Isolieren, nicht ausschalten
Trennen Sie die betroffenen Systeme vom Netzwerk (Kabel, WLAN, Segmentierung) ohne sie auszuschalten: Der flüchtige Speicher hält Beweise über den Angreifer und über das Betroffene.
Ein betroffenes Unternehmen hat wenig Zeit und irreversible Entscheidungen zu treffen. Die goldene Regel: isolieren ohne auszuschalten, nicht impulsiv zahlen, Incident Response aktivieren. Das europäische SOC von Fortgale unterstützt die Response 24·7·365, von der Eindämmung bis zu den Meldungen.
Die Maßnahmen, die den Schaden reduzieren und die Beweise sichern, die nötig sind, um zu verstehen, was geschah und was exfiltriert wurde.
Trennen Sie die betroffenen Systeme vom Netzwerk (Kabel, WLAN, Segmentierung) ohne sie auszuschalten: Der flüchtige Speicher hält Beweise über den Angreifer und über das Betroffene.
Rufen Sie das IR-Team: Eindämmung, Eradikation, Rekonstruktion der Angriffskette. Das europäische SOC von Fortgale ist 24·7·365 einsatzbereit, mediane Eindämmung <30 Min.
Prüfen Sie intakte und isolierte Backups, bevor Sie eine Zahlung erwägen. Ein kostenloser Decryptor existiert oft bereits (No More Ransom). Zahlung garantiert weder Daten noch Schweigen.
Zahlung garantiert keine Wiederherstellung, garantiert keine Löschung exfiltrierter Kopien, finanziert das kriminelle Ökosystem und kann regulatorische Exposition schaffen. Zuerst: Backups, Decryptor, Incident Response.
Ein Ransomware-Fall mit Exfiltration personenbezogener Daten löst beide Meldungen aus. Es sind unterschiedliche Verfahren, mit unterschiedlichen Behörden und Fristen.
Für wesentliche und wichtige Einrichtungen: Frühwarnung 24 Stunden, Meldung 72 Stunden, Abschlussbericht 30 Tage. Siehe NIS2 erklärt.
Wenn personenbezogene Daten betroffen sind: Meldung innerhalb von 72 Stunden (Art. 33) und Benachrichtigung der betroffenen Personen bei hohem Risiko. Siehe Datenschutzverletzungs-Meldung.
Feststellen, welche Daten tatsächlich exfiltriert wurden, und die von den Meldungen geforderten Beweise sammeln: der technische Teil der Digital Forensics in der Incident Response.
In Operation Storming Tide dämmte das Fortgale-Team eine mehrstufige Intrusion ein (Akteur Mora_001, Kette Matanbuchus 3.0 → Astarion → SystemBC): RClone-Exfiltration und Ransomware durch Eindämmung verhindert.
Zur Analyse →Zahlung garantiert nicht die Datenwiederherstellung oder die Löschung exfiltrierter Kopien, sie finanziert die kriminelle Gruppe und kann einen Verstoß darstellen. Zuerst: isolieren, Backups bewerten, Incident Response aktivieren. Manchmal ist der Decryptor bereits kostenlos auf No More Ransom.
Nein. Isolieren Sie sie vom Netzwerk, ohne sie auszuschalten: Ausschalten zerstört die Beweise im Speicher (RAM), die nötig sind, um den Angriff zu rekonstruieren und zu verstehen, welche Daten exfiltriert wurden.
Intern Geschäftsführung und IT. Extern: nationales CSIRT innerhalb von 24h, wenn Sie eine NIS2-Einrichtung sind, und die Aufsichtsbehörde innerhalb von 72h, wenn personenbezogene Daten betroffen sind. Es sind getrennte Meldungen: siehe NIS2 erklärt und Datenschutzverletzungs-Meldung.
Oft ja, mit intakten und isolierten Backups oder einem kostenlosen Decryptor, sofern vorhanden. Das IR-Team prüft zuerst, ob die Angreifer eradiziert wurden, um eine erneute Verschlüsselung nach dem Restore zu vermeiden.
Das Fortgale-IR-Team ist 24·7·365 mit einem europäischen SOC einsatzbereit: sofortige Unterstützung ab dem Anruf, mediane Eindämmung <30 Min., Unterstützung bei der CSIRT-Meldung und Beweissammlung für die Aufsichtsbehörde.
Diese Seite erklärt, was zu tun ist. Die zwei operativen Schritte: den Einsatz aktivieren, wenn der Angriff läuft, die Außenstelle aufbauen, damit es sich nicht wiederholt.
IR-Hotline 24·7·365: operative Reaktion in 30 Min., mediane Eindämmung <30 Min., Support bei der CSIRT-Meldung innerhalb 24h NIS2.
Notfall aktivieren →Das europäische SOC fängt den Angreifer in den ersten vier Phasen ab, innerhalb der 21 Tage Dwell-Time, bevor er Daten oder Backups berührt.
Schutz entdecken →Kontinuierliches Monitoring, Triage und Reaktion auf die in Europa aktiven Ransomware-Gruppen. Die Außenstelle, die Vorfälle selten macht.
SOC entdecken →Wenn der Angriff läuft, rufen Sie die IR-Hotline. Wenn Sie sich vorbereiten möchten, sprechen Sie mit unseren Analysten: Eindämmung, Runbooks und Meldungs-Support, mit einem europäischen SOC in Ihrer Zeitzone.
Keine Nurturing-Sequenzen, keine Auto-Replies. Einer unserer Analysten ruft Sie innerhalb eines Werktags zurück.
Der vollständige Report (Executive Summary · operative IoCs · technisches Runbook) ist vertraulich. Senden Sie uns zwei Angaben und einer unserer Analysten kontaktiert Sie mit Zugang und einem kurzen technischen Briefing.
Reaktion in 30 Minuten, Eindämmung in 1–4 Stunden. Auch wenn Sie kein Fortgale-Kunde sind.