Sie sind gerade Opfer eines Angriffs? Rufen Sie uns sofort an: 0151 61673055. Schnelles Handeln in den ersten Minuten entscheidet darüber, wie viele Daten gerettet werden können.

Ransomware ist die teuerste Bedrohung für kleine und mittlere Unternehmen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) war Ransomware in den letzten Jahren der häufigste Grund für den Totalausfall von Unternehmens-IT. Besonders hart trifft es Handwerksbetriebe und KMU, die oft keine dedizierte IT-Abteilung haben.

In diesem Artikel zeigen wir Ihnen, was Sie in den ersten Minuten und Stunden nach einem Angriff tun müssen – und was Sie auf keinen Fall tun sollten. Außerdem erklären wir, wie Sie sich mit den richtigen Sicherheitsmaßnahmen dauerhaft schützen.

Was ist Ransomware überhaupt?

Ransomware (aus dem Englischen: ransom = Lösegeld) ist Schadsoftware, die alle erreichbaren Dateien auf Ihrem PC, Server und Netzlaufwerken verschlüsselt. Ohne den passenden Schlüssel – den nur die Angreifer besitzen – sind diese Daten wertloser Datenmüll. Anschließend fordern die Täter ein Lösegeld, meist in Bitcoin, für die Herausgabe des Schlüssels.

Der häufigste Einfallsweg: Eine einzige Phishing-Mail, auf deren Anhang oder Link ein Mitarbeiter klickt. In Sekunden beginnt die Verschlüsselung, die sich unbemerkt durch das gesamte Netzwerk frisst – oft nachts oder am Wochenende, wenn niemand am Rechner sitzt.

Die realen Kosten eines Angriffs

3–14
Tage durchschnittlicher Betriebsausfall
50.000€
Durchschnittlicher Schaden bei KMU
40%
Der Opfer zahlen – erholen ihre Daten aber oft nicht
60%
Der Angriffe starten mit einer Phishing-Mail

Die 7 Sofortmaßnahmen nach einem Angriff

Die ersten 15 Minuten sind entscheidend. Jede Sekunde, in der die Ransomware weiter läuft, werden mehr Daten verschlüsselt. Handeln Sie nach diesem Plan:

1

Netzwerkverbindung sofort trennen Sofort

Ziehen Sie das Netzwerkkabel aller betroffenen Rechner und deaktivieren Sie WLAN. Fahren Sie den Router nicht aus – Sie brauchen ihn später für die Analyse. Trennen Sie auch NAS-Geräte und externe Festplatten vom Netz. Jedes verbundene Gerät ist ein potenzielles nächstes Ziel.

2

Rechner NICHT ausschalten Wichtig

Entgegen dem Instinkt: Schalten Sie infizierte PCs nicht aus. Im Arbeitsspeicher können sich noch unverschlüsselte Informationen befinden, die forensische Analysten auslesen können. Nur wenn der Rechner sich selbst weiter verschlüsselt und noch nicht gestoppt wurde, ist ein Neustart sinnvoll – aber fragen Sie vorher einen Experten.

3

IT-Experten kontaktieren

Rufen Sie sofort professionelle Hilfe. Als IT-Dienstleister im Rhein-Sieg-Kreis sind wir unter 0151 61673055 erreichbar. Ein erfahrener IT-Forensiker kann oft noch laufende Verschlüsselung stoppen, den Angriffsvektor bestimmen und die Wiederherstellung koordinieren.

Notieren Sie sich jetzt unsere Nummer: 0151 61673055 – oder speichern Sie sie als „IT-Notfall". Im Ernstfall ist jede Sekunde wertvoll.
4

Polizei und BSI informieren

Erstatten Sie Anzeige bei der Polizei – auch wenn Sie wenig Hoffnung auf Strafverfolgung haben. Viele Stellen haben spezialisierte Cybercrime-Einheiten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet unter 0800 274 1000 kostenlose Erstberatung an. Bei Datenschutzverletzungen (gestohlene Kundendaten) besteht außerdem eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden.

5

Backup prüfen und sichern

Prüfen Sie sofort, ob Ihre Backup-Lösung intakt ist. Professionelle Backups nach der 3-2-1-Strategie sollten außerhalb des Netzwerks liegen und von der Ransomware nicht erreichbar sein. Offline-Backups auf externen Festplatten oder in der Cloud (mit Versionierung) sind oft der einzige Weg zur Wiederherstellung ohne Datenverlust.

Wichtig: Stellen Sie Backups erst auf saubere, neu aufgesetzte Systeme wieder her. Eine Wiederherstellung auf infizierte Systeme führt sofort zur erneuten Verschlüsselung.
6

Kein Lösegeld zahlen Niemals

Dies ist der wichtigste Punkt. Zahlen Sie unter keinen Umständen. Erstens garantiert eine Zahlung nicht, dass Sie den Entschlüsselungs-Code erhalten – rund 40 % der zahlenden Opfer bekommen ihre Daten trotzdem nicht zurück. Zweitens finanzieren Sie damit weitere Angriffe auf andere Unternehmen. Drittens geraten Sie in die Datenbank der Angreifer als „zahlungswillig" und werden mit hoher Wahrscheinlichkeit erneut angegriffen.

7

Systeme neu aufsetzen und dokumentieren

Nach einem Angriff sollten alle betroffenen Systeme vollständig neu aufgesetzt werden – ein Entfernen der Schadsoftware reicht nicht. Angreifer hinterlassen oft sogenannte Backdoors für spätere Zugriffe. Dokumentieren Sie den Vorfall sorgfältig: Zeitstempel, betroffene Systeme, mögliche Einfallstore. Diese Dokumentation hilft bei der Strafverfolgung und der Meldung an Versicherungen.

So schützen Sie sich dauerhaft

Der beste Schutz vor Ransomware ist Prävention. Kein System ist zu 100 % sicher, aber mit den richtigen Maßnahmen machen Sie Ihren Betrieb zu einem unattraktiven Ziel:

3-2-1-Backup-Strategie Täglich automatisch, offline gespeichert, von der Schadsoftware nicht erreichbar. Mehr zu Backup-Lösungen
Managed Antivirus Zentral überwachter Schutz auf allen Geräten – wir sehen Alarme in Echtzeit. Zur IT-Sicherheit
Regelmäßige Updates Patches für Windows und Software schließen aktiv ausgenutzte Lücken. IT-Wartung anfragen
Starke Passwörter + MFA Passwort-Manager und Zwei-Faktor-Authentifizierung stoppen die meisten Angriffe.
Mitarbeiterschulung Phishing-Mails erkennen ist die wichtigste Abwehr. Ein kurzes Briefing reicht oft aus.
IT-Sicherheitscheck Wo sind Ihre größten Lücken? Kostenloser 2-Minuten-Check

Fazit: Vorbereitung schlägt Reaktion

Ein Ransomware-Angriff ist kein „Ob", sondern ein „Wann". Die gute Nachricht: Mit den richtigen Maßnahmen – vor allem einem soliden Backup und einem professionellen IT-Schutz – können Sie den Schaden auf ein Minimum begrenzen und Ihren Betrieb innerhalb von Stunden statt Wochen wiederherstellen.

Ihre Notfall-Checkliste

  • Netzwerkkabel ziehen – alle betroffenen Geräte isolieren
  • Rechner NICHT ausschalten (Forensik!)
  • IT-Experten anrufen: 0151 61673055
  • Polizei informieren, Anzeige erstatten
  • Backup prüfen – ist es intakt und offline gesichert?
  • Kein Lösegeld zahlen
  • Systeme neu aufsetzen, nicht nur bereinigen

Jetzt IT-Sicherheitscheck machen – kostenlos

Daniel Melhaf – M&G Services IT-Dienstleister für Handwerk & KMU im Rhein-Sieg-Kreis. Wir helfen Betrieben in Siegburg, Troisdorf, Sankt Augustin und Bonn, ihre IT sicher aufzustellen – bevor der Ernstfall eintritt.
Zurück zum Blog Nächster Artikel: 5 IT-Fehler