Pha­se 1: Iso­la­ti­on und Kar­tie­rung (0 – 4 Stun­den) #

Ziel: Den Angriff stop­pen, ver­hin­dern, dass er sich ausbreitet.

Schritt 1: Inci­dent Com­man­der ernen­nen und Team akti­vie­ren ⏱️ (0 – 15 Min) #

Wer?

  • Inci­dent Com­man­der: eine Per­son mit Ent­schei­dungs­be­fug­nis (IT-Lei­ter, CISO, oder GF)
  • IT-Team: alle Administratoren
  • Manage­ment: IT-Lei­ter, Geschäfts­füh­rer (zu infor­mie­ren, spä­ter entscheidungsrelevant)
  • Optio­nal: exter­ne Foren­sik-Fir­ma, Cyber­si­cher­heits-Bera­ter, Anwalt

Was pas­siert?

  • [ ] Inci­dent Com­man­der wird benannt und informiert
  • [ ] Not­fall-Mee­ting (30 Minu­ten) mit IT + Management
  • [ ] Rol­len zuwei­sen: Wer küm­mert sich um IT-Reco­very? Wer um Kom­mu­ni­ka­ti­on? Wer um exter­ne Partner?
  • [ ] Not­fall-Hot­line ein­rich­ten (für inter­ne Fragen)

Häu­fi­ger Feh­ler: Man war­tet zu lan­ge auf exter­ne Exper­ten. Macht schnel­le inter­ne Iso­la­ti­on auch ohne exter­ne Hilfe.

Schritt 2: Ver­brei­tung stop­pen — Netz­werk iso­lie­ren ⏱️ (15 – 30 Min) #

Was? Ran­som­wa­re ver­sucht, sich über das Netz­werk aus­zu­brei­ten. Iso­la­ti­on ist kritisch.

Wie?

  • [ ] Schnel­le Ent­schei­dung: Ist ein kom­plet­ter Netz­werk-Shut­down not­wen­dig, oder nur ein­zel­ne Segmente?
  • [ ] Infi­zier­te Sys­te­me sofort vom Netz­werk tren­nen (Netz­werk-Kabel raus, nicht nur Shutdown)
  • [ ] Alle Back­ups sofort vom Netz­werk tren­nen (auch die Cloud-Back­ups cre­den­ti­als raus)
  • [ ] VPN-Zugang sper­ren (falls Angrei­fer von außen via VPN eindrang)
  • [ ] Admin-Cre­den­ti­als rotie­ren (Ran­som­wa­re könn­te die­se gestoh­len haben)
  • [ ] End­point Detec­tion & Respon­se (E) akti­vie­ren (falls nicht aktiv)

Kri­tisch: Beden­ken Sie, dass Ran­som­wa­re Admin-Cre­den­ti­als gestoh­len haben könn­te. Ein­fach abmel­den” reicht nicht.

Schritt 3: Infi­zier­te Sys­te­me iden­ti­fi­zie­ren und doku­men­tie­ren ⏱️ (30 – 60 Min) #

Was? Wel­che Sys­te­me sind betrof­fen? Wel­che sind noch sauber?

Wie?

  • [ ] Betrof­fe­ne Sys­te­me auf­lis­ten (AD, File­ser­ver, ERP, E‑Mail, etc.)
  • [ ] Zeit­stem­pel notie­ren: Wann wur­de die Ver­schlüs­se­lung bemerkt? (Wich­tig für Forensik)
  • [ ] E-Logs prü­fen: Wann war der ers­te ver­däch­ti­ge Prozess?
  • [ ] Iso­la­ti­on-Sta­tus doku­men­tie­ren: Wel­che Sys­te­me sind off­line? Wel­che noch online?
  • [ ] Screen­shots machen (für Foren­sik und Versicherung)

Prak­tisch: Eine Spreadsheet oder ein­fa­che Tabel­le reicht: Sys­tem | Sta­tus | Zeit­stem­pel | Notizen

Schritt 4: Back­up-Inte­gri­tät prü­fen ⏱️ (60 – 120 Min) #

Was? Sind Ihre Back­ups noch brauch­bar oder auch verschlüsselt?

Wie?

  • [ ] Hard­ware Back­ups: Kön­nen Sie dar­auf zugrei­fen? Ist die Netz­werk-Iso­la­ti­on phy­sisch noch aktiv?
  • [ ] Tape-Back­ups: Sind die­se im Lager und noch offline?
  • [ ] Cloud-Back­ups: Kön­nen Sie dar­auf zugrei­fen? Wur­de mit den Admin-Cre­den­ti­als alles gelöscht?
  • [ ] Letz­tes bekann­tes gutes Back­up iden­ti­fi­zie­ren: Ein Back­up vor der Infektion
  • [ ] Back­up-Inte­gri­tät tes­ten: (kann man Datei­en lesen?)

Kri­tisch: Wenn Ran­som­wa­re alle Back­ups zer­stört hat, spre­chen Sie sofort mit:

  • Foren­sik-Fir­ma
  • Ver­si­che­rung
  • Anwalt
  • BSI (falls Meldepflicht)

Pha­se 2: Reco­very-Start (4 – 24 Stun­den) #

Ziel: Reco­very-Pro­zess initi­ie­ren, ers­te Sys­te­me wiederherstellen.

Schritt 5: Reco­very-Prio­ri­sie­rung und Wie­der­her­stel­lungs-Plan ⏱️ (1 – 2 Stun­den) #

Was? Wel­che Sys­te­me stel­len wir zuerst wie­der her?

Wie?

  • [ ] Kri­ti­k­ali­tät bewerten:
    • Kri­tisch (sofort): AD (Domä­ne), E‑Mail, ERP, File­ser­ver (ohne die­se läuft nichts)
    • Wich­tig (6 – 24h): VoIP, Anti­vi­rus-Ser­ver, DNS
    • Weni­ger kri­tisch (spä­ter): Ein­zel­ne Work­sta­tions, Test-Systeme
  • [ ] Abhän­gig­kei­ten prü­fen: AD muss vor ande­ren Sys­te­men kom­men (alle ande­ren brau­chen AD)
  • [ ] Geschätz­ter RTO pro Sys­tem: wie lan­ge dau­ert ein Restore?
  • [ ] Reco­very-Rei­hen­fol­ge definieren:
    1. Domain Con­trol­ler (1 – 2h)
    2. E‑Mail (2 – 4h)
    3. ERP (4 – 8h)
    4. File­ser­ver (8 – 16h)
    5. Work­sta­tions (Tag 2 – 3)

Prak­tisch: Ein ein­fa­cher Plan reicht: Domain Con­trol­ler Reco­very star­tet um 6:00 Uhr, geschätz­te Abschluss 8:00 Uhr.”

Schritt 6: Reco­very-Umge­bung pre­pa­rie­ren ⏱️ (1 – 2 Stun­den) #

Was? Bevor Sie wie­der­her­stel­len, brau­chen Sie einen sau­be­ren Platz dafür.

Wie?

  • [ ] Netz­werk-Iso­la­ti­on: Reco­very fin­det im sepa­ra­ten VLAN/​Subnet statt (nicht im Produktionsnetz)
  • [ ] Hard­ware vor­be­rei­ten: Reco­very-Hard­ware (VM, Ser­ver, Spei­cher) bereitstellen
  • [ ] Back­ups beschaf­fen: Hard­ware mon­tie­ren, Tapes/­Cloud-Zugang aktivieren
  • [ ] Cre­den­ti­als sam­meln: Reco­very-Cre­den­ti­als (falls ver­schlüs­selt vorhanden)
  • [ ] Foren­sik-Copy machen: Von infi­zier­tem Sys­tem eine bit­wei­se Kopie (für spä­te­re Analyse)

Sicher­heit: Stel­len Sie sicher, dass neue Hard­ware nicht vom Pro­duk­ti­ons­netz erreich­bar ist, bis voll­stän­dig wiederhergestellt.

Schritt 7: Reco­very durch­füh­ren — Domain Con­trol­ler ⏱️ (2 – 4 Stun­den) #

Was? Der Domain Con­trol­ler ist das Herz. Mit ihm kön­nen Sie alle ande­ren Sys­te­me danach wiederherstellen.

Wie?

  • [ ] Neu­en AD-Daten­spei­cher aus Back­up wiederherstellen
  • [ ] Domain Ser­vices star­ten: Acti­ve Direc­to­ry, Ker­be­ros, LDAP
  • [ ] Repli­ka­ti­on tes­ten: Kön­nen ande­re Domain Con­trol­ler replizieren?
  • [ ] User-Log­in tes­ten: Kann ein Test-User sich mit Test-Work­sta­tion anmelden?
  • [ ] Group Poli­cy tes­ten: Wer­den GPOs angewendet?
  • [ ] Vali­da­ti­on: Admin-Accounts sind vor­han­den? Pass­wör­ter okay?

Wenn schief geht:

  • DSRE­PAIR aktivieren
  • Im Safe Mode star­ten, AD-Daten­bank prüfen
  • Even­tu­ell mit Foren­sik-Fir­ma ent­fer­nen aus Siche­rung reparieren

Zeit­schät­zung: 2 – 4 Stun­den (hängt von Back­up-Grö­ße, Hard­ware-Speed ab)

Pha­se 3: Voll­wie­der­her­stel­lung (Tag 2 – 7) #

Ziel: Alle Sys­te­me schritt­wei­se wie­der­her­stel­len, Busi­ness con­ti­nui­ty wie­der herstellen.

Schritt 8: Reco­very durch­füh­ren — E‑Mail und ande­re kri­ti­sche Sys­te­me ⏱️ (Tag 1 – 3) #

Was? Nach AD fol­gen E‑Mail, ERP, Fileserver.

Wie?

  • [ ] E‑Mail-Ser­ver (Exchange/​Outlook):

    • Mail­box-Daten­bank aus Back­up wiederherstellen
    • E‑Mail-Diens­te starten
    • Test: Benut­zer kann sich anmel­den, E‑Mails abrufen
    • Geschätz­te Zeit: 4 – 8 Stunden

  • [ ] ERP-Sys­tem (SAP/​Oracle/​etc.):

    • Daten­bank-Back­up wiederherstellen
    • Appli­ka­ti­ons-Ser­ver starten
    • Test: Benut­zer kann sich anmel­den, Trans­ak­tio­nen durchführen
    • Geschätz­te Zeit: 8 – 16 Stun­den (Daten­ban­ken sind groß)

  • [ ] File­ser­ver:

    • NFS/SMB-Shares aus Back­up wiederherstellen
    • Per­mis­si­ons validieren
    • Benut­zer-Zugriff testen
    • Geschätz­te Zeit: 4 – 12 Stun­den (hängt von Daten-Volu­men ab)

Par­al­le­len: E‑Mail und ERP kön­nen par­al­lel lau­fen (nut­zen ver­schie­de­ne Hardware).

Schritt 9: Vali­die­rung und Sicher­heits-Checks ⏱️ (Tag 3 – 4) #

Was? Bevor Sie Pro­duk­ti­ons­sys­te­me online neh­men, müs­sen Sie sicher­stel­len, dass kei­ne Mal­wa­re-Res­te noch vor­han­den sind.

Wie?

  • [ ] E-Full-Scan auf allen Sys­te­men durch­füh­ren (kann Stun­den dauern)
  • [ ] Log-Ana­ly­se: Wann kam der Angriff rein? Über wel­chen Vec­tor? (für Forensik)
  • [ ] Cre­den­ti­al-Resets: Alle kri­ti­schen Kon­ten-Pass­wör­ter zurücksetzen
  • [ ] VPN/­Re­mo­te-Access sper­ren (falls Angrei­fer hier reinkam)
  • [ ] Admin-Access-Logs prü­fen: Wur­den Back­doors installiert?
  • [ ] Fire­wall-Regeln über­prü­fen: Wur­den neue Regeln vom Angrei­fer installiert?

Häu­fi­ger Feh­ler: Ohne Vali­die­rung online gehen = Angrei­fer reinfi­ziert Sys­tem sofort wieder.

Schritt 10: Schritt­wei­se Pro­duk­ti­ons­mi­gra­ti­on ⏱️ (Tag 4 – 7) #

Was? Sys­te­me vom Iso­la­ti­ons-Netz ins Pro­duk­ti­ons­netz zurückbringen.

Wie?

  • [ ] Umstel­lung auf Pro­duk­ti­on ERST, wenn validiert
  • [ ] Ein Sys­tem nach dem ande­ren (nicht alle auf einmal)
  • [ ] Test-Pha­se: 4 – 8 Stun­den war­ten, prü­fen, ob neue ver­däch­ti­ge Aktivität
  • [ ] Roll-back Plan: Falls Mal­wa­re wie­der aus­bricht, sofort wie­der offline
  • [ ] Moni­to­ring akti­vie­ren: Alle Sys­te­me unter ver­stärk­ter E-Überwachung
  • [ ] Back­ups SOFORT reak­ti­vie­ren (jetzt soll­ten sau­be­re Sys­te­me geback­upt werden)

Bei­spiel-Time­line:

  • Tag 4: AD + E‑Mail online
  • Tag 5: ERP online
  • Tag 6: File­ser­ver online
  • Tag 7: Work­sta­tions online

Pha­se 4: Nach­be­rei­tung (danach) #

Ziel: Foren­sik, Behör­den-Mel­dung, Les­sons Learned.

Schritt 11: Foren­sik und Angriffs-Ana­ly­se ⏱️ (Par­al­lel, Tage 1 – 14) #

Was? Wer hat Sie ange­grif­fen? Wie? Wann?

Wie?

  • [ ] Exter­ne Foren­sik-Fir­ma enga­gie­ren (soll­te par­al­lel zur Reco­very laufen)
  • [ ] Angriffs-Time­line erstellen:
    • Initia­ler Access: Phis­hing? RDP? Schwachstelle?
    • Pri­vi­le­ge Escala­ti­on: Wel­che Exploits?
    • Late­ral Move­ment: Wie hat er sich ausgebreitet?
    • Exfil­tra­ti­on: Wur­den Daten gestoh­len? (für Lösegeld-Erpressung)
    • Encryp­ti­on: Wann -Aktivität?
  • [ ] Angrei­fer iden­ti­fi­zie­ren: Ist es eine bekann­te Grup­pe (Lock­Bit, Black­Cat, etc.)?
  • [ ] Foren­sik-Report schrei­ben (für Ver­si­che­rung, Anwalt, Behörden)

Hin­weis: Der Foren­sik-Report ist oft not­wen­dig für Versicherungs-Kostenrückerstattung.

Schritt 12: Mel­de­pflich­ten erfül­len ⏱️ (Inner­halb 72h für NIS2) #

Was? Behör­den müs­sen infor­miert werden.

Wie?

  • [ ] BSI Mel­dung (falls NIS2 betroffen):

  • [ ] Daten­schutz-Behör­de (falls per­so­nen­be­zo­ge­ne Daten betroffen):

    • Lan­des­amt für Datenschutz
    • 72h Mel­dung ( Art. 33)

  • [ ] Ver­si­che­rung informieren:

    • Cyber-Ver­si­che­rung sofort (oft mit Fris­ten verknüpft)
    • Schrei­ben Sie einen Claim
    • Foren­sik-Report beilegen

  • [ ] Kun­den benach­rich­ti­gen (wenn Daten-Leak):

    • Beson­ders bei Double-Extortion
    • Trans­pa­renz ist wich­tig für Vertrauen

  • [ ] Auf­sichts­be­hör­de (falls KRI­TIS oder ande­re Sektoren):

    • Regu­la­to­ren kön­nen Report­ing-Anfor­de­run­gen haben

Kri­tisch: Ver­pass­te Mel­dungs­fris­ten kön­nen zu zusätz­li­chen Buß­gel­dern füh­ren (NIS2: 72h = gesetz­lich erzwungen).

Zeit­ta­bel­le: Rea­lis­ti­sches Reco­very-Sze­na­rio #

ZeitAkti­onRTO-Sta­tus
06:00Ran­som­wa­re bemerkt (Datei­en mit .encrypt­ed)T+0
06:15Inci­dent Com­man­der + Team aktiviertT+0,25h
06:45Netz­werk iso­liert, infi­zier­te Sys­te­me offlineT+0,75h
08:00Back­up-Sta­tus geprüft (okay)T+2h
10:00Reco­very-Plan finalisiertT+4h
14:00**Domain Con­trol­ler Reco­very ONLINE**T+8h
15:00Ers­te User kön­nen sich anmel­den (mit Test-Kontos)T+9h
18:00E‑Mail Reco­very ONLINET+12h
22:00ERP-Daten­bank Reco­very startetT+16h
**Day 2 06:00****ERP ONLINE****T+24h**
Day 2 18:00File­ser­ver Reco­very ONLINET+36h
Day 3 18:00Alle Work­sta­tions Reco­very ONLINE, Busi­ness normal**T+60h**

RTO erreicht: 2.5 Tage (60 Stunden)

Mit guten Back­ups und Pla­nung ist dies rea­lis­tisch. Ohne Back­ups: 2 – 4 Wochen oder gar nicht.

Häu­fi­ge Fra­gen #

Soll­ten wir Löse­geld zahlen? Das soll­te die Geschäfts­füh­rung mit Ver­si­che­rung und Anwalt ent­schei­den. Mit guten Back­ups ist Zah­lung meist nicht notwendig.

Wie lan­ge dau­ert ein durch­schnitt­li­ches Recovery?

  • Mit guten Back­ups (RTO geplant): 1 – 3 Tage
  • Ohne Back­ups: 2 – 4 Wochen (extern aufbauen)
  • Schlimms­ter Fall: Unter­neh­men geht bankrott

Was ist, wenn Back­ups auch ver­schlüs­selt wurden? Das ist ein Sze­na­rio, das Sie ver­mei­den müs­sen. Daher: Hard­ware (off­line, nicht verschlüsselbar).

Muss ich Foren­sik-Fir­ma engagieren? Sehr emp­foh­len. Sie hel­fen bei: Attri­but des Angrei­fers, Ver­mei­dung von Wie­der­ho­lung, Versicherungs-Support.

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.