Holen Sie sich jetzt Hilfe
Cyber-Notfallhilfe Weltweite Reaktion auf Vorfälle
DE DE
Cyber-Notfallhilfe Weltweite Reaktion auf Vorfälle
Hilfe anfordern
DE DE
Emergency Checklist hero image
Home Firma gehackt? Soforthilfe & Notfallplan

Firma gehackt? Soforthilfe & Notfallplan

Ihr Unternehmen wird angegriffen und jede Minute zählt. Dieser Schritt-für-Schritt-Leitfaden basiert auf über 2.000 realen Vorfällen, die wir seit 2019 begleitet haben – von der Schadensbegrenzung bis zur Wiederherstellung.

Es ist Montagmorgen, 7:12 Uhr. Ihr IT-Leiter ruft Sie an: „Die Server sind verschlüsselt. Auf jedem Bildschirm steht eine Lösegeldforderung.“ Oder: Es ist Mittwochnachmittag — Ihr Geschäftsführer erhält eine E-Mail: „Wir haben 380 GB Ihrer Unternehmensdaten kopiert. Kundendaten, Verträge, Gehaltsabrechnungen. Zahlen Sie oder wir veröffentlichen alles.“ Die Server laufen völlig normal.

Beide Szenarien erleben wir bei BeforeCrypt jede Woche — oft sogar kombiniert. Seit 2019 haben wir über 2.000 Unternehmen durch Cyberangriffe begleitet — vom Handwerksbetrieb mit 12 Mitarbeitern bis zum börsennotierten Konzern. Was sich verändert hat: Angreifer verschlüsseln längst nicht mehr nur — sie stehlen Daten und erpressen damit, häufig sogar beides gleichzeitig (Double Extortion). Was wir dabei gelernt haben: Die ersten 48 Stunden entscheiden über alles. Über die Höhe des Schadens, über die Dauer der Betriebsunterbrechung, und oft darüber, ob ein Unternehmen den Angriff übersteht oder nicht.

Dieser Leitfaden ist kein theoretischer Ratgeber. Er basiert auf dem, was wir in über 2.000 realen Fällen gesehen, gelernt und — manchmal schmerzhaft — erfahren haben. Wir teilen die Fehler, die fast jedes Unternehmen macht, die Schritte, die wirklich zählen, und die Wahrheiten, die in den meisten Leitfäden fehlen. Egal ob Ihre Server verschlüsselt sind, ob Ihre Daten gestohlen wurden, oder beides.

Wurde Ihr Unternehmen gehackt?

Expertenhilfe in Minuten

Notfall-Rückruf anfordern

Die Realität eines Cyberangriffs in Zahlen (2025/2026)

Bevor wir zum Notfallplan kommen, die aktuelle Lage — denn sie hat sich dramatisch verändert:

  • Ransomware war 2025 an 44 % aller Datenschutzverletzungen weltweit beteiligt — ein Anstieg von 37 % gegenüber dem Vorjahr (Verizon DBIR 2025).
  • Für kleine und mittlere Unternehmen (KMU) war Ransomware an 88 % aller Sicherheitsvorfälle beteiligt — KMU sind seit langem das Hauptziel.
  • 60–70 % der Angriffe beinhalten mittlerweile Datendiebstahl — oft ohne Verschlüsselung. Angreifer stehlen Daten und drohen mit Veröffentlichung, während die Systeme weiterlaufen. Viele Unternehmen erkennen zu spät, dass ein Angriff ohne Betriebsunterbrechung dennoch eine ernste Krise ist.
  • Die durchschnittliche Ausfallzeit nach einem Verschlüsselungsangriff beträgt 24 Tage. Für viele mittelständische Unternehmen bedeutet das fast einen Monat eingeschränkten oder keinen Betriebs.
  • Die durchschnittlichen Gesamtkosten eines Cyberangriffs (einschließlich Ausfallzeit, Wiederherstellung, Reputationsschaden) lagen 2025 zwischen 1,8 und 5 Millionen EURO.
  • Weltweit steigen dokumentierte Ransomware-Vorfälle Jahr für Jahr weiter an — und die tatsächliche Anzahl der Angriffe ist deutlich höher als gemeldet.
  • 80 % der Angriffe im Jahr 2025 nutzten KI-gestützte Tools — von Deepfake-Telefonbetrug bis zu KI-generierten Phishing-Kampagnen (MIT-Studie 2025).

Die durchschnittliche Lösegeldforderung bei unseren Mittelstandskunden im DACH-Raum lag 2025 bei 254.210 Euro. Die tatsächlich gezahlten Beträge konnten wir in 85% der Fälle durch professionelle Verhandlung um durchschnittlich 47% reduzieren. In 49% der Fälle handelte es sich um reinen Datendiebstahl ohne Verschlüsselung.

Wie erkennen Sie, dass Ihr Unternehmen gehackt wurde?

Der offensichtlichste Fall: Auf jedem Bildschirm erscheint eine Lösegeldforderung, Dateien haben plötzlich Endungen wie .locked, .encrypted oder .blackcat, und nichts funktioniert mehr. Das ist der Moment, in dem die meisten Unternehmen uns anrufen.

Aber in vielen Fällen gibt es Warnsignale davor:
• Unerwartet langsame Systeme, besonders Server und Netzlaufwerke
• Dateien mit veränderten Namen oder unbekannten Erweiterungen
• Unerklärliche Netzwerkaktivität außerhalb der Geschäftszeiten
• Antivirus-Software wird deaktiviert oder kann nicht aktualisiert werden
• Unbekannte Admin-Konten oder Berechtigungsänderungen im Active Directory
• E-Mails, die Sie nicht gesendet haben, verlassen Ihr System

Zunehmend häufig — Anzeichen für Datendiebstahl ohne Verschlüsselung: Sie erhalten eine E-Mail von Unbekannten mit Auszügen Ihrer internen Daten (Verträge, Gehaltsabrechnungen, Kundenlisten) als Beweis. Oder ein IT-Sicherheitsdienstleister bzw. eine Behörde informiert Sie, dass Ihre Daten im Darknet aufgetaucht sind. Ihre Systeme funktionieren völlig normal — was es verlockend macht, das Problem zu unterschätzen. Tun Sie das nicht. Die DSGVO-Meldepflichten, das Erpressungspotenzial und der Reputationsschaden sind mindestens ebenso ernst wie bei verschlüsselten Servern.

Was viele nicht wissen: Angreifer sind in den meisten Fällen schon Tage oder Wochen in Ihrem Netzwerk aktiv, bevor sie zuschlagen. Sie nehmen sich Zeit, um Backups zu identifizieren und zu kompromittieren, sensible Daten zu exfiltrieren und ihre Position zu festigen. Ob am Ende verschlüsselt, erpresst oder beides wird, entscheiden die Angreifer oft erst kurz vor dem Angriff — basierend darauf, was am meisten Druck erzeugt.

Notfallplan: Die ersten 48 Stunden — Schritt für Schritt

Was folgt, ist kein theoretisches Verfahren. Es ist der Prozess, den wir über 2.000+ Fälle verfeinert haben. Jeder Schritt basiert auf der Erfahrung, was funktioniert — und was nicht.

Stunde 0–1: Schaden begrenzen

1. Bleiben Sie ruhig. Wir wissen, das ist leichter gesagt als getan, wenn Ihr gesamter Betrieb stillsteht — oder wenn Sie eine Erpresser-E-Mail mit Ihren Unternehmensdaten erhalten haben. Aber panikgetriebene Entscheidungen in den ersten 60 Minuten sind die häufigste Ursache für vermeidbaren Zusatzschaden. Jede Minute, die Sie in Überlegung investieren, spart später Stunden.

2. Trennen Sie infizierte Systeme SOFORT vom Netzwerk. Aber schalten Sie sie NICHT aus! Ziehen Sie Netzwerkkabel ab, deaktivieren Sie WLAN und Bluetooth. Fahren Sie Geräte jedoch nicht herunter — der RAM kann Verschlüsselungsschlüssel enthalten, die für die spätere Analyse von unschätzbarem Wert sind. Bei reinem Datendiebstahl ohne Verschlüsselung: Fahren Sie Ihr Netzwerk NICHT panikartig herunter. Die Daten wurden bereits kopiert. Prüfen Sie stattdessen, ob die Angreifer noch aktiven Zugriff haben, und schließen Sie diese spezifischen Einstiegspunkte.

3. Bewerten Sie den Umfang. Bevor Sie etwas anderes tun: Welche Systeme sind betroffen? Nur ein Arbeitsplatz? Der gesamte Server? Sind Backups zugänglich? Ist die Cloud betroffen? Bei Datendiebstahl: Welche Daten wurden in der Erpressernachricht erwähnt oder als Beweis bereitgestellt? Sind personenbezogene Daten betroffen? Diese Bewertung dauert 15–30 Minuten und bildet die Grundlage für jede nachfolgende Entscheidung.

4. Warnen Sie Remote-Mitarbeiter. Informieren Sie umgehend alle Mitarbeiter, die remote arbeiten oder per VPN verbunden sind. Anweisung: Verbindung sofort trennen, nicht einloggen, nicht „nur mal kurz schauen, ob es bei mir auch betroffen ist“.

Stunde 1–4: Analyse und Kommunikation

5. IT-Dienstleister und/oder interne IT informieren. Wenn Sie einen IT-Dienstleister haben, rufen Sie ihn jetzt an. Falls Ihr Dienstleister keine Erfahrung mit Cyberangriffen hat, sagen Sie das offen und ziehen Sie einen spezialisierten Incident-Response-Dienstleister hinzu. Es ist keine Schwäche, sich Hilfe zu holen — es ist professionell.

6. Den Angriff dokumentieren. Machen Sie Screenshots oder Fotos der Lösegeldforderung und der verschlüsselten Dateien. Notieren Sie: Wann wurde der Angriff entdeckt? Welche Systeme sind betroffen? Welche Dateiendung haben die verschlüsselten Dateien? Gibt es eine Kontaktadresse oder Zahlungsanweisung der Angreifer? Bei Datendiebstahl zusätzlich: Sichern Sie die Erpresser-E-Mail oder den Darknet-Link (Screenshot, nicht löschen). Prüfen Sie die mitgeschickten Datenproben: Sind diese echt? Welche Datenkategorien sind betroffen — personenbezogene Daten, Finanzdaten, geistiges Eigentum? Notieren Sie die gesetzte Frist und die Höhe der Forderung.
Diese Dokumentation ist essenziell für drei Dinge: Die Identifikation der Angreifer-Gruppe, den Versicherungsanspruch (falls vorhanden) und die spätere Strafanzeige.

7. Angreifer-Gruppe identifizieren. Jede Gruppe arbeitet anders. Die Dateiendung der verschlüsselten Dateien und der Text der Lösegeldforderung verraten, mit welcher Gruppe Sie es zu tun haben. Werkzeuge wie ID Ransomware (id-ransomware.malwarehunterteam.com) können bei der Identifikation helfen. Bei reinem Datendiebstahl geben der Stil der Erpresser-E-Mail, die genannte Leak-Seite und die Zahlungsmethode Hinweise auf die Gruppe.

Warum das wichtig ist: Manche Gruppen verhandeln, andere nicht. Manche löschen nach Zahlung zuverlässig, andere nicht. Bei den meisten aktuellen Varianten (LockBit, BlackCat/ALPHV, Akira, Play, Qilin) gibt es keinen kostenlosen Ausweg — die richtige Verhandlungsstrategie hängt entscheidend von der Gruppe ab.

Wurde Ihr Unternehmen gehackt?

24/7 Incident Response

Sofortige Hilfe erhalten

Stunde 4–12: Optionen bewerten

8. Backups überprüfen — aber richtig. Die wichtigste Frage: Haben Sie ein sauberes, aktuelles Backup, das nicht kompromittiert ist? Drei kritische Punkte, die wir immer wieder sehen:

• Cloud-Backups können ebenfalls verschlüsselt sein — prüfen Sie, ob die Synchronisierung die verschlüsselten Dateien überschrieben hat.
• Offline-Backups (Bänder, nicht verbundene externe Platten) sind Ihre beste Chance — aber nur wenn sie aktuell genug sind.
• Bevor Sie ein Backup einspielen: Stellen Sie sicher, dass die Schwachstelle geschlossen ist, durch die der Angriff erfolgte. Sonst passiert dasselbe in wenigen Tagen erneut.

Wichtig bei Datendiebstahl: Backups helfen hier NICHT. Die Daten sind bereits beim Angreifer. Selbst wenn Sie alles löschen und neu aufsetzen — die gestohlene Kopie existiert weiterhin. Hier geht es nicht um Wiederherstellung, sondern um Schadensbegrenzung: Verhandlung, DSGVO-Compliance und Vorbereitung auf eine mögliche Veröffentlichung.

9. Die Grundursache finden. Wie sind die Angreifer eingedrungen? Die häufigsten Einfallstore im DACH-Raum:
• Phishing-E-Mails (46%) — ein Mitarbeiter klickt auf einen Anhang oder Link
• Kompromittierte Zugangsdaten (25%) — gestohlene oder schwache Passwörter, fehlende Multi-Faktor-Authentifizierung
• Unsichere Remote-Zugänge (26%) — schlecht konfigurierte VPN-Zugänge oder offen erreichbare RDP-Dienste
• Software-Schwachstellen — ungepatchte Systeme, veraltete Firewalls oder VPN-Appliances

10. Ihre Optionen verstehen. An diesem Punkt haben Sie realistisch folgende Möglichkeiten:

  • Wiederherstellung aus Backup — die beste Option, wenn ein sauberes, aktuelles Backup existiert.
  • Entschlüsselungstool — nur in seltenen Fällen bei älteren Ransomware-Varianten verfügbar (prüfen Sie nomoreransom.org).
  • Verhandlung und Zahlung — wenn keine andere Option besteht. Nur mit professioneller Unterstützung.
  • Datenverlust akzeptieren — wenn die Kosten der Zahlung den Wert der Daten übersteigen.

Wenn zusätzlich oder ausschließlich Daten gestohlen wurden, kommen weitere Optionen hinzu:

  • Nicht zahlen, Schaden proaktiv managen — DSGVO-Meldungen durchführen, betroffene Personen informieren, Darkweb-Monitoring einrichten. Oft die richtige Entscheidung, besonders wenn die Daten nicht hochsensibel sind.
  • Verhandeln und Zeit gewinnen — Professionelle Verhandlungen können Fristen verlängern, Forderungen reduzieren und Zeit für Compliance schaffen. Selbst wenn Sie nicht zahlen möchten, kann Verhandlung strategisch wertvoll sein.
  • Für Datenlöschung zahlen — Nach unserer Erfahrung halten etablierte Gruppen die Vereinbarung in der Regel ein: Wir erhalten Löschberichte und Unternehmen werden aus Leak-Blogs entfernt. Es gibt jedoch keine technische Garantie wie bei einem Entschlüsselungsschlüssel — die Entscheidung erfordert professionelle Beratung.

Tag 1–2: Behörden, Versicherung, Kommunikation

11. Behörden informieren — und was NIS2 jetzt bedeutet. Seit Oktober 2024 gilt die NIS2-Richtlinie in der EU. Für Unternehmen im DACH-Raum bedeutet das:

• Deutschland: Frühwarnmeldung an das BSI innerhalb von 24 Stunden
• Österreich: Meldung an das GovCERT Austria / Nationales Zentrum für Cybersicherheit
• Schweiz: Das NCSC (Nationales Zentrum für Cybersicherheit) ist Ansprechpartner — NIS2 gilt in der Schweiz nicht direkt, aber das revidierte Datenschutzgesetz (revDSG) verlangt ähnliche Meldepflichten
• Detaillierte Vorfallmeldung innerhalb von 72 Stunden (NIS2)
• Abschlussbericht innerhalb eines Monats

Zusätzlich: Wenn personenbezogene Daten betroffen sind, greift die DSGVO-Meldepflicht (EU/EWR) bzw. das revDSG (Schweiz) — Meldung an die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden. In Deutschland sind das die Landesbeauftragten für Datenschutz, in Österreich die Datenschutzbehörde (DSB), in der Schweiz der EDÖB. Bei hohem Risiko für Betroffene müssen auch diese informiert werden. Bei Datendiebstahl ist die Meldepflicht nahezu garantiert, da fast immer personenbezogene Daten betroffen sind — Mitarbeiterdaten, Kundendaten, E-Mail-Adressen.

Unsere klare Empfehlung: Melden Sie immer. Auch wenn Sie unsicher sind, ob Ihr Unternehmen unter NIS2 fällt. Die Nicht-Meldung kann empfindliche Bußgelder nach sich ziehen. Die Meldung selbst hat in unserer Erfahrung noch nie zu Nachteilen geführt — im Gegenteil: Behörden reagieren wohlwollender, wenn Sie proaktiv melden.

Strafanzeige: In Deutschland erstatten Sie Anzeige bei der Zentralstelle Cybercrime der Staatsanwaltschaft Ihres Bundeslandes. In Österreich ist das Cybercrime Competence Center (C4) des BKA zuständig. In der Schweiz kontaktieren Sie die Kantonspolizei oder die KOBIK (Koordinationsstelle zur Bekämpfung der Internetkriminalität). Strafverfolgungsbehörden im DACH-Raum haben zunehmend Erfolge bei der Verfolgung von Ransomware-Gruppen — Ihre Anzeige kann dazu beitragen.

12. Kontaktieren Sie Ihre Cyberversicherung. Wenn Sie eine Cyberversicherung haben: Benachrichtigen Sie Ihren Versicherer umgehend. Wichtig: Viele Policen haben strenge Fristen für Schadenmeldungen (oft 24–48 Stunden). Dokumentation ist hier von unschätzbarem Wert — je besser Sie den Vorfall dokumentiert haben, desto reibungsloser verläuft der Schadenprozess.

Falls Sie keine Cyberversicherung haben: Sie sind nicht allein — im DACH-Raum sind aktuell noch rund 55–60% der Unternehmen ohne Cyberversicherung. Nutzen Sie den Vorfall als Anlass, dies zu ändern. Wir arbeiten mit spezialisierten Versicherungsmaklern zusammen und können Sie nach der Krise verbinden.

13. Interne und externe Kommunikation. Unterscheiden Sie zwei Kommunikationswege:
• Intern: Informieren Sie Ihre Mitarbeiter offen und ehrlich. Was ist passiert? Was wird unternommen? Was wird von ihnen erwartet? Unsicherheit unter Mitarbeitern erzeugt Gerüchte und unnötige Panik.
• Extern: Kunden, Partner und möglicherweise die Öffentlichkeit. Professionelle Unterstützung (IT-Anwalt, Kommunikationsberater) ist hier empfehlenswert. Transparenz schafft Vertrauen — Vertuschungsversuche verursachen immer größeren Schaden, wenn sie ans Licht kommen. Bei Datendiebstahl ist externe Kommunikation besonders kritisch: Wenn Ihre Kundendaten betroffen sind, erfahren Kunden davon entweder von Ihnen — oder aus den Medien, wenn die Daten veröffentlicht werden.

Sollten Sie das Lösegeld zahlen? Die ehrliche Antwort

Die meisten Ratgeber sagen: „Zahlen Sie niemals.“ Wir sagen: Es ist komplizierter als das.

Die Zahlung von Lösegeld ist in Deutschland, Österreich und der Schweiz grundsätzlich legal. Das FBI und Europol raten davon ab, erkennen aber an, dass Unternehmen manchmal keine andere Wahl haben. Die Realität ist: In der Sophos-Studie 2025 zahlten 63% der betroffenen Unternehmen in der DACH-Region das Lösegeld.

Wann eine Zahlung in Betracht gezogen werden kann:
• Kein nutzbares Backup verfügbar
• Die Kosten der Betriebsunterbrechung übersteigen die Lösegeldforderung deutlich
• Sensible Daten wurden exfiltriert und drohen veröffentlicht zu werden (Double Extortion)

Bei reinem Datendiebstahl sieht die Gleichung anders aus: Anstelle eines Entschlüsselungs-Keys (ein technisch verifizierbares Produkt) kaufen Sie die Löschung der Daten und die Entfernung von den Leak-Blogs der Angreifer. Unsere Erfahrung aus über 2.000 Fällen zeigt: Etablierte Gruppen halten sich in der Regel an diese Vereinbarung – wir erhalten Löschprotokolle und Unternehmen werden von den Blogs entfernt. Ihr Geschäftsmodell funktioniert nur, wenn zahlende Opfer tatsächlich „befreit“ werden. Dennoch bleibt ein Restrisiko: Sie können technisch nicht überprüfen, ob jede Kopie gelöscht wurde. Ob eine Zahlung sinnvoll ist, hängt von der Sensibilität der Daten, der Glaubwürdigkeit der jeweiligen Gruppe, der Höhe der Forderung und Ihrem individuellen Risikoprofil ab. Genau diese Einschätzung vorzunehmen, ist unser Kerngeschäft.

WICHTIG: Verhandeln Sie niemals direkt mit den Angreifern. Wir erleben regelmäßig, dass direkte Verhandlungen schiefgehen:
• Angreifer erhöhen die Forderung, wenn sie spüren, wie abhängig das Unternehmen von seinen Daten ist
• Versehentlich offengelegte Informationen (Umsatz, Branche, Versicherungsstatus) treiben den Preis in die Höhe
• Entschlüsselungstools der Angreifer werden nicht ordnungsgemäß bereitgestellt oder enthalten zusätzliche Malware
• Der Kontakt zu den Angreifern bricht ab (E-Mail-Adressen werden von Strafverfolgungsbehörden abgeschaltet)

Datenwiederherstellung und Schadensbegrenzung

14. Sichern Sie verschlüsselte Dateien — bevor Sie eine Wiederherstellung versuchen. Erstellen Sie eine vollständige Kopie aller verschlüsselten Daten auf einem separaten Medium. Warum? Falls die Entschlüsselung fehlschlägt, die Backup-Wiederherstellung schiefgeht oder später ein Entschlüsselungstool veröffentlicht wird — Sie benötigen diese Kopie immer als Rückfallebene.

15. Aus Backup wiederherstellen — der beste Weg, wenn verfügbar. Bedenken Sie: Die Wiederherstellung von Terabytes an Daten kann Tage dauern. Planen Sie realistisch. Priorisieren Sie geschäftskritische Systeme: ERP, E-Mail, Kundenverwaltung zuerst. Weniger kritische Systeme danach.

16. Entschlüsselung nach Zahlung — kein einfacher Prozess. Selbst nach einer Lösegeldzahlung ist die Arbeit noch lange nicht vorbei. Das Entschlüsselungstool des Angreifers funktioniert oft fehlerhaft. In einigen Fällen gibt es mehrere Schlüssel für verschiedene Systeme. Und: Der Entschlüsselungsprozess selbst kann mehrere Tage dauern.

Bei Datendiebstahl: Schadensbegrenzung statt Wiederherstellung. Wenn Daten gestohlen wurden, gibt es keine „Wiederherstellung“ im herkömmlichen Sinne. Stattdessen liegt der Fokus auf der Schadensbegrenzung: Richten Sie ein Dark-Web-Monitoring ein, um zu prüfen, ob und wo Ihre Daten veröffentlicht werden. Schließen Sie die DSGVO-Meldungen innerhalb von 72 Stunden ab. Informieren Sie Betroffene proaktiv – bevor diese es selbst im Dark Web entdecken. Und: Überwachen Sie langfristige Folgen, da Datendiebstahl noch Monate später zurückschlagen kann – Identitätsdiebstahl, Betrugsversuche, Reputationsschäden. Wir bieten dieses Monitoring als Teil unserer Incident Response an.

Die 5 häufigsten Fehler bei einem Ransomware-Angriff

Diese Fehler sehen wir immer wieder — und sie kosten Unternehmen unnötig Geld, Zeit und Daten:

Fehler 1: Panikartiges Herunterfahren aller Systeme. Der RAM enthält wertvolle forensische Informationen und möglicherweise Verschlüsselungsschlüssel. Vom Netzwerk trennen: ja. Ausschalten: nein.

Fehler 2: Bei Datendiebstahl abwarten und hoffen, dass nichts passiert. Viele Unternehmen hoffen, der Angreifer blufft oder die Daten werden nie veröffentlicht. Nach unserer Erfahrung setzen Angreifer ihre Drohung in der Mehrzahl der Fälle um. Jeder Tag ohne DSGVO-Meldungen erhöht Ihr Bußgeldrisiko.

Fehler 3: Sofortige Wiederherstellung von Backups ohne Ursachenanalyse. Wenn der Angriffsvektor nicht geschlossen wurde, werden Sie innerhalb von Tagen erneut angegriffen. Wir haben Fälle gesehen, in denen Unternehmen dreimal hintereinander angegriffen wurden, weil sie jedes Mal einfach das Backup wiederhergestellt haben.

Fehler 4: Direkte Verhandlungen mit den Angreifern. Ohne Erfahrung mit der spezifischen Gruppe riskieren Sie, den Preis in die Höhe zu treiben, sensible Informationen preiszugeben oder den Kontakt zu verlieren.

Fehler 5: Vertuschung des Angriffs. Rechtlich riskant (DSGVO, NIS2 und gleichwertige nationale Vorschriften), rufschädigend, wenn es später ans Licht kommt, und: Sie verpassen möglicherweise Hilfe von Behörden und Versicherern. Bei Datendiebstahl sind Vertuschungen besonders gefährlich: Wenn Daten veröffentlicht werden und Sie keine Meldung erstattet haben, sind zusätzliche erhebliche regulatorische Bußgelder wahrscheinlich.

Nach dem Angriff: Sicherheit wiederherstellen und gestärkt hervorgehen

17. Vollständige Bereinigung. Stellen Sie sicher, dass alle Ransomware und Backdoors vollständig entfernt sind. In vielen Fällen hinterlassen Angreifer zusätzliche Zugangspunkte, um später zurückzukehren. Eine gründliche forensische Analyse ist kein Luxus — sie ist eine Notwendigkeit.

18. Schwachstellen schließen. Basierend auf der Ursachenanalyse: Schließen Sie den Einstiegspunkt. Aktualisieren Sie alle Systeme. Implementieren Sie Multi-Faktor-Authentifizierung für alle Zugangspunkte. Segmentieren Sie Ihr Netzwerk. Schützen Sie Ihre Backups mit einer Offline-Kopie.

19. Schulen Sie Ihre Mitarbeiter. Menschen sind in 46 % der Fälle der Einstiegspunkt. Regelmäßige Awareness-Schulungen und simulierte Phishing-Tests reduzieren dieses Risiko dramatisch.

20. Erstellen oder aktualisieren Sie Ihren Incident-Response-Plan. Nutzen Sie die Erfahrung dieses Angriffs, um einen konkreten Notfallplan zu entwickeln. Wer wird benachrichtigt? Welche Systeme werden priorisiert? Wo befinden sich die Backup-Medien? Welcher Dienstleister wird bei einem zukünftigen Vorfall kontaktiert?

Fazit: Vorbereitung ist Ihr bester Schutz

Ein Cyberangriff — ob Verschlüsselung, Datendiebstahl oder beides — ist eine Extremsituation. Aber er ist beherrschbar — wenn Sie wissen, was zu tun ist. Die überwiegende Mehrheit der Unternehmen, die wir unterstützt haben, ist aus der Krise hervorgegangen. Einige sogar gestärkt, weil der Angriff der Anstoß war, Sicherheit endlich ernst zu nehmen.

Was wir aus über 2.000 Fällen gelernt haben, lässt sich auf drei Sätze reduzieren: Erstens — bleiben Sie ruhig und handeln Sie methodisch. Zweitens — holen Sie sich professionelle Hilfe, bevor Sie selbst verhandeln oder Systeme wiederherstellen. Und drittens — nutzen Sie den Vorfall als Anstoß für echte Sicherheitsverbesserungen.

Wenn Sie sich gerade in einer akuten Krise befinden: Rufen Sie uns an. Ob Ihre Server verschlüsselt sind, Sie eine Erpresser-E-Mail erhalten haben oder beides — wir haben die Erfahrung, die Tools und die Verhandlungsexpertise, um Sie durch die nächsten 48 Stunden zu führen. 24 Stunden am Tag, 7 Tage die Woche.

Wurde Ihr Unternehmen gehackt?

Expertenhilfe in Minuten

Notfall-Rückruf anfordern

Über BeforeCrypt

BeforeCrypt ist ein spezialisierter Incident-Response-Anbieter mit Sitz in Europa. Seit 2019 haben wir über 2.000 Organisationen durch Cyberangriffe begleitet — von der ersten Stunde der Krise bis zur vollständigen Wiederherstellung. Unsere Kernkompetenz: Ransomware-Verhandlungen, Reaktion auf Datendiebstahl-Erpressung, Krisenmanagement unter Zeitdruck und DSGVO-konforme Incident Response.

Wenn Ihr Unternehmen gerade angegriffen wurde oder Sie sich auf den Ernstfall vorbereiten möchten: Kontaktieren Sie uns für eine kostenlose Ersteinschätzung.

Inhalt
Die Realität eines Cyberangriffs in Zahlen (2025/2026) Wie erkennen Sie, dass Ihr Unternehmen gehackt wurde? Notfallplan: Die ersten 48 Stunden — Schritt für Schritt Stunde 0–1: Schaden begrenzen Stunde 1–4: Analyse und Kommunikation Stunde 4–12: Optionen bewerten Tag 1–2: Behörden, Versicherung, Kommunikation Sollten Sie das Lösegeld zahlen? Die ehrliche Antwort Datenwiederherstellung und Schadensbegrenzung Die 5 häufigsten Fehler bei einem Ransomware-Angriff Nach dem Angriff: Sicherheit wiederherstellen und gestärkt hervorgehen Fazit: Vorbereitung ist Ihr bester Schutz Über BeforeCrypt
Jetzt Hilfe anfordern