--- title: "Incident Response bei Ransomware: Wer macht was?" date: 2026-02-24T15:10:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/incident-response-bei-ransomware-wer-macht-was" section: "Entries: Articles" --- ### IR-Team-Struk­tur: Wer sitzt im Raum? [\#](#ir-team-struktur-wer-sitzt-im-raum "IR-Team-Struktur: Wer sitzt im Raum?") #### 1. Inci­dent Com­man­der (IC) [\#](#1-incident-commander-ic "1. Incident Commander (IC)") **Wer?** Eine Per­son mit Ent­schei­dungs­be­fug­nis (oft: IT-Lei­ter, CISO, oder Geschäftsführer) **Ver­ant­wort­lich­kei­ten:** - Lei­tet das gesam­te Inci­dent Response - Trifft fina­le Ent­schei­dun­gen (löschen wir alle Back­ups und bau­en neu auf, oder reco­vern wir?) - Koor­di­niert intern und extern - Infor­miert die Geschäftsführung - Eska­liert Ent­schei­dun­gen nach oben (wenn nötig) **Mee­tings:** IC lei­tet täg­li­che Stand-ups (10:00, 14:00, 18:00) mit dem gan­zen Team #### 2. IT-Foren­sik-Team [\#](#2-it-forensik-team "2. IT-Forensik-Team") **Wer?** IT-Sicher­heits-Pro­fis, exter­ne Foren­sik-Fir­ma (emp­foh­len) **Ver­ant­wort­lich­kei­ten:** - Beweis­si­che­rung (foren­si­sche Kopien der Systeme) - Angriffs-Time­line rekon­stru­ie­ren (wann kam rein? über wel­chen Vector?) - Mal­wa­re-Ana­ly­se (wel­che Ran­som­wa­re? Wel­che Gruppe?) - Schwach­stel­len iden­ti­fi­zie­ren (wie konn­te es passieren?) - Reco­very-Vor­be­rei­tung (wel­che Back­ups sind sau­ber? Wel­che sys­te­me betroffen?) **Tools:** EnCa­se, FTK, Velo­ci­rap­tor, Splunk **Zeit­ta­bel­le:** Par­al­lel zur Reco­very star­ten, nicht danach #### 3. IT-Reco­very-Team [\#](#3-it-recovery-team "3. IT-Recovery-Team") **Wer?** Back­up-Admi­nis­tra­tor, Systemadministratoren **Ver­ant­wort­lich­kei­ten:** - Reco­very durch­füh­ren (Back­ups wiederherstellen) - Sys­te­me vali­die­ren (funk­tio­niert es?) - Netz­werk-Wie­der­auf­bau (falls Netz­werk-Seg­men­tie­rung kaputt) - Moni­to­ring reak­ti­vie­ren (EDR, SIEM, Intru­si­on Detection) **Tools:** Vee­am, Commv­ault, Silent Brick, Tape-Laufwerk **Zeit­ta­bel­le:** Star­tet sofort nach Pha­se 1 (Iso­la­ti­on) #### 4. Legal/­Com­pli­ance-Team [\#](#4-legal-compliance-team "4. Legal/Compliance-Team") **Wer?** Inter­ne Rechts­ab­tei­lung oder exter­ner Cyber-Anwalt **Ver­ant­wort­lich­kei­ten:** - NIS2-Mel­de­pflich­ten (72h an BSI) - DSGVO-Mel­dung (falls Per­so­nen­da­ten betroffen) - Ver­si­che­rungs-Koor­di­na­ti­on - Behör­den-Kom­mu­ni­ka­ti­on - Risi­ko-Beur­tei­lung (Löse­geld zah­len? Straf­recht­li­ches Risiko?) **Kon­tak­te:** BSI CERT-Bund, Lan­des­amt für Daten­schutz, Cyber-Versicherung **Zeit­ta­bel­le:** Wird sofort infor­miert (par­al­lel zu Forensik/​Recovery) #### 5. Kom­mu­ni­ka­ti­ons-Team [\#](#5-kommunikations-team "5. Kommunikations-Team") **Wer?** PR, Geschäfts­füh­rung, even­tu­ell exter­ne PR-Agentur **Ver­ant­wort­lich­kei­ten:** - Inter­ne Kom­mu­ni­ka­ti­on (Mit­ar­bei­ter informieren) - Exter­ne Kom­mu­ni­ka­ti­on (Kun­den, Part­ner, Medien) - Mes­sa­ging erar­bei­ten (“Ja, wir wur­den ange­grif­fen, aber hier sind unse­re Maßnahmen”) - Ver­trau­ens-Manage­ment - Repu­ta­ti­ons-Schutz **Wich­tig:** Alle Kom­mu­ni­ka­ti­on soll­te mit Legal abge­stimmt sein (kei­ne juris­ti­sche Fallstricke) **Zeit­ta­bel­le:** Nach Pha­se 1 (Iso­la­ti­on), wenn Sta­tus klar #### 6. Finan­z/­Ver­si­che­rungs-Team [\#](#6-finanz-versicherungs-team "6. Finanz/Versicherungs-Team") **Wer?** CFO, Versicherungs-Manager **Ver­ant­wort­lich­kei­ten:** - Kos­ten-Track­ing (wer zahlt wofür?) - Ver­si­che­rungs-Anspruch stellen - Bud­get für Reco­very freigeben - Geschäfts­ver­lust quan­ti­fi­zie­ren (für Ver­si­che­rung + Forensik-Report) **Doku­men­te:** Cyber-Ver­si­che­rungs-Poli­ce, Schadenmeldung-Formular --- ### Exter­ne Part­ner und deren Rol­le [\#](#externe-partner-und-deren-rolle "Externe Partner und deren Rolle") #### 1. Cyber­si­cher­heits- und Foren­sik-Fir­ma [\#](#1-cybersicherheits-und-forensik-firma "1. Cybersicherheits- und Forensik-Firma") **Wann?** Sofort, spä­tes­tens inner­halb 6 Stunden **Was tun?** - Foren­si­sche Ana­ly­se durchführen - Mal­wa­re-Vari­an­te identifizieren - Angrei­fer-Attri­bu­ti­on (wer hat es gemacht?) - Reco­very-Emp­feh­lun­gen geben - Ver­si­che­rungs-Report schreiben **Kos­ten:** 5.000 – 50.000 EUR (je nach Komplexität) **Bei­spie­le:** Man­di­ant (Goog­le Cloud), CrowdStrike, Deloit­te Forensics **Tipp:** Im Vor­aus mit einer Fir­ma einen Retai­ner-Ver­trag abschlie­ßen (schnel­le­re Einbindung). #### 2. Cyber-Ver­si­che­rungs-Bro­ker [\#](#2-cyber-versicherungs-broker "2. Cyber-Versicherungs-Broker") **Wann?** Sofort, par­al­lel zu Forensik **Was tun?** - Scha­den­mel­dung koordinieren - Exter­ne Exper­ten koor­di­nie­ren (die Ver­si­che­rung oft bezahlt) - Kos­ten­fest­stel­lung - Ver­hand­lung mit Versicherer **Kos­ten:** Kos­ten­los (der Bro­ker wird von Ver­si­che­rer bezahlt) **Wich­tig:** Der Bro­ker kann oft bes­se­re exter­ne Part­ner orga­ni­sie­ren als Sie selbst. #### 3. BSI CERT-Bund [\#](#3-bsi-cert-bund "3. BSI CERT-Bund") **Wann?** Bei Mel­de­pflicht (NIS2) inner­halb 72h **Was tun?** - Thre­at Intel­li­gence teilen - Tech­ni­sche Bera­tung geben - Koor­di­na­ti­on mit ande­ren Behörden - Infor­ma­tio­nen über Angreifer-Gruppen **Kon­takt:** [https://​www​.bsi​.bund​.de/nis/](https://www.bsi.bund.de/nis/) (Mel­de-Por­tal) **Wich­tig:** Mel­dung ist anonym mög­lich (Ihr Name wird nicht publik) #### 4. Straf­ver­fol­gungs­be­hör­den [\#](#4-strafverfolgungsbeh%C3%B6rden "4. Strafverfolgungsbehörden") **Wann?** Wenn Dou­ble-Extor­ti­on (Daten-Leak droht) oder bei gro­ßem Schaden **Was tun?** - Ermitt­lun­gen einleiten - Angrei­fer-Grup­pen ver­fol­gen (inter­na­tio­nal über Interpol) - Daten-Leak ver­hin­dern (Dark­Web-Moni­to­ring) - Löse­geld-Ver­hand­lun­gen koor­di­nie­ren (falls nötig) **Kon­tak­te:** - Bun­des­amt für Sicher­heit (BKA) - Lan­des­kri­mi­nal­amt (LKA) - Cyber­crime-Abtei­lun­gen der Polizei **Wich­tig:** Mit Straf­ver­fol­gung kom­mu­ni­zie­ren ist wich­tig, kann aber Löse­geld-Ver­hand­lun­gen kom­pli­zie­ren (legal Gray-Zone). #### 5. Inci­dent Respon­se Retai­ner Ser­vice [\#](#5-incident-response-retainer-service "5. Incident Response Retainer Service") **Opti­on:** Ein IR-Team schon vor dem Angriff unter Retai­ner haben **Vor­tei­le:** - Schnel­ler Zugriff (im Not­fall sofort verfügbar) - Team kennt Ihre Infra­struk­tur (Pre-Inci­dent Assessment) - Bes­se­re Ant­wort­zeit (24h vs. 72h) **Kos­ten:** 5.000 – 15.000 EUR/​Monat (Retai­ner-Gebühr) + Incident-Kosten **Emp­feh­lung:** Für Unter­neh­men > 100 MA oder > 20 Mio. EUR Umsatz --- ### Rol­len und Ver­ant­wort­lich­kei­ten: Detail­ma­trix [\#](#rollen-und-verantwortlichkeiten-detailmatrix "Rollen und Verantwortlichkeiten: Detailmatrix") Rol­leEnt­schei­dungAkti­onKom­mu­ni­ka­ti­on\*\*Inci­dent Commander\*\*Löse­geld zah­len? Netz­werk-Shut­down? Extern Partner?Lei­tet RecoveryGF, Board, exter­ne Partner\*\*IT-Foren­sik\*\*—Sam­melt Bewei­se, analysiertIC, Reco­very-Team\*\*IT-Reco­very\*\*Rei­hen­fol­ge der Recovery-SystemeStellt wie­der herIC, Foren­sik\*\*Legal\*\*NIS2-Mel­de­pflicht? Versicherungs-Anspruch?Koor­di­niert MeldungenBehör­den, Ver­si­che­rer, IC\*\*Kom­mu­ni­ka­ti­on\*\*Wann infor­mie­ren wir Mitarbeiter/​Kunden?Ver­fasst NachrichtenMit­ar­bei­ter, Kun­den, Medien\*\*Finan­zen\*\*Bud­get für exter­ne Part­ner freigeben?Kos­ten­ver­fol­gungIC, Geschäfts­füh­rung--- ### Bei­spiel-Tages­ab­lauf beim Angriff (Tag 1) [\#](#beispiel-tagesablauf-beim-angriff-tag-1 "Beispiel-Tagesablauf beim Angriff (Tag 1)") #### 06:00 — Ran­som­wa­re bemerkt [\#](#0600-ransomware-bemerkt "06:00 — Ransomware bemerkt") - **IC wird ange­ru­fen:** ​“Wir haben ein Sicherheitsproblem” - **IC akti­viert:** Alle IR-Team-Mit­glie­der (SMS/​Anruf) - **Foren­sik-Fir­ma wird ange­ru­fen:** ​“Wir brau­chen sofort Unterstützung” #### 06:30 — Ers­tes IR-Tref­fen (vir­tu­ell, 30 Min) [\#](#0630-erstes-ir-treffen-virtuell-30-min "06:30 — Erstes IR-Treffen (virtuell, 30 Min)") - **IC:** ​“Sta­tus?” - **IT:** ​“Domain ist off­line, File­ser­ver encrypt­ed. Back­ups off­line (Air Gap).” - **Foren­sik:** ​“Wir kom­men rein, brin­gen Full Inci­dent Respon­se Set­up mit.” - **Legal:** ​“Brau­chen wir BSI-Mel­dung? Ver­si­che­rer informieren?” - **Kom­mu­ni­ka­ti­on:** ​“Wann infor­mie­ren wir Mitarbeiter?” **Decis­i­ons:** - IC: Netz­werk voll­stän­dig iso­lie­ren (Decis­i­on: JA) - Legal: BSI-Mel­dung vor­be­rei­ten (Frist: 72h) - Foren­sik: Start vor Ort (1 – 2h Anfahrt) - Reco­very: Berei­te Reco­very-Umge­bung vor (par­al­lel) #### 08:00 — IT-Iso­la­ti­on abge­schlos­sen [\#](#0800-it-isolation-abgeschlossen "08:00 — IT-Isolation abgeschlossen") - Infi­zier­te Sys­te­me offline - Back­ups über­prüft (okay) - EDR-Scans lau­fen - Foren­sik trifft ein und star­tet Beweissicherung #### 10:00 — 2. IR-Stan­dup [\#](#1000-2-ir-standup "10:00 — 2. IR-Standup") - **Foren­sik:** ​“Preli­mi­na­ry: Ran­som­wa­re-Vari­an­te ist Lock­Bit 3.0” - **IT:** ​“Reco­very-Umge­bung vor­be­rei­tet, star­te Domä­nen-Reco­very um 14:00” - **Legal:** ​“BSI-Mel­de­pflicht bestä­tigt, Ver­si­che­rer informiert” - **Kom­mu­ni­ka­ti­on:** ​“Mit­ar­bei­ter-Nach­richt geplant für 12:00 (all­ge­mein gehalten)” #### 14:00 — Reco­very star­tet [\#](#1400-recovery-startet "14:00 — Recovery startet") - Domain Con­trol­ler Res­to­re beginnt - Par­al­lel: Foren­sik-Ana­ly­se läuft weiter #### 18:00 — 3. IR-Stan­dup [\#](#1800-3-ir-standup "18:00 — 3. IR-Standup") - **Reco­very:** ​“Domain Con­trol­ler online, User kön­nen sich anmelden” - **Foren­sik:** ​“Angrei­fer kam über Phis­hing-E-Mail rein vor 3 Wochen” - **IT:** ​“E‑Mail-Reco­very mor­gen früh” - **Legal:** ​“Vor­be­rei­tung für Behör­den-Mel­dung morgen” **Day 1 Ende:** Außer­halb sta­bi­le Situa­ti­on, Reco­very läuft, Foren­sik fin­det Details --- ### Mel­de­pflich­ten: Zeit­plan und Cont­acts [\#](#meldepflichten-zeitplan-und-contacts "Meldepflichten: Zeitplan und Contacts") #### 72-Stun­den-Mel­dun­gen (falls NIS2 betrof­fen) [\#](#72-stunden-meldungen-falls-nis2-betroffen "72-Stunden-Meldungen (falls NIS2 betroffen)") **An BSI:** - Frist: 72 Stun­den nach Entdeckung - Kanal: [https://​www​.bsi​.bund​.de/nis/](https://www.bsi.bund.de/nis/) - Inhalt: Art des Vor­falls, betrof­fe­ne Sys­te­me, vor­läu­fi­ge Auswirkungen **An Daten­schutz-Behör­de (falls Personendaten):** - Frist: 72 Stun­den nach Ent­de­ckung (DSGVO Art. 33) - Kanal: Lan­des­amt für Daten­schutz des Bundeslandes - Inhalt: Art der Daten, mut­maß­li­che Betrof­fen-Zahl, Maßnahmen #### Wei­te­re Mel­dun­gen [\#](#weitere-meldungen "Weitere Meldungen") **An Ver­si­che­rer:** - Sofort (nicht 72h) - Scha­den­mel­dungs-For­mu­lar ausfüllen - Foren­sik-Report bei­le­gen (spä­ter) **An Kun­den (falls Double-Extortion):** - Zeit­plan abhän­gig von Policy - Trans­pa­rent kom­mu­ni­zie­ren (“Ja, wir wur­den ange­grif­fen, hier unse­re Maßnahmen”) --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Soll­te der CEO im IR-Team sitzen?** Nicht zwin­gend täg­lich, aber täg­lich zur Brie­fing (10 – 15 Min). CEO muss ​“im Bild” sein für fina­le Ent­schei­dun­gen (Löse­geld? Öffent­li­che Meldung?). **Wann enga­gie­ren wir exter­ne Forensik-Firma?** Sofort. Die inter­nen IT-Teams brau­chen ihre vol­le Kapa­zi­tät für Reco­very. Foren­sik braucht exter­ne Augen (unvor­ein­ge­nom­men, unabhängig). **Kann ich das kos­ten­los von der Poli­zei machen lassen?** Nein. Die Poli­zei kommt, ermit­telt, aber bezahlt nicht für Foren­sik. Ver­si­che­rung oft zahlt exter­ne Forensik. **Wer ent­schei­det, Löse­geld zu zahlen?** Gemein­sa­me Ent­schei­dung: CEO (Busi­ness-Risi­ko), Legal (Geset­ze), IC (tech­ni­sche Mach­bar­keit). Ver­si­che­rer kann mit­ein­an­der über Bedin­gun­gen reden. Es ist oft ethisch und legal komplex. --- ### Check­lis­te: IR-Team auf­bau­en [\#](#checkliste-ir-team-aufbauen "Checkliste: IR-Team aufbauen") - \[ \] IC benannt (wer hat letz­te Entscheidungsbefugnis?) - \[ \] IT-Foren­sik-Part­ner iden­ti­fied (wer wir anru­fen im Ernstfall?) - \[ \] IT-Reco­very-Team benannt (wer macht Recovery?) - \[ \] Legal/­Com­pli­ance-Kon­takt identifiziert - \[ \] Kom­mu­ni­ka­ti­ons-Ver­ant­wort­li­cher benannt - \[ \] Cyber-Ver­si­che­rungs-Poli­ce vor­han­den (mit IR-Support?) - \[ \] BSI-Kon­takt in die Kon­takt­lis­te ([https://​www​.bsi​.bund​.de/](https://www.bsi.bund.de/)) - \[ \] Retai­ner-Ver­trag mit Foren­sik-Fir­ma (optio­nal, aber empfohlen) - \[ \] IR-Plan schrift­lich doku­men­tiert (nicht in Köpfen!) - \[ \] IR-Übung durch­füh­ren (mock inci­dent, 1x/​Jahr) --- ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)