Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Unternehmen

Ransomware in Unternehmen

Ein Ransomware-Vorfall ist für ein Unternehmen kein IT-Problem, sondern ein Geschäftsvorfall. Er betrifft Betrieb, Recht, Kommunikation und oft auch Kunden und Lieferketten. Dieser Bereich richtet sich an Geschäftsführung, IT-Verantwortliche, Datenschutzbeauftragte, Admins und Security-Verantwortliche in kleinen und mittleren Unternehmen.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurzfassung

  • Ein Ransomware-Vorfall ist ein Geschäfts- und Krisenfall, kein reines IT-Thema.
  • Die ersten 60 Minuten entscheiden meist über das spätere Schadensausmaß.
  • Isolation und Beweissicherung haben Vorrang vor schneller Bereinigung.
  • Backups, Identitäten und privilegierte Konten sind die wichtigsten Hebel.
  • Kommunikation und Meldewege gehören vorab geklärt, nicht im Krisenmoment.
  • Eine Zahlung löst den Vorfall nicht und ist immer juristisch zu prüfen.

Zielgruppe

Diese Seite richtet sich an Geschäftsführung, IT-Leitung, Admins, Datenschutzbeauftragte und Security-Verantwortliche in kleinen und mittleren Unternehmen. Sie soll eine fachliche Orientierung geben, ohne forensische oder juristische Einzelfallberatung zu ersetzen.

Wichtiger Hinweis

Diese Inhalte ersetzen keine rechtliche, forensische oder organisatorische Einzelfallberatung. Bei einem akuten Vorfall sollten ein spezialisierter Incident-Response-Dienstleister, die zuständigen Behörden und juristische Beratung eingebunden werden.

1. Warum Ransomware Unternehmen besonders trifft

Anders als bei einem einzelnen gesperrten Privat-PC betrifft Ransomware in Unternehmen meist verteilte Systeme: Fileserver, Datenbanken, Backups, Cloud-Tenants, Identitätsdienste. Angreifer bewegen sich häufig tagelang im Netzwerk, bevor die eigentliche Verschlüsselung beginnt.

Hinzu kommt die Doppel-Erpressung (Double Extortion): Daten werden vor der Verschlüsselung exfiltriert und mit Veröffentlichung gedroht. Damit wird der Vorfall auch ohne Datenverlust zu einem Datenschutz- und Reputationsthema.

  • Betriebsunterbrechung mit direkten Umsatzverlusten
  • Mögliche Meldepflichten nach branchenspezifischen und datenschutzrechtlichen Vorgaben
  • Vertragliche Pflichten gegenüber Kunden und Lieferanten
  • Reputations- und Vertrauensschaden

2. Typische Frühindikatoren

Vor der eigentlichen Verschlüsselung gibt es fast immer Auffälligkeiten. Wer sie ernst nimmt, gewinnt entscheidende Zeit.

  • Unerklärliche Anmeldungen privilegierter Konten außerhalb der Geschäftszeiten
  • Plötzliche Deaktivierung oder Fehlfunktion von Endpoint-Schutz oder EDR-Agenten
  • Massenhafte fehlgeschlagene Logins, ungewöhnliche RDP- oder VPN-Verbindungen
  • Neue Konten, neue geplante Aufgaben oder unbekannte Dienste auf Servern
  • Ungewöhnlicher ausgehender Datenverkehr zu unbekannten Zielen
  • Backups, die plötzlich fehlschlagen, verkleinert werden oder verschwinden
  • Phishing-Wellen mit gezieltem Bezug zu internen Abläufen

3. Erste 15 Minuten nach Verdacht

  • Verdacht intern verbindlich melden, keine Alleingänge
  • Krisenstab informieren, Kommunikationskanal außerhalb der betroffenen Systeme festlegen
  • Betroffene Geräte vom Netzwerk trennen, aber eingeschaltet lassen
  • Keine Bereinigung, keine Neuinstallation, kein Löschen von Logs oder E-Mails
  • Kurz dokumentieren, wer was wann beobachtet hat

4. Erste 60 Minuten

  • Geschäftsführung, IT-Leitung, Datenschutz und ggf. externen DFIR-Dienstleister einbinden
  • Privilegierte Konten sperren oder Passwörter rotieren, MFA überprüfen
  • Backup-Systeme vom produktiven Netz isolieren, Integrität sichten
  • Externe Zugänge (VPN, RDP, Fernwartung) prüfen und ggf. deaktivieren
  • Logdaten, Speicherabbilder und EDR-Telemetrie sichern
  • Erste Lageeinschätzung mit Zeitstempel festhalten

5. Erster Arbeitstag nach Entdeckung

  • Eintrittsvektor und ungefähren Beginn des Angriffs eingrenzen
  • Umfang der Kompromittierung pro System und pro Identität dokumentieren
  • Hinweise auf Datenabfluss (Exfiltration) systematisch prüfen
  • Wiederanlauf-Prioritäten nach Geschäftsprozessen festlegen, nicht nach Lautstärke
  • Interne und externe Kommunikation abgestimmt steuern
  • Mögliche Melde- und Anzeigepflichten juristisch bewerten lassen
  • Schichtbetrieb und Vertretungen für den weiteren Verlauf organisieren

6. Was isoliert werden sollte

  • Auffällig gewordene Endgeräte und Server
  • Backup-Infrastruktur und Snapshot-Speicher
  • Identitätsdienste wie Active Directory, Entra ID oder LDAP
  • Fernwartungs-, VPN- und RDP-Zugänge
  • Verbindungen zu Kunden, Partnern und Tochtergesellschaften

7. Was nicht vorschnell gelöscht werden sollte

Im ersten Reflex wird oft bereinigt, neu installiert oder die Erpressernotiz entfernt. Genau diese Schritte zerstören die Spuren, die für Forensik, Versicherung und Strafverfolgung wichtig sind.

  • Erpressernotizen, Readme-Dateien und Hinweistexte der Angreifer
  • Verschlüsselte Dateien und ihre originalen Dateinamen
  • Ereignis-, Sicherheits- und Anwendungs-Logs auf betroffenen Systemen
  • Konten, die als kompromittiert gelten - lieber deaktivieren als löschen
  • Speicherabbilder und Snapshots, auch wenn der Speicher knapp wird

8. Warum Beweissicherung wichtig ist

Eine saubere Beweissicherung schützt das Unternehmen mehrfach: Sie hilft bei der Rekonstruktion des Angriffs, ist häufig Voraussetzung für die Cyberversicherung, unterstützt Anzeigen und Behördenkommunikation und liefert die Grundlage für tragfähige Lessons Learned.

Wer ohne Beweissicherung bereinigt, weiß am Ende oft nicht, ob der Angreifer noch im Netz ist oder welche Daten abgeflossen sind.

9. Rolle von Backups

Backups sind die wichtigste technische Versicherung gegen Ransomware - aber nur dann, wenn sie unveränderbar, getrennt und regelmäßig getestet sind. Vertiefend ist die Seite zu Backups gegen Ransomware zuständig.

  • Mindestens eine Kopie offline oder als Immutable-Backup
  • Backup-Identitäten strikt getrennt von der Produktion
  • Wiederherstellungs-Tests dokumentiert und realistisch
  • Backup-Stände vor dem mutmaßlichen Eintrittszeitpunkt bevorzugen

10. Rolle von Identitäten, MFA und privilegierten Accounts

Moderne Ransomware-Angriffe sind in den meisten Fällen Identitätsangriffe. Wer Domain-Admins, Service-Accounts und Cloud-Admins nicht im Griff hat, gibt Angreifern den Generalschlüssel.

  • Multi-Faktor-Authentifizierung für alle administrativen und remote erreichbaren Zugänge
  • Getrennte Konten für Administration und Tagesgeschäft (Tiering)
  • Service-Accounts inventarisieren, Passwörter rotieren, Berechtigungen minimieren
  • Privilegierte Zugriffe protokollieren und aktiv auswerten
  • Notfall-Reset von KRBTGT und vergleichbaren Schlüsseln einplanen

11. Kommunikation intern und extern

In einer Krise braucht es klare Rollen. Wer entscheidet, wer spricht mit Kunden, wer mit Behörden, wer mit Mitarbeitenden? Eine im Vorfeld dokumentierte Kommunikationsmatrix verhindert widersprüchliche Aussagen und Spekulationen.

  • Interne Kommunikation an Mitarbeitende abgestimmt und sachlich halten
  • Kunden und relevante Partner zeitnah und faktenbasiert informieren
  • Eine einzige sprechende Stelle gegenüber Presse und Öffentlichkeit
  • Kommunikationsvorlagen vorab bereithalten und im Ernstfall anpassen
  • Kommunikation möglichst out-of-band, falls Mail- oder Chat-Systeme betroffen sind

12. Meldewege (allgemeine Einordnung)

Je nach Branche, Unternehmensgröße und Art der betroffenen Daten können verschiedene Melde- und Anzeigepflichten greifen, etwa gegenüber Datenschutzaufsicht, BSI im Rahmen relevanter Vorgaben, Cyberversicherung oder Vertragspartnern. Eine Strafanzeige ist über die Polizei oder die Zentralen Ansprechstellen Cybercrime (ZAC) der Länder möglich.

Die konkrete Bewertung gehört in jedem Fall in die Hand juristischer Beratung. Diese Seite ersetzt keine Rechtsberatung.

13. Prävention im Überblick

  • Multi-Faktor-Authentifizierung für alle administrativen und remote erreichbaren Zugänge
  • Patchmanagement mit Fokus auf extern erreichbare Systeme
  • Least Privilege und konsequentes Konten-Tiering
  • Zentrales Logging und EDR mit aktiver Auswertung
  • Backup-Strategie nach 3-2-1 mit unveränderbarer Kopie
  • Awareness-Schulungen für Phishing und Social Engineering
  • Regelmäßige Tabletop-Übungen für den Krisenstab

14. Strukturierte Reaktion mit Checkliste

Für die operative Abarbeitung eines Vorfalls bietet die Incident-Response-Checkliste eine geordnete Schritt-für-Schritt-Übersicht. Sie ist als Ergänzung zum eigenen Notfallplan gedacht, nicht als Ersatz.

Häufige Fragen

Sollten wir das Lösegeld zahlen?

Behörden wie BSI und BKA raten grundsätzlich von Zahlungen ab. Eine Zahlung finanziert das kriminelle Geschäftsmodell, garantiert keine Entschlüsselung und kann rechtliche Folgen haben. Die Entscheidung sollte ausschließlich gemeinsam mit juristischer und forensischer Beratung getroffen werden.

Müssen wir den Vorfall melden?

Wenn personenbezogene Daten betroffen sind, greifen in der Regel datenschutzrechtliche Fristen. Je nach Branche und Unternehmensgröße kommen weitere Pflichten hinzu, etwa aus branchenspezifischen Regelungen oder Verträgen. Die konkrete Bewertung gehört in die Hand juristischer Beratung.

Reicht ein gutes Backup als Schutz?

Backups sind essenziell, aber kein vollständiger Schutz. Bei Double Extortion wurden Daten bereits abgeflossen, bevor die Verschlüsselung beginnt. Ein Wiederanlauf aus Backup verhindert die Veröffentlichung nicht.

Brauchen wir einen externen Dienstleister?

Die meisten KMU haben weder die Kapazität noch die Spezialwerkzeuge für eine vollständige Incident Response. Ein eingespielter DFIR-Partner, idealerweise vorab vertraglich gebunden, beschleunigt die Reaktion deutlich.

Wie früh sollte der Krisenstab aktiviert werden?

Sobald ein begründeter Verdacht besteht. Es ist besser, einen Verdacht später zurückzunehmen, als wertvolle Minuten zu verlieren. Falsche Alarme sind Teil eines reifen Sicherheitsbetriebs.

Was, wenn wir keinen formalen Notfallplan haben?

Auch dann gelten die Grundregeln: Ruhe bewahren, isolieren statt löschen, Beweise sichern, Hilfe holen. Parallel sollte mindestens eine minimale Checkliste mit Rollen, Erreichbarkeiten und Eskalationswegen erstellt werden.