· Ratgeber  · 3 Min. Lesezeit

IT-Notfall Ransomware: die ersten 60 Minuten

Dateien verschlüsselt, Erpresser-Meldung auf dem Bildschirm. Was Sie in der ersten Stunde tun sollten, was Sie unbedingt lassen sollten, und wie es danach weitergeht.

Dateien verschlüsselt, Erpresser-Meldung auf dem Bildschirm. Was Sie in der ersten Stunde tun sollten, was Sie unbedingt lassen sollten, und wie es danach weitergeht.

Der Moment ist immer gleich: Dateien lassen sich nicht mehr öffnen, auf dem Bildschirm erscheint eine Erpresser-Meldung, in der Praxis oder im Betrieb geht nichts mehr. Was in der ersten Stunde passiert, entscheidet mit darüber, wie groß der Schaden am Ende wird. Hier ist der Ablauf, den ich Ihnen für diesen Fall empfehle, bewusst als zeitliche Abfolge.

Minute 0–10: Trennen statt Panik

Das Wichtigste zuerst: Ruhe bewahren und die Ausbreitung stoppen.

  1. Betroffene Geräte vom Netz trennen: Netzwerkkabel ziehen, WLAN deaktivieren. Ransomware verbreitet sich über das Netzwerk, jede Minute am Netz kann weitere Systeme kosten.
  2. Geräte nicht ausschalten und nichts löschen. Das klingt kontraintuitiv, ist aber wichtig: Auf den laufenden Systemen liegen Spuren und Beweise, die für die Aufklärung gebraucht werden. Wer hektisch herunterfährt, formatiert oder aufräumt, zerstört genau diese Spuren.
  3. Nicht auf die Erpresser-Meldung reagieren und nichts zahlen.

Wenn Sie unsicher sind, welche Geräte betroffen sind: im Zweifel trennen. Ein zu Unrecht getrenntes Gerät ist schnell wieder verbunden, ein zusätzlich verschlüsseltes nicht.

Minute 10–30: Überblick verschaffen und Hilfe holen

Jetzt geht es darum, die Lage zu ordnen, nicht, sie selbst zu reparieren.

  • Rufen Sie Ihren IT-Dienstleister an, sofort, nicht erst nach Feierabend. Am Telefon lässt sich einschätzen, wie akut die Lage ist und was als Nächstes passiert. So handhabe ich das auch: telefonische Ersteinschätzung, dann Priorisierung.
  • Notieren Sie, was Sie wissen: Wann ist es aufgefallen? Welche Geräte zeigen die Meldung? Was wurde bereits getan? Diese Dokumentation wirkt banal, ist aber später Gold wert, für die Aufklärung ebenso wie für eventuelle Meldungen.
  • Informieren Sie Ihr Team, damit niemand betroffene Geräte weiterbenutzt oder gut gemeint „aufräumt”.

Minute 30–60: Weichen für die Wiederherstellung stellen

In der zweiten halben Stunde geht es um zwei Fragen, die über die nächsten Tage entscheiden:

  • Wie steht es um das Backup? Gibt es eine Sicherung, die von der Ransomware nicht erreicht wurde? Genau hier zeigt sich, warum ein getestetes, unveränderliches Backup entscheidend ist. Der saubere Weg zurück in den Betrieb führt über die Wiederherstellung aus einem geprüften Backup, nicht über Verhandlungen mit Erpressern. Wie so eine Sicherung aussehen sollte, beschreibe ich auf der Seite Backup & Datensicherung.
  • Sind personenbezogene Daten betroffen? Dann können DSGVO-Meldepflichten gelten. Die Dokumentation des Vorfalls übernehme ich, die rechtliche Bewertung gehört zu einem Anwalt oder Datenschutzbeauftragten. Dieser Beitrag ersetzt keine Rechtsberatung.

Danach beginnt die eigentliche Arbeit nach einem festen Ablauf: eindämmen, wiederherstellen, Ursache klären, absichern, dokumentieren. Ruhig und in der richtigen Reihenfolge, damit Sie kontrolliert wieder arbeitsfähig sind.

Was Sie auf keinen Fall tun sollten

  • Lösegeld zahlen. Sie finanzieren damit die Täter und haben keine Gewähr, Ihre Daten wiederzusehen.
  • Systeme löschen oder neu aufsetzen, bevor Spuren gesichert sind.
  • Einfach weiterarbeiten und hoffen, dass es nur ein Gerät betrifft.
  • Tagelang warten, bevor Sie Hilfe holen.

Ehrlich: Was ich leisten kann, und was nicht

Ich bin ein persönlicher, regionaler Dienstleister an der Bergstraße und im Odenwald, keine anonyme 24/7-Hotline. Ich verspreche keine Rund-um-die-Uhr-Garantie, sondern schnelle, verlässliche Reaktion in den Geschäftszeiten. Bestandskunden mit Wartungsvertrag werden im Notfall bevorzugt behandelt, weil ich ihre Systeme kenne und sofort handlungsfähig bin. Ohne laufenden Vertrag helfe ich, soweit meine Kapazität es zulässt, nach Aufwand. Und ich gebe keine Garantie auf vollständige Datenrettung, das hängt von der Backup-Lage und vom Schaden ab.

Nach dem Notfall: dafür sorgen, dass es der letzte war

Der beste Notfall ist der, der nicht passiert. Nach der Wiederherstellung gehört die Ursache geschlossen: saubere Netzwerk-Absicherung, zum Beispiel mit einer OPNsense-Firewall, dazu ein Backup mit getestetem Restore und laufende Betreuung. Mit dieser Kombination sind Sie im Ernstfall oft in Stunden statt Tagen wieder arbeitsfähig.

Im Notfall zählt jede Minute: Rufen Sie an. Wie meine Soforthilfe abläuft und wann ein Fall wirklich ein Notfall ist, lesen Sie auf der Seite IT-Notfall & Soforthilfe.

Alex Jabi, Jabi IT

Alex Jabi

Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.

Mehr über mich
Zurück zum Ratgeber