Akuter Cyberangriff? 24/7 Notfallnummer für Unternehmen — anwaltliche Soforthilfe.
Anrufen: +49 171 5160827
Cybernotfall
Pillar-Ratgeber Ransomware · Stand: Juni 2026

Ransomware-Vorfall: die ersten 24 Stunden rechtssicher meistern

Achtstufiger anwaltlicher Ablaufplan — Isolation, Beweissicherung, Meldepflichten, Versicherung, Verhandlung — abgestimmt auf DSGVO und das NIS2-Umsetzungsgesetz.

Warum die erste Tagesschicht juristisch entscheidend ist

Ein Ransomware-Vorfall ist in den ersten Stunden ein technischer Schock. Diese Phase prägt aber zugleich die rechtliche Lage für die nächsten Monate. Werden betroffene Systeme reflexhaft ausgeschaltet, geht der Inhalt des Arbeitsspeichers verloren — und mit ihm oft die einzigen Spuren, die später eine Aufklärung, eine Strafanzeige und die Deckungsentscheidung der Cyberversicherung tragen. Wird der externe Datenschutzbeauftragte zu spät einbezogen, läuft die 72-Stunden-Frist nach Art. 33 DSGVO bereits, bevor die Meldung überhaupt vorbereitet ist. Und wer mit den Angreifern voreilig kommuniziert, ohne die Sanktionslisten geprüft zu haben, kann sich in ein straf- oder außenwirtschaftsrechtliches Risiko bringen, das später nicht mehr aus der Welt zu schaffen ist.

Aus diesen Gründen empfehlen wir Mandantinnen und Mandanten, die erste Tagesschicht nach einem festgelegten Ablauf zu führen. Der folgende Achtstufenplan ist die Verdichtung unserer Beratungspraxis aus zahlreichen Ransomware-Vorfällen, einschließlich solcher mit Lösegeldverhandlungen. Er ist keine technische Forensik-Anleitung, sondern ein juristisch-organisatorisches Gerüst, das die technischen Maßnahmen einbettet.

Achtstufiger Ablaufplan für die ersten 24 Stunden

  1. Betroffene Systeme isolieren, nicht ausschalten
    Netzwerkverbindungen trennen (Kabel ziehen oder VLAN sperren), aber die Geräte eingeschaltet lassen. Ein hartes Herunterfahren vernichtet flüchtige Beweise im Arbeitsspeicher, die später für die Tatrekonstruktion und für die strafrechtliche Aufklärung essenziell sind.
  2. Lagebild herstellen und Krisenstab einberufen
    Geschäftsleitung, IT-Leitung, Datenschutzbeauftragter, Justitiar oder Anwalt und — sofern vorhanden — Versicherer in einem definierten Stab zusammenführen. Beginn der Krisenstabszeit dokumentieren, weil dieser Zeitpunkt für Art. 33 DSGVO und für die Versicherungsmeldung relevant wird.
  3. Beweissicherung anordnen
    Forensikdienstleister beauftragen, RAM-Image und Festplatten-Image der betroffenen Systeme erstellen lassen. Erpresserschreiben, Lösegeldforderung, Verschlüsselungs-Sample und Logdateien in einem manipulationssicheren Beweismittel-Container ablegen.
  4. Meldepflichten parallel prüfen
    DSGVO Art. 33 (72 Stunden ab Kenntnis), NIS2 (24-Stunden-Frühwarnung bei betroffenen Einrichtungen) und vertragliche Meldepflichten gegenüber Kunden parallel auf einer Meldematrix führen. Keine der Pflichten verdrängt die andere.
  5. Versicherer informieren
    Cyberversicherer früh einbinden — viele Policen verlangen die Meldung innerhalb von 24 bis 72 Stunden und schreiben die Auswahl von Dienstleistern aus einer Liste vor. Eigenmächtig beauftragte Forensik kann Deckung kosten.
  6. Strafanzeige vorbereiten, nicht voreilig erstatten
    Anzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) des zuständigen LKA ermöglicht eine kontrollierte Übergabe von Beweismaterial. Vor der Anzeige Inhalt mit Anwalt abstimmen, damit Eigenoffenbarungen nicht ungesteuert ins Strafverfahren fließen.
  7. Kommunikation zentralisieren
    Eine einzige Sprecherrolle (intern und extern) festlegen. Mitarbeiterinformation, Kundeninformation und etwaige Medienanfragen über diese Rolle steuern. Keine Einzelaussagen zur Verschlüsselungstiefe oder zum Verhandlungsstand.
  8. Verhandlungsentscheidung strukturiert treffen
    Erst nach forensischer Lagebewertung und nach Prüfung der Sanktionslisten entscheiden, ob mit den Angreifern überhaupt kommuniziert wird. Verhandlung niemals operativ über die IT-Leitung, sondern über spezialisierte Verhandlungsführer mit anwaltlicher Anbindung.

Die parallele Meldematrix: drei Fristen, kein Kaskadenmodell

In der Krisenstabspraxis taucht regelmäßig die Frage auf, in welcher Reihenfolge die Meldungen zu erfolgen haben. Die richtige Antwort ist: parallel. Die DSGVO knüpft mit Art. 33 an die Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten an und gewährt für die Meldung an die Aufsichtsbehörde 72 Stunden. Das NIS2-Umsetzungsgesetz sieht für die betroffenen wesentlichen und wichtigen Einrichtungen eine Frühwarnung binnen 24 Stunden vor, gefolgt von einer eigentlichen Vorfallmeldung binnen 72 Stunden. Beide Fristen laufen unabhängig voneinander; die DSGVO-Meldung ersetzt nicht die NIS2-Meldung und umgekehrt.

In der Praxis bewährt sich eine einfache Tabelle, in der jede Pflicht mit ihrem Adressaten, der Frist, dem Inhalt der Meldung und dem internen Verantwortlichen geführt wird. Diese Tabelle wird im Krisenstab geöffnet, bevor inhaltlich diskutiert wird, und zu Beginn jedes Tages aktualisiert. Wer diese Disziplin nicht hat, übersieht im Stress regelmäßig vertragliche Meldepflichten gegenüber Kunden, die in SaaS-Verträgen oder im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO regelmäßig binnen 24 bis 48 Stunden vorgesehen sind und Schadensersatzansprüche auslösen können.

Beweissicherung in der Praxis: was die Forensik braucht

Aus juristischer Sicht ist eine forensisch sauber gesicherte Beweislage in drei Verfahren wertvoll: im Strafverfahren gegen die Täter, im Verfahren mit der Datenschutzaufsicht und im Deckungsprozess mit dem Cyberversicherer. Der häufigste Fehler ist nicht, dass keine Forensik gemacht wird, sondern dass sie zu spät begonnen wird. Werden die Festplatten vor der Image-Erstellung neu aufgesetzt, entsteht eine Lücke, die später als Indiz für Sorgfaltspflichtverletzungen herangezogen werden kann. Werden Logdateien überschrieben, weil das SIEM mit Standard-Retention läuft, fehlen im Zweifel die einzigen Spuren des Initial-Zugriffs.

Wir empfehlen deshalb, im Notfallplan einen forensischen Bereitschaftsdienst zu hinterlegen, der innerhalb weniger Stunden vor Ort sein kann, und die Logdateien aller sicherheitsrelevanten Systeme mindestens 90 Tage vorzuhalten. Welcher Anbieter beauftragt wird, sollte mit dem Cyberversicherer abgestimmt sein, weil viele Policen die Forensik nur aus einem Pool zugelassener Dienstleister erstatten.

Kommunikation: Stille im Außen, Dokumentation im Innen

Die externe Kommunikation in den ersten 24 Stunden ist ein eigenes Risikofeld. Frühe Aussagen zur Verschlüsselungstiefe, zum Verhandlungsstand oder zum vermuteten Täterumfeld können später gegen das Unternehmen verwendet werden — sei es von der Datenschutzaufsicht, von Mandanten, von Versicherern oder im Rahmen einer Veröffentlichung durch die Angreifer selbst. Wir empfehlen, in den ersten 24 Stunden grundsätzlich nicht öffentlich zu kommunizieren und stattdessen die internen Stakeholder, betroffene Geschäftspartner und ggf. die Aufsichtsbehörde vorab strukturiert zu informieren.

Intern dagegen gilt der umgekehrte Grundsatz: Jede Entscheidung des Krisenstabs wird mit Begründung dokumentiert. Diese Dokumentation ist nicht nur für die eigene Rechtfertigung relevant, sondern auch für die Bemessung eines etwaigen Bußgeldes nach Art. 83 DSGVO, in dessen Rahmen Aufsichtsbehörden den Grad der Verantwortung und die Kooperationsbereitschaft des Verantwortlichen bewerten.

Verhandeln oder nicht: keine Entscheidung in den ersten Stunden

Die Frage, ob Lösegeld gezahlt werden soll, drängt sich in den ersten Stunden auf und sollte in den ersten Stunden nicht beantwortet werden. Erst wenn die forensische Lagebewertung steht, die Sanktionslisten geprüft sind und die Wiederherstellungsoptionen aus Backups realistisch bewertet sind, lässt sich eine verantwortbare Entscheidung treffen. Die rechtlichen Risiken einer Zahlung sind im Beitrag Lösegeld bei Ransomware zahlen: Ist das strafbar? vertieft. Wichtig in den ersten 24 Stunden ist nur, dass keine bindenden Zusagen, keine Zahlungen und keine Eigenoffenbarungen gegenüber den Angreifern erfolgen.

Häufige Fragen

Soll ich die verschlüsselten Server sofort herunterfahren?
Nein. Ein Hardware-Shutdown vernichtet den Arbeitsspeicher und damit oft die einzigen Spuren des Angreifers (laufende Prozesse, Verschlüsselungs-Keys im RAM, aktive Sessions). Besser: Netzwerk trennen, Gerät eingeschaltet lassen, Forensik beauftragen.
Müssen wir die Polizei einschalten?
Eine Pflicht zur Anzeige gibt es für das Opfer regelmäßig nicht. In der Praxis ist die Anzeige bei der ZAC dennoch ratsam, weil sie strafrechtliche Ermittlungen ermöglicht, die eigene Position bei der späteren Aufarbeitung stärkt und in einigen Versicherungspolicen vorausgesetzt wird.
Wann beginnt die 72-Stunden-Frist nach Art. 33 DSGVO?
Mit Kenntniserlangung des Verantwortlichen. Diese liegt nicht erst vor, wenn der Sachverhalt vollständig aufgeklärt ist, sondern wenn mit hinreichender Sicherheit feststeht, dass eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat. Nähere Auslegung im Beitrag zur 72-Stunden-Frist.
Dürfen wir mit den Angreifern überhaupt kommunizieren?
Bloße Kommunikation ist nicht per se strafbar. Sobald aber eine Zahlung im Raum steht, ist die rechtliche Bewertung deutlich komplexer (§ 129 StGB, Sanktionslisten, Untreue). Kommunikation deshalb nur strukturiert, dokumentiert und mit anwaltlicher Begleitung.
Was passiert, wenn der Cyberversicherer erst spät informiert wird?
Viele Cyberpolicen enthalten kurze Meldefristen (oft 24 bis 72 Stunden) und Mitwirkungspflichten. Verspätete Meldung oder eigenmächtige Beauftragung von Dienstleistern kann die Deckung ganz oder teilweise entfallen lassen.

Akut betroffen? Unsere 24/7-Notfallnummer für Unternehmen: +49 171 5160827. Ergänzend können Sie über die Kontaktseite eine strukturierte Anfrage stellen.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil