Ransomware-Angriff: Daten verschlüsselt - was tun?

Was passiert bei einem Ransomware-Angriff genau?

Bei einem Ransomware-Angriff verschlüsselt Schadsoftware die Dateien auf Ihrem Computer, Server oder im gesamten Netzwerk. Anschließend wird eine Lösegeldforderung angezeigt, die in der Regel eine Zahlung in Kryptowährung (meist Bitcoin oder Monero) verlangt. Der Ablauf eines typischen Angriffs folgt einem wiederkehrenden Muster:

Phase 1: Infiltration (Tage bis Wochen vor der Verschlüsselung)

• Angreifer verschaffen sich Zugang über Phishing-E-Mails, kompromittierte RDP-Zugänge oder Software-Schwachstellen
• Sie bewegen sich lateral durch das Netzwerk und sammeln Zugangsdaten
• Backup-Systeme werden identifiziert und gezielt kompromittiert oder gelöscht
• Bei Double Extortion werden zusätzlich sensible Daten gestohlen

Phase 2: Verschlüsselung (Minuten bis Stunden)

• Die eigentliche Verschlüsselung wird häufig nachts oder am Wochenende gestartet
• Dateien erhalten neue Endungen (z. B. .locked, .encrypted, .crypted)
• Eine Lösegeldforderung wird als Textdatei oder Bildschirmanzeige hinterlassen
• Windows-Schattenkopien und lokale Backups werden oft automatisch gelöscht

Phase 3: Erpressung

• Lösegeldforderungen reichen von wenigen hundert Euro (Privatpersonen) bis zu Millionenbeträgen (Unternehmen)
• Es wird ein Zeitlimit gesetzt, nach dem sich der Betrag erhöht oder die Daten veröffentlicht werden
• Zahlungsanweisungen verweisen auf Tor-basierte Websites

Wichtig: Nicht jede Verschlüsselung ist sofort sichtbar. Einige Ransomware-Varianten verschlüsseln Daten schleichend über Wochen, sodass auch ältere Backups bereits kompromittiert sein können.

Welche Sofortmaßnahmen sind bei einem Angriff entscheidend?

Die ersten Minuten und Stunden nach der Entdeckung eines Ransomware-Angriffs sind entscheidend. Jede Sekunde zählt, denn die Verschlüsselung kann noch laufen:

Sofort-Checkliste:

1. Netzwerkverbindung sofort trennen

- Netzwerkkabel physisch ziehen - WLAN deaktivieren - VPN-Verbindungen trennen - Aber: Systeme NICHT herunterfahren (im RAM kann sich der Verschlüsselungsschlüssel befinden)

1. Ausbreitung stoppen

- Alle anderen Geräte im Netzwerk vom Netzwerk trennen - Netzwerk-Switches gegebenenfalls abschalten - Cloud-Synchronisation sofort deaktivieren (OneDrive, Dropbox, Google Drive)

1. Beweise sichern

- Screenshots der Lösegeldforderung erstellen - Ransomware-Dateiendung und -Namen dokumentieren - Zeitstempel der verschlüsselten Dateien notieren - Logdateien sichern (Windows Event Log, Firewall-Logs)

1. Kommunikation einleiten

- IT-Sicherheitsverantwortliche informieren - Geschäftsleitung benachrichtigen - Externe Incident-Response-Spezialisten kontaktieren - Datenschutzbeauftragten einbeziehen (DSGVO-Meldepflichten)

1. Strafanzeige erstatten

- Zentrale Ansprechstelle Cybercrime (ZAC) der Polizei kontaktieren - BSI-Meldung über die Meldestelle einreichen

Mehr über forensische Methoden der Beweissicherung erfahren Sie unter Wie wird Beweissicherung in der IT-Forensik durchgeführt?.

Sollte man das Lösegeld bezahlen?

Die Antwort der internationalen Sicherheitsbehörden ist eindeutig: Nein, zahlen Sie nicht. Diese Position wird von BSI, Europol, FBI und Interpol gemeinsam vertreten. Die Gründe sind gewichtig:

Ausnahme-Szenarien: In extremen Einzelfällen – etwa wenn Menschenleben gefährdet sind (Krankenhäuser) oder die Existenz eines Unternehmens auf dem Spiel steht – kann die Zahlung als letztes Mittel erwogen werden. Dies sollte jedoch immer unter Einbeziehung von Strafverfolgungsbehörden und spezialisierten Verhandlungsexperten geschehen.

Realität: Studien zeigen, dass Unternehmen, die zahlen, im Durchschnitt doppelt so hohe Gesamtkosten haben wie Unternehmen, die nicht zahlen, da neben dem Lösegeld auch die vollständige Wiederherstellung und Absicherung der IT-Infrastruktur erforderlich ist.

Professionelle Datenrettung benötigt?

Jetzt: Angebot für Datenrettung anfragen.

Anfrage professionelle DatenrettungProf. Datenrettung gewünscht?0800/073 88 36

Welche Entschlüsselungstools gibt es und wie findet man das richtige?

Bevor Sie aufgeben, prüfen Sie, ob für Ihre spezifische Ransomware-Variante ein kostenloses Entschlüsselungstool existiert:

No More Ransom (nomoreransom.org): Die wichtigste Anlaufstelle ist das Projekt No More Ransom, eine Kooperation von Europol, niederländischer Polizei und IT-Sicherheitsfirmen. Die Plattform bietet:

• Über 170 kostenlose Entschlüsselungstools für verschiedene Ransomware-Familien
• Einen Crypto Sheriff, der anhand einer verschlüsselten Datei die Ransomware-Variante identifiziert
• Regelmäßige Updates, wenn Sicherheitsforscher neue Schwachstellen in Ransomware entdecken

Weitere Quellen für Decryptor-Tools:

• Kaspersky NoRansom: Spezialisierte Entschlüsselungstools für Varianten wie Rakhni, CoinVault und Bitcryptor
• Emsisoft Decryptors: Große Sammlung von Decryptoren, unter anderem für STOP/Djvu (die häufigste Ransomware weltweit)
• Avast Free Ransomware Decryption Tools: Werkzeuge für verschiedene Varianten wie AES_NI, Babuk oder BTCWare
• Trend Micro Ransomware File Decryptor: Unterstützt mehrere Ransomware-Familien

Vorgehensweise:

1. Identifizieren Sie die Ransomware-Variante (Dateiendung, Lösegeldforderung, Ransomware-ID)
2. Prüfen Sie auf nomoreransom.org über den Crypto Sheriff
3. Laden Sie gegebenenfalls das passende Tool herunter
4. Erstellen Sie vorher eine Sicherungskopie der verschlüsselten Dateien (ein fehlerhafter Entschlüsselungsversuch kann Daten zusätzlich beschädigen)
5. Führen Sie die Entschlüsselung durch

Falls kein Tool verfügbar ist, bewahren Sie die verschlüsselten Dateien auf. Es werden regelmäßig neue Decryptoren veröffentlicht, wenn Sicherheitsforscher Schwachstellen in der Ransomware finden.

Welche alternativen Wiederherstellungsmethoden existieren?

Auch wenn kein Entschlüsselungstool verfügbar ist, gibt es mehrere alternative Wege zur Datenwiederherstellung:

1. Windows-Schattenkopien (Volume Shadow Copies / VSS) Nicht alle Ransomware-Varianten löschen die Windows-Schattenkopien. Mit Tools wie ShadowExplorer oder dem Befehl vssadmin list shadows können Sie prüfen, ob noch Schattenkopien vorhanden sind. Falls ja, lassen sich frühere Dateiversionen wiederherstellen.

2. Backup-Wiederherstellung

• Prüfen Sie alle vorhandenen Backups: Time Machine, Windows-Dateiversionsverlauf, NAS-Snapshots, Cloud-Backups
• Stellen Sie sicher, dass das Backup vor dem Infektionszeitpunkt erstellt wurde
• Bei NAS-Systemen mit Snapshot-Funktion können ältere Versionen unverschlüsselt vorliegen
• Auch fragmentarische Backups können wertvoll sein

3. Forensische RAM-Analyse Wenn das betroffene System nicht heruntergefahren wurde, kann sich der Verschlüsselungsschlüssel noch im Arbeitsspeicher befinden. IT-Forensiker können den RAM sichern und den Schlüssel extrahieren. Dies ist zeitkritisch und erfordert spezialisiertes Know-how. Mehr dazu unter Was ist IT-Forensik und wann wird sie eingesetzt?.

4. Cloud-Versionierung Dienste wie OneDrive, Dropbox und Google Drive speichern Dateiversionen. Wenn die Ransomware synchronisierte Dateien verschlüsselt hat, können Sie möglicherweise über die Versionierung auf die unverschlüsselten Originale zugreifen.

5. Professionelle Datenrettung Spezialisierte Datenrettungslabore verfügen über Methoden, die über die genannten Standardverfahren hinausgehen:

• Dateisystem-Forensik: Rekonstruktion von gelöschten oder überschriebenen Dateien auf Blockebene
• Analyse nicht verschlüsselter Bereiche: Manche Ransomware verschlüsselt nicht alle Dateitypen oder überspringt große Dateien
• Rekonstruktion aus temporären Dateien: Viele Anwendungen erzeugen temporäre Kopien, die unter Umständen nicht verschlüsselt wurden

Details zur forensischen Rekonstruktion finden Sie unter Können manipulierte oder gelöschte Daten rekonstruiert werden?.

Wo und wie erstattet man Anzeige nach einem Ransomware-Angriff?

Die Strafanzeige ist nicht nur eine rechtliche Pflicht in vielen Fällen, sondern dient auch der Ermittlungsarbeit und kann anderen Opfern helfen:

Anlaufstellen in Deutschland:

• Zentrale Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter – jedes Bundesland hat eine eigene Stelle
• Bundesamt für Sicherheit in der Informationstechnik (BSI) – für Meldungen und Unterstützung bei IT-Sicherheitsvorfällen
• Bundeskriminalamt (BKA) – bei schwerwiegenden Angriffen auf kritische Infrastruktur

DSGVO-Meldepflichten: Wenn personenbezogene Daten betroffen sind, besteht nach Art. 33 DSGVO eine Meldepflicht an die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Bei hohem Risiko für betroffene Personen müssen auch diese nach Art. 34 DSGVO benachrichtigt werden.

Was Sie der Polizei mitteilen sollten:

• Art und Variante der Ransomware (wenn bekannt)
• Zeitpunkt der Entdeckung und vermuteter Infektionszeitpunkt
• Betroffene Systeme und Datentypen
• Höhe der Lösegeldforderung und Zahlungsaufforderung
• Ob Daten exfiltriert wurden (Double Extortion)
• Screenshots und Logdateien als Beweismaterial

Tipp: Die Erstattung einer Strafanzeige kann auch bei Versicherungsansprüchen relevant sein. Viele Cyberversicherungen verlangen eine polizeiliche Meldung als Voraussetzung für die Schadensregulierung.

Wie läuft die professionelle Incident Response ab?

Bei einem schweren Ransomware-Vorfall sollten professionelle Incident-Response-Spezialisten hinzugezogen werden. Der Ablauf folgt einem strukturierten Prozess:

Phase 1: Eindämmung (Containment)

• Sofortige Isolierung betroffener Systeme
• Identifikation des Angriffsvektors (Wie sind die Angreifer eingedrungen?)
• Überprüfung, ob die Verschlüsselung noch aktiv ist
• Sicherung aller Beweise für die forensische Analyse

Phase 2: Analyse und Forensik

• Identifikation der Ransomware-Variante und -Version
• Bestimmung des Infektionszeitpunkts und des Ausbreitungswegs
• Prüfung, ob Daten exfiltriert wurden
• Suche nach Entschlüsselungsmöglichkeiten (RAM-Dump, bekannte Schwachstellen)
• Bewertung der Backup-Integrität

Phase 3: Wiederherstellung (Recovery)

• Bereinigung aller kompromittierten Systeme
• Neuaufbau der IT-Infrastruktur aus vertrauenswürdigen Quellen
• Wiederherstellung der Daten aus Backups, Schattenkopien oder durch Entschlüsselung
• Schrittweise Wiederinbetriebnahme unter Überwachung

Phase 4: Nachbereitung (Lessons Learned)

• Dokumentation des gesamten Vorfalls
• Identifikation und Schließung der ausgenutzten Schwachstellen
• Anpassung der Sicherheitsmaßnahmen
• Überarbeitung des Backup-Konzepts

Wie eine professionelle Datenrettung im Detail abläuft, erfahren Sie unter Wie läuft eine professionelle Datenrettung ab?.

Wie erkennt man einen seriösen Anbieter für Ransomware-Hilfe?

Im Bereich der Ransomware-Hilfe gibt es leider auch unseriöse Anbieter. Achten Sie auf folgende Qualitätsmerkmale:

Seriöse Anbieter erkennen:

• Transparente Preisgestaltung: Kein seriöser Anbieter verspricht eine garantierte Entschlüsselung zu einem Festpreis
• Keine Lösegeldzahlung als Dienstleistung: Einige Anbieter zahlen heimlich das Lösegeld und geben die Entschlüsselung als eigene Leistung aus – das ist unseriös
• IT-forensische Kompetenz: Der Anbieter sollte über nachweisbare Erfahrung in IT-Forensik und Incident Response verfügen
• Zusammenarbeit mit Behörden: Seriöse Anbieter kooperieren mit Strafverfolgungsbehörden und empfehlen die Erstattung einer Anzeige
• Realistische Einschätzung: Ein guter Anbieter wird Ihnen ehrlich sagen, wenn eine Wiederherstellung nicht möglich ist

Warnzeichen für unseriöse Anbieter:

• Garantie der vollständigen Datenwiederherstellung
• Extrem niedrige Preise
• Druck zu schneller Entscheidung
• Keine nachweisbare Expertise oder Referenzen
• Abratung von einer Strafanzeige

Allgemeine Kriterien für die Auswahl eines Datenretters finden Sie unter Woran erkennt man einen seriösen Datenretter?.

Wie schützt man sich vor zukünftigen Ransomware-Angriffen?

Nach einem Ransomware-Angriff ist die Wahrscheinlichkeit eines erneuten Angriffs erhöht. Umfassende Prävention ist daher unverzichtbar:

Sofortige Maßnahmen nach dem Vorfall:

• Alle Passwörter im gesamten Unternehmen ändern (insbesondere Admin-Konten, Active Directory)
• Multi-Faktor-Authentifizierung (MFA) für alle Remote-Zugänge und Admin-Konten aktivieren
• Alle Systeme auf den neuesten Patch-Stand bringen
• RDP-Zugänge absichern oder deaktivieren

Langfristige Schutzmaßnahmen:

• Implementierung einer 3-2-1-1-0-Backup-Strategie mit Offline-Kopien
• Einführung von Endpoint Detection and Response (EDR) auf allen Systemen
• Netzwerksegmentierung zur Begrenzung der lateralen Ausbreitung
• Regelmäßige Phishing-Schulungen für alle Mitarbeiter
• Einrichtung eines Security Operations Center (SOC) oder Beauftragung eines Managed-Security-Dienstleisters
• Regelmäßige Penetrationstests zur Identifikation von Schwachstellen
• Etablierung eines getesteten Incident-Response-Plans

Eine detaillierte Anleitung zur Ransomware-Prävention finden Sie in unserem Artikel Wie kann man sich effektiv vor Ransomware schützen?.

Kosten eines Ransomware-Angriffs im Überblick:

Die Investition in Prävention ist immer günstiger als die Bewältigung eines erfolgreichen Angriffs.

Tipp: Ihre Daten wurden durch Ransomware verschlüsselt und Sie benötigen professionelle Hilfe? Angebot für Datenrettung anfragen – spezialisierte Labore prüfen alle verfügbaren Wiederherstellungsoptionen, bevor eine Zahlung überhaupt in Betracht gezogen wird.