Artikel vom 24. Februar 2026
Incident Response bei Ransomware: Wer macht was?
IR-Team-Struktur: Wer sitzt im Raum? #
1. Incident Commander (IC) #
Wer? Eine Person mit Entscheidungsbefugnis (oft: IT-Leiter, CISO, oder Geschäftsführer)
Verantwortlichkeiten:
- Leitet das gesamte Incident Response
- Trifft finale Entscheidungen (löschen wir alle Backups und bauen neu auf, oder recovern wir?)
- Koordiniert intern und extern
- Informiert die Geschäftsführung
- Eskaliert Entscheidungen nach oben (wenn nötig)
Meetings: IC leitet tägliche Stand-ups (10:00, 14:00, 18:00) mit dem ganzen Team
2. IT-Forensik-Team #
Wer? IT-Sicherheits-Profis, externe Forensik-Firma (empfohlen)
Verantwortlichkeiten:
- Beweissicherung (forensische Kopien der Systeme)
- Angriffs-Timeline rekonstruieren (wann kam rein? über welchen Vector?)
- Malware-Analyse (welche Ransomware? Welche Gruppe?)
- Schwachstellen identifizieren (wie konnte es passieren?)
- Recovery-Vorbereitung (welche Backups sind sauber? Welche systeme betroffen?)
Tools: EnCase, FTK, Velociraptor, Splunk
Zeittabelle: Parallel zur Recovery starten, nicht danach
3. IT-Recovery-Team #
Wer? Backup-Administrator, Systemadministratoren
Verantwortlichkeiten:
- Recovery durchführen (Backups wiederherstellen)
- Systeme validieren (funktioniert es?)
- Netzwerk-Wiederaufbau (falls Netzwerk-Segmentierung kaputt)
- Monitoring reaktivieren (E, SIEM, Intrusion Detection)
Tools: Veeam, Commvault, Silent Brick, Tape-Laufwerk
Zeittabelle: Startet sofort nach Phase 1 (Isolation)
4. Legal/Compliance-Team #
Wer? Interne Rechtsabteilung oder externer Cyber-Anwalt
Verantwortlichkeiten:
- NIS2-Meldepflichten (72h an BSI)
- -Meldung (falls Personendaten betroffen)
- Versicherungs-Koordination
- Behörden-Kommunikation
- Risiko-Beurteilung (Lösegeld zahlen? Strafrechtliches Risiko?)
Kontakte: BSI CERT-Bund, Landesamt für Datenschutz, Cyber-Versicherung
Zeittabelle: Wird sofort informiert (parallel zu Forensik/Recovery)
5. Kommunikations-Team #
Wer? PR, Geschäftsführung, eventuell externe PR-Agentur
Verantwortlichkeiten:
- Interne Kommunikation (Mitarbeiter informieren)
- Externe Kommunikation (Kunden, Partner, Medien)
- Messaging erarbeiten (“Ja, wir wurden angegriffen, aber hier sind unsere Maßnahmen”)
- Vertrauens-Management
- Reputations-Schutz
Wichtig: Alle Kommunikation sollte mit Legal abgestimmt sein (keine juristische Fallstricke)
Zeittabelle: Nach Phase 1 (Isolation), wenn Status klar
6. Finanz/Versicherungs-Team #
Wer? CFO, Versicherungs-Manager
Verantwortlichkeiten:
- Kosten-Tracking (wer zahlt wofür?)
- Versicherungs-Anspruch stellen
- Budget für Recovery freigeben
- Geschäftsverlust quantifizieren (für Versicherung + Forensik-Report)
Dokumente: Cyber-Versicherungs-Police, Schadenmeldung-Formular
Externe Partner und deren Rolle #
1. Cybersicherheits- und Forensik-Firma #
Wann? Sofort, spätestens innerhalb 6 Stunden
Was tun?
- Forensische Analyse durchführen
- Malware-Variante identifizieren
- Angreifer-Attribution (wer hat es gemacht?)
- Recovery-Empfehlungen geben
- Versicherungs-Report schreiben
Kosten: 5.000 – 50.000 EUR (je nach Komplexität)
Beispiele: Mandiant (Google Cloud), CrowdStrike, Deloitte Forensics
Tipp: Im Voraus mit einer Firma einen Retainer-Vertrag abschließen (schnellere Einbindung).
2. Cyber-Versicherungs-Broker #
Wann? Sofort, parallel zu Forensik
Was tun?
- Schadenmeldung koordinieren
- Externe Experten koordinieren (die Versicherung oft bezahlt)
- Kostenfeststellung
- Verhandlung mit Versicherer
Kosten: Kostenlos (der Broker wird von Versicherer bezahlt)
Wichtig: Der Broker kann oft bessere externe Partner organisieren als Sie selbst.
3. BSI CERT-Bund #
Wann? Bei Meldepflicht (NIS2) innerhalb 72h
Was tun?
- Threat Intelligence teilen
- Technische Beratung geben
- Koordination mit anderen Behörden
- Informationen über Angreifer-Gruppen
Kontakt: https://www.bsi.bund.de/nis/ (Melde-Portal)
Wichtig: Meldung ist anonym möglich (Ihr Name wird nicht publik)
4. Strafverfolgungsbehörden #
Wann? Wenn Double-Extortion (Daten-Leak droht) oder bei großem Schaden
Was tun?
- Ermittlungen einleiten
- Angreifer-Gruppen verfolgen (international über Interpol)
- Daten-Leak verhindern (DarkWeb-Monitoring)
- Lösegeld-Verhandlungen koordinieren (falls nötig)
Kontakte:
- Bundesamt für Sicherheit (BKA)
- Landeskriminalamt (LKA)
- Cybercrime-Abteilungen der Polizei
Wichtig: Mit Strafverfolgung kommunizieren ist wichtig, kann aber Lösegeld-Verhandlungen komplizieren (legal Gray-Zone).
5. Incident Response Retainer Service #
Option: Ein IR-Team schon vor dem Angriff unter Retainer haben
Vorteile:
- Schneller Zugriff (im Notfall sofort verfügbar)
- Team kennt Ihre Infrastruktur (Pre-Incident Assessment)
- Bessere Antwortzeit (24h vs. 72h)
Kosten: 5.000 – 15.000 EUR/Monat (Retainer-Gebühr) + Incident-Kosten
Empfehlung: Für Unternehmen > 100 MA oder > 20 Mio. EUR Umsatz
Rollen und Verantwortlichkeiten: Detailmatrix #
| Rolle | Entscheidung | Aktion | Kommunikation |
|---|---|---|---|
| **Incident Commander** | Lösegeld zahlen? Netzwerk-Shutdown? Extern Partner? | Leitet Recovery | GF, Board, externe Partner |
| **IT-Forensik** | — | Sammelt Beweise, analysiert | IC, Recovery-Team |
| **IT-Recovery** | Reihenfolge der Recovery-Systeme | Stellt wieder her | IC, Forensik |
| **Legal** | NIS2-Meldepflicht? Versicherungs-Anspruch? | Koordiniert Meldungen | Behörden, Versicherer, IC |
| **Kommunikation** | Wann informieren wir Mitarbeiter/Kunden? | Verfasst Nachrichten | Mitarbeiter, Kunden, Medien |
| **Finanzen** | Budget für externe Partner freigeben? | Kostenverfolgung | IC, Geschäftsführung |
Beispiel-Tagesablauf beim Angriff (Tag 1) #
06:00 — Ransomware bemerkt #
- IC wird angerufen: “Wir haben ein Sicherheitsproblem”
- IC aktiviert: Alle IR-Team-Mitglieder (SMS/Anruf)
- Forensik-Firma wird angerufen: “Wir brauchen sofort Unterstützung”
06:30 — Erstes IR-Treffen (virtuell, 30 Min) #
- IC: “Status?”
- IT: “Domain ist offline, Fileserver encrypted. Backups offline (Air Gap).”
- Forensik: “Wir kommen rein, bringen Full Incident Response Setup mit.”
- Legal: “Brauchen wir BSI-Meldung? Versicherer informieren?”
- Kommunikation: “Wann informieren wir Mitarbeiter?”
Decisions:
- IC: Netzwerk vollständig isolieren (Decision: JA)
- Legal: BSI-Meldung vorbereiten (Frist: 72h)
- Forensik: Start vor Ort (1 – 2h Anfahrt)
- Recovery: Bereite Recovery-Umgebung vor (parallel)
08:00 — IT-Isolation abgeschlossen #
- Infizierte Systeme offline
- Backups überprüft (okay)
- E-Scans laufen
- Forensik trifft ein und startet Beweissicherung
10:00 — 2. IR-Standup #
- Forensik: “Preliminary: Ransomware-Variante ist LockBit 3.0”
- IT: “Recovery-Umgebung vorbereitet, starte Domänen-Recovery um 14:00”
- Legal: “BSI-Meldepflicht bestätigt, Versicherer informiert”
- Kommunikation: “Mitarbeiter-Nachricht geplant für 12:00 (allgemein gehalten)”
14:00 — Recovery startet #
- Domain Controller Restore beginnt
- Parallel: Forensik-Analyse läuft weiter
18:00 — 3. IR-Standup #
- Recovery: “Domain Controller online, User können sich anmelden”
- Forensik: “Angreifer kam über Phishing-E-Mail rein vor 3 Wochen”
- IT: “E‑Mail-Recovery morgen früh”
- Legal: “Vorbereitung für Behörden-Meldung morgen”
Day 1 Ende: Außerhalb stabile Situation, Recovery läuft, Forensik findet Details
Meldepflichten: Zeitplan und Contacts #
72-Stunden-Meldungen (falls NIS2 betroffen) #
An BSI:
- Frist: 72 Stunden nach Entdeckung
- Kanal: https://www.bsi.bund.de/nis/
- Inhalt: Art des Vorfalls, betroffene Systeme, vorläufige Auswirkungen
An Datenschutz-Behörde (falls Personendaten):
- Frist: 72 Stunden nach Entdeckung ( Art. 33)
- Kanal: Landesamt für Datenschutz des Bundeslandes
- Inhalt: Art der Daten, mutmaßliche Betroffen-Zahl, Maßnahmen
Weitere Meldungen #
An Versicherer:
- Sofort (nicht 72h)
- Schadenmeldungs-Formular ausfüllen
- Forensik-Report beilegen (später)
An Kunden (falls Double-Extortion):
- Zeitplan abhängig von Policy
- Transparent kommunizieren (“Ja, wir wurden angegriffen, hier unsere Maßnahmen”)
Häufige Fragen #
Sollte der CEO im IR-Team sitzen? Nicht zwingend täglich, aber täglich zur Briefing (10 – 15 Min). CEO muss “im Bild” sein für finale Entscheidungen (Lösegeld? Öffentliche Meldung?).
Wann engagieren wir externe Forensik-Firma? Sofort. Die internen IT-Teams brauchen ihre volle Kapazität für Recovery. Forensik braucht externe Augen (unvoreingenommen, unabhängig).
Kann ich das kostenlos von der Polizei machen lassen? Nein. Die Polizei kommt, ermittelt, aber bezahlt nicht für Forensik. Versicherung oft zahlt externe Forensik.
Wer entscheidet, Lösegeld zu zahlen? Gemeinsame Entscheidung: CEO (Business-Risiko), Legal (Gesetze), IC (technische Machbarkeit). Versicherer kann miteinander über Bedingungen reden. Es ist oft ethisch und legal komplex.
Checkliste: IR-Team aufbauen #
- [ ] IC benannt (wer hat letzte Entscheidungsbefugnis?)
- [ ] IT-Forensik-Partner identified (wer wir anrufen im Ernstfall?)
- [ ] IT-Recovery-Team benannt (wer macht Recovery?)
- [ ] Legal/Compliance-Kontakt identifiziert
- [ ] Kommunikations-Verantwortlicher benannt
- [ ] Cyber-Versicherungs-Police vorhanden (mit IR-Support?)
- [ ] BSI-Kontakt in die Kontaktliste (https://www.bsi.bund.de/)
- [ ] Retainer-Vertrag mit Forensik-Firma (optional, aber empfohlen)
- [ ] IR-Plan schriftlich dokumentiert (nicht in Köpfen!)
- [ ] IR-Übung durchführen (mock incident, 1x/Jahr)
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).