Zum Inhalt springen
Resilience Platform Resilience Platform

Playbook

Ransomware Tabletop

Ransomware-Verdacht oder Tabletop-Übung angesetzt

Note: This page is an implementation aid and does not replace legal advice or binding supervisory interpretation. ← Zurück zu allen Playbooks
PB-RANSOM-001

Trigger

Ransomware-Verdacht oder Tabletop-Übung angesetzt

Rollen

CISO (Leitung) IT-Leiter Datenschutzbeauftragter Rechtsabteilung Krisenkommunikation CEO (eskaliert)

Phasen & Aktionen

1. Detektion & Initial Response

  • Ransom Note / Verschlüsselung bestätigen
  • Betroffene Systeme SOFORT vom Netz trennen
  • Backup-Integrität prüfen (vor Wiederherstellung!)
  • Strafverfolgungsbehörden einschalten (BKA/LKA)

2. Containment & Forensik

  • Ausbreitungsvektor identifizieren
  • IoC (Indicators of Compromise) sammeln
  • Betroffene Datenbestände katalogisieren
  • Lösegeldforderung dokumentieren (NICHT zahlen ohne Rechtsprüfung)

3. Meldung & Kommunikation

  • Datenschutzbehörde informieren (Art. 33 DSGVO, 72h)
  • Aufsichtsbehörde informieren (DORA Art. 19/NIS2 Art. 23)
  • Betroffene Kunden informieren (Art. 34 DSGVO)
  • Presse-Statement vorbereiten (Comms Gate)

4. Wiederherstellung & Lessons Learned

  • Wiederherstellung aus sauberen Backups
  • Post-Incident Review mit externer forensischer Unterstützung
  • Maßnahmenplan zur Schließung des Angriffsvektors
  • Tabletop-Erkenntnisse in Playbook-Update überführen

Entscheidungspunkte

  1. Lösegeld zahlen? (→ Rechtsabteilung + CEO + ggf. BKA)
  2. Backups integer? (→ Wiederherstellung vs. Neuaufbau)
  3. Kundeninformation erforderlich? (→ DSB + Comms Gate)

Verknüpfte Nachweise

  • Forensik-Bericht
  • Backup-Integritätsnachweis
  • Meldeprotokoll DSGVO

Verknüpfte Human Gates

HG-MGMT-001 HG-LEGAL-001 HG-COMM-001 HG-DATA-001

Alle Human Gates →

Adaptiert von KRKrisensicher/krisensicherOS (Apache-2.0).