Sicherheit & Betrug

Alle Dateien verschlüsselt, Lösegeld gefordert – was tun bei Ransomware?

Aktualisiert am 12. Juli 2026

Ransomware ist der Albtraum-Fall: Alle Dokumente und Fotos haben plötzlich seltsame Datei-Endungen, nichts lässt sich öffnen, und auf dem Bildschirm fordert ein Erpressungstext Geld – gern in Bitcoin, gern mit Countdown. Das Wichtigste vorweg: Nicht zahlen, nichts überstürzen, und den Rechner so lassen, wie er ist. Jetzt zählt die richtige Reihenfolge.

Sofort: Isolieren, nicht ausschalten-und-hoffen

  1. Trenne den betroffenen Rechner sofort vom Netzwerk: WLAN aus, Netzwerkkabel ziehen. Ransomware versucht, sich auf andere Geräte und Netzlaufwerke auszubreiten.
  2. Trenne auch externe Festplatten und USB-Sticks – aber lösche nichts.
  3. Wenn weitere Geräte im selben Netzwerk hängen (Familien-PCs, Firmen-Rechner, NAS): auch diese prüfen und im Zweifel trennen.
  4. Mach ein Foto vom Erpressungstext (fürs Protokoll und die Anzeige).

Warum du nicht zahlen solltest

Es gibt keine Garantie, dass du nach der Zahlung einen funktionierenden Schlüssel bekommst – bei vielen Ransomware-Familien kommt schlicht nichts. Und wer einmal gezahlt hat, steht auf der Liste der lohnenden Ziele. Dazu kommt: Manche Verschlüsselungen sind bereits geknackt, und es gibt kostenlose Entschlüsselungs-Tools. Zahlen wäre in dem Fall doppelt ärgerlich.

Prüfen: Gibt es einen kostenlosen Entschlüsseler?

Das Projekt „No More Ransom" (nomoreransom.org) wird von Europol und IT-Sicherheitsfirmen betrieben und sammelt kostenlose Entschlüsselungs-Tools für geknackte Ransomware-Familien. Über die Funktion „Crypto Sheriff" kannst du eine verschlüsselte Beispieldatei und den Erpressungstext hochladen – die Seite erkennt dann oft, welche Ransomware es ist und ob es ein Gegenmittel gibt.

Die realistischen Rettungswege

  • Backup einspielen: Der beste Weg. Externe Festplatte, Cloud-Sicherung, alte Handy-Fotos – alles zählt. Wichtig: Erst das System komplett bereinigen oder neu aufsetzen, dann das Backup anschließen.
  • Schattenkopien prüfen: Windows legt manchmal automatische Vorversionen an, die manche Ransomware nicht erwischt.
  • Cloud-Papierkörbe durchsuchen: OneDrive, Google Drive & Co. haben oft eine Versionshistorie, über die sich Dateien auf den Stand vor der Verschlüsselung zurückdrehen lassen.
  • Nichts überschreiben: Solange die verschlüsselten Daten unangetastet bleiben, bleibt auch die Chance auf spätere Entschlüsselung – Tools werden laufend nachgereicht.

Danach: Das Einfallstor schließen

Ransomware kommt nicht aus dem Nichts – typische Wege sind E-Mail-Anhänge, veraltete Fernzugänge (RDP, VPN) und ungepatchte Software. Wenn nur bereinigt, aber das Loch nicht gestopft wird, passiert das Gleiche in ein paar Wochen wieder. Zur Nachsorge gehören: Einfallsweg finden, System neu aufsetzen, Updates, und eine automatische Backup-Routine, die auch einen Verschlüsselungs-Angriff übersteht.

Wann du uns holen solltest

Bei Ransomware gilt: Je früher Profis draufschauen, desto mehr ist zu retten. Besonders wenn ein Betrieb betroffen ist und Mitarbeiter stillstehen, zählt jede Stunde. Wir isolieren die Systeme, identifizieren die Ransomware, prüfen alle Rettungswege und bekommen den Betrieb wieder ans Laufen – in einem realen Fall aus unserer Praxis nach 48 Stunden, ohne einen Cent Lösegeld.

Häufige Fragen

Soll ich den PC ausschalten?

Vom Netzwerk trennen: ja, sofort. Komplett ausschalten: besser nicht ohne Rücksprache – bei manchen Varianten liegen Schlüssel-Reste im Arbeitsspeicher, die beim Ausschalten verloren gehen.

Muss ich das der Polizei melden?

Ja, Anzeige ist sinnvoll und kostenlos (Onlinewache). Für Unternehmen kann zusätzlich eine Meldepflicht nach DSGVO bestehen, wenn personenbezogene Daten betroffen sind – innerhalb von 72 Stunden.

Bekomme ich meine Dateien auf jeden Fall zurück?

Ehrliche Antwort: nicht immer. Mit Backup: fast sicher. Ohne Backup hängt es davon ab, ob die Ransomware-Familie geknackt ist. Genau deshalb ist die wichtigste Lehre aus jedem Ransomware-Fall eine automatische Datensicherung.