Ein Ransomware-Angriff hat Ihre Systeme verschlüsselt. Die erste Panik ist vorbei, der Krisenstab arbeitet an der Wiederherstellung. Aber jetzt stellt sich eine Frage, die in der akuten Phase oft untergeht: Wie hoch ist der Schaden tatsächlich? Und wie dokumentiert man ihn so, dass er vor Gericht, gegenüber der Versicherung oder in Verhandlungen mit dem IT-Dienstleister standhält? Genau diese Frage beantwortet ein IT-Sachverständiger.
Warum die Schadenshöhe so schwer zu beziffern ist
Bei einem Wasserschaden kann ein Sachverständiger den Schaden relativ einfach beziffern: beschädigter Boden, feuchte Wände, zerstörtes Inventar. Bei einem Ransomware-Angriff ist das grundlegend anders. Der Schaden verteilt sich auf mehrere Kategorien, die zeitlich versetzt eintreten, sich gegenseitig beeinflussen und teilweise erst Wochen oder Monate nach dem Angriff vollständig sichtbar werden.
Ein produzierendes Unternehmen mit 80 Mitarbeitern wird an einem Freitagabend verschlüsselt. Am Montag können die Mitarbeiter nicht arbeiten. Die Produktion steht. Liefertermine werden gerissen. Kunden wechseln zum Mitbewerber. Ein externer IT-Dienstleister wird für die Forensik und Wiederherstellung beauftragt. Ein Anwalt kümmert sich um die DSGVO-Meldung, weil personenbezogene Daten betroffen sein könnten. Der Steuerberater warnt, dass die Buchhaltungsdaten der letzten drei Monate möglicherweise nicht vollständig wiederherstellbar sind. Der Vertrieb meldet, dass ein Großkunde den Rahmenvertrag nicht verlängert hat.
Welche dieser Posten gehören zum Schaden? Wie werden sie berechnet? Und wie weist man nach, dass sie tatsächlich auf den Angriff zurückzuführen sind? Das sind die Fragen, die ein IT-Sachverständiger beantworten muss.
Die vier Schadenskategorien bei Ransomware
Die Schadensermittlung nach einem Ransomware-Angriff gliedert sich in vier Hauptkategorien, die jeweils eigene Berechnungsmethoden und Nachweisanforderungen haben.
Kategorie 1: Direkte IT-Kosten
Die direkten IT-Kosten sind der am einfachsten zu beziffernde Teil des Schadens, weil sie sich weitgehend durch Rechnungen belegen lassen. Dazu gehören die IT-Forensik, also die Untersuchung des Angriffsverlaufs, die Identifikation der Schadsoftware und die Bestimmung des Angriffsumfangs. Hinzu kommen die Kosten für die Wiederherstellung der Systeme: Neuinstallation von Betriebssystemen, Einspielen von Backups, Rekonfiguration der Infrastruktur. Falls Hardware kompromittiert oder durch den Angriff beschädigt wurde, fallen Neubeschaffungskosten an. Und schließlich die Kosten für zusätzliche Sicherheitsmaßnahmen, die nach dem Angriff implementiert werden, um eine Wiederholung zu verhindern.
Die Herausforderung liegt hier im Detail. Nicht jede Rechnung eines IT-Dienstleisters ist automatisch angemessen. Der Sachverständige prüft, ob der geleistete Aufwand in einem angemessenen Verhältnis zum Schaden steht, ob die gewählten Maßnahmen sachgerecht waren und ob Kosten angefallen sind, die auch ohne den Angriff entstanden wären. Wenn ein Unternehmen den Angriff zum Anlass nimmt, seine gesamte Serverinfrastruktur zu erneuern, die ohnehin veraltet war, ist nur der Anteil der Kosten dem Angriff zuzurechnen, der für die Wiederherstellung des vorherigen Zustands erforderlich gewesen wäre.
Kategorie 2: Betriebsunterbrechungsschaden
Der Betriebsunterbrechungsschaden ist in den meisten Fällen der größte Einzelposten. Er kann den direkten IT-Schaden um ein Vielfaches übersteigen. Das Landgericht Tübingen sprach in einem bekannten Fall rund 2,5 Millionen Euro allein für die Betriebsunterbrechung zu, bei einem Gesamtschaden von über 2,8 Millionen Euro.
Die Berechnung folgt einer klaren Methodik. Zunächst wird der Unterbrechungszeitraum definiert: Von wann bis wann war der Betrieb ganz oder teilweise eingeschränkt? Dann wird der Deckungsbeitrag ermittelt, den das Unternehmen in diesem Zeitraum unter normalen Umständen erwirtschaftet hätte. Davon werden ersparte Kosten abgezogen, etwa variable Materialkosten, die während des Stillstands nicht angefallen sind. Zusätzlich werden Mehrkosten addiert, die das Unternehmen aufgewendet hat, um den Schaden zu begrenzen, etwa die Anmietung externer Arbeitsplätze oder die Vergabe von Aufträgen an Subunternehmer.
Was einfach klingt, wird in der Praxis komplex. Der Sachverständige muss drei Aspekte besonders sorgfältig dokumentieren.
Erstens die Dauer der Unterbrechung. Ein Ransomware-Angriff führt selten zu einem binären Zustand von „alles steht“ zu „alles läuft wieder“. In der Realität werden Systeme stufenweise wiederhergestellt. Die Produktion läuft vielleicht nach fünf Tagen wieder, aber das ERP-System erst nach drei Wochen, und die vollständige Buchhaltung wird erst nach sechs Wochen rekonstruiert. Jede Stufe hat unterschiedliche Auswirkungen auf die Ertragskraft des Unternehmens.
Zweitens die Kausalität zum Umsatzrückgang. Wenn ein Unternehmen im Monat nach dem Angriff weniger Umsatz macht, muss nachgewiesen werden, dass dieser Rückgang tatsächlich auf den Angriff zurückzuführen ist und nicht auf saisonale Schwankungen, Marktveränderungen oder andere Faktoren. Hier werden Vergleichszeiträume herangezogen: Wie hat sich der Umsatz in den gleichen Monaten der Vorjahre entwickelt? Wie haben sich vergleichbare Unternehmen in der Branche im selben Zeitraum entwickelt?
Drittens die Schadensminderungspflicht. Das Unternehmen ist verpflichtet, den Schaden so gering wie möglich zu halten. Wenn die Wiederherstellung deutlich länger dauert als nötig, weil zu wenige Ressourcen eingesetzt werden, kann ein Teil des Betriebsunterbrechungsschadens als vermeidbar eingestuft werden.
Kategorie 3: Datenverlustschaden
Wenn Daten trotz aller Wiederherstellungsbemühungen verloren gehen, entsteht ein eigenständiger Schaden, der über die reinen IT-Wiederherstellungskosten hinausgeht. Der Verlust von Buchhaltungsdaten kann zu Problemen bei der steuerlichen Dokumentationspflicht führen. Der Verlust von Kundendaten kann Geschäftsbeziehungen beeinträchtigen. Der Verlust von Konstruktionsdaten oder Rezepturen kann einen erheblichen Substanzverlust bedeuten.
Die Bewertung von verlorenen Daten ist eine der schwierigsten Aufgaben in der Schadensermittlung. Daten haben keinen standardisierten Marktwert. Ihr Wert bemisst sich nach dem Aufwand, der für ihre Wiederherstellung oder Neuerstellung erforderlich ist, nach ihrem wirtschaftlichen Nutzwert für das Unternehmen und nach den Folgekosten, die aus ihrem Fehlen entstehen.
Der Sachverständige dokumentiert, welche Datenbestände verloren gegangen sind, welche teilweise wiederhergestellt werden konnten und welche vollständig intakt sind. Er bewertet den Wiederherstellungsaufwand und schätzt die wirtschaftlichen Folgen des Verlusts ein, soweit dies auf technischer Grundlage möglich ist. Die betriebswirtschaftliche Bewertung des Datenverlusts erfordert häufig die Zusammenarbeit mit einem Wirtschaftsprüfer oder betriebswirtschaftlichen Sachverständigen.
Kategorie 4: Folge- und Drittschäden
Die vierte Kategorie umfasst Schäden, die nicht unmittelbar durch den Angriff selbst entstehen, sondern durch seine Folgen. Dazu gehören DSGVO-bezogene Kosten wie die Meldung an die Datenschutzbehörde, die Benachrichtigung betroffener Personen und mögliche Bußgelder. Hinzu kommen Vertragsstrafen gegenüber Kunden, wenn Liefertermine nicht eingehalten werden, sowie Reputationsschäden, die sich in einem langfristigen Kundenverlust niederschlagen können.
Der Sachverständige kann hier die technische Grundlage liefern: Wurden personenbezogene Daten exfiltriert? Welche Daten sind betroffen? Wie lange war das Unternehmen nicht lieferfähig? Diese technischen Feststellungen bilden die Basis, auf der Juristen und Betriebswirte die rechtlichen und finanziellen Folgen beziffern.
Was gerichtsfeste Dokumentation bedeutet
Ein Gutachten ist dann gerichtsfest, wenn es den Anforderungen standhält, die ein Gericht an Beweismittel stellt. Das klingt abstrakt, hat aber sehr konkrete Implikationen für die Arbeit des Sachverständigen.
Die Beweissicherung muss forensischen Standards folgen. Das bedeutet: Bevor ein System analysiert wird, wird ein forensisches Image erstellt, also eine bitgenaue Kopie des gesamten Datenträgers. Die Integrität dieses Images wird durch kryptografische Hashwerte (SHA-256) gesichert. Jeder Arbeitsschritt wird in einem Untersuchungsprotokoll dokumentiert: Was wurde wann, von wem, mit welchem Werkzeug untersucht? Ergebnisse müssen von einem anderen Sachverständigen anhand der dokumentierten Methodik nachvollzogen und überprüft werden können. Das ist das Prinzip der Reproduzierbarkeit.
Die Schadensberechnung muss nachvollziehbar sein. Jede Zahl im Gutachten muss auf einer dokumentierten Grundlage beruhen. Wenn der Sachverständige einen Betriebsunterbrechungsschaden von 500.000 Euro ermittelt, muss das Gutachten zeigen, aus welchen Teilbeträgen sich diese Summe zusammensetzt, auf welchen Daten die Berechnung basiert (Umsatzzahlen, Deckungsbeiträge, Vergleichszeiträume), welche Annahmen getroffen wurden und warum, und welche alternativen Berechnungsmethoden zu welchen Ergebnissen geführt hätten.
Die Kausalitätskette muss lückenlos sein. Das Gutachten muss den Zusammenhang zwischen dem Angriff und dem geltend gemachten Schaden nachweisen. Bei direkten IT-Kosten ist das in der Regel einfach. Bei der Betriebsunterbrechung wird es anspruchsvoller, und bei Folgeschäden wie Kundenverlust oder Reputationsschäden ist der Nachweis oft nur mit Einschränkungen möglich.
Der Zeitfaktor: Parallel zur Wiederherstellung dokumentieren
Die größte Fehlerquelle bei der Schadensermittlung nach Ransomware-Angriffen ist die zeitliche Abfolge. Die meisten Unternehmen konzentrieren sich verständlicherweise zuerst auf die Wiederherstellung und denken an die Dokumentation erst danach. Zu diesem Zeitpunkt sind aber entscheidende Beweise bereits vernichtet.
Die Wiederherstellung selbst zerstört Beweise: Wenn ein Server neu aufgesetzt wird, sind die verschlüsselten Dateien, die Logfiles und die Spuren des Angreifers auf diesem System gelöscht. Wenn ein Backup eingespielt wird, überschreibt es den kompromittierten Zustand. Wenn die IT-Abteilung im Krisenmodus arbeitet und keine Stundenaufzeichnungen führt, fehlen später die Nachweise für den internen Aufwand.
Deshalb muss die Dokumentation parallel zur Incident Response beginnen. Der Sachverständige sollte idealerweise eingebunden werden, bevor die ersten Systeme wiederhergestellt werden. Seine erste Aufgabe ist dann, forensische Images der betroffenen Systeme zu erstellen, die flüchtigen Spuren zu sichern (Arbeitsspeicher, Netzwerkverbindungen, laufende Prozesse) und den Ist-Zustand der Verschlüsselung zu dokumentieren, bevor die Wiederherstellung beginnt.
Falls der Sachverständige erst nach der Wiederherstellung eingeschaltet wird, kann er den Schaden immer noch ermitteln. Aber die Beweislage ist schwächer, die Analyse dauert länger und bestimmte Aspekte des Angriffsverlaufs lassen sich möglicherweise nicht mehr rekonstruieren. Das kann sich in einem Gerichtsverfahren oder in der Auseinandersetzung mit der Versicherung nachteilig auswirken.
Wann ein Schadensgutachten gebraucht wird
Ein Schadensgutachten nach einem Ransomware-Angriff wird in mehreren Konstellationen benötigt. Gegenüber der Cyberversicherung: Der Versicherer verlangt eine nachvollziehbare Schadensaufstellung als Grundlage für die Regulierung. Je professioneller diese Aufstellung ist, desto geringer ist das Risiko von Leistungskürzungen. In Haftungsfragen gegenüber IT-Dienstleistern: Wenn der Angriff durch eine Sicherheitslücke möglich wurde, die der betreuende IT-Dienstleister hätte schließen müssen, bildet das Gutachten die Grundlage für Schadenersatzforderungen. In Strafverfahren: Bei Anzeige gegen die Angreifer beziffert das Gutachten den strafrechtlich relevanten Schaden. Und bei internen Entscheidungen: Auch ohne externe Auseinandersetzung braucht die Geschäftsführung eine belastbare Zahl, um den Vorfall gegenüber Gesellschaftern, Aufsichtsräten oder Banken zu dokumentieren.
In all diesen Fällen gilt: Ein Gutachten, das von Anfang an nach forensischen Standards erstellt wird, kann in jeder dieser Konstellationen verwendet werden. Eine nachträgliche Aufwertung einer unvollständigen Dokumentation ist dagegen aufwendig und in der Beweiskraft eingeschränkt.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger unterstütze ich Unternehmen bei der forensischen Beweissicherung, der Schadensermittlung und der gerichtsfesten Dokumentation nach Ransomware-Angriffen. Kontaktieren Sie mich für ein unverbindliches Erstgespräch – idealerweise, bevor die erste Wiederherstellungsmaßnahme gestartet wird.