Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Erste Hilfe

Dateien sind verschlüsselt - was jetzt?

Verschlüsselte Dateien sind ein ernster Vorfall. Wichtig ist, schnell und strukturiert zu handeln, aber keine Schritte zu unternehmen, die Beweise zerstören, die Wiederherstellung erschweren oder den Befall im Netzwerk vergrößern. Diese Seite hilft Ihnen, die Situation einzuordnen und die richtigen Stellen einzubinden.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurze Einordnung

Nicht jeder Dateifehler ist Ransomware. Eine einzelne Datei, die sich nicht öffnen lässt, hat oft harmlose Ursachen. Mehrere Dateien mit neuen, immer gleichen Endungen, kombiniert mit einer Erpresser-Datei im Ordner, sind dagegen ein klares Warnzeichen.

Je nachdem, ob ein einzelner Privat-PC, ein NAS, Netzlaufwerke oder mehrere Server betroffen sind, unterscheidet sich die richtige Reaktion deutlich. Die folgenden Abschnitte helfen Ihnen, das Szenario zu erkennen.

Das Wichtigste in Kürze

  • Erst eingrenzen, dann handeln - Geräte vom Netzwerk trennen, nicht hart ausschalten
  • Erpresserschreiben und Beispiele verschlüsselter Dateien sichern, nicht löschen
  • Backups, NAS und Cloud-Synchronisationen sofort schützen
  • Im Unternehmen: Geschäftsleitung, IT-Sicherheit, Datenschutz und Versicherung einbinden
  • Keine fragwürdigen Decryptor- oder Cleaner-Tools aus dem Netz verwenden

Was Sie sofort tun sollten

  • Betroffene Geräte vom Netzwerk trennen (LAN-Kabel ziehen, WLAN deaktivieren)
  • Andere Geräte und Server im selben Netzwerk prüfen und bei Verdacht ebenfalls isolieren
  • Backup-Medien physisch trennen, Cloud-Synchronisationen pausieren
  • Gerät eingeschaltet lassen, solange unklar ist, ob ein Herunterfahren forensische Spuren zerstören würde
  • Erpresserschreiben und mindestens eine Beispiel-Datei pro Endung an einem getrennten Ort sichern
  • Im Unternehmen: Geschäftsleitung, IT-Sicherheit, Datenschutzbeauftragte und ggf. Versicherung informieren

Was Sie vermeiden sollten

  • Keine fragwürdigen Entschlüsselungs- oder Cleaner-Tools aus dem Netz herunterladen
  • Verschlüsselte Dateien nicht umbenennen, kopieren oder mit Office-Programmen reparieren
  • Keine Zahlung leisten, ohne vorher professionelle Hilfe einzubeziehen
  • Nicht eigenmächtig das Betriebssystem neu installieren - das vernichtet wichtige Spuren
  • Keine Backups in das noch nicht bereinigte Netzwerk einhängen
  • Nicht selbst mit den Erpressern in Kontakt treten, vor allem nicht im Unternehmen

Welches Szenario liegt vor?

Die Symptome unterscheiden sich stark. Anhand der folgenden Muster lässt sich grob einschätzen, wie ernst der Vorfall ist und welche Stellen Sie einbinden sollten.

  • Einzelne Datei lässt sich nicht öffnen: oft kein Ransomware-Vorfall. Häufig ein Datei- oder Programmfehler. Trotzdem prüfen, ob andere Dateien betroffen sind.
  • Viele Dateien haben plötzlich neue, immer gleiche Endungen: starkes Indiz für Ransomware. Sofort vom Netzwerk trennen und Beispieldatei sichern.
  • Erpresserschreiben (z. B. readme.txt, how-to-decrypt.html) vorhanden: bestätigter Ransomware-Vorfall. Schreiben unverändert sichern, keinen Kontakt aufnehmen.
  • Netzlaufwerke oder NAS-Freigaben sind betroffen: Hinweis auf seitliche Ausbreitung. Zugriffe auf Freigaben einschränken und betroffene Clients identifizieren.
  • Mehrere Systeme im selben Netzwerk zeigen Symptome: ernsthafter Vorfall mit lateraler Bewegung. Schnellstmöglich Incident-Response-Dienstleister einbinden.
  • Unternehmen betroffen: zusätzlich Geschäftsleitung, Datenschutz, Rechtsabteilung, Cyber-Versicherung und ggf. Behörden einbinden. Meldepflichten nach DSGVO prüfen.

Wann es ein echter Notfall ist

  • Mehrere Dateien tragen neue, einheitliche Endungen
  • Erpresserschreiben liegen sichtbar im Dateisystem
  • Netzlaufwerke, NAS oder Cloud-Speicher zeigen ebenfalls verschlüsselte Inhalte
  • Mehrere Geräte oder Server reagieren auffällig oder sind nicht erreichbar
  • Backups wurden in den letzten Stunden auf das Quellsystem synchronisiert
  • Es liegt ein Unternehmens-, Praxis- oder Kanzleikontext vor

Wann es eher Browser-Scareware sein könnte

In diesem Fall passt eher die Seite PC gesperrt oder Browser gesperrt. Dort wird die Unterscheidung detaillierter beschrieben.

  • Es gibt nur eine bedrohliche Webseite, keine verschlüsselten Dateien
  • Nach Schließen des Browsers ist alles normal benutzbar
  • Keine fremden Dateiendungen, keine Erpresserdatei im Dateisystem
  • Die Meldung erscheint nicht erneut, sobald die Browser-Sitzung nicht wiederhergestellt wird

Welche Informationen Sie sichern sollten

  • Foto oder Screenshot der Erpressernotiz mit erkennbarem Wortlaut
  • Mindestens eine Beispiel-Datei pro neuer Endung (unverändert, auf separatem Datenträger)
  • Genaue Endung der verschlüsselten Dateien (z. B. '.lockbit', '.crypted', '.encrypted')
  • Datum und Uhrzeit des ersten Auftretens
  • Auflistung der betroffenen Systeme, Freigaben und Cloud-Ordner
  • Im Unternehmen: relevante Logs (Backup, EDR, Firewall, AD) gemäß interner Prozesse sichern

Wann professionelle Hilfe sinnvoll ist

Spezialisierte Incident-Response- und DFIR-Dienstleister, die zuständige Cybercrime-Stelle des jeweiligen Bundeslandes und im Unternehmen eine Cyber-Versicherung sind die richtigen Ansprechpartner. Die Polizei sollte in jedem Fall eingebunden werden.

  • Bei jedem bestätigten Ransomware-Vorfall mit Erpresserschreiben
  • Wenn Netzlaufwerke, NAS oder Cloud-Synchronisationen betroffen sind
  • Wenn mehrere Geräte oder Server Symptome zeigen
  • Bei Unternehmen, Praxen, Kanzleien und anderen verarbeitenden Stellen im Sinne der DSGVO
  • Wenn unklar ist, ob Daten zusätzlich exfiltriert wurden
  • Bevor irgendeine Form von Verhandlung oder Zahlung erwogen wird

Wiederherstellung

Die mit Abstand zuverlässigste Wiederherstellung erfolgt aus sauberen, vom Netzwerk getrennten Backups. Voraussetzung ist, dass die Backups vor dem Angriff erstellt wurden und nicht selbst kompromittiert sind. Vor einer Rücksicherung muss das System gründlich bereinigt oder neu aufgesetzt werden.

Erst danach Zugangsdaten erneuern, Mehrfaktor-Authentifizierung einrichten, Patches einspielen und das Backup-Konzept überprüfen. Wer ohne Bereinigung zurücksichert, riskiert eine sofortige zweite Verschlüsselung.

Wichtiger Hinweis

Diese Seite ersetzt keine individuelle Incident-Response-, Forensik- oder Rechtsberatung. Bei einem laufenden Ransomware-Vorfall sollten Sie früh professionelle Hilfe einbeziehen, anstatt mit eigenen Mitteln zu experimentieren.

Häufige Fragen

Kann ich verschlüsselte Dateien einfach wieder entschlüsseln?

Nur, wenn für die konkrete Ransomware-Familie ein gültiger Decryptor existiert. Eine universelle Entschlüsselung gibt es nicht. Manche Varianten sind technisch nicht zu entschlüsseln.

Wann sollte ich No More Ransom zur Hilfe suchen?

Sobald Sie die Erpressernachricht und die verschlüsselte Dateiendung kennen, lohnt sich ein Besuch bei No More Ransom. Dort helfen Polizei und IT-Sicherheitsunternehmen gemeinsam dabei, die Schadsoftware-Familie zu identifizieren und kostenlose Decryptor-Tools bereitzustellen. Die Webseite erkennt anhand von Mustern die Ransomware-Familie und zeigt sofort, ob ein offizieller Decryptor verfügbar ist. Suchen Sie dort Hilfe, bevor Sie eine Zahlung in Betracht ziehen oder dubiose Tools aus dem Internet herunterladen.

Notfall - sofort Hilfe:
Erste Hilfe bei einem laufenden Vorfall
Für Privatpersonen | Für Unternehmen

Empfohlener nächster Schritt: Glossar: Decryptor erklärt, woran Sie einen seriösen Decryptor erkennen und welche Grenzen er hat.
Für Privatpersonen: Fake-BKA-Meldung erkennen. Für Unternehmen: Ransomware-Notfallplan.

Soll ich das Gerät sofort ausschalten?

Nicht reflexartig. Trennen Sie das Gerät zuerst vom Netzwerk. Ein hartes Ausschalten kann forensische Spuren im Arbeitsspeicher zerstören. Im Zweifel mit der IT oder einem Dienstleister abstimmen.

Wurden zusätzlich Daten gestohlen?

Bei moderner Ransomware ist das oft der Fall (Double Extortion). Ohne forensische Analyse lässt sich das nicht sicher ausschließen. Planen Sie es als realistisches Szenario ein, insbesondere im Unternehmen.

Reicht eine Neuinstallation des Systems?

Sie löst zwar die akute Verschlüsselung, beseitigt aber nicht zwingend die Ursache und vernichtet Beweise. Eine fundierte Bereinigung gehört in fachkundige Hände, insbesondere wenn weitere Systeme im Netzwerk standen.

Was tun, wenn Netzlaufwerke betroffen sind?

Zugriffe auf die betroffenen Freigaben einschränken, alle Clients identifizieren, die auf das Laufwerk zugegriffen haben, und das System nicht einfach 'leeren'. Häufig liegt das eigentliche Problem auf einem Client, der weiter verschlüsseln würde, sobald er wieder Zugriff erhält.

Was, wenn mein Unternehmen betroffen ist?

Das ist kein reiner IT-Vorfall. Geschäftsleitung, IT-Sicherheit, Datenschutz, Rechtsabteilung und Cyber-Versicherung gehören sofort an den Tisch. Meldepflichten nach DSGVO und branchenspezifische Vorgaben (z. B. KRITIS, NIS2) müssen geprüft werden.