3 h 47 minTime to Recovery
0Datenverlust
12 TBwiederhergestellt
0 €Lösegeld
Ausgangslage
Was hat den Wechsel ausgelöst?
02:17 Uhr, Februar 2026 — Ransomware-Trigger in einem mittelständischen Fertigungsbetrieb mit ca. 200 Mitarbeitern. LockBit-Variante, alle Windows-Server (AD, ERP, File-Server, Engineering-Workstations) innerhalb von 30 Minuten verschlüsselt.
Forensik-Auswertung später: der Angreifer war bereits 14 Tage im Netz unterwegs gewesen — klassisches Dwell-Time-Muster mit Aufklärung, Privilege Escalation, Identifikation von Backup-Servern, dann Trigger.
Modern Next betreute den Betrieb seit sechs Monaten im Full-IT-Service. Sechs Monate vor dem Vorfall hatten wir die Backup-Architektur neu gebaut: Immutable Proxmox Backup Server mit Append-Only-Mode, getrennte Credentials, zweite Sync-Instanz am separaten Standort. Diese Investition hat in dieser Nacht alles entschieden.
Architekturentscheidung
Was wurde verworfen, was gewählt — und warum?
Verworfene Alternativen
- Lösegeld zahlen (Versicherungs-Empfehlung) — kein Vertrauen in Decryption-Quality, plus rechtliche Risiken
- Komplette Neuinstallation aus alten Tape-Backups — letzte vollständige Wiederherstellung von Tape stammte aus 2024, RPO-Verlust unzumutbar
- Re-Imaging der Windows-Domäne von Grund auf — Recovery-Time hätte mehrere Wochen bedeutet — Produktion stand still
Gewählte Architektur
- Restore aus Immutable PBS — die letzten Backups vom 02:00-Lauf waren nicht kompromittiert, Append-Only-Mode hat verhindert, dass der Angreifer trotz erlangter Backup-Server-Credentials Daten hätte überschreiben können.
- Forensik-Snapshots VOR dem Restore — Ceph-Snapshots aller verschlüsselten Disks wurden gezogen, bevor wir mit der Wiederherstellung begannen. Damit blieb das Beweismaterial für Strafanzeige und Versicherungsmeldung erhalten.
- Saubere Test-Umgebung — Restore lief zunächst in einen isolierten Sub-Cluster, von wo aus jede VM einzeln auf Integrität geprüft und erst dann produktiv genommen wurde.
- Komplette Credential-Rotation — alle AD-Konten, Service-Accounts und Backup-Credentials wurden im selben Recovery-Fenster rotiert. Der Angreifer wurde damit aus jeder verbliebenen Persistenz entfernt.
Umsetzung
Wie ist es gelaufen?
02:17
Ransomware-Trigger
Verschlüsselung beginnt auf allen Windows-Servern.
02:34
SIEM-Alert
Wazuh erkennt anomale Datei-Aktivität, Alert wird an unsere Bereitschaft eskaliert.
03:05
Engineer eingeklinkt
Modern-Next-Engineer remote auf das System, Lage erfasst, Geschäftsführer per Telefon informiert.
03:30
Cluster isoliert
Alle externen Verbindungen gekappt, betroffene VMs heruntergefahren, sauberer Sub-Cluster für Recovery vorbereitet.
04:15
Forensik-Snapshots
Ceph-Snapshots aller verschlüsselten Disks gezogen — Beweismaterial gesichert, bevor restauriert wird.
04:30
Recovery-Plan freigegeben
Geschäftsführer-Briefing, Reihenfolge der Wiederherstellung definiert (AD zuerst, dann ERP, dann File-Server).
04:45
Restore aus PBS gestartet
Erste 6 produktive VMs aus Immutable-Backup in den sauberen Sub-Cluster wiederhergestellt.
05:30
Erste Integritäts-Checks
AD funktioniert, ERP-Datenbank antwortet, Test-User-Logins erfolgreich.
06:04
Produktion online
Alle kritischen VMs laufen, Mitarbeiter konnten ab 07:00 Uhr arbeiten.
Messbare Ergebnisse
Was hat sich verändert?
| Kennzahl | Vorher | Nachher |
|---|---|---|
| Time to Recovery | Industriestandard: 21 Tage | 3 h 47 min |
| Datenverlust | Risiko: Wochen an Transaktionen | 0 (letzter Backup 4 h alt, Logs zur Lückenfüllung) |
| Wiederhergestellte Daten | — | 12 TB |
| Produktion am nächsten Werktag | Risiko: Tage Stillstand | 100 % verfügbar |
| Lösegeld bezahlt | geforderter Betrag: 1.8 Mio € | 0 € |
| Versicherungs-Schadenmeldung | (geschätzter Worst-Case 8-stellig) | ≈ 80 k€ (Engineering, Forensik, ein Tag Verzögerung) |
Lessons Learned
Was wir das nächste Mal anders machen würden
- Immutable Backup ist die einzige zuverlässige Verteidigung gegen moderne Ransomware. Append-Only-Mode plus separate Credentials hat verhindert, dass der Angreifer die Backups nach 14 Tagen Aufklärung gezielt zerstören konnte.
- Die SIEM-Alerts der Tage 7 – 14 hätten den Angreifer früher entdeckt. Die Auswertung passierte aber erst am Vorfallstag im Rückblick. Lehre: Alerts ohne aktive Bearbeitung sind teure Logfiles. Wir haben anschließend 24/7-Bereitschaft mit definierten Eskalationspfaden eingeführt.
- Tabletop-Übungen vor dem Vorfall waren entscheidend. Das Team kannte die Reihenfolge, die Werkzeuge, die Kontaktpersonen. Im echten Vorfall hat niemand erst nachgeschlagen, was wann zu tun ist.
- Forensik-Snapshots VOR dem Restore zu ziehen ist nicht selbstverständlich. Die Versuchung ist groß, sofort mit der Wiederherstellung zu beginnen. Das hätte aber das Beweismaterial für Strafanzeige und Versicherungsregulierung vernichtet.
- Komplette Credential-Rotation gehört in das Recovery-Playbook. Wer den Angreifer in der Aufklärungsphase nicht entdeckt hat, weiß nicht, welche Persistenz-Mechanismen er hinterlassen hat. Das einzige sichere Vorgehen: alles rotieren.
Ähnliches Vorhaben? 30 Minuten reichen für ein erstes Bild.
Wir hören zu, stellen die richtigen Fragen und sagen ehrlich, ob wir der passende Partner sind. Kostenfrei, unverbindlich.