Notfall-Leitfaden · Ransomware · IR 24·7·365

Ransomware-Angriff: was in den ersten Minuten zu tun ist.

Ein betroffenes Unternehmen hat wenig Zeit und irreversible Entscheidungen zu treffen. Die goldene Regel: isolieren ohne auszuschalten, nicht impulsiv zahlen, Incident Response aktivieren. Das europäische SOC von Fortgale unterstützt die Response 24·7·365, von der Eindämmung bis zu den Meldungen.

Nicht zahlenDas Lösegeld garantiert nichts
Isolieren, nicht ausschaltenRAM ist ein Beweis
<30 Min.Mediane IR-Eindämmung
IR-Standards
ISO/IEC 27001
MITRE ATT&CK
NIST IR
Meldungen
Nationales CSIRT · NIS2
Aufsichtsbehörde · DSGVO Art. 33
No More Ransom
Die ersten 60 Minuten

Was jetzt zu tun ist, der Reihe nach.

Die Maßnahmen, die den Schaden reduzieren und die Beweise sichern, die nötig sind, um zu verstehen, was geschah und was exfiltriert wurde.

01 ·

Isolieren, nicht ausschalten

Trennen Sie die betroffenen Systeme vom Netzwerk (Kabel, WLAN, Segmentierung) ohne sie auszuschalten: Der flüchtige Speicher hält Beweise über den Angreifer und über das Betroffene.

02 ·

Incident Response aktivieren

Rufen Sie das IR-Team: Eindämmung, Eradikation, Rekonstruktion der Angriffskette. Das europäische SOC von Fortgale ist 24·7·365 einsatzbereit, mediane Eindämmung <30 Min.

03 ·

Backups bewerten, nicht das Lösegeld

Prüfen Sie intakte und isolierte Backups, bevor Sie eine Zahlung erwägen. Ein kostenloser Decryptor existiert oft bereits (No More Ransom). Zahlung garantiert weder Daten noch Schweigen.

Die entscheidende Frage

Lösegeld zahlen? Fast nie die Antwort.

Zahlung garantiert keine Wiederherstellung, garantiert keine Löschung exfiltrierter Kopien, finanziert das kriminelle Ökosystem und kann regulatorische Exposition schaffen. Zuerst: Backups, Decryptor, Incident Response.

Nach der Eindämmung · die Meldungen

Zwei getrennte Pflichten, oft gemeinsam.

Ein Ransomware-Fall mit Exfiltration personenbezogener Daten löst beide Meldungen aus. Es sind unterschiedliche Verfahren, mit unterschiedlichen Behörden und Fristen.

NIS2 ·

Meldung an das nationale CSIRT

Für wesentliche und wichtige Einrichtungen: Frühwarnung 24 Stunden, Meldung 72 Stunden, Abschlussbericht 30 Tage. Siehe NIS2 erklärt.

DSGVO ·

Meldung an die Aufsichtsbehörde

Wenn personenbezogene Daten betroffen sind: Meldung innerhalb von 72 Stunden (Art. 33) und Benachrichtigung der betroffenen Personen bei hohem Risiko. Siehe Datenschutzverletzungs-Meldung.

Technisch ·

Die forensische Arbeit

Feststellen, welche Daten tatsächlich exfiltriert wurden, und die von den Meldungen geforderten Beweise sammeln: der technische Teil der Digital Forensics in der Incident Response.

22Abgedeckte Länder
3Kontinente
287Profilierte Tools und Akteure
<30 Min.Mediane Eindämmung
24·7·365Europäisches SOC
Realer Fall · Ransomware verhindert

In Operation Storming Tide dämmte das Fortgale-Team eine mehrstufige Intrusion ein (Akteur Mora_001, Kette Matanbuchus 3.0 → Astarion → SystemBC): RClone-Exfiltration und Ransomware durch Eindämmung verhindert.

Zur Analyse →
FAQ · Ransomware-Angriff

Die Fragen in den kritischen Momenten.

Soll ich das Lösegeld zahlen?

Zahlung garantiert nicht die Datenwiederherstellung oder die Löschung exfiltrierter Kopien, sie finanziert die kriminelle Gruppe und kann einen Verstoß darstellen. Zuerst: isolieren, Backups bewerten, Incident Response aktivieren. Manchmal ist der Decryptor bereits kostenlos auf No More Ransom.

Soll ich die betroffenen PCs ausschalten?

Nein. Isolieren Sie sie vom Netzwerk, ohne sie auszuschalten: Ausschalten zerstört die Beweise im Speicher (RAM), die nötig sind, um den Angriff zu rekonstruieren und zu verstehen, welche Daten exfiltriert wurden.

Wen muss ich benachrichtigen?

Intern Geschäftsführung und IT. Extern: nationales CSIRT innerhalb von 24h, wenn Sie eine NIS2-Einrichtung sind, und die Aufsichtsbehörde innerhalb von 72h, wenn personenbezogene Daten betroffen sind. Es sind getrennte Meldungen: siehe NIS2 erklärt und Datenschutzverletzungs-Meldung.

Kann ich die Daten ohne Zahlung wiederherstellen?

Oft ja, mit intakten und isolierten Backups oder einem kostenlosen Decryptor, sofern vorhanden. Das IR-Team prüft zuerst, ob die Angreifer eradiziert wurden, um eine erneute Verschlüsselung nach dem Restore zu vermeiden.

Wie schnell kann Incident Response starten?

Das Fortgale-IR-Team ist 24·7·365 mit einem europäischen SOC einsatzbereit: sofortige Unterstützung ab dem Anruf, mediane Eindämmung <30 Min., Unterstützung bei der CSIRT-Meldung und Beweissammlung für die Aufsichtsbehörde.

Unter Angriff oder vorbereiten?

Ein Ransomware-Notfall wird in Minuten bewältigt.

Wenn der Angriff läuft, rufen Sie die IR-Hotline. Wenn Sie sich vorbereiten möchten, sprechen Sie mit unseren Analysten: Eindämmung, Runbooks und Meldungs-Support, mit einem europäischen SOC in Ihrer Zeitzone.

Antwortzeit: < 1 Werktag.