Ransomware-Angriff – was tun? Sofortmaßnahmen für KMU
Ransomware-Angriff – was tun? Sofortmaßnahmen-Plan für KMU: erste 60 Minuten, 72-Stunden-Meldepflicht an den HmbBfDI, Lösegeld-Frage und wen Sie kontaktieren.
Inhalt in Kürze
- Die ersten 60 Minuten entscheiden: Betroffene Geräte sofort vom Netzwerk trennen — aber nicht herunterfahren, sonst gehen forensische Spuren im Arbeitsspeicher verloren. Erst isolieren, dann Incident-Team, IT-Dienstleister und Datenschutzbeauftragten alarmieren.
- Ein Ransomware-Angriff ist fast immer auch eine Datenpanne: Die Verschlüsselung personenbezogener Daten ist eine Verfügbarkeitsverletzung nach Art. 33 DSGVO — Meldung an den HmbBfDI binnen 72 Stunden, bei Datenabfluss zusätzlich Benachrichtigung der Betroffenen nach Art. 34.
- Kein Lösegeld zahlen: Das BSI rät klar davon ab — eine Zahlung garantiert keine Entschlüsselung, finanziert das nächste Verbrechen und markiert Sie als zahlungswilliges Wiederholungsziel. Jede Erpressung bei der ZAC des LKA Hamburg anzeigen.
- Wiederherstellung nur aus sauberem Offline-Backup plus Ursachenanalyse — sonst werden Sie über dieselbe Lücke erneut verschlüsselt. Laut BSI-Lagebericht 2025 trafen rund 80 % der gemeldeten Ransomware-Angriffe KMU.
Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 10 Minuten
Freitagnachmittag, 16:40 Uhr. Ein Mitarbeiter ruft an: Auf seinem Bildschirm steht eine Erpressernachricht, Dateien lassen sich nicht mehr öffnen, und die Dateiendungen haben sich verändert. Was Sie in den nächsten Minuten tun — und was Sie auf keinen Fall tun — entscheidet darüber, ob daraus ein beherrschbarer Zwischenfall oder ein Totalschaden wird. Dieser Beitrag ist Ihr Sofortmaßnahmen-Plan: Ransomware-Angriff — was tun in der ersten Stunde, in den ersten 72 Stunden und danach.
1. Netzwerkkabel ziehen / WLAN aus am betroffenen Gerät — aber NICHT herunterfahren. 2. Niemand klickt, niemand löscht, niemand zahlt. 3. IT-Dienstleister und Datenschutzbeauftragten anrufen. Sie haben eine 72-Stunden-Frist laufen, ab dem Moment, in dem Ihnen der Vorfall bekannt wird. Unsere Akut-Hotline für Mandanten: 040 57308220-0, Reaktion < 4 Stunden im Notfall.
Für Unternehmen aus Hamburg gibt es eine eigene Anlaufstelle: die Zentrale Ansprechstelle Cybercrime (ZAC) im LKA 543, Bruno-Georges-Platz 1, 22297 Hamburg. Sie berät Firmen rund um Cybercrime und nimmt Strafanzeigen entgegen — ausdrücklich nur für Unternehmen und Behörden, nicht für Privatpersonen. Parallel läuft die 72-Stunden-Meldung an den Hamburgischen Beauftragten für Datenschutz (HmbBfDI, Ludwig-Erhard-Straße 22). Beide Behörden sind keine Gegner — sie helfen, wenn Sie früh auf sie zugehen.
Ransomware-Angriff – was tun in der ersten Stunde?
Die Versuchung ist groß, in Panik den Rechner auszuschalten oder „mal eben” eine Datei zu öffnen, um zu prüfen, ob noch etwas geht. Beides macht es schlimmer. Halten Sie sich an diese Reihenfolge — wir gehen sie mit Mandanten am Telefon Punkt für Punkt durch.
- Schritt 1 — Isolieren, nicht abschalten (Minute 0–5): Trennen Sie das betroffene Gerät physisch vom Netz: LAN-Kabel ziehen, WLAN deaktivieren. Bei mehreren befallenen Systemen das Segment vom restlichen Netzwerk abkoppeln. Fahren Sie nichts herunter — der Arbeitsspeicher enthält flüchtige Spuren (laufende Prozesse, Schlüssel, Netzwerkverbindungen), die nach dem Ausschalten weg sind.
- Schritt 2 — Ausbreitung stoppen: Ransomware verschlüsselt selten nur ein Gerät. Trennen Sie Netzlaufwerke, Backups und Cloud-Sync (z. B. OneDrive) sofort, damit die Verschlüsselung sich nicht weiter ausbreitet oder ins Backup synchronisiert wird. Deaktivieren Sie betroffene Benutzerkonten.
- Schritt 3 — Betroffene Systeme identifizieren und dokumentieren: Welche Geräte, Server, Laufwerke sind verschlüsselt? Fotografieren Sie den Erpresserbildschirm (mit dem Handy, nicht per Screenshot auf dem befallenen System). Notieren Sie Uhrzeit, betroffene Dateiendungen und den Namen der Ransomware, falls genannt.
- Schritt 4 — Incident-Team und Dienstleister alarmieren: Rufen Sie Ihren IT-Dienstleister oder Incident-Response-Spezialisten an. Holen Sie die Geschäftsführung, IT und Datenschutzbeauftragten an einen Tisch (oder in eine Telefonkonferenz). Ab jetzt läuft die 72-Stunden-Uhr.
- Schritt 5 — Beweise sichern, nichts löschen: Löschen Sie keine Logs, keine verdächtigen E-Mails, keine verschlüsselten Dateien. Sie sind Beweismittel für Forensik und Strafverfolgung. Sichern Sie nach Möglichkeit ein forensisches Abbild, bevor irgendjemand „aufräumt".
1. System herunterfahren → flüchtige Spuren weg, Forensik erschwert. 2. Aus dem letzten Backup zurückspielen, ohne die Lücke zu schließen → erneute Verschlüsselung Stunden später. 3. Den Vorfall „intern lösen" und nicht melden → aus dem IT-Problem wird zusätzlich ein DSGVO-Verstoß. Klingt hart, ist aber so.
Warum ein Ransomware-Angriff fast immer eine Datenpanne ist
Viele Geschäftsführer behandeln Ransomware als reines IT-Thema. Das ist der teure Irrtum. Sobald verschlüsselte Daten personenbezogen sind — Kundendaten, Mitarbeiterdaten, Bewerberunterlagen, Bestellungen —, ist die Verschlüsselung eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO.
Die DSGVO kennt drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Wenn Sie wegen der Verschlüsselung nicht mehr auf die Daten zugreifen können, ist die Verfügbarkeit verletzt — auch dann, wenn kein einziges Byte abgeflossen ist. Genau deshalb löst Ransomware fast immer die Meldepflicht aus.
Kommt — wie heute üblich — eine Datenexfiltration hinzu („double extortion”: erst stehlen, dann verschlüsseln, dann mit Veröffentlichung drohen), ist zusätzlich die Vertraulichkeit verletzt. Dann steigt die Wahrscheinlichkeit, dass Sie auch die Betroffenen direkt informieren müssen.
Die 72-Stunden-Meldepflicht nach Art. 33 DSGVO
Nach Art. 33 DSGVO meldet der Verantwortliche eine Datenschutzverletzung „unverzüglich und möglichst binnen 72 Stunden”, nachdem ihm die Verletzung bekannt wurde — es sei denn, sie führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen. Bei Ransomware mit personenbezogenen Daten ist ein solches Risiko der Regelfall, nicht die Ausnahme.
Die Frist beginnt mit dem Bekanntwerden, nicht mit dem Abschluss der forensischen Analyse. Sie müssen also nicht alle Details kennen, um zu melden — eine erste Meldung mit dem bekannten Stand reicht, Nachmeldungen sind ausdrücklich vorgesehen. Zuständig für Hamburger Unternehmen ist der HmbBfDI, der ein Online-Meldeformular bereitstellt.
Den genauen Ablauf der Meldung — inklusive der Frage, wann das Risiko ausnahmsweise so gering ist, dass keine Meldung nötig ist — haben wir in einem eigenen Beitrag aufgeschlüsselt: Datenpanne: 72-Stunden-Frist – was tun?
Müssen Sie auch die Betroffenen informieren?
Art. 34 DSGVO verlangt eine Benachrichtigung der betroffenen Personen, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten bedeutet. Sind bei Ihrem Vorfall Daten abgeflossen — etwa Kundendatenbanken, Gehaltsdaten, Gesundheitsdaten —, ist das hohe Risiko schnell erreicht, und Sie müssen die Betroffenen direkt und in klarer Sprache informieren.
| Frist / Pflicht | Wann | An wen | Rechtsgrundlage |
|---|---|---|---|
| Meldung Datenpanne | unverzüglich, max. 72 h ab Bekanntwerden | HmbBfDI (Aufsichtsbehörde) | Art. 33 DSGVO |
| Interne Dokumentation | immer, auch ohne Meldung | eigene Akte / DSB | Art. 33 Abs. 5 DSGVO |
| Benachrichtigung Betroffene | bei hohem Risiko, unverzüglich | betroffene Personen | Art. 34 DSGVO |
| Strafanzeige | so früh wie möglich | ZAC / LKA Hamburg | StGB (§ 303b, § 202a ff.) |
Lösegeld zahlen – ja oder nein?
Die kürzeste seriöse Antwort: Nein. Das BSI rät klar davon ab, Lösegeld zu zahlen — und führt dafür mehrere gute Gründe an, die auch das Bundeskriminalamt teilt.
- Keine Garantie auf Entschlüsselung. Laut BSI ist die Zahlung „keinerlei Garantie" dafür, dass die Daten wieder freigegeben werden. In Fällen sind die Daten unwiderruflich zerstört, und die Lösegeldforderung dient nur dazu, das Opfer ohne Kenntnis der Sachlage zur Zahlung zu verleiten.
- Jede Zahlung finanziert das nächste Verbrechen. Das BKA formuliert es deutlich: Jede Lösegeldzahlung macht die Erpressung zum Erfolg und motiviert die Täter — und andere — zu weiteren Angriffen.
- Sie werden zum Wiederholungsziel. Wer einmal zahlt, gilt in der Szene als zahlungswillig. Erneute Angriffe folgen erfahrungsgemäß.
- Mögliche Strafbarkeit. Zahlungen an sanktionierte Gruppen können ihrerseits rechtliche Probleme auslösen. Sprechen Sie vor jeder Erwägung mit Polizei und Anwalt.
Das BSI und das BKA empfehlen stattdessen: jede Erpressung anzeigen und auf saubere Backups setzen. Die offizielle Linie der Allianz für Cyber-Sicherheit ist hier eindeutig — Zahlung entspricht nicht den Empfehlungen des BSI.
Ransomware ist selten ein isoliertes Ereignis, sondern das sichtbare Ende einer Kette: schwache Passwörter, fehlende MFA, ein unbemerkter Phishing-Klick, ein nicht gepatchter Server. Wer die Kette versteht, baut wirksame Prävention. Wir gehen mit Hamburger Mandanten im 15-minütigen Erstgespräch genau diese Kette durch — und im Notfall ist unsere Akut-Hotline (Reaktion < 4 Stunden) erreichbar. Mehr zum Datenschutz für IT- und SaaS-Unternehmen →
Wen kontaktieren? Die vier Anlaufstellen
Bei einem ernsten Vorfall arbeiten vier Stellen parallel. Je früher Sie alle vier einbinden, desto kontrollierter läuft der Vorfall ab.
Ihr IT-Dienstleister oder ein Incident-Response-Team übernimmt die technische Eindämmung, Forensik und Wiederherstellung. Haben Sie keinen Notfallvertrag, ist jetzt der Moment, einen Spezialisten zu holen — nicht das interne Team unter Zeitdruck improvisieren zu lassen.
Ihr Datenschutzbeauftragter bewertet, ob und wie zu melden ist, formuliert die Meldung an den HmbBfDI und entscheidet über die Benachrichtigung der Betroffenen. Das ist Pflichtaufgabe nach Art. 39 DSGVO — und genau hier verlieren Unternehmen ohne DSB die meiste Zeit.
Die ZAC des LKA Hamburg nimmt Ihre Strafanzeige entgegen und berät zu Cybercrime — erreichbar für Unternehmen und Behörden unter zac@polizei.hamburg.de. Eine Anzeige ist keine Formsache: Sie sichert Ansprüche, hilft bei der Verfolgung der Täter und ist oft Voraussetzung für die Cyber-Versicherung. Bei polizei.hamburg finden Sie die aktuellen Kontaktwege.
Der HmbBfDI ist Empfänger Ihrer Datenpannen-Meldung — und, anders als viele befürchten, in Deutschland zunächst beratend tätig. Eine offene, frühe Meldung wird Ihnen positiv ausgelegt, eine verschwiegene Panne dagegen verschärft das Bußgeldrisiko.
Aus der Praxis
Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff. Genau so fängt fast jeder Ransomware-Fall an: nicht mit einem Hollywood-Hack, sondern mit einer Mail, die echt aussieht.
Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo
Das deckt sich mit den Zahlen: Laut BSI-Lagebericht 2025 richteten sich rund 80 Prozent der angezeigten Ransomware-Angriffe gegen kleine und mittlere Unternehmen — gerade die, denen oft die Ressourcen für eine durchdachte Abwehr fehlen. Das BSI registrierte für den Berichtszeitraum zudem im Schnitt rund 119 neue Schwachstellen pro Tag. Wer hier nicht zügig patcht, lässt Türen offen.
Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2025.
Wiederherstellung: sauber statt schnell
Der häufigste Folgefehler nach der Eindämmung: aus Zeitdruck in eine noch kompromittierte Umgebung zurückspielen. Dann verschlüsselt die Ransomware Stunden später erneut — diesmal samt frischem Backup. Halten Sie diese Reihenfolge ein:
- Ursache finden: Wie kamen die Täter rein? Phishing-Mail, offener RDP-Zugang, ungepatchte Schwachstelle, gestohlene Zugangsdaten? Ohne diese Antwort ist jede Wiederherstellung Glücksspiel.
- Lücke schließen: Zugang sperren, Schwachstelle patchen, kompromittierte Konten zurücksetzen, MFA aktivieren. Erst danach geht das Netz wieder hoch.
- Sauber neu aufsetzen: Befallene Systeme nicht „bereinigen", sondern neu installieren. Reststände von Schadcode bleiben sonst unentdeckt.
- Aus geprüftem Offline-Backup zurückspielen: Nur aus einer Kopie, die nachweislich vor dem Angriff entstanden ist und offline bzw. unveränderlich (immutable) gehalten wurde. Online-Backups sind oft mitverschlüsselt.
- Überwachen: Nach dem Wiederanlauf engmaschig auf erneute Auffälligkeiten achten — Angreifer hinterlassen gern Hintertüren.
Prävention: damit es kein zweites Mal passiert
Die gute Nachricht: Die wirksamsten Schutzmaßnahmen sind weder teuer noch exotisch. Das BSI empfiehlt im Kern dieselben vier Hebel, die wir bei Mandanten priorisieren.
- Backup nach 3-2-1. Drei Kopien, zwei Medien, eine außer Haus — und mindestens eine offline oder unveränderlich. Genau diese Offline-Kopie rettet Sie, wenn alles andere verschlüsselt ist.
- Multi-Faktor-Authentifizierung überall. MFA stoppt den Großteil der Angriffe mit gestohlenen Passwörtern. So führen Sie MFA im Unternehmen ein →
- Patches zeitnah einspielen. Bei ~119 neuen Schwachstellen pro Tag ist ein gepflegtes Patch-Management Pflicht, kein Nice-to-have.
- Mitarbeiter-Awareness. Der erste Klick passiert beim Menschen. Regelmäßige Phishing-Schulungen senken die Klickrate messbar. Mehr zur Phishing-Awareness →
All das gehört zusammen in ein dokumentiertes Konzept — vom Notfallplan über die Backup-Strategie bis zur Zugriffsverwaltung. Wie Sie das für ein KMU pragmatisch aufsetzen, zeigt unser Leitfaden zum IT-Sicherheitskonzept für KMU (mit Vorlage).
Fazit / Ihr nächster Schritt
Bei einem Ransomware-Angriff zählt jede Minute — aber die richtige Reihenfolge zählt mehr als Tempo. Isolieren statt abschalten, dokumentieren statt löschen, melden statt verschweigen, neu aufsetzen statt zahlen. Wer diese vier Prinzipien beherzigt und vorher in Backup, MFA, Patches und Awareness investiert hat, übersteht den Vorfall als kontrollierten Zwischenfall statt als Existenzkrise.
Das Gefährliche an Ransomware ist die Gleichzeitigkeit: technischer Notfall und 72-Stunden-Meldepflicht parallel. Genau hier ist ein externer Datenschutzbeauftragter Gold wert — er übernimmt die DSGVO-Seite, während Ihre IT die Systeme rettet.
Vorbereitet sein, bevor es ernst wird — oder akut Hilfe brauchen?
Wir prüfen Ihre Notfall-Bereitschaft im kostenlosen 15-Minuten-Erstgespräch und stehen Mandanten im Akutfall mit < 4 Stunden Reaktion zur Seite — als TÜV-zertifizierter externer DSB mit 0 € Bußgeldern in der Mandantschaft. Externer Datenschutzbeauftragter Hamburg ansehen →
Kostenloses Erstgespräch buchen →Häufige Fragen (FAQ)
Soll ich beim Ransomware-Angriff den Server herunterfahren?
Nein. Trennen Sie das Gerät vom Netzwerk (LAN-Kabel ziehen, WLAN aus), aber fahren Sie es nicht herunter und schalten Sie es nicht aus. Beim Ausschalten gehen flüchtige Spuren im Arbeitsspeicher verloren, die für die Forensik und die spätere Strafverfolgung wichtig sind. Isolieren statt abschalten ist die Regel.
Muss ich einen Ransomware-Angriff der Datenschutzbehörde melden?
In der Regel ja. Ransomware verschlüsselt personenbezogene Daten und greift damit deren Verfügbarkeit an — das ist eine Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO. Sie müssen sie unverzüglich, möglichst binnen 72 Stunden, beim HmbBfDI melden, sobald sie Ihnen bekannt wird. Kommt es zusätzlich zum Datenabfluss, kann auch eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO nötig werden.
Sollte man bei Ransomware das Lösegeld zahlen?
Das BSI rät klar davon ab. Eine Zahlung garantiert keine Entschlüsselung, finanziert das nächste Verbrechen und macht Sie zum lohnenden Wiederholungsziel. Stattdessen sollten Sie jede Erpressung bei der Polizei anzeigen. Setzen Sie auf saubere Offline-Backups statt auf die Hoffnung, dass die Täter ihr Wort halten.
Wen kontaktiere ich nach einem Ransomware-Angriff in Hamburg?
Vier Stellen: Ihren IT-Dienstleister oder Incident-Response-Spezialisten, Ihren Datenschutzbeauftragten (wegen der 72-Stunden-Frist), die Zentrale Ansprechstelle Cybercrime (ZAC) des LKA Hamburg für die Strafanzeige und — bei Pflichtverletzung — den HmbBfDI. Die ZAC Hamburg ist ausschließlich für Unternehmen und Behörden da, nicht für Privatpersonen.
Wie stelle ich nach einem Ransomware-Angriff sicher wieder her?
Nicht durch Entschlüsselung des befallenen Systems, sondern durch saubere Neuinstallation und Rückspielen aus einem nachweislich nicht infizierten, offline gehaltenen Backup. Spielen Sie nie in eine noch kompromittierte Umgebung zurück. Schließen Sie zuerst die Einfallstür über eine Ursachenanalyse, sonst werden Sie kurz darauf erneut verschlüsselt.
Wie kann ich Ransomware im Unternehmen vorbeugen?
Die vier wirksamsten Hebel: ein 3-2-1-Backup mit mindestens einer offline oder unveränderlich gehaltenen Kopie, Multi-Faktor-Authentifizierung für alle Zugänge, ein zügiges Patch-Management und regelmäßige Mitarbeiter-Awareness gegen Phishing. Rund 80 Prozent der gemeldeten Ransomware-Angriffe trafen laut BSI-Lagebericht 2025 kleine und mittlere Unternehmen.
Recherche-Stand: verifiziert am 6. Juni 2026 über bsi.bund.de (Lagebericht 2025, Ransomware-Empfehlungen), bka.de (Umgang mit Lösegeldforderungen), dsgvo-gesetz.de (Art. 33/34 DSGVO), datenschutz-hamburg.de (HmbBfDI) und polizei.hamburg (ZAC LKA Hamburg).
Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)
Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)
Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.