Ausgangslage
Ein Einzelhandelsunternehmen mit 45 Mitarbeitern, 5 Filialen und einem Jahresumsatz von rund 12 Millionen Euro wurde Opfer eines Ransomware-Angriffs. Das Besondere an diesem Fall: Die Angreifer hatten nicht nur die Server verschlüsselt, sondern auch die Backup-Infrastruktur – ein Albtraum-Szenario für jedes Unternehmen.
Betroffene Systeme
- 6 Server verschlüsselt (Warenwirtschaft, Fileserver, AD, Backup-Server)
- 40 Kassensysteme in 5 Filialen nicht funktionsfähig
- Warenwirtschaftssystem komplett ausgefallen
- Backup-Server ebenfalls verschlüsselt (gleiche Netzwerk-Domain)
- Online-Shop offline
Einfallstor
Der Angriff begann mit einer gezielten Phishing-Mail an einen Filialleiter. Die E-Mail imitierte eine Lieferantenrechnung mit einem manipulierten PDF-Anhang. Über den kompromittierten Arbeitsplatz arbeiteten sich die Angreifer innerhalb von 48 Stunden zum Domain-Admin vor und rollten die Ransomware flächendeckend aus – einschließlich des Backup-Servers, der im selben Netzwerksegment stand.
Chronologie des Einsatzes
Cyberangriff? Jetzt Soforthilfe erhalten.
24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.
Stunde 0: Der Anruf
Samstagmorgen, 7:30 Uhr. Die Frühschicht in der Hauptfiliale meldet: Kassen funktionieren nicht, Bildschirme zeigen eine Ransom Note. Um 7:48 Uhr erreicht uns der Notfall-Anruf.
Besondere Herausforderung: Samstag ist der umsatzstärkste Tag der Woche. Jede Stunde ohne funktionierende Kassen kostet direkt Umsatz.
Stunden 1–3: Triage & Sofortmaßnahmen
Unser Incident-Response-Team beginnt innerhalb von 19 Minuten mit der Remote-Analyse:
- Identifikation der Ransomware-Familie
- Feststellung: Backups ebenfalls verschlüsselt – kein einfacher Restore möglich
- Analyse des Active Directory auf Kompromittierung
- Bewertung der Kassensysteme: Lokale Daten teilweise intakt
Sofortentscheidung: Paralleler Aufbau von Notfall-Kassensystemen für die Filialen, um den Verkauf schnellstmöglich wieder zu ermöglichen.
Stunden 3–6: Notbetrieb einrichten
Während das Forensik-Team die verschlüsselten Server analysierte, richteten wir einen Notbetrieb ein:
- Standalone-Kassensysteme in allen 5 Filialen aufgesetzt (offline, ohne Warenwirtschaft)
- Preislisten aus dem letzten Export auf USB-Sticks verteilt
- Manuelle Bestandsführung in den Filialen organisiert
- Kundenkommunikation vorbereitet
Nach 6 Stunden waren alle Filialen wieder verkaufsfähig – eingeschränkt, aber operativ.
Stunden 6–36: Forensische Datenrettung
Das entscheidende Problem: Die Backups lagen auf einem Server im gleichen Netzwerksegment und waren ebenfalls verschlüsselt. Unsere Datenrettungsspezialisten setzten an mehreren Punkten an:
Datenrettung:
- Forensische Analyse der verschlüsselten Backup-Volumes
- Wiederherstellung von Shadow Copies (Schattenkopien), die von der Ransomware nicht vollständig gelöscht wurden
- Rekonstruktion der Warenwirtschafts-Datenbank aus fragmentierten Dateien
- Rettung von 94% aller Daten – einschließlich der kritischen Bestandsdaten
Forensik:
- Vollständiger Angriffsweg dokumentiert
- Phishing-Mail als Einfallstor identifiziert
- Lateral Movement über kompromittierte Admin-Credentials nachgewiesen
- Verweildauer der Angreifer: 48 Stunden vor Verschlüsselung
Tag 1,5: Vollbetrieb
- Warenwirtschaftssystem auf neuer Hardware wiederhergestellt
- Alle 40 Kassen wieder mit dem zentralen System verbunden
- Online-Shop wieder erreichbar
- Bestandsdaten abgeglichen und korrigiert
Ergebnis
| Kennzahl | Ohne Allianz (geschätzt) | Mit Cybernotfall24 |
|---|---|---|
| Ausfallzeit Filialen | 7+ Tage | 6 Stunden (Notbetrieb) |
| Vollständige Wiederherstellung | 10–14 Tage | 1,5 Tage |
| Umsatzausfall (geschätzt) | ~180.000 € | ~22.000 € |
| Datenrettung | Unsicher (ohne Backup) | 94% |
| Lösegeld gezahlt | Möglicherweise | Nein |
Schadensreduzierung: 88%
Durch den schnellen Aufbau eines Notbetriebs und die forensische Datenrettung ohne Lösegeldzahlung konnte der Gesamtschaden um rund 158.000 Euro reduziert werden.
Lessons Learned
Was gut lief
- Sofortige Reaktion trotz Wochenende – Notfall-Hotline zahlte sich aus
- Pragmatischer Notbetrieb: Lieber eingeschränkt verkaufen als gar nicht
- Shadow Copies ermöglichten Datenrettung trotz verschlüsselter Backups
- Ruhige Kommunikation mit den Filialmitarbeitern
Das kritische Problem: Backups im gleichen Netzwerk
Der wichtigste Lesson Learned dieses Falls: Backups müssen vom Produktionsnetzwerk getrennt sein. Der Backup-Server stand in der gleichen Active-Directory-Domain und war über das gleiche Netzwerksegment erreichbar. Für die Angreifer war es ein Leichtes, auch diesen Server zu verschlüsseln.
Was verbessert wurde
Nach dem Vorfall implementierte das Unternehmen:
- Immutable Backups (unveränderliche Backups) auf separatem System
- Offsite-Backup bei einem Cloud-Anbieter (verschlüsselt, DSGVO-konform)
- Netzwerksegmentierung: Backup-Netzwerk strikt getrennt
- MFA für alle Admin-Zugänge und Remote-Verbindungen
- E-Mail-Security-Gateway mit Sandbox-Analyse für Anhänge
- Quartalsweise Phishing-Simulationen für alle Mitarbeiter
- Notfall-Kassenlösung dokumentiert und vorbereitet für den Ernstfall
Zitat des Geschäftsführers
"Trotz verschlüsselter Backups konnten wir mit Notfall-Kassensystemen nach 6 Stunden wieder öffnen. Dass das Cybernotfall24-Team am Samstag innerhalb von 20 Minuten verfügbar war, hat den Unterschied gemacht."
Weiterführende Informationen
- Ransomware-Hilfe: Entschlüsselung und Datenrettung
- Datenrettung für Unternehmen
- Penetration Testing: Schwachstellen finden
- Phishing erkennen und verhindern
Fazit
Diese Fallstudie zeigt zwei entscheidende Punkte: Erstens – ein pragmatischer Notbetrieb kann den finanziellen Schaden drastisch reduzieren, auch wenn die vollständige Wiederherstellung noch läuft. Zweitens – Backups schützen nur, wenn sie vom Produktionsnetzwerk getrennt sind. Immutable Backups und Offsite-Kopien sind keine optionalen Extras, sondern überlebenswichtig.
Alle Angaben anonymisiert. Der Fall wurde 2026 vom Cybernotfall24-Team bearbeitet.
