Montag, 07:43 Uhr. Ein Mitarbeiter öffnet seinen Rechner. Statt des gewohnten Desktops erscheint eine rote Nachricht: alle Dateien verschlüsselt, Lösegeld in Bitcoin gefordert, 72 Stunden Zeit. Gleichzeitig gehen die ersten Anrufe bei der IT ein — nichts funktioniert mehr.

Was jetzt passiert, hängt von zwei Dingen ab: wie gut das Unternehmen vorbereitet ist — und ob eine Cyberversicherung greift.

Die ersten 72 Stunden: eine Stunde-für-Stunde-Realität

0–4h

Phase 1 — Schock & Erstreaktion

Der Angriff wird entdeckt

Systeme werden abgeschaltet, Mitarbeiter nach Hause geschickt, IT-Dienstleister alarmiert. Niemand weiß noch wie groß der Schaden ist. Die Produktion steht. Das erste was die Geschäftsführung fragt: "Sind wir versichert?" — und wer hat die Nummer der Versicherung?

4–12h

Phase 2 — Forensik & Schadenermittlung

Was genau ist passiert?

Ein IT-Forensikteam muss her — sofort. Wo kam der Angriff rein? Welche Systeme sind betroffen? Sind Daten abgeflossen? Ohne diese Antworten kann nichts wiederhergestellt werden. Ein guter Cyberversicherer stellt dieses Team innerhalb weniger Stunden bereit. Ohne Versicherung sucht man selbst — und verliert wertvolle Zeit.

12–24h

Phase 3 — Kommunikation & Rechtspflichten

Wer muss informiert werden?

Sind Kundendaten betroffen, greift die DSGVO: Meldepflicht bei der Datenschutzbehörde innerhalb von 72 Stunden. Kunden müssen informiert werden. Lieferanten, Banken, Partner. Jede Kommunikation nach außen muss rechtlich abgesichert sein — falsche Aussagen können teuer werden. Krisenmanagement und Anwälte kosten. Auch das deckt eine gute Police ab.

24–48h

Phase 4 — Die Lösegeld-Frage

Zahlen oder nicht zahlen?

Behörden raten grundsätzlich davon ab. Aber wenn Backup und Produktivsysteme beide verschlüsselt sind und kein Wiederherstellungsweg existiert, ist die Realität komplizierter. Ein spezialisierter Versicherer hat Erfahrung mit Verhandlungen — und deckt in vielen Fällen das Lösegeld ab, wenn alle anderen Optionen ausgeschöpft sind. Ohne Versicherung trägt das Unternehmen diese Entscheidung allein.

48–72h

Phase 5 — Wiederherstellung & Betriebsausfall

Wann läuft wieder alles?

Systeme werden schrittweise wiederhergestellt. Jede Stunde Stillstand kostet — Produktion, Personal, entgangene Aufträge. Der Betriebsunterbrechungsschaden ist oft der größte Einzelposten im Gesamtschaden. Eine gute Police erstattet diesen ab der ersten Stunde, nicht erst nach einer langen Karenzzeit.

Was ein Ransomware-Angriff wirklich kostet

Die häufigste Fehleinschätzung: "Wir zahlen kurz das Lösegeld und dann läuft wieder alles." Die Realität sieht anders aus. Lösegeld ist oft der kleinste Posten. Die eigentlichen Kosten entstehen durch Betriebsausfall, Forensik, Wiederherstellung, Rechtsberatung und den Reputationsschaden bei Kunden.

Für ein mittelständisches Unternehmen mit 50 Mitarbeitern kann ein mehrtägiger Stillstand schnell einen Schaden von 100.000 bis 300.000 Euro verursachen — selbst wenn kein Lösegeld gezahlt wird.

Was viele nicht wissen: Ohne eine laufende Cyberversicherung ist im Ernstfall keine Hilfe garantiert. Incident-Response-Teams haben Kapazitäten — wer als Versicherungskunde anruft, wird priorisiert. Wer nicht Kunde ist, wartet.

Was eine Cyberversicherung in diesen 72 Stunden leistet

• Sofortige Bereitstellung eines IT-Forensikteams — rund um die Uhr

• Übernahme der Kosten für Datenwiederherstellung und Systemreinigung

• Rechtliche Begleitung bei DSGVO-Meldepflichten und Behördenkommunikation

• Krisenmanagement und PR-Unterstützung bei Kundenkommunikation

• Erstattung des Betriebsunterbrechungsschadens ab dem ersten Tag

• Lösegeldverhandlung und ggf. Übernahme der Lösegeldzahlung

Was das für IT-Dienstleister bedeutet

Wenn Ihr Kunde in dieser Situation anruft — und Sie die IT betreuen — sind Sie die erste Anlaufstelle. Sie können die Systeme analysieren, das Backup prüfen, die Wiederherstellung koordinieren. Aber ob Forensikkosten erstattet werden, ob ein Krisenkommunikationsteam kommt, ob der Betriebsausfall gedeckt ist — das liegt außerhalb Ihrer Reichweite.

Genau deshalb arbeiten wir mit IT-Systemhäusern zusammen. Nicht um Ihnen Arbeit wegzunehmen — sondern um den Teil zu übernehmen, der nicht Ihre Aufgabe ist, aber Ihrem Kunden in diesem Moment genauso wichtig ist wie die technische Wiederherstellung.

Fazit: Im Ernstfall zählen Stunden — und Vorbereitung

Ein Ransomware-Angriff ist keine Frage ob, sondern wann. Die Unternehmen, die gut durch eine solche Krise kommen, sind nicht unbedingt die mit der besten IT-Sicherheit — sondern die, die vorbereitet sind. Technisch und versicherungsseitig.

72 Stunden sind kurz. Zu kurz um dann noch zu klären, ob man überhaupt versichert ist.