--- title: "Ransomware Recovery Checkliste: 12 Schritte nach dem Angriff" date: 2026-02-18T08:40:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/ransomware-recovery-checkliste-12-schritte-nach-dem-angriff" section: "Entries: Articles" --- ### Pha­se 1: Iso­la­ti­on und Kar­tie­rung (0 – 4 Stun­den) [\#](#phase-1-isolation-und-kartierung-0-4-stunden "Phase 1: Isolation und Kartierung (0–4 Stunden)") Ziel: Den Angriff stop­pen, ver­hin­dern, dass er sich ausbreitet. #### Schritt 1: Inci­dent Com­man­der ernen­nen und Team akti­vie­ren ⏱️ (0 – 15 Min) [\#](#schritt-1-incident-commander-ernennen-und-team-aktivieren-%EF%B8%8F-0-15-min "Schritt 1: Incident Commander ernennen und Team aktivieren ⏱️ (0–15 Min)") **Wer?** - Inci­dent Com­man­der: eine Per­son mit Ent­schei­dungs­be­fug­nis (IT-Lei­ter, CISO, oder GF) - IT-Team: alle Administratoren - Manage­ment: IT-Lei­ter, Geschäfts­füh­rer (zu infor­mie­ren, spä­ter entscheidungsrelevant) - Optio­nal: exter­ne Foren­sik-Fir­ma, Cyber­si­cher­heits-Bera­ter, Anwalt **Was pas­siert?** - \[ \] Inci­dent Com­man­der wird benannt und informiert - \[ \] Not­fall-Mee­ting (30 Minu­ten) mit IT + Management - \[ \] Rol­len zuwei­sen: Wer küm­mert sich um IT-Reco­very? Wer um Kom­mu­ni­ka­ti­on? Wer um exter­ne Partner? - \[ \] Not­fall-Hot­line ein­rich­ten (für inter­ne Fragen) **Häu­fi­ger Feh­ler:** Man war­tet zu lan­ge auf exter­ne Exper­ten. Macht schnel­le inter­ne Iso­la­ti­on auch ohne exter­ne Hilfe. #### Schritt 2: Ver­brei­tung stop­pen — Netz­werk iso­lie­ren ⏱️ (15 – 30 Min) [\#](#schritt-2-verbreitung-stoppen-netzwerk-isolieren-%EF%B8%8F-15-30-min "Schritt 2: Verbreitung stoppen — Netzwerk isolieren ⏱️ (15–30 Min)") **Was?** Ran­som­wa­re ver­sucht, sich über das Netz­werk aus­zu­brei­ten. Iso­la­ti­on ist kritisch. **Wie?** - \[ \] **Schnel­le Ent­schei­dung:** Ist ein kom­plet­ter Netz­werk-Shut­down not­wen­dig, oder nur ein­zel­ne Segmente? - \[ \] Infi­zier­te Sys­te­me **sofort vom Netz­werk tren­nen** (Netz­werk-Kabel raus, nicht nur Shutdown) - \[ \] Alle Back­ups **sofort vom Netz­werk tren­nen** (auch die Cloud-Back­ups cre­den­ti­als raus) - \[ \] VPN-Zugang sper­ren (falls Angrei­fer von außen via VPN eindrang) - \[ \] Admin-Cre­den­ti­als **rotie­ren** (Ran­som­wa­re könn­te die­se gestoh­len haben) - \[ \] End­point Detec­tion & Respon­se (EDR) akti­vie­ren (falls nicht aktiv) **Kri­tisch:** Beden­ken Sie, dass Ran­som­wa­re Admin-Cre­den­ti­als gestoh­len haben könn­te. Ein­fach ​“abmel­den” reicht nicht. #### Schritt 3: Infi­zier­te Sys­te­me iden­ti­fi­zie­ren und doku­men­tie­ren ⏱️ (30 – 60 Min) [\#](#schritt-3-infizierte-systeme-identifizieren-und-dokumentieren-%EF%B8%8F-30-60-min "Schritt 3: Infizierte Systeme identifizieren und dokumentieren ⏱️ (30–60 Min)") **Was?** Wel­che Sys­te­me sind betrof­fen? Wel­che sind noch sauber? **Wie?** - \[ \] Betrof­fe­ne Sys­te­me auf­lis­ten (AD, File­ser­ver, ERP, E‑Mail, etc.) - \[ \] **Zeit­stem­pel notie­ren:** Wann wur­de die Ver­schlüs­se­lung bemerkt? (Wich­tig für Forensik) - \[ \] EDR-Logs prü­fen: Wann war der ers­te ver­däch­ti­ge Prozess? - \[ \] **Iso­la­ti­on-Sta­tus doku­men­tie­ren:** Wel­che Sys­te­me sind off­line? Wel­che noch online? - \[ \] Screen­shots machen (für Foren­sik und Versicherung) **Prak­tisch:** Eine Spreadsheet oder ein­fa­che Tabel­le reicht: Sys­tem | Sta­tus | Zeit­stem­pel | Notizen #### Schritt 4: Back­up-Inte­gri­tät prü­fen ⏱️ (60 – 120 Min) [\#](#schritt-4-backup-integrit%C3%A4t-pr%C3%BCfen-%EF%B8%8F-60-120-min "Schritt 4: Backup-Integrität prüfen ⏱️ (60–120 Min)") **Was?** Sind Ihre Back­ups noch brauch­bar oder auch verschlüsselt? **Wie?** - \[ \] **Hard­ware Air Gap Back­ups:** Kön­nen Sie dar­auf zugrei­fen? Ist die Netz­werk-Iso­la­ti­on phy­sisch noch aktiv? - \[ \] **Tape-Back­ups:** Sind die­se im Lager und noch offline? - \[ \] **Cloud-Back­ups:** Kön­nen Sie dar­auf zugrei­fen? Wur­de mit den Admin-Cre­den­ti­als alles gelöscht? - \[ \] **Letz­tes bekann­tes gutes Back­up iden­ti­fi­zie­ren:** Ein Back­up vor der Infektion - \[ \] Back­up-Inte­gri­tät tes­ten: (kann man Datei­en lesen?) **Kri­tisch:** Wenn Ran­som­wa­re alle Back­ups zer­stört hat, spre­chen Sie sofort mit: - Foren­sik-Fir­ma - Ver­si­che­rung - Anwalt - BSI (falls Meldepflicht) --- ### Pha­se 2: Reco­very-Start (4 – 24 Stun­den) [\#](#phase-2-recovery-start-4-24-stunden "Phase 2: Recovery-Start (4–24 Stunden)") Ziel: Reco­very-Pro­zess initi­ie­ren, ers­te Sys­te­me wiederherstellen. #### Schritt 5: Reco­very-Prio­ri­sie­rung und Wie­der­her­stel­lungs-Plan ⏱️ (1 – 2 Stun­den) [\#](#schritt-5-recovery-priorisierung-und-wiederherstellungs-plan-%EF%B8%8F-1-2-stunden "Schritt 5: Recovery-Priorisierung und Wiederherstellungs-Plan ⏱️ (1–2 Stunden)") **Was?** Wel­che Sys­te­me stel­len wir zuerst wie­der her? **Wie?** - \[ \] Kri­ti­k­ali­tät bewerten: - **Kri­tisch (sofort):** AD (Domä­ne), E‑Mail, ERP, File­ser­ver (ohne die­se läuft nichts) - **Wich­tig (6 – 24h):** VoIP, Anti­vi­rus-Ser­ver, DNS - **Weni­ger kri­tisch (spä­ter):** Ein­zel­ne Work­sta­tions, Test-Systeme 32. \[ \] **Abhän­gig­kei­ten prü­fen:** AD muss vor ande­ren Sys­te­men kom­men (alle ande­ren brau­chen AD) 33. \[ \] Geschätz­ter RTO pro Sys­tem: wie lan­ge dau­ert ein Restore? 34. \[ \] **Reco­very-Rei­hen­fol­ge definieren:** 35. Domain Con­trol­ler (1 – 2h) 36. E‑Mail (2 – 4h) 37. ERP (4 – 8h) 38. File­ser­ver (8 – 16h) 39. Work­sta­tions (Tag 2 – 3) **Prak­tisch:** Ein ein­fa­cher Plan reicht: ​“Domain Con­trol­ler Reco­very star­tet um 6:00 Uhr, geschätz­te Abschluss 8:00 Uhr.” #### Schritt 6: Reco­very-Umge­bung pre­pa­rie­ren ⏱️ (1 – 2 Stun­den) [\#](#schritt-6-recovery-umgebung-preparieren-%EF%B8%8F-1-2-stunden "Schritt 6: Recovery-Umgebung preparieren ⏱️ (1–2 Stunden)") **Was?** Bevor Sie wie­der­her­stel­len, brau­chen Sie einen sau­be­ren Platz dafür. **Wie?** - \[ \] **Netz­werk-Iso­la­ti­on:** Reco­very fin­det im sepa­ra­ten VLAN/​Subnet statt (nicht im Produktionsnetz) - \[ \] **Hard­ware vor­be­rei­ten:** Reco­very-Hard­ware (VM, Ser­ver, Spei­cher) bereitstellen - \[ \] **Back­ups beschaf­fen:** Hard­ware Air Gap mon­tie­ren, Tapes/­Cloud-Zugang aktivieren - \[ \] **Cre­den­ti­als sam­meln:** Reco­very-Cre­den­ti­als (falls ver­schlüs­selt vorhanden) - \[ \] **Foren­sik-Copy machen:** Von infi­zier­tem Sys­tem eine bit­wei­se Kopie (für spä­te­re Analyse) **Sicher­heit:** Stel­len Sie sicher, dass neue Hard­ware **nicht vom Pro­duk­ti­ons­netz erreich­bar** ist, bis voll­stän­dig wiederhergestellt. #### Schritt 7: Reco­very durch­füh­ren — Domain Con­trol­ler ⏱️ (2 – 4 Stun­den) [\#](#schritt-7-recovery-durchf%C3%BChren-domain-controller-%EF%B8%8F-2-4-stunden "Schritt 7: Recovery durchführen — Domain Controller ⏱️ (2–4 Stunden)") **Was?** Der Domain Con­trol­ler ist das Herz. Mit ihm kön­nen Sie alle ande­ren Sys­te­me danach wiederherstellen. **Wie?** - \[ \] **Neu­en AD-Daten­spei­cher aus Back­up wiederherstellen** - \[ \] **Domain Ser­vices star­ten:** Acti­ve Direc­to­ry, Ker­be­ros, LDAP - \[ \] **Repli­ka­ti­on tes­ten:** Kön­nen ande­re Domain Con­trol­ler replizieren? - \[ \] **User-Log­in tes­ten:** Kann ein Test-User sich mit Test-Work­sta­tion anmelden? - \[ \] **Group Poli­cy tes­ten:** Wer­den GPOs angewendet? - \[ \] **Vali­da­ti­on:** Admin-Accounts sind vor­han­den? Pass­wör­ter okay? **Wenn schief geht:** - DSRE­PAIR aktivieren - Im Safe Mode star­ten, AD-Daten­bank prüfen - Even­tu­ell mit Foren­sik-Fir­ma ent­fer­nen aus Siche­rung reparieren **Zeit­schät­zung:** 2 – 4 Stun­den (hängt von Back­up-Grö­ße, Hard­ware-Speed ab) --- ### Pha­se 3: Voll­wie­der­her­stel­lung (Tag 2 – 7) [\#](#phase-3-vollwiederherstellung-tag-2-7 "Phase 3: Vollwiederherstellung (Tag 2–7)") Ziel: Alle Sys­te­me schritt­wei­se wie­der­her­stel­len, Busi­ness con­ti­nui­ty wie­der herstellen. #### Schritt 8: Reco­very durch­füh­ren — E‑Mail und ande­re kri­ti­sche Sys­te­me ⏱️ (Tag 1 – 3) [\#](#schritt-8-recovery-durchf%C3%BChren-e-mail-und-andere-kritische-systeme-%EF%B8%8F-tag-1-3 "Schritt 8: Recovery durchführen — E-Mail und andere kritische Systeme ⏱️ (Tag 1–3)") **Was?** Nach AD fol­gen E‑Mail, ERP, Fileserver. **Wie?** - \[ \] **E‑Mail-Ser­ver (Exchange/​Outlook):** - Mail­box-Daten­bank aus Back­up wiederherstellen - E‑Mail-Diens­te starten - Test: Benut­zer kann sich anmel­den, E‑Mails abrufen - Geschätz­te Zeit: 4 – 8 Stunden 60. \[ \] **ERP-Sys­tem (SAP/​Oracle/​etc.):** 61. Daten­bank-Back­up wiederherstellen 62. Appli­ka­ti­ons-Ser­ver starten 63. Test: Benut­zer kann sich anmel­den, Trans­ak­tio­nen durchführen 64. Geschätz­te Zeit: 8 – 16 Stun­den (Daten­ban­ken sind groß) 65. \[ \] **File­ser­ver:** 66. NFS/SMB-Shares aus Back­up wiederherstellen 67. Per­mis­si­ons validieren 68. Benut­zer-Zugriff testen 69. Geschätz­te Zeit: 4 – 12 Stun­den (hängt von Daten-Volu­men ab) **Par­al­le­len:** E‑Mail und ERP kön­nen par­al­lel lau­fen (nut­zen ver­schie­de­ne Hardware). #### Schritt 9: Vali­die­rung und Sicher­heits-Checks ⏱️ (Tag 3 – 4) [\#](#schritt-9-validierung-und-sicherheits-checks-%EF%B8%8F-tag-3-4 "Schritt 9: Validierung und Sicherheits-Checks ⏱️ (Tag 3–4)") **Was?** Bevor Sie Pro­duk­ti­ons­sys­te­me online neh­men, müs­sen Sie sicher­stel­len, dass kei­ne Mal­wa­re-Res­te noch vor­han­den sind. **Wie?** - \[ \] **EDR-Full-Scan auf allen Sys­te­men durch­füh­ren** (kann Stun­den dauern) - \[ \] **Log-Ana­ly­se:** Wann kam der Angriff rein? Über wel­chen Vec­tor? (für Forensik) - \[ \] **Cre­den­ti­al-Resets:** Alle kri­ti­schen Kon­ten-Pass­wör­ter zurücksetzen - \[ \] **VPN/­Re­mo­te-Access sper­ren** (falls Angrei­fer hier reinkam) - \[ \] **Admin-Access-Logs prü­fen:** Wur­den Back­doors installiert? - \[ \] **Fire­wall-Regeln über­prü­fen:** Wur­den neue Regeln vom Angrei­fer installiert? **Häu­fi­ger Feh­ler:** Ohne Vali­die­rung online gehen = Angrei­fer reinfi­ziert Sys­tem sofort wieder. #### Schritt 10: Schritt­wei­se Pro­duk­ti­ons­mi­gra­ti­on ⏱️ (Tag 4 – 7) [\#](#schritt-10-schrittweise-produktionsmigration-%EF%B8%8F-tag-4-7 "Schritt 10: Schrittweise Produktionsmigration ⏱️ (Tag 4–7)") **Was?** Sys­te­me vom Iso­la­ti­ons-Netz ins Pro­duk­ti­ons­netz zurückbringen. **Wie?** - \[ \] **Umstel­lung auf Pro­duk­ti­on ERST, wenn validiert** - \[ \] **Ein Sys­tem nach dem ande­ren** (nicht alle auf einmal) - \[ \] **Test-Pha­se:** 4 – 8 Stun­den war­ten, prü­fen, ob neue ver­däch­ti­ge Aktivität - \[ \] **Roll-back Plan:** Falls Mal­wa­re wie­der aus­bricht, sofort wie­der offline - \[ \] **Moni­to­ring akti­vie­ren:** Alle Sys­te­me unter ver­stärk­ter EDR-Überwachung - \[ \] **Back­ups SOFORT reak­ti­vie­ren** (jetzt soll­ten sau­be­re Sys­te­me geback­upt werden) **Bei­spiel-Time­line:** - Tag 4: AD + E‑Mail online - Tag 5: ERP online - Tag 6: File­ser­ver online - Tag 7: Work­sta­tions online --- ### Pha­se 4: Nach­be­rei­tung (danach) [\#](#phase-4-nachbereitung-danach "Phase 4: Nachbereitung (danach)") Ziel: Foren­sik, Behör­den-Mel­dung, Les­sons Learned. #### Schritt 11: Foren­sik und Angriffs-Ana­ly­se ⏱️ (Par­al­lel, Tage 1 – 14) [\#](#schritt-11-forensik-und-angriffs-analyse-%EF%B8%8F-parallel-tage-1-14 "Schritt 11: Forensik und Angriffs-Analyse ⏱️ (Parallel, Tage 1–14)") **Was?** Wer hat Sie ange­grif­fen? Wie? Wann? **Wie?** - \[ \] **Exter­ne Foren­sik-Fir­ma enga­gie­ren** (soll­te par­al­lel zur Reco­very laufen) - \[ \] **Angriffs-Time­line erstellen:** - Initia­ler Access: Phis­hing? RDP? Schwachstelle? - Pri­vi­le­ge Escala­ti­on: Wel­che Exploits? - Late­ral Move­ment: Wie hat er sich ausgebreitet? - Exfil­tra­ti­on: Wur­den Daten gestoh­len? (für Lösegeld-Erpressung) - Encryp­ti­on: Wann Ransomware-Aktivität? 89. \[ \] **Angrei­fer iden­ti­fi­zie­ren:** Ist es eine bekann­te Grup­pe (Lock­Bit, Black­Cat, etc.)? 90. \[ \] **Foren­sik-Report schrei­ben** (für Ver­si­che­rung, Anwalt, Behörden) **Hin­weis:** Der Foren­sik-Report ist oft not­wen­dig für Versicherungs-Kostenrückerstattung. #### Schritt 12: Mel­de­pflich­ten erfül­len ⏱️ (Inner­halb 72h für NIS2) [\#](#schritt-12-meldepflichten-erf%C3%BCllen-%EF%B8%8F-innerhalb-72h-f%C3%BCr-nis2 "Schritt 12: Meldepflichten erfüllen ⏱️ (Innerhalb 72h für NIS2)") **Was?** Behör­den müs­sen infor­miert werden. **Wie?** - \[ \] **BSI Mel­dung (falls NIS2 betroffen):** - 72 Stun­den nach Erken­nung des Angriffs - For­mu­lar: [https://​www​.bsi​.bund​.de/nis/](https://www.bsi.bund.de/nis/) - Inhal­te: Was? Wann? Wel­che Auswirkungen? 96. \[ \] **Daten­schutz-Behör­de (falls per­so­nen­be­zo­ge­ne Daten betroffen):** 97. Lan­des­amt für Datenschutz 98. 72h Mel­dung (DSGVO Art. 33) 99. \[ \] **Ver­si­che­rung informieren:** 100. Cyber-Ver­si­che­rung sofort (oft mit Fris­ten verknüpft) 101. Schrei­ben Sie einen Claim 102. Foren­sik-Report beilegen 103. \[ \] **Kun­den benach­rich­ti­gen (wenn Daten-Leak):** 104. Beson­ders bei Double-Extortion 105. Trans­pa­renz ist wich­tig für Vertrauen 106. \[ \] **Auf­sichts­be­hör­de (falls KRI­TIS oder ande­re Sektoren):** 107. Regu­la­to­ren kön­nen Report­ing-Anfor­de­run­gen haben **Kri­tisch:** Ver­pass­te Mel­dungs­fris­ten kön­nen zu zusätz­li­chen Buß­gel­dern füh­ren (NIS2: 72h = gesetz­lich erzwungen). --- ### Zeit­ta­bel­le: Rea­lis­ti­sches Reco­very-Sze­na­rio [\#](#zeittabelle-realistisches-recovery-szenario "Zeittabelle: Realistisches Recovery-Szenario") ZeitAkti­onRTO-Sta­tus06:00Ran­som­wa­re bemerkt (Datei­en mit .encrypt­ed)T+006:15Inci­dent Com­man­der + Team aktiviertT+0,25h06:45Netz­werk iso­liert, infi­zier­te Sys­te­me offlineT+0,75h08:00Back­up-Sta­tus geprüft (okay)T+2h10:00Reco­very-Plan finalisiertT+4h14:00\*\*Domain Con­trol­ler Reco­very ONLINE\*\*T+8h15:00Ers­te User kön­nen sich anmel­den (mit Test-Kontos)T+9h18:00E‑Mail Reco­very ONLINET+12h22:00ERP-Daten­bank Reco­very startetT+16h\*\*Day 2 06:00\*\*\*\*ERP ONLINE\*\*\*\*T+24h\*\*Day 2 18:00File­ser­ver Reco­very ONLINET+36hDay 3 18:00Alle Work­sta­tions Reco­very ONLINE, Busi­ness normal\*\*T+60h\*\***RTO erreicht: 2.5 Tage (60 Stunden)** Mit guten Back­ups und Pla­nung ist dies rea­lis­tisch. Ohne Back­ups: 2 – 4 Wochen oder gar nicht. --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Soll­ten wir Löse­geld zahlen?** Das soll­te die Geschäfts­füh­rung mit Ver­si­che­rung und Anwalt ent­schei­den. Mit guten Back­ups ist Zah­lung meist nicht notwendig. **Wie lan­ge dau­ert ein durch­schnitt­li­ches Recovery?** - Mit guten Back­ups (RTO geplant): 1 – 3 Tage - Ohne Back­ups: 2 – 4 Wochen (extern aufbauen) - Schlimms­ter Fall: Unter­neh­men geht bankrott **Was ist, wenn Back­ups auch ver­schlüs­selt wurden?** Das ist ein Sze­na­rio, das Sie ver­mei­den müs­sen. Daher: Hard­ware Air Gap (off­line, nicht verschlüsselbar). **Muss ich Foren­sik-Fir­ma engagieren?** Sehr emp­foh­len. Sie hel­fen bei: Attri­but des Angrei­fers, Ver­mei­dung von Wie­der­ho­lung, Versicherungs-Support. --- ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)