Ransomware-Alarm: Was in den ersten 60 Minuten wirklich zählt

Ein Verschlüsselungsalarm ist einer der stressigsten Momente im IT-Betrieb. In der Praxis entscheiden die ersten 60 Minuten darüber, ob aus einem Vorfall ein kontrollierbares Incident wird – oder ein tagelanger Ausfall. Dieser Leitfaden ist bewusst pragmatisch gehalten: klare Reihenfolge, klare Entscheidungen, keine Buzzword-Show.

Die ersten 10 Minuten: Schaden begrenzen

  • Betroffene Systeme sofort isolieren (Netzwerk trennen, WLAN aus, VPN-Sitzungen beenden).
  • Keine Schnellschüsse wie Neustart – volatile Spuren gehen sonst verloren.
  • Admin-Konten absichern: privilegierte Sessions beenden, Passwörter rotieren, Tokens widerrufen.
  • Kommunikation starten: ein zentraler Incident-Channel, ein Entscheider, ein Protokollführer.

Ziel: Ausbreitung stoppen, ohne Beweise zu zerstören.

Minute 10–30: Lagebild aufbauen

  • Scope erfassen: Welche Hosts, Shares, Hypervisor, SaaS-Konten sind betroffen?
  • Indikatoren sammeln: Dateiendungen, Lösegeldnotiz, verdächtige Prozesse, bekannte IOC-Muster.
  • Backups prüfen: letzter erfolgreicher Backup-Lauf, Immutable/Offline-Status, Restore-Fähigkeit.
  • Blast Radius bewerten: nur Clients, auch Server, auch AD, auch Datenbanken?

Ziel: Fakten statt Vermutungen – damit Entscheidungen belastbar sind.

Minute 30–60: Recovery-Pfad entscheiden

  • Prioritäten definieren: Welche Systeme müssen zuerst wieder laufen (Betrieb, Umsatz, Kommunikation)?
  • Restore-Strategie festlegen: Clean-Restore aus bekannten sauberen Ständen, keine „halbgaren“ Rückbauten.
  • Forensik/IR einbinden (intern oder extern), bevor großflächig bereinigt wird.
  • Stakeholder informieren: Management, betroffene Teams, ggf. Kunden – kurz, klar, ohne Spekulation.

Ziel: Kontrollierter Wiederanlauf mit minimalem Risiko für Re-Infektion.

Häufige Fehler, die Zeit und Geld kosten

  • Zu spät isolieren („erst mal beobachten“).
  • Ohne Priorisierung gleichzeitig an allem arbeiten.
  • Backup vorhanden, aber Restore nie getestet.
  • Kommunikationschaos: zu viele Kanäle, kein Owner.

Praxistemplate: 60-Minuten-Runbook (Kurzform)

  • 0–10 min: Isolieren, Admin absichern, Incident-Rollen setzen.
  • 10–30 min: Scope + IOC + Backup-Status.
  • 30–60 min: Prioritäten + Restore-Plan + Stakeholder-Update.

Wenn ihr wollt, könnt ihr dieses Schema 1:1 als internes Notfallblatt übernehmen – wichtig ist nur: vorher einmal als Tabletop üben, nicht erst im Ernstfall.

Fazit

Ransomware ist kein reines Technikproblem, sondern ein Entscheidungsproblem unter Zeitdruck. Mit einem simplen, geübten 60-Minuten-Ablauf reduziert ihr Chaos, beschleunigt Recovery und schützt euer Team vor unnötigem Feuerwehreinsatz.