Ransomware-Recovery: 72h-Plan mit 5 Phasen
TL;DR
- 5-Phasen-Plan: Detect → Contain → Eradicate → Recover → Lessons Learned
- Recovery-Time-Objective (RTO): 72h für kritische Systeme realistisch
- Backup-3-2-1 + Immutable: Kern-Schutz gegen Erpressung
- Pflicht-Meldungen: BSI 24h (NIS2 § 32), DSGVO 72h (Art. 33), Polizei + Versicherung
- Tabletop-Übung quartalsweise empfohlen — testbar in 4h
Hauptartikel: Hauptartikel: BCM nach NIS2 — der vollständige Pillar-Artikel zum Thema.
Phase 1: Erkennung (0-2h)
Trigger: Endpoint-Alert, Backup-Failure, User-Report. Krisenstab aktivieren. Erste Eindämmung: Netzwerk-Segment isolieren, betroffene Systeme offline.
Phase 2: Eindämmung + BSI-Meldung (2-24h)
Forensik startet Imaging. BSI-Erstmeldung 24h Pflicht. Wenn Datenleck: Art. 33 DSGVO 72h. Externe Forensik-Firma einschalten (DLA Piper, Mandiant, Crowdstrike).
Phase 3: Forensik + Bewertung (24-48h)
Ransomware-Stamm identifizieren (z.B. LockBit, BlackCat). Datenexfiltration prüfen. Sich Schwachstelle finden. Lösegeld-Forderungen NICHT zahlen (BSI-Empfehlung).
Phase 4: Recovery (48-72h)
Restore aus immutable Backup. Komplett-Reinstallation aller potenziell kompromittierten Systeme. Re-Connection erst nach Forensik-Freigabe. Patch + Härtung gegen identifizierte Schwachstelle.
Phase 5: Lessons Learned (Wochen 2-4)
Post-Incident-Review-Workshop. Maßnahmen-Plan. Update IRP. ISO-27001-Update. Schulung verstärken.
Häufig gestellte Fragen
Sollten wir das Lösegeld zahlen?
BSI rät kategorisch ab. Argumente gegen Zahlung: 1) Keine Garantie auf Decryption (in 35% der Fälle erhalten Opfer keine funktionierende Decryption nach Zahlung — Sophos Report 2025). 2) Re-Erpressung nach 6-12 Monaten häufig (60% in 2024). 3) Sanktionsrechtliche Risiken (US OFAC + EU-Sanktionen bei Zahlung an gelistete Gruppen wie LockBit, BlackCat). 4) Stärkt das Geschäftsmodell der Angreifer. Wann ist Zahlung doch erwogen: Wenn Backup zerstört + DR unmöglich + Existenzbedrohung. Selbst dann: BSI-Konsultation + Rechtsanwalt + Versicherung einbinden.
Welche Cyber-Versicherungen decken Ransomware ab?
Top-Anbieter DACH 2026: Allianz Cyber, AXA Cyber, Munich Re HSB, Hiscox CyberClear. Standard-Deckung 1-5 Mio. EUR. Voraussetzung für Auszahlung: dokumentiertes Schutzlevel — MFA für Admin-Konten, immutable Backups, jährliches Pen-Testing, Awareness-Schulung. Selbstbehalt: typisch 5-25k EUR. Was NICHT gedeckt: Vorsatz, grobe Fahrlässigkeit (z.B. fehlendes MFA), Bußgelder von Aufsichtsbehörden. Prämie für KMU 50-150 MA: 3-15k EUR/Jahr. Ohne nachweisbare Sicherheits-Standards lehnen Versicherer Anträge zunehmend ab (2025-Trend).
Wann muss man bei Ransomware welche Behörden informieren?
Drei parallele Meldewege: 1) BSI nach NIS2 § 32 BSIG: 24h Erstmeldung, 72h Update, 30-Tage-Bericht (für wesentliche/wichtige Einrichtungen). 2) DSB nach Art. 33 DSGVO: 72h-Meldung wenn personenbezogene Daten betroffen sind (in praktisch jedem Ransomware-Fall). 3) Strafanzeige bei Polizei + LKA (Cyber-Crime-Center): empfohlen, da Strafverfolgung möglicher Erpresser. Plus: bei börsennotierten Unternehmen Ad-hoc-Meldung nach MAR Art. 17. Bei kritischer Infrastruktur (KRITIS): zusätzlich BNetzA, BAFA o.ä. je nach Sektor.
Wie lange dauert eine vollständige Ransomware-Recovery?
Median 2025: 18 Tage von Verschlüsselung bis Wiederherstellung kritischer Systeme (Sophos State of Ransomware 2025). Variabilität: bei guter Vorbereitung (immutable Backups, dokumentierter IRP, Tabletop-Übung in letzten 12 Monaten) — 3-7 Tage. Bei mittlerer Reife — 14-30 Tage. Ohne Backup oder bei DRI-Versagen — 60-180 Tage oder Geschäftsaufgabe. 23% der KMU schließen nach Ransomware (Cybersecurity Ventures 2025). Forensik-Aufwand zusätzlich 30-90 Tage bis vollständig 'clean' bestätigt.
Quellen
- BSIG 2025 (konsolidierte Fassung) — § 30 Abs. 2 + § 32 (Meldekette 24h/72h/30T) (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 21 Abs. 2 lit. b/c (Vorfall-Bewältigung, BCM) (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen