Runbook: Ransomware-Angriff und Clean-Room-Wiederherstellung

Dieses Runbook beschreibt das Vorgehen bei einem bestätigten oder vermuteten Ransomware-Angriff auf die IT-Infrastruktur der CERTANIA Holding GmbH einschließlich des Clean-Room-Wiederherstellungsverfahrens.

---

1. Zweck und Geltungsbereich

Dieses Runbook gilt für den Fall eines bestätigten oder vermuteten Ransomware-Angriffs auf die CERTANIA Holding GmbH. Es beschreibt die Sofortmaßnahmen, die Eindämmung, die forensische Sicherung, die Meldepflichten und die schrittweise Wiederherstellung aus einem gesicherten Clean-Room-Umfeld.

⚠️ KRITISCHER HINWEIS: Im Falle eines Ransomware-Angriffs gilt: Nichts löschen, nichts zahlen ohne Rücksprache mit DRM und Versicherung. Die Coalition Cyber-Versicherung (C-52RZ-008560-CYBER-2025) ist sofort zu informieren.

---

2. Verantwortliche Rolle(n)

Rolle	Person
Gesamtverantwortung	Disaster Recovery Manager (Tina Turner)
Technische Leitung	IT-Leitung (Alexander Schedler)
Kommunikation	Kommunikationsverantwortlicher (⚠️ PLATZHALTER)
Externe Unterstützung	Coalition Cyber-Versicherung (C-52RZ-008560-CYBER-2025)
Forensik (extern)	⚠️ PLATZHALTER – IR-Dienstleister benennen

---

3. Voraussetzungen und benötigte Zugänge

• Break-Glass M365 Admin Account (außerhalb normaler SSO-Infrastruktur)
• Hornet Security Admin-Portal: https://cp.hornetsecurity.com
• Microsoft Admin Center: https://admin.microsoft.com
• Intune Admin Center: https://intune.microsoft.com
• Entra Admin Center: https://entra.microsoft.com
• Coalition Cyber-Versicherung Notfall-Hotline: +49 699 6759 996
• Externer IR-Dienstleister (Incident Response): +49 699 6759 996
• Physischer Internetzugang außerhalb des kompromittierten Netzwerks (Mobilfunk-Hotspot)

---

4. Schritt-für-Schritt Wiederherstellungsanleitung

Phase 1: Sofortmaßnahmen (0–30 Minuten)

1. Alarm: Ransomware-Verdacht sofort an ITL (Alexander Schedler) und DRM (Tina Turner) melden
2. Netzwerktrennung: Betroffene Geräte sofort vom Netzwerk trennen (WLAN deaktivieren, Kabel ziehen)
3. Keine weiteren Aktionen auf betroffenen Geräten – keine Dateien öffnen, nichts löschen
4. Coalition sofort informieren: Policen-Nr. C-52RZ-008560-CYBER-2025
5. Ausmaß einschätzen: Wie viele Geräte/Systeme sind betroffen?
6. DR-Team aktivieren (gemäß Dokument 05)
7. Kommunikation: Mitarbeitende anweisen, keine weiteren Systeme zu starten

Phase 2: Eindämmung (30 Minuten – 2 Stunden)

1. M365-Tenant auf Kompromittierung prüfen:
   • Entra Admin Center → Audit Log prüfen
   • Alle Admin-Sessions beenden
   • Break-Glass-Account aktivieren
   • Verdächtige OAuth-Apps entfernen
2. Alle Benutzerpasswörter und Admin-Passwörter zurücksetzen
3. MFA für alle Accounts erzwingen
4. Hornet Security Backup-Integrität prüfen: Sind Immutable Backups intakt?
5. Schadensumfang dokumentieren: Welche Systeme, welche Daten betroffen?
6. Externer IR-Dienstleister einschalten: +49 699 6759 996
7. DSGVO-Meldepflicht prüfen: Sind personenbezogene Daten betroffen? (72h-Frist Art. 33)

Phase 3: Forensik und Ursachenanalyse (parallel)

1. Betroffene Geräte für forensische Analyse sichern (nicht sofort wischen)
2. Forensik-Dienstleister beauftragen: +49 699 6759 996
3. Eintrittsvektor identifizieren: Phishing, kompromittierte Zugangsdaten, Schwachstelle?
4. Zeitlinie des Angriffs rekonstruieren
5. Alle Erkenntnisse für Versicherung und ggf. Behörden dokumentieren

Phase 4: Clean-Room-Wiederherstellung

1. Clean-Room-Umgebung vorbereiten:
   • Separate, nicht kompromittierte Geräte oder neue Tenant-Instanz
   • Zugriff ausschließlich über nicht kompromittierte Accounts
2. Hornet Security Backup: letzten bekannt sauberen Wiederherstellungspunkt identifizieren
3. Wiederherstellung gemäß Prioritäten (siehe 07_00):
   • Schritt 1: Identitäten und Admin-Accounts wiederherstellen
   • Schritt 2: E-Mail-System wiederherstellen (Runbook 07_01)
   • Schritt 3: DNS/MX wiederherstellen (Runbook 07_06)
   • Schritt 4: SharePoint/OneDrive wiederherstellen (Runbook 07_03)
   • Schritt 5: LucaNet prüfen (Runbook 07_02)
   • Schritt 6: Endgeräte neu provisionieren (Runbook 07_04)
4. Nach jeder Stufe: Integritätsprüfung und Freigabe durch DRM

Phase 5: Rückkehr zum Normalbetrieb

1. Alle Systeme auf Sauberkeit prüfen (kein Schadcode)
2. Passwörter aller Benutzer zurücksetzen (nach Clean-Room-Wiederherstellung)
3. Mitarbeitende über Ende des Notfallbetriebs informieren
4. Abschlussbericht erstellen
5. Lessons-Learned-Workshop einberufen

---

5. Erfolgskriterien und Validierungsprüfungen

Die Wiederherstellung gilt als erfolgreich, wenn:

• [ ] Alle Systeme aus sauberem Backup wiederhergestellt
• [ ] Kein Schadcode mehr nachweisbar (forensische Bestätigung)
• [ ] Alle Accounts mit neuen Passwörtern und MFA gesichert
• [ ] E-Mail-Kommunikation vollständig operativ
• [ ] DSGVO-Meldepflicht erfüllt (falls Datenschutzverletzung)
• [ ] Versicherungsfall bei Coalition gemeldet und dokumentiert
• [ ] Lessons-Learned-Report erstellt

---

6. Fallback bei gescheiterter Wiederherstellung

Falls Hornet Security Backups ebenfalls kompromittiert oder nicht verfügbar sind:

1. Coalition Cyber-Versicherung für erweiterte IR-Unterstützung einschalten
2. Prüfen, ob Microsoft native Backup-Möglichkeiten nutzbar sind
3. Geschäftsführung über möglichen dauerhaften Datenverlust informieren
4. Rechtliche und regulatorische Beratung hinzuziehen

---

7. Geschätzte Wiederherstellungszeit (RTO)

Phase	Geschätzter Zeitaufwand
Sofortmaßnahmen	0–2 Stunden
Eindämmung	2–8 Stunden
Forensik	1–5 Tage (parallel)
Clean-Room-Wiederherstellung	1–3 Tage
Rückkehr zum Vollbetrieb	3–7 Tage gesamt

⚠️ Die Wiederherstellungszeit nach einem Ransomware-Angriff ist stark von Ausmaß und Backupstatus abhängig. Diese Werte sind Schätzungen für einen mittelschweren Angriff.

---

Änderungshistorie

Version	Datum	Autor	Änderung
0.1	2026-02-24	Alexander Schedler	Initiale Erstellung

---

Dokumentensteuerung

Feld	Wert
Dokumentenname	07_07_Runbook-Ransomware-CleanRoom.md
Version	0.1
Status	Entwurf
Erstellt von	Alexander Schedler
Freigegeben von	–
Datum	2026-02-24
Nächste Überprüfung	2027-02-24