Ransomware

Datenrettung nach Ransomware-Angriff

Opfer eines Ransomware-Angriffs? Unsere Cyber-Recovery-Experten retten Ihre verschlüsselten Daten und stellen Ihre Systeme mit einer kostenlosen Diagnose in 3 Stunden wieder her, auch wenn Ihre Backups kompromittiert sind.

Kostenlose Diagnose in 3 Std.
Forensische Datenanalyse
Wiederherstellung ohne Lösegeldzahlung
Kompromittierte Backups behandelt
Diagnose kostenlos Kosten schätzen
Kostenlose Diagnose Angebot in weniger als 3 Std. Ihre Daten bleiben in der Schweiz
Support anvertrauen
oder
Kosten online schätzen

Wie funktioniert die Datenrettung nach einem Ransomware-Angriff?

Ransomware ist eine Art von Schadsoftware, die Ihre Daten verschlüsselt und ein Lösegeld für die Freigabe verlangt. Diese Art von Angriff richtet sich gleichermassen gegen KMU, Grossunternehmen, Gemeindeverwaltungen und öffentliche Einrichtungen.

Seit 2006 hat SOS Data Recovery in Ins (Schweiz) über 11'300 Datenträger bearbeitet und mehr als 8'000 Kunden betreut. CyberSafe-zertifiziert und mit 4.5/5 auf Avis Vérifiés (249+ Bewertungen) bewertet, arbeitet unser Team über unsere spezialisierte Einheit bexxo.ch, die sich der Cybersicherheit und der Ransomware-Wiederherstellung widmet.

Unsere Diagnose ist kostenlos und wird in 3 Stunden durchgeführt. Bei Misserfolg werden nur die Versuchskosten berechnet. Wir sind Partner der Versicherungen Mobilière und Helvetia für die Abwicklung von Cyber-Schadensfällen.

Anatomie eines Ransomware-Angriffs

Die Phasen eines Angriffs zu verstehen hilft, sich besser zu schützen und im Ernstfall schneller zu reagieren.

01

Wie infiziert Ransomware Ihre Organisation?

Einer der Hauptinfektionswege ist Phishing: schädliche Links oder Anhänge in E-Mails. Benutzer können auch durch den Besuch kompromittierter Download-Seiten oder durch Klicken auf bösartige Werbung (Malvertising) infiziert werden.

02

Wie läuft die Verschlüsselung Ihrer Daten ab?

Die Verschlüsselung von Dateien ist ein langsamer Prozess, der stundenlang unbemerkt bleiben kann. Cyberkriminelle starten den Angriff oft ausserhalb der Geschäftszeiten — nachts oder am Wochenende —, um die Verschlüsselungszeit vor der Erkennung zu maximieren. Die verwendeten Algorithmen (AES-256, RSA-2048) sind ohne den Schlüssel praktisch unknackbar.

03

Warum stehlen Angreifer Ihre Daten zusätzlich zur Verschlüsselung?

Diese Taktik, genannt doppelte Erpressung, ist zur Norm geworden. Angreifer exfiltrieren Ihre sensiblen Daten vor dem Start der Verschlüsselung. Sie drohen dann, diese online zu veröffentlichen, wenn Sie versuchen, aus Backups wiederherzustellen, anstatt zu zahlen.

04

Was machen Angreifer mit den gestohlenen Daten?

Angreifer analysieren gestohlene Inhalte, um den Druck zu maximieren: Verkauf vertraulicher Informationen an Wettbewerber, Übermittlung von Finanzdaten an Steuerbehörden, Offenlegung von Geschäftsvereinbarungen oder direkte Erpressung von Führungskräften. Dies wird als dreifache Erpressung bezeichnet.

Cyber Recovery

Warum ist ein spezialisierter Cyber-Recovery-Service notwendig?

Cyber Recovery ist ein Datenrettungsdienst, der nach einem Ransomware-Angriff eingreift — im Gegensatz zur klassischen Cybersicherheit, die präventiv arbeitet.

Angesichts immer raffinierterer und wahlloser Angriffe benötigen Organisationen (Unternehmen, Behörden, Institutionen) einen Partner, der ihre Daten auch dann wiederherstellen kann, wenn die Backups kompromittiert wurden.

SOS Data Recovery, Spezialist für Datenrettung seit 2006, greift im Notfall ein, um Ihre Dateien wiederherzustellen und Ihre Systeme nach bewährten Datenrettungspraktiken zu restaurieren.

2006 Spezialist seit
3 Std. Kostenlose Diagnose
24/7 Notfall-Einsatz

Wie ergänzen Bexxo und CVE Find unseren Einsatz?

Schwachstellen

CVE Find

Unsere Überwachungsplattform identifiziert ausgenutzte Schwachstellen und prüft die Exposition Ihrer Infrastruktur.

  • CVE-Datenbank in Echtzeit aktualisiert
  • Individuelle Warnungen nach Technologie
  • Überprüfung der Infrastruktur-Exposition
www.cvefind.com

Welche Situationen erfordern eine Datenrettung nach Ransomware?

Sind Sie mit einer dieser Situationen konfrontiert? Kontaktieren Sie uns für einen sofortigen Einsatz.

Verschlüsselung

Von Ransomware verschlüsselte Dateien

Ihre Dateien haben eine unbekannte Erweiterung (.locked, .crypt, .encrypted) und sind unzugänglich. Unsere Experten analysieren die Ransomware-Variante und versuchen die Wiederherstellung ohne Lösegeldzahlung.

Sperrung

System gesperrt (Lösegeld-Bildschirm)

Eine Nachricht fordert eine Zahlung in Kryptowährung zur Freischaltung. Zahlen Sie nicht: Die Zahlung garantiert keine Datenwiederherstellung und finanziert die Angreifer.

Backup

Kompromittierte Backups

Angreifer zielen zuerst auf Backups (NAS, Cloud, Bänder). Wir greifen auch ein, wenn die Sicherungskopien von der Ransomware verschlüsselt oder gelöscht wurden.

Server

Verschlüsselter Server oder NAS

Dateiserver, Datenbanken oder NAS vollständig verschlüsselt. Wir retten die Daten direkt von den Festplatten und umgehen das kompromittierte System.

Exfiltration

Datendiebstahl (Doppelerpressung)

Angreifer drohen, Ihre sensiblen Daten zu veröffentlichen. Unsere forensische Analyse identifiziert das Ausmass der Exfiltration und unterstützt die Incident Response.

Infrastruktur

Netzwerk-Infrastruktur lahmgelegt

Active Directory kompromittiert, Arbeitsplätze und Server ausser Betrieb. Wir unterstützen bei der schrittweisen Wiederherstellung kritischer Systeme und der Datenrettung.

Wie funktioniert die Datenrettung?

Von der kostenlosen Diagnose bis zur sicheren Lieferung — ein transparenter 4-Schritte-Prozess, vollständig in unserem Schweizer Labor durchgeführt.

01

Kostenlose Diagnose in 3 Stunden

Senden Sie Ihr Medium per gesicherter Post, geben Sie es an einer unserer 30 Abgabestellen in der Schweiz ab, oder bringen Sie es direkt zu unserem Labor in Ins. Unser Team führt eine vollständige Analyse innerhalb von 3 Stunden nach Erhalt durch — kostenlos und unverbindlich.

02

Transparentes Angebot vor jeder Arbeit

Sie erhalten ein detailliertes Angebot mit Art des Schadens, Wiederherstellungschancen und genauem Preis. Sie genehmigen, bevor wir beginnen. Vollständige Zahlung nur bei Erfolg — bei Misserfolg werden nur die Versuchskosten berechnet.

03

Wiederherstellung unter ISO 5 Laminarströmung

Unsere Techniker arbeiten unter ISO 5 zertifizierter Laminarströmung mit spezialisierten Werkzeugen (PC-3000). Ihre Daten verlassen niemals unser CyberSafe-zertifiziertes und CyberSafe-Partner Schweizer Labor. Dauer: 2 bis 10 Werktage je nach Komplexität.

04

Sichere Lieferung Ihrer Daten

Ihre wiederhergestellten Daten werden auf einem neuen verschlüsselten Datenträger oder per sicherem Download geliefert. Originaldatenträger können auf Wunsch vernichtet werden, um die Vertraulichkeit zu garantieren.

Häufig gestellte Fragen

Unsere Spezialisten beantworten die häufigsten Fragen.

Ist es möglich, Daten, die durch Ransomware verschlüsselt wurden, ohne Zahlung des Lösegelds wiederherzustellen?

Ja, in einer beträchtlichen Anzahl von Fällen. Die Möglichkeit der Entschlüsselung ohne Zahlung hängt hauptsächlich von der Art der Ransomware und dem Vorhandensein einer ausnutzbaren kryptografischen Schwachstelle ab.

Es gibt verschiedene Wiederherstellungswege:

  • Öffentliche Entschlüsselungsschlüssel – einige Ransomware-Typen wurden von Sicherheitsforschern und Behörden wie Europol entschlüsselt. Die Plattform No More Ransom (nomoreransom.org) zentralisiert diese Tools kostenlos.
  • Fehler in der kryptografischen Implementierung – einige schlecht programmierte Ransomware weisen Schwachstellen auf, die es ermöglichen, die Schlüssel zu rekonstruieren.
  • Schattenkopien (VSS) – wenn die Ransomware die Windows-Schattenkopien nicht gelöscht hat, ist eine Wiederherstellung möglich.
  • Nicht betroffene Backups – Offline-Backups, NAS-Snapshots oder nicht synchronisierte Cloud-Backups.

Unser Labor analysiert jeden Fall individuell. Eine Diagnose ermöglicht es uns, festzustellen, welche Ransomware-Familie beteiligt ist und welche Entschlüsselungsoptionen verfügbar sind.

Tipp

Zahlen Sie das Lösegeld nicht, bevor Sie einen Spezialisten konsultiert haben. In vielen Fällen garantiert die Zahlung nicht die Wiederherstellung der Daten, und Sie finanzieren direkt kriminelle Aktivitäten.

Kann man Daten nach einem Ransomware-Angriff wiederherstellen, wenn das System neu installiert wurde?

Das hängt von der Art des Speichers und der Art und Weise ab, wie die Neuinstallation durchgeführt wurde.

Auf einer HDD (mechanische Festplatte): Wenn die Festplatte ohne "sicheres Überschreiben" formatiert wurde (einfaches Löschen der Partitionen), sind die verschlüsselten Dateien oft noch physisch auf den magnetischen Platten vorhanden. Eine Extraktion im Labor kann es ermöglichen, die verschlüsselten Dateien wiederherzustellen, die unsere Experten dann zu entschlüsseln versuchen.

Auf einer SSD: Die Situation ist komplexer. Die Firmware der SSD kann nach der Formatierung automatisch eine TRIM-Operation auslösen, wodurch die Daten endgültig gelöscht werden. Bei bestimmten Modellen oder wenn TRIM deaktiviert wurde, ist eine teilweise Wiederherstellung weiterhin möglich.

In beiden Fällen gilt: Je schneller Sie nach der Neuinstallation eingreifen, desto höher sind die Chancen auf eine Wiederherstellung.

Tipp

Erstellen Sie vor der Neuinstallation des Systems immer ein vollständiges Image der infizierten Festplatte. Dieses Image ermöglicht es Ihnen, auf einer Kopie zu arbeiten und zukünftige Entschlüsselungsmethoden erneut zu versuchen, falls später ein öffentlicher Entschlüsselungsschlüssel veröffentlicht wird.

Sollte man das Lösegeld zahlen, um seine Daten nach einem Ransomware-Angriff wiederherzustellen?

Die Behörden (ANSSI, OFCS, Europol, FBI) empfehlen einstimmig, das Lösegeld nicht zu zahlen, aus mehreren Gründen:

  • Keine Garantie — zwischen 20 und 40 % der Opfer, die gezahlt haben, erhielten keinen funktionierenden Entschlüsselungs-Schlüssel
  • Risiko der Doppelerpressung — die Angreifer können die Daten vor der Verschlüsselung exfiltrieren und drohen, sie auch nach der Zahlung zu veröffentlichen
  • Finanzierung der Kriminalität — die Zahlung fördert neue Angriffe und kann das Unternehmen in bestimmten Rechtsordnungen rechtlichen Sanktionen aussetzen
  • Alternative Möglichkeiten — in 30 bis 50 % der Fälle ist eine vollständige oder teilweise Wiederherstellung ohne Zahlung möglich

Konsultieren Sie vor jeder Entscheidung einen Spezialisten für Datenrettung und melden Sie den Angriff dem Nationalen Zentrum für Cybersicherheit (NCSC) in der Schweiz oder der ANSSI in Frankreich.

Was ist ein Ransomware-Angriff und wie wirkt er sich auf Daten aus?

Ransomware ist eine Schadsoftware, die die Dateien eines Computersystems verschlüsselt, um sie unzugänglich zu machen, und dann ein Lösegeld im Austausch für den Entschlüsselungsschlüssel fordert. Sie ist eine der am weitesten verbreiteten Cyberbedrohungen: Laut dem ENISA-Bericht 2024 haben Ransomware-Angriffe in Europa zwischen 2022 und 2023 um 37 % zugenommen.

Der Ablauf eines typischen Angriffs läuft in vier Schritten ab:

  1. Infektion — via Phishing, ungepatchte Schwachstelle, exponiertes RDP oder kompromittiertes Konto
  2. Aufklärung und Verbreitung — die Malware kartiert das Netzwerk und breitet sich lateral aus (Dauer: von wenigen Stunden bis zu mehreren Wochen)
  3. Verschlüsselung — die Dateien werden mit einem asymmetrischen Algorithmus (RSA 2048 oder 4096 Bit) verschlüsselt, von dem nur der Angreifer den privaten Schlüssel besitzt
  4. Erpressung — eine Lösegeldforderung wird auf dem System hinterlegt, mit Anweisungen zur Zahlung (in der Regel in Bitcoin)

Was ist unmittelbar nach der Erkennung eines Ransomware-Angriffs zu tun?

Die ersten Stunden sind entscheidend, um das Ausmaß des Schadens zu begrenzen. Hier ist das Notfallverfahren:

  1. Isolieren Sie die infizierten Rechner – trennen Sie diese sofort vom Netzwerk (Ethernet-Kabel und WLAN), um die laterale Ausbreitung zu stoppen
  2. Starten Sie die Systeme nicht neu – einige Verschlüsselungsschlüssel verbleiben im Arbeitsspeicher (RAM) und können im laufenden Betrieb extrahiert werden
  3. Bewahren Sie die Spuren – verändern Sie keine Systemdateien, diese Elemente sind für die forensische Analyse unerlässlich
  4. Identifizieren Sie die Ransomware – laden Sie eine verschlüsselte Datei auf ID Ransomware (id-ransomware.malwarehunterteam.com) hoch, um die Familie zu identifizieren
  5. Bewerten Sie Ihre Backups – überprüfen Sie, ob Ihre Offline- oder Cloud-Backups intakt sind
  6. Kontaktieren Sie einen Spezialisten – ein Experte für Incident Response kann innerhalb von 2 Stunden eingreifen
Tipp

Dokumentieren Sie alles: Screenshots der Lösegeldforderungen, Liste der betroffenen Dateien, Netzwerkprotokolle. Diese Dokumentation ist unerlässlich für die Anzeige bei der Polizei und die technische Analyse.

Wie erkenne ich, ob meine Backups ebenfalls von Ransomware verschlüsselt wurden?

Moderne Ransomware zielt vorrangig auf Backups ab, um den Druck auf die Opfer zu maximieren. So identifizieren Sie, ob Ihre Backups kompromittiert sind:

  • Netzwerk-Backups (NAS, Backup-Server): Überprüfen Sie die Dateiendung – eine unbekannte oder hinzugefügte Endung (.locked, .encrypted usw.) verrät eine Infektion. Kontrollieren Sie auch die Metadaten (Datum der letzten Änderung ist neu und ungewöhnlich).
  • Synchronisierte Cloud-Backups: Wenn der Synchronisationsclient (OneDrive, Dropbox usw.) während des Angriffs aktiv war, haben die verschlüsselten Dateien wahrscheinlich die Originale ersetzt. Überprüfen Sie den Versionsverlauf, bevor Sie eine Wiederherstellung durchführen.
  • Offline-Backups (getrennte externe Festplatte, LTO-Band): Wenn diese während des Angriffs nicht mit dem Netzwerk verbunden waren, sind sie in der Regel intakt.

Die 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 offsite) mit mindestens einer Air-Gap-Kopie ist der wirksamste Schutz gegen Ransomware.

Tipp

Testen Sie regelmäßig die Wiederherstellung Ihrer Backups – ein ungetestetes Backup ist ein Backup, dessen tatsächliche Zuverlässigkeit Sie nicht kennen.

Wie lange dauert die Datenrettung nach einem Ransomware-Angriff?

Die Wiederherstellungszeit nach einem Ransomware-Angriff ist sehr unterschiedlich und hängt von der Komplexität des Falls ab:

  • Ransomware bereits entschlüsselt (öffentlicher Schlüssel verfügbar): 24 bis 72 Stunden, um die Entschlüsselung auf alle Dateien anzuwenden
  • Wiederherstellung über intakte Backups: von wenigen Stunden bis zu einigen Tagen, abhängig vom Datenvolumen und dem Zustand der Infrastruktur
  • Forensische Analyse und Suche nach kryptografischen Schwachstellen: von 1 bis zu mehreren Wochen – einige Analysen erfordern erhebliche Rechenressourcen
  • Fälle ohne bekannte Entschlüsselungslösung: Aufbewahrung der verschlüsselten Dateien in Erwartung der späteren Veröffentlichung eines Schlüssels (Fälle Hive, Ragnar Locker usw.)

Unser Notfall-Interventionsdienst (kritische Stufe) steht Unternehmen, deren Geschäftskontinuität gefährdet ist, rund um die Uhr zur Verfügung.

Ja, in einer beträchtlichen Anzahl von Fällen. Die Möglichkeit der Entschlüsselung ohne Zahlung hängt hauptsächlich von der Art der Ransomware und dem Vorhandensein einer ausnutzbaren kryptografischen Schwachstelle ab.

Es gibt verschiedene Wiederherstellungswege:

  • Öffentliche Entschlüsselungsschlüssel – einige Ransomware-Typen wurden von Sicherheitsforschern und Behörden wie Europol entschlüsselt. Die Plattform No More Ransom (nomoreransom.org) zentralisiert diese Tools kostenlos.
  • Fehler in der kryptografischen Implementierung – einige schlecht programmierte Ransomware weisen Schwachstellen auf, die es ermöglichen, die Schlüssel zu rekonstruieren.
  • Schattenkopien (VSS) – wenn die Ransomware die Windows-Schattenkopien nicht gelöscht hat, ist eine Wiederherstellung möglich.
  • Nicht betroffene Backups – Offline-Backups, NAS-Snapshots oder nicht synchronisierte Cloud-Backups.

Unser Labor analysiert jeden Fall individuell. Eine Diagnose ermöglicht es uns, festzustellen, welche Ransomware-Familie beteiligt ist und welche Entschlüsselungsoptionen verfügbar sind.

Tipp

Zahlen Sie das Lösegeld nicht, bevor Sie einen Spezialisten konsultiert haben. In vielen Fällen garantiert die Zahlung nicht die Wiederherstellung der Daten, und Sie finanzieren direkt kriminelle Aktivitäten.

Das hängt von der Art des Speichers und der Art und Weise ab, wie die Neuinstallation durchgeführt wurde.

Auf einer HDD (mechanische Festplatte): Wenn die Festplatte ohne "sicheres Überschreiben" formatiert wurde (einfaches Löschen der Partitionen), sind die verschlüsselten Dateien oft noch physisch auf den magnetischen Platten vorhanden. Eine Extraktion im Labor kann es ermöglichen, die verschlüsselten Dateien wiederherzustellen, die unsere Experten dann zu entschlüsseln versuchen.

Auf einer SSD: Die Situation ist komplexer. Die Firmware der SSD kann nach der Formatierung automatisch eine TRIM-Operation auslösen, wodurch die Daten endgültig gelöscht werden. Bei bestimmten Modellen oder wenn TRIM deaktiviert wurde, ist eine teilweise Wiederherstellung weiterhin möglich.

In beiden Fällen gilt: Je schneller Sie nach der Neuinstallation eingreifen, desto höher sind die Chancen auf eine Wiederherstellung.

Tipp

Erstellen Sie vor der Neuinstallation des Systems immer ein vollständiges Image der infizierten Festplatte. Dieses Image ermöglicht es Ihnen, auf einer Kopie zu arbeiten und zukünftige Entschlüsselungsmethoden erneut zu versuchen, falls später ein öffentlicher Entschlüsselungsschlüssel veröffentlicht wird.

Die Behörden (ANSSI, OFCS, Europol, FBI) empfehlen einstimmig, das Lösegeld nicht zu zahlen, aus mehreren Gründen:

  • Keine Garantie — zwischen 20 und 40 % der Opfer, die gezahlt haben, erhielten keinen funktionierenden Entschlüsselungs-Schlüssel
  • Risiko der Doppelerpressung — die Angreifer können die Daten vor der Verschlüsselung exfiltrieren und drohen, sie auch nach der Zahlung zu veröffentlichen
  • Finanzierung der Kriminalität — die Zahlung fördert neue Angriffe und kann das Unternehmen in bestimmten Rechtsordnungen rechtlichen Sanktionen aussetzen
  • Alternative Möglichkeiten — in 30 bis 50 % der Fälle ist eine vollständige oder teilweise Wiederherstellung ohne Zahlung möglich

Konsultieren Sie vor jeder Entscheidung einen Spezialisten für Datenrettung und melden Sie den Angriff dem Nationalen Zentrum für Cybersicherheit (NCSC) in der Schweiz oder der ANSSI in Frankreich.

Ransomware ist eine Schadsoftware, die die Dateien eines Computersystems verschlüsselt, um sie unzugänglich zu machen, und dann ein Lösegeld im Austausch für den Entschlüsselungsschlüssel fordert. Sie ist eine der am weitesten verbreiteten Cyberbedrohungen: Laut dem ENISA-Bericht 2024 haben Ransomware-Angriffe in Europa zwischen 2022 und 2023 um 37 % zugenommen.

Der Ablauf eines typischen Angriffs läuft in vier Schritten ab:

  1. Infektion — via Phishing, ungepatchte Schwachstelle, exponiertes RDP oder kompromittiertes Konto
  2. Aufklärung und Verbreitung — die Malware kartiert das Netzwerk und breitet sich lateral aus (Dauer: von wenigen Stunden bis zu mehreren Wochen)
  3. Verschlüsselung — die Dateien werden mit einem asymmetrischen Algorithmus (RSA 2048 oder 4096 Bit) verschlüsselt, von dem nur der Angreifer den privaten Schlüssel besitzt
  4. Erpressung — eine Lösegeldforderung wird auf dem System hinterlegt, mit Anweisungen zur Zahlung (in der Regel in Bitcoin)

Die ersten Stunden sind entscheidend, um das Ausmaß des Schadens zu begrenzen. Hier ist das Notfallverfahren:

  1. Isolieren Sie die infizierten Rechner – trennen Sie diese sofort vom Netzwerk (Ethernet-Kabel und WLAN), um die laterale Ausbreitung zu stoppen
  2. Starten Sie die Systeme nicht neu – einige Verschlüsselungsschlüssel verbleiben im Arbeitsspeicher (RAM) und können im laufenden Betrieb extrahiert werden
  3. Bewahren Sie die Spuren – verändern Sie keine Systemdateien, diese Elemente sind für die forensische Analyse unerlässlich
  4. Identifizieren Sie die Ransomware – laden Sie eine verschlüsselte Datei auf ID Ransomware (id-ransomware.malwarehunterteam.com) hoch, um die Familie zu identifizieren
  5. Bewerten Sie Ihre Backups – überprüfen Sie, ob Ihre Offline- oder Cloud-Backups intakt sind
  6. Kontaktieren Sie einen Spezialisten – ein Experte für Incident Response kann innerhalb von 2 Stunden eingreifen
Tipp

Dokumentieren Sie alles: Screenshots der Lösegeldforderungen, Liste der betroffenen Dateien, Netzwerkprotokolle. Diese Dokumentation ist unerlässlich für die Anzeige bei der Polizei und die technische Analyse.

Moderne Ransomware zielt vorrangig auf Backups ab, um den Druck auf die Opfer zu maximieren. So identifizieren Sie, ob Ihre Backups kompromittiert sind:

  • Netzwerk-Backups (NAS, Backup-Server): Überprüfen Sie die Dateiendung – eine unbekannte oder hinzugefügte Endung (.locked, .encrypted usw.) verrät eine Infektion. Kontrollieren Sie auch die Metadaten (Datum der letzten Änderung ist neu und ungewöhnlich).
  • Synchronisierte Cloud-Backups: Wenn der Synchronisationsclient (OneDrive, Dropbox usw.) während des Angriffs aktiv war, haben die verschlüsselten Dateien wahrscheinlich die Originale ersetzt. Überprüfen Sie den Versionsverlauf, bevor Sie eine Wiederherstellung durchführen.
  • Offline-Backups (getrennte externe Festplatte, LTO-Band): Wenn diese während des Angriffs nicht mit dem Netzwerk verbunden waren, sind sie in der Regel intakt.

Die 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 offsite) mit mindestens einer Air-Gap-Kopie ist der wirksamste Schutz gegen Ransomware.

Tipp

Testen Sie regelmäßig die Wiederherstellung Ihrer Backups – ein ungetestetes Backup ist ein Backup, dessen tatsächliche Zuverlässigkeit Sie nicht kennen.

Die Wiederherstellungszeit nach einem Ransomware-Angriff ist sehr unterschiedlich und hängt von der Komplexität des Falls ab:

  • Ransomware bereits entschlüsselt (öffentlicher Schlüssel verfügbar): 24 bis 72 Stunden, um die Entschlüsselung auf alle Dateien anzuwenden
  • Wiederherstellung über intakte Backups: von wenigen Stunden bis zu einigen Tagen, abhängig vom Datenvolumen und dem Zustand der Infrastruktur
  • Forensische Analyse und Suche nach kryptografischen Schwachstellen: von 1 bis zu mehreren Wochen – einige Analysen erfordern erhebliche Rechenressourcen
  • Fälle ohne bekannte Entschlüsselungslösung: Aufbewahrung der verschlüsselten Dateien in Erwartung der späteren Veröffentlichung eines Schlüssels (Fälle Hive, Ragnar Locker usw.)

Unser Notfall-Interventionsdienst (kritische Stufe) steht Unternehmen, deren Geschäftskontinuität gefährdet ist, rund um die Uhr zur Verfügung.

Seite 1 / 2
Wussten Sie schon?
Im Durchschnitt bleibt ein Ransomware-Angriff 11 Tage unentdeckt, bevor die Verschlüsselung ausgelöst wird. Warum? Weil die Angreifer diese Zeit nutzen, um Ihr Netzwerk zu kartieren, Ihre Backups zu identifizieren und die Auswirkungen zu maximieren. Deshalb kann eine frühe Erkennung den Schaden erheblich reduzieren: Jede Stunde zählt, um den Umfang der verschlüsselten Daten zu begrenzen.
Was sollten Sie unbedingt vermeiden?
Zahlen Sie niemals das Lösegeld: Nur 8% der Zahler erhalten alle ihre Daten zurück, und es finanziert direkt die Cyberkriminalität. Versuchen Sie nicht, Dateien selbst mit unverifizierten Tools zu entschlüsseln, da Sie die Daten dauerhaft beschädigen könnten. Starten Sie kompromittierte Server nicht neu. Isolieren Sie infizierte Geräte sofort vom Netzwerk und kontaktieren Sie einen Spezialisten.
Ist eine Datenrettung nach Ransomware immer möglich?
Eine Datenrettung nach Ransomware ist nicht immer möglich. Bei doppelter Verschlüsselung ohne verfügbaren Schlüssel können die Daten dauerhaft verloren sein. Wenn Daten exfiltriert und dann von den Servern des Angreifers gelöscht wurden, ist keine Wiederherstellung möglich. Ebenso macht Wiper-Malware (die Daten zerstört statt zu verschlüsseln) eine Wiederherstellung unmöglich. Deshalb ist es wichtig, schnell zu handeln und bei den ersten Anzeichen eines Angriffs einen Spezialisten zu kontaktieren.
24/7 verfügbar

Ransomware-Angriff? Wir reagieren sofort.

Laufende Ransomware, verschlüsselte Daten, lahmgelegte Infrastruktur — unser Bereitschaftsteam reagiert im Notfall, auch an Wochenenden und Feiertagen. Diagnose in 3 Stunden statt der branchenüblichen 24-48 Std.

+41 840 440 840 Support anvertrauen Kosten online schätzen