Notfallplan: Ransomware¶

Allgemein¶

Beschreibung des Schadenszenarios	Durch ein Ransomware-Angriff sind die Daten auf einem großen Teil der Clients und auf wichtigen Servern verschlüsselt. Die Kernprozesse können teilweise gar nicht oder nur unter hohem manuellem Aufwand weiter betrieben werden.
Betroffene Assets	Clients, IT-Systeme
Verantwortlichkeit
Nächstes Review

	Aktivität	Verantwortlich
1	Auffälligkeit bzw. verschlüsseltes System bemerkt	Meldende Person
2	Information an den CISO und die Geschäftsführung	Meldende Person
3	Potenziell infizierte Systeme umgehend vom Netzwerk isolieren, um eine weitere Ausbreitung der Schadsoftware im Netz zu verhindern. Dazu das Netzwerkkabel ziehen und WLAN deaktivieren. Systeme möglichst nicht herunterfahren oder ausschalten.
4	Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten (Administratorenkonten) auf einem potenziell infizierten System erfolgen, während das System sich noch im internen produktiven Netzwerk befindet oder mit dem Internet verbunden ist!
5	Validierung aller (Admin-)Accounts. Sind alle angelegten Admin-Accounts legitim oder gibt es Accounts, die keinem Mitarbeiter zugeordnet werden können? Gibt es Accounts von Standardnutzern, die nicht nur über Benutzerrechte, sondern auch über Admin-Rechte verfügen? Diese Accounts könnte die Schadsoftware modifiziert haben und nutzen.
6	Einbeziehung externer Experten / IT-Security Dienstleister
7	Weitere Maßnahmen zur Fehleranalyse und Behebung

Rolle / Funktion	Firma	Name	Telefon	Email

Die folgenden Kommunikationswege sind zu nutzen wenn die primären Kommunikationswege gestört sind oder durch Angreifer kompromittiert sein könnten:

[!info] Hier können Vorlagen zur Kommunikation hinterlegt werden. Z.b. an Mitarbeiter, Kunden oder Behörden.

	Aktivität für den Wiederanlauf / die Wiederherstellung	Zuständig	Geplante Zeit
1	Einleiten des Notbetriebs über nicht infizierte Clients / IT-Systeme
2	In einer Untersuchung ist sicherzustellen, dass sich der Angreifer nicht mehr im internen Netzwerk befindet bzw. die gleiche Sicherheitslücke erneut ausnutzen kann.
3	Prüfen, ob saubere, nicht kompromittierte Backups vorhanden sind.
4	Neuinstallation infizierter Systeme

Eigenschaften	Erläuterung
Nr.	1
Aktivität	Einleiten des Notbetriebs über nicht infizierte Clients / IT-Systeme
Beschreibung	Kurzfristig für den Notbetrieb wichtige Daten können sich ggf. an Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden, welche (noch) nicht betroffen sind.
Erwartete Dauer
Erforderliche Dokumentation
Ausführende Person / Dienstleister
Prüfschritte
Nachgelagerte Aktivität
Kommentare / Hinweise

Eigenschaften	Erläuterung
Nr.	2
Aktivität	In einer Untersuchung ist sicherzustellen, dass sich der Angreifer nicht mehr im internen Netzwerk befindet bzw. die gleiche Sicherheitslücke erneut ausnutzen kann.
Beschreibung	Erst nach der Untersuchung ist mit der Wiederherstellung des Betriebs zu beginnen.
Erwartete Dauer
Erforderliche Dokumentation
Ausführende Person / Dienstleister
Prüfschritte
Nachgelagerte Aktivität
Kommentare / Hinweise

Eigenschaften	Erläuterung
Nr.	3
Aktivität	Prüfen, ob saubere, nicht kompromittierte Backups vorhanden sind.
Beschreibung
Erwartete Dauer
Erforderliche Dokumentation
Ausführende Person / Dienstleister
Prüfschritte
Nachgelagerte Aktivität
Kommentare / Hinweise

Eigenschaften	Erläuterung
Nr.	4
Aktivität	Neuinstallation infizierter Systeme
Beschreibung	Infizierte Systeme sind als vollständig kompromittiert zu betrachten und daher neu aufzusetzen.
Erwartete Dauer
Erforderliche Dokumentation
Ausführende Person / Dienstleister
Prüfschritte
Nachgelagerte Aktivität
Kommentare / Hinweise

Datum	Autor	Änderung
2026-02-15	Visitrans	Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation
2026-02-15	Visitrans	Fix table conversion: colspan expansion, header promotion, line breaks
2026-02-14	Visitrans	Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault