenachrichtigungen. Die Angriffe auf Personalabteilungen sind besonders perfide: GoldenEye Ransomware kam als Excel-Datei mit einer Bewerbung, die beim Aktivieren von Makros den Trojaner startete. Ordinypt verteilte sich als ZIP-Datei mit einer als PDF getarnten ausführbaren Datei - für Windows-Nutzer mit ausgeblendeten Dateiendungen war die Datei „Eva Richter Bewerbung und Lebenslauf.pdf.exe” nicht als Executable erkennbar.

GandCrab 5.2 ging noch einen Schritt weiter: Die Schadsoftware wurde nicht blind an Personalabteilungen versendet, sondern gezielt auf tatsächlich ausgeschriebene Stellen beworben. Für Personaler wird die Erkennbarkeit erheblich schwieriger, wenn der Anhang thematisch passt.

Technisch läuft ein typischer Phishing-Angriff so ab:

Mail: "Ihre Rechnung #2024-1847" → Excel-Anhang
Benutzer öffnet Excel → "Inhalte aktivieren" klicken

Excel-Macro startet PowerShell im Hintergrund
PowerShell lädt Payload von externem Server nach
→ Trojaner installiert sich

Windows zeichnet solche Ereignisse auf: Event ID 4688 zeigt einen neuen Prozess (WINWORD.EXE → powershell.exe), Event ID 4104 protokolliert PowerShell Script Block Logging.

RDP und VPN - offene Türen ins Netzwerk

Remote Desktop Protocol (RDP) und VPN-Zugänge sind beliebte Einstiegsvektoren, weil viele Unternehmen diese Dienste ohne ausreichende Absicherung betreiben. Pay2Key, eine Ransomware, die Netzwerke innerhalb einer Stunde vollständig verschlüsseln kann, nutzt genau diesen Weg. Nach dem Erstzugriff richtet die Schadsoftware einen Proxy im befallenen Netzwerk ein, der die Entdeckung erschwert.

Angreifer testen gestohlene Zugangsdaten aus Datenlecks systematisch gegen VPN- und RDP-Endpunkte:

# Credential Stuffing mit bekannten Leaked-Credentials
# Erfolgreich: Login mit Zugangsdaten aus altem Datenleck

Event ID 4625 (fehlgeschlagene Logins) gefolgt von Event ID 4624 (erfolgreicher Login) aus unbekannten Ländern oder zu ungewöhnlichen Uhrzeiten sind verlässliche Erkennungsmerkmale.

Ungepatchte Schwachstellen

Häufig ausgenutzte CVEs in VPN-Gateways, Firewalls und Exchange-Servern ermöglichen den Einstieg ohne jede Nutzerinteraktion. CVE-2023-4966 (Citrix Bleed, CVSS 9.4), CVE-2024-3400 (PAN-OS GlobalProtect, CVSS 10.0) und CVE-2021-26855 (Microsoft Exchange ProxyLogon) stehen exemplarisch für den Typ von Schwachstellen, die professionelle Ransomware-Gruppen aktiv ausnutzen.

USB-Sticks und physische Angriffe

Die Hackergruppe FIN7 verschickte physische Pakete an US-Rüstungsunternehmen - getarnt als Geschenkboxen oder Covid-19-Leitlinien, adressiert im Namen des US Department of Health and Human Services. Enthalten waren BadUSB-Sticks, die sich beim Anschließen als USB-Tastatur am System anmelden und so klassische USB-Sperren umgehen. Begleitende Anrufe sollten Empfänger zum Einstecken bewegen. Das Sperren von USB-Speichermedien reicht als Schutz nicht aus - notwendig ist Hardware-Whitelisting auf Basis zugelassener Hardware-IDs.

Die technische Kill-Chain eines Ransomware-Angriffs

Ransomware-Angriffe erscheinen als plötzliches Ereignis. Tatsächlich verbringt der Angreifer oft Wochen oder Monate im Netzwerk, bevor er den finalen Trigger auslöst. Die durchschnittliche Dwell Time (Zeit zwischen Erstzugriff und Entdeckung) beträgt laut IBM 2024 rund 194 Tage.

Phase 1:  Initial Access      (Tag 1-7)
Phase 2:  Persistence         (Tag 7-14)
Phase 3:  Privilege Escalation (Tag 14-21)
Phase 4:  Lateral Movement    (Tag 21-40)
Phase 5:  Exfiltration        (Tag 40-60)
Phase 6:  Impact (Ransomware) (Stunden)

Phase 1 bis 2: Einstieg und Persistenz

Nach dem Erstzugriff - ob per Phishing, Credential Stuffing oder Schwachstelle - etablieren Angreifer Persistenz: geplante Aufgaben (Event ID 4698), Registry-Autorun-Einträge (Event ID 4657) oder WMI Event Subscriptions, die einen Payload täglich zu einem bestimmten Zeitpunkt starten.

Phase 3: Privilege Escalation

Ohne Domain-Admin-Rechte ist die Ausbreitung im Netzwerk und die finale Ransomware-Ausrollung schwierig. Kerberoasting (Event ID 4769 mit RC4-Verschlüsselung) ermöglicht das Stehlen von Service-Tickets, die offline geknackt werden können. Pass-the-Hash-Angriffe mit Tools wie Mimikatz nutzen gestohlene NTLM-Hashes direkt für Authentifizierungen.

Phase 4: Lateral Movement

Mit Domain-Admin-Rechten bewegen sich Angreifer lautlos durch das Netzwerk - per PsExec (Event ID 7045: neuer Service „PSEXESVC”), WMI Remote Execution oder über GPO-Deployments. Ziel ist die vollständige Kontrolle über alle Server und Workstations.

Phase 5: Double Extortion - Daten stehlen vor der Verschlüsselung

Eine entscheidende Entwicklung: Ransomware-Gruppen exfiltrieren Daten, bevor sie verschlüsseln. REvil setzte diese Strategie als erstes prominent ein. Die Konsequenz ist dramatisch: Selbst wer aus Backups wiederherstellen kann, bleibt erpressbar. Werden keine Lösegeldmittel gezahlt, werden die gestohlenen Daten veröffentlicht oder an Mitbewerber verkauft.

Für Unternehmen, die personenbezogene Daten verarbeiten, wird ein Ransomware-Angriff mit Exfiltration automatisch zum DSGVO-Datenschutzvorfall - mit allen Melde- und Benachrichtigungspflichten.

Phase 6: Verschlüsselung und Impact

Kurz vor der eigentlichen Verschlüsselung löschen Angreifer systematisch alle Wiederherstellungsoptionen:

vssadmin delete shadows /all /quiet      # Shadow Copies löschen
wbadmin delete catalog -quiet            # Backup-Katalog löschen
bcdedit /set {default} recoveryenabled No

Die Verschlüsselung selbst nutzt ein hybrides Verfahren: Für jede Datei wird ein zufälliger AES-256-Schlüssel generiert, der die Datei verschlüsselt. Dieser AES-Schlüssel wird mit dem eingebetteten RSA-4096-Public-Key des Angreifers verschlüsselt und an die Datei angehängt. Ohne den privaten RSA-Schlüssel ist eine Entschlüsselung rechnerisch unmöglich.

LockBit 3.0 benötigt rund 5 Minuten für alle Dateien auf einem einzelnen Server. Wenn alle Server gleichzeitig angegriffen werden - per GPO-Deployment oder PsExec-Broadcast - gibt es keinen Ausweg mehr.

Erkennung: Was EDR und SIEM sehen sollten

Jede Phase eines Ransomware-Angriffs hinterlässt Spuren. Die entscheidende Frage ist, ob ein Security Operations Center (SOC) die richtigen Erkennungsregeln konfiguriert hat.

Kritische Windows-Event-IDs

Event IDBedeutungVerdächtig wenn
4624/4625Login Erfolg/FehlerViele 4625 gefolgt von 4624, unbekannte IP
4698Scheduled Task erstelltObfuszierter Pfad, SYSTEM-Kontext
4104PowerShell Script BlockEncodedCommand, Invoke-Expression
4769Kerberos Service TicketRC4-Encryption + viele Requests
4672Privilegierter TokenUnerwartete Admin-Aktivität
7045Neuer Service installiertPSEXESVC (PsExec-Indikator)

Sofortiger Alert: Shadow Copy Deletion

Das Löschen von Volume Shadow Copies (vssadmin delete shadows) ist nahezu immer ein Indikator für einen laufenden Ransomware-Angriff. Bei diesem Event muss Incident Response innerhalb von Minuten ausgelöst werden - nicht innerhalb von Stunden.

Verhaltensbasierte Erkennung

Neben Event-IDs helfen verhaltensbasierte Muster bei der Früherkennung:

  • Ungewöhnlicher ausgehender Traffic zu Cloud-Diensten wie MEGA oder Dropbox von Servern - potenzielle Datenexfiltration mit rclone
  • Große Datenmengen ausgehend außerhalb der Geschäftszeiten
  • LSASS Memory Access durch unbekannte Prozesse (Sysmon Event ID 10)
  • Ausführung von Mimikatz, PsExec oder GetUserSPNs (EDR-Alerts)

Schutzmaßnahmen: Vor dem Angriff

Wirksamer Ransomware-Schutz funktioniert auf mehreren Ebenen gleichzeitig. Kein einzelnes Werkzeug bietet vollständigen Schutz.

1. Backup-Strategie nach der 3-2-1-1-0-Regel

Das wichtigste Fundament: funktionierende, getestete Backups.

ZahlBedeutung
3Drei Backup-Kopien
2Zwei verschiedene Medientypen (z. B. NAS + Tape)
1Eine offsite-Kopie
1Eine offline/air-gapped-Kopie - durch Ransomware nicht löschbar
0Null Wiederherstellungsfehler - regelmäßig testen!

Der Backup-Server muss in einem getrennten Tier ohne Domain-Admin-Erreichbarkeit betrieben werden. Immutable Backups (z. B. Azure Backup Immutability, Veeam SOBR) verhindern, dass Ransomware Backups löschen kann. GermanWiper und ähnliche Wiper zeigen, warum Offline-Backups keine optionale Ergänzung sind - sie sind der einzige zuverlässige Schutz gegen vollständigen Datenverlust.

2. Multi-Faktor-Authentifizierung (MFA)

MFA auf VPN und RDP macht Credential Stuffing und Brute-Force nahezu wirkungslos. Die Einführung von MFA ist eine der wirkungsvollsten Einzelmaßnahmen gegen Ransomware - und eine der am häufigsten vernachlässigten.

3. Patch-Management

Ungepatchte Schwachstellen in VPN-Gateways, Firewalls, Exchange-Servern und anderen exponierten Systemen sind direkte Einstiegspunkte. Regelmäßige Penetrationstests helfen dabei, offene Angriffsflächen zu identifizieren, bevor Angreifer sie ausnutzen.

4. Netzwerksegmentierung und Least Privilege

Lateral Movement zwischen Systemen wird durch konsequente Netzwerksegmentierung erheblich erschwert. Ergänzend gilt das Prinzip minimaler Berechtigungen: Nicht jeder Mitarbeiter benötigt Zugriff auf alle Systeme mit vollen Rechten. Ein Tier-Modell für privilegierte Accounts verhindert, dass ein kompromittiertes Nutzerkonto direkt zur Domain-Admin-Eskalation führt.

5. Endpoint Detection and Response (EDR)

EDR auf allen Endpoints, Servern und Laptops ist kein Luxus mehr. Moderne EDR-Lösungen erkennen verhaltensbasiert viele Angriffsphasen, auch wenn keine bekannte Malware-Signatur vorliegt. Ohne EDR bleibt ein Angreifer in den meisten Umgebungen über Monate unentdeckt.

6. Security Awareness Training

Der Mensch bleibt die entscheidende Schwachstelle. Phishing-E-Mails sind technisch schwer vollständig zu filtern - informierte und trainierte Mitarbeiter sind die letzte Verteidigungslinie. Security Awareness Trainings und Phishing-Simulationen machen den Unterschied: Mitarbeiter lernen, generische Bewerbungsansprachen ohne Stellenbezeichnung, unerwartete Anhänge und Aufforderungen zur Makro-Aktivierung als Warnsignale zu erkennen.

7. Makros und Dateiausführung einschränken

Office-Makros sollten nur für signierte Makros aus vertrauenswürdigen Quellen erlaubt sein. Die Ausführung von ausführbaren Dateien aus temporären Verzeichnissen oder Benutzerordnern kann über AppLocker oder Windows Defender Application Control eingeschränkt werden. RDP sollte nicht direkt aus dem Internet erreichbar sein - nur über Jumpserver oder Zero Trust Network Access (ZTNA).

Reaktionsplan: Die ersten 72 Stunden

Wer kein vorbereitetes Playbook hat, trifft Entscheidungen unter extremem Druck - und macht teure Fehler. Ransomware trifft schnell: Von der initialen Kompromittierung bis zur vollständigen Verschlüsselung vergehen oft weniger als 24 Stunden.

Was NICHT tun

Diese Fehler vernichten forensische Beweise oder verschlimmern die Situation:

  • System sofort abschalten - löscht flüchtigen RAM-Speicher, der Verschlüsselungsschlüssel oder Angriffsartefakte enthalten kann
  • Alle Systeme gleichzeitig isolieren - verhindert die für die Forensik notwendige Kontextsicherung
  • Die Lösegeld-Seite aufrufen - kann weitere Malware-Payloads ausliefern
  • Sofort einen Antivirusscan starten - kann forensische Beweise überschreiben
  • Alle Netzwerkteilnehmer gleichzeitig per E-Mail warnen - E-Mail-Server könnte kompromittiert sein

Minute 0 bis 30: Erste Schritte

1. Situation einschätzen

  • Dokumentieren Sie Uhrzeit und Ort der Entdeckung
  • Fotografieren Sie alle Bildschirme (Lösegeldforderung, verschlüsselte Dateinamen)
  • Falls möglich: RAM-Dump des ersten infizierten Systems sichern (WinPmem)

2. Krisenstab aktivieren Rufen Sie an - kein E-Mail, da der Mailserver kompromittiert sein könnte:

  • IT-Leitung / CISO
  • Geschäftsführung
  • Datenschutzbeauftragter (DSGVO-Meldepflicht: 72 Stunden!)
  • Externe IR-Partner (falls Rahmenvertrag vorhanden)

Definieren Sie sofort einen sicheren Kommunikationskanal: Signal, Mobiltelefone, physischer War Room.

3. Scope bestimmen

□ Welche Systeme sind sicher betroffen?
□ Ist der Domaincontroller betroffen?
□ Sind Backups erreichbar oder ebenfalls verschlüsselt?
□ Sind OT/Produktionssysteme betroffen?
□ Läuft die Verschlüsselung noch aktiv?

4. Netzwerkisolation - gezielt, nicht blind

  • VLANs und Switch-Ports abschalten, nicht nur einzelne Geräte
  • VPN-Zugänge deaktivieren (Angreifer könnte noch im Netz sein)
  • Site-to-Site-VPNs zu Niederlassungen trennen
  • OT/ICS-Systeme NICHT ohne vorherigen Safety-Check isolieren

Stunde 1 bis 6: Eindämmung und Forensik

Ransomware-Familie identifizieren:

  • ID Ransomware (malwarehunterteam.com): verschlüsselte Datei hochladen → Ransomware-Name + Information über bekannte Decryptoren
  • NoMoreRansom.org: kostenlose Decryptoren für über 150 Varianten (Kooperation Europol, Kaspersky und Intel Security)
  • Dateiendung der verschlüsselten Dateien (z. B. .lockbit, .cl0p, .akira)

Forensische Beweise sichern (sofort - Logs werden überschrieben):

  • Firewall-Logs: 90+ Tage zurück
  • Proxy-Logs: welche externen URLs wurden aufgerufen?
  • SIEM-Export: alle Security Events der letzten 90 Tage
  • Windows Event Logs auf sauberen Server sichern
  • RAM-Image des ersten infizierten Systems (wenn noch nicht geschehen)

Chain of Custody: Jede Evidenz muss mit Angabe von Wer, Wann, Was und SHA256-Hash protokolliert werden.

Externe Expertise einschalten: DFIR-Teams (Digital Forensics and Incident Response) können den Angriffsvektor identifizieren, die Ransomware-Gruppe bestimmen und die Forensik leiten. Kosten: 5.000-50.000 Euro je nach Scope. Ohne externe Expertise verlängert sich der Ausfall von Tagen auf Wochen.

BSI-Notfallruf: 0800 / 274 1000 (kostenlos, 24/7)

Stunde 6 bis 72: Entscheidungen, Meldungen, Wiederherstellung

Backup-Status prüfen:

□ Offline-Backups (Tape, Air-gapped): physisch intakt?
□ Cloud-Backups: vom Angreifer gelöscht oder verschlüsselt?
□ Wann war das letzte saubere Backup?
□ Wie lange dauert die vollständige Wiederherstellung?

Warnung: Viele Ransomware-Gruppen warten nach dem Erstzugang 2-4 Wochen bevor sie verschlüsseln - und nutzen diese Zeit, um Backup-Systeme zu kompromittieren. Prüfen Sie auch ältere Backup-Versionen.

Entscheidungsbaum: Lösegeld zahlen oder nicht?

  1. Gibt es einen kostenlosen Decryptor? → Ja: kein Lösegeld nötig
  2. Funktionierende Backups vorhanden? → Ja: kein Lösegeld nötig
  3. Wurden Daten exfiltriert (Double Extortion)?
  4. Kann das Unternehmen eine mehrwöchige Wiederherstellung wirtschaftlich überstehen?
  5. Ist die Zahlung rechtlich zulässig? Sanktionslisten (US-OFAC) prüfen!

Das BSI empfiehlt grundsätzlich, kein Lösegeld zu zahlen. Gruppen wie CONTI, REvil und DarkSide sind teilweise sanktioniert - eine Zahlung an sanktionierte Gruppen ist eine Straftat. Nur 65 Prozent der zahlenden Unternehmen erhalten vollständigen Zugriff zurück. Außerdem markiert eine Zahlung das Unternehmen als zahlungswillig - was erneute Angriffe wahrscheinlicher macht.

Meldepflichten nach einem Ransomware-Angriff

DSGVO-Meldepflicht (Art. 33 + 34)

Bei Ransomware mit Datenexfiltration sind fast immer personenbezogene Daten betroffen:

  • Art. 33: Meldung an die zuständige Datenschutzbehörde innerhalb von 72 Stunden (zuständig ist der LfDI des jeweiligen Bundeslandes)
  • Art. 34: Benachrichtigung betroffener Personen „unverzüglich” bei hohem Risiko

Checkliste für die DSGVO-Meldung:

  • Welche Daten sind betroffen? (Art, Umfang, Sensitivität)
  • Wie viele Personen sind ungefähr betroffen?
  • Welche voraussichtlichen Folgen ergeben sich?
  • Welche Maßnahmen wurden getroffen oder sind geplant?

BSI-Meldepflicht (§8b BSIG)

Für KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse: unverzügliche Meldung, maximal 72 Stunden. Für NIS2-betroffene Einrichtungen gilt eine Frühwarnung innerhalb von 24 Stunden.

Strafanzeige

Ransomware-Vorfälle erfüllen regelmäßig mehrere Straftatbestände:

  • § 303a StGB: Datenveränderung (Verschlüsselung)
  • § 303b StGB: Computersabotage
  • § 202a StGB: Ausspähen von Daten (bei Exfiltration)

Die Anzeige erfolgt beim Landeskriminalamt (Cybercrime-Abteilung) oder beim BKA. Eine parallele Meldung ans BSI ist empfohlen.

Cybersicherheitsversicherung

Die Versicherung muss innerhalb von 24-48 Stunden informiert werden - manche Policen verfallen bei verspäteter Meldung. Versicherungen koordinieren häufig IR-Dienstleister, Anwälte und gegebenenfalls Lösegeldzahlungen.

Wiederherstellung: Schritt für Schritt

Phase 1: Sichere Basis schaffen

  • Domain Controller aus sauberem Backup wiederherstellen
  • Passwörter aller privilegierten Accounts zurücksetzen
  • KRBTGT-Passwort zweimal rotieren (macht Golden Tickets ungültig)
  • MFA für alle Accounts erzwingen - vor der eigentlichen Wiederherstellung
  • Firewall-Regeln: alle nicht notwendigen ausgehenden Verbindungen sperren

Phase 2: Systeme wiederherstellen

Revenue-kritische Systeme werden zuerst wiederhergestellt. Backup-Wiederherstellung erfolgt ausschließlich aus Air-gapped- oder Offline-Backups. Keine Wiederherstellung aus kompromittierter Backup-Infrastruktur.

Reimagen statt Bereinigen:

MethodeRisikoEmpfehlung
Reimagen: Festplatte löschen, OS neu installierenKein verstecktes Malware/BackdoorEmpfohlen
Bereinigen: AV-Scanner, manuelle BereinigungÜbersehene Persistenz-Mechanismen möglichNur wenn Reimagen technisch unmöglich

Phase 3: Validierung

EDR auf allen Systemen ausrollen und vollständigen Scan nach verbliebener Persistenz durchführen. Alle Angreifer-Zugangsvektoren müssen geschlossen sein. Das Monitoring wird für die nächsten 30 Tage erhöht.

Zeitplan (Erfahrungswerte)

UmgebungsgrößeWiederherstellungsdauer
50-200 Systeme2-4 Wochen
200-1.000 Systeme4-8 Wochen
Enterprise (stark kompromittiert)2-6 Monate

Hardening nach einem Vorfall

Sofortmaßnahmen (Woche 1-2)

  • MFA für alle Accounts aktivieren - besonders Admin-Konten und VPN
  • RDP nicht mehr direkt erreichbar (nur via Jumpserver oder ZTNA)
  • SMB v1 deaktivieren
  • Macro-Ausführung in Office: nur signierte Makros zulassen
  • Privileged Access Management (PAM) einführen

Mittelfristig (Monat 1-6)

  • Offline-Backups nach der 3-2-1-1-0-Regel implementieren
  • EDR auf allen Endpoints ausrollen
  • SIEM mit 90 Tagen Log-Retention konfigurieren
  • Vulnerability Management einführen
  • Phishing-Simulationen monatlich durchführen
  • Penetrationstest innerhalb von 6 Monaten nach dem Incident
  • Tabletop Exercise: Ransomware-Szenario jährlich durchführen

Lessons Learned (2-4 Wochen nach der Wiederherstellung)

Ein strukturiertes Lessons-Learned-Meeting mit folgender Agenda:

  1. Timeline: Was passierte wann?
  2. Initial Access: Wie kam der Angreifer ins Netzwerk? (Ursache beheben!)
  3. Detection Gap: Warum wurde der Angriff nicht früher erkannt?
  4. Response: Was funktionierte gut, was nicht?
  5. Kommunikation: Intern und extern optimal gelaufen?
  6. Action Items: priorisiert, mit Verantwortlichen und verbindlichem Termin

Reale Vorfälle: Was passierte tatsächlich

Norsk Hydro (2019)

Der norwegische Aluminiumproduzent wurde von LockerGoga befallen. Der Schaden belief sich auf 60-73 Millionen US-Dollar, einschließlich der Kosten für die Wiederherstellung. Positiv fiel die Krisenkommunikation auf: tägliche Webcasts mit hochrangigen Managern, transparente Kommunikation über Facebook und Umstellung auf Handbetrieb. Der Aktienkurs blieb vergleichsweise stabil.

Stadt Baltimore (2019)

Eine Ransomware-Attacke lähmte die städtische IT-Infrastruktur. Rechnungsstellung, Wasserversorgungsabrechnung und andere kommunale Dienste standen still. Der Vorfall kostete rund 18,2 Millionen US-Dollar.

Universität Gießen (2019)

Emotet traf die Justus-Liebig-Universität zum Jahresende. Am Ende mussten rund 38.000 Passwörter händisch zurückgesetzt werden.

Stadt New Orleans (2019)

Eine einzige Phishing-E-Mail löste die Ausbreitung von Ryuk Ransomware aus und verschlüsselte 3.500 Laptops und 450 Server. Die Cyberversicherung über 3 Millionen US-Dollar deckte die Schäden nicht vollständig ab.

Wempe (2020)

Das Hamburger Schmuckunternehmen zahlte nach einem Ransomware-Angriff mehr als eine Million Euro Lösegeld. Rechnungen konnten nicht geschrieben werden, die Kassensysteme blieben verschont. Die Zahlung ermöglichte die schnelle Wiederherstellung - und sendete gleichzeitig das Signal, dass das Geschäftsmodell der Kriminellen funktioniert.

Anwaltskammer (BeA, 2020)

Eine fehlkonfigurierte MySQL-Datenbank - alle Benutzer wurden ohne Passwort akzeptiert - ermöglichte Angreifern das Kopieren und Löschen der Datenbankdaten. Die Lösegeldforderung betrug 0,06 Bitcoin (ca. 570 Euro). Ein Penetrationstest hätte diese Fehlkonfiguration im Vorfeld identifiziert.

FAQ: Häufige Fragen zu Ransomware

Sollte ich das Lösegeld zahlen?

Das BSI empfiehlt grundsätzlich, kein Lösegeld zu zahlen. Die Zahlung finanziert kriminelle Infrastruktur, ist keine Garantie für die Entschlüsselung, und markiert das Unternehmen als zahlungswillig. Ausnahme: Wenn keine Backups vorhanden sind und kritische Betriebsdaten nicht wiederhergestellt werden können, kann eine Zahlung unter juristischer Begleitung erwogen werden - nach Prüfung der Sanktionslisten.

Was ist Double Extortion?

Double Extortion bedeutet, dass Angreifer Daten exfiltrieren, bevor sie verschlüsseln. Das Opfer wird doppelt erpresst: einmal für die Entschlüsselung, einmal für das Zurückhalten der gestohlenen Daten. Selbst wer aus Backups wiederherstellt, bleibt durch die Datenpublikationsdrohung erpressbar.

Wie lange dauert ein Ransomware-Angriff wirklich?

Die sichtbare Phase (Verschlüsselung) dauert Stunden bis wenige Tage. Die unsichtbare Phase davor - Infiltration, Persistence, Lateral Movement, Exfiltration - dauert im Durchschnitt Monate. IBM-Daten aus 2024 nennen eine durchschnittliche Dwell Time von 194 Tagen.

Schützen Backups vollständig vor Ransomware-Schäden?

Backups schützen vor Datenverlust und vermeiden die Notwendigkeit einer Lösegeldzahlung für die Entschlüsselung. Sie schützen nicht gegen Double Extortion (die gestohlenen Daten sind trotzdem beim Angreifer), nicht gegen Reputationsschäden und nicht gegen den Betriebsausfall während der Wiederherstellung. Deshalb bleibt Prävention das primäre Ziel.

Sind Macs sicher vor Ransomware?

Nein. Mac-Ransomware existiert, auch wenn Windows-Systeme häufiger angegriffen werden. Mit steigender Verbreitung von macOS - besonders in Unternehmen, Agenturen und bei Business-Anwendern - steigt der Anreiz für Angreifer. Eine als legitime Software getarnte Malware hat nachweislich Apples Gatekeeper-Technologie umgangen. Software sollte ausschließlich über den offiziellen Apple App Store bezogen werden. Tools wie LuLu oder Little Snitch helfen dabei, ausgehende Verbindungen auf macOS zu überwachen.

Was ist Ransomware-as-a-Service?

Ransomware-as-a-Service (RaaS) bedeutet, dass kriminelle Gruppen ihre Schadsoftware und Infrastruktur an andere Kriminelle vermieten. Die Entwickler erhalten einen Anteil der erpressten Lösegelder. Dieses Modell hat dazu geführt, dass technisch weniger versierte Angreifer hochentwickelte Ransomware einsetzen können.

Wie erkenne ich Ransomware frühzeitig?

Die zuverlässigsten Frühwarnsignale sind: ungewöhnliche Login-Aktivitäten aus fremden Ländern oder zu unüblichen Zeiten, PowerShell-Ausführungen mit EncodedCommand, neue geplante Aufgaben mit obfuszierten Pfaden, LSASS-Speicherzugriff durch unbekannte Prozesse, und - als unmittelbarer Alarm - der Versuch, Volume Shadow Copies zu löschen.

Fazit: Vorbereitung ist keine Option

Ransomware-Angriffe sind keine Einzelereignisse, die nur Großkonzerne treffen. KMUs sind heute das primäre Ziel, weil sie häufig weniger resilient sind - und dennoch ausreichend wertvolle Daten besitzen.

Drei Maßnahmen haben den größten Schutzeffekt und sind für Unternehmen jeder Größe umsetzbar:

  1. Funktionierende Offline-Backups nach der 3-2-1-1-0-Regel - regelmäßig getestet
  2. MFA auf allen externen Zugängen (VPN, RDP, E-Mail) - sofort einführbar
  3. Security Awareness Training für alle Mitarbeitenden - die letzte Verteidigungslinie

Wenn Sie wissen möchten, wie gut Ihre Systeme tatsächlich gegen einen Ransomware-Angriff geschützt sind: Ein Penetrationstest zeigt Schwachstellen, bevor Angreifer sie finden. Bei Fragen zu Incident Response oder zur Vorbereitung eines IR-Plans sprechen Sie uns gerne an.

Kostenlose Erstberatung vereinbaren

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung