SC195: Ransomware-Resilienz für IT-Verantwortliche NEU

Agenda:

• Eine Safari auf die dunkle Seite - wie funktioniert Ransomware?
  • Wie funktioniert RaaS?
  • Aktuelles Ransomware-Ökosystem 2025/26
    • Wichtige Gruppen
    • Trends
    • Zahlen
  • Welche Tätergruppen gibt es?
  • Wie greifen sie typischerweise an?
  • Welche Software wird genutzt?
  • Livesimulation eines Ransomwareangriffs
  • Wie funktionieren Lösegeldverhandlungen?
  • Wo findet man die Walls of Shame?
  • Double/Triple Extortion und Data Leak Sites
  • Einblick in aktuelle Fälle
  • Erfahrungen aus Undercover-Aktivitäten
  • Jagd auf Täter - Strafverfolgung von Erpressern
    
    
• Prävention - Detektion - Reaktion
  
  • Grundlagen der Verteidigung
  • Was braucht ein erfolgreicher Angreifer?
  • Best Practices der präventiven Maßnahmen
  • Identitäts- & Zugangs­sicherheit
    
    • MFA
    • Phishing-Schutz
    • Privilegierte Konten
  • Architektur & Härtung
    • Segmentierung
    • Backup-Strategie 3-2-1
  • Die entscheidenden Schritte für detektive Fähigkeiten
    • EDR/XDR
    • Zentrale Log-Quellen und Use Cases
  • False positives versus false negatives
  • Aufbau einer Alarmierungs- und Rettungskette
  • Ertüchtigung eines operativen Notfallteams
  • Arbeiten im taktischen Notfallstab
  • Verhandlungsführung
    • LKA
    • Cyberversicherer
    • Selbst
  • Kommunizieren intern
    • Management
    • Betriebsrat
  • Kommunizieren extern
    • Behörden
    • Kunden
    • Medien
  • Einbindung von Dienstleistern
    
    
• Playbooks und Runbooks
  • Das vorgehen gemäß BSI™ bei Sicherheitsvorfällen:
    • Vorbereitung – Erkennung – Analyse – Eindämmung – Behebung – Wiederherstellung – Nachbereitung
  • Schritt für Schritt geleitet mit IR-Playbook
  • Schaffung konkreter Runbooks für die Eindämmung
    • „Ransomware auf Servern“,
    • „Ransomware auf Clients“,
    • „Kompromittiertes AD/Identitäten“
  • Skripte und Tools zur Unterstützung
  • Nutzung von Fähigkeiten aus EDR und XDR
  • Ausbildung von Ersthelfern
  • Dokumentation ist alles
  • Erstbewertung und Eskalation
  • Chain of Custody - gerichtsfeste Beweissicherung
  • Basics der Triage- und PostMortem-Forensik
    
    
• Der Morgen danach
  • Arbeiten am Ground Zero
  • Aufbau von Yellowfield und Greenfield
  • Architekturprinzipien für den sauberen Neuaufbau
    • Zero Trust
    • Segmentierung
    • Härtung kritischer Systeme
  • Fähigkeiten, Prozesse und Leistungen
  • Wiederanlauf zum Notbetrieb
    • BCP/ITSCM und Mindestbetriebsniveau
  • Wiederherstellung zum Regelbetrieb
  • Desinfektion und Remediation
  • Lessons learned
    • Rückkopplung in Richtlinien
    • Schulungen und technische Maßnahmen

Ziele:

Nach dem Training SC195 Ransomware-Resilienz für IT-Verantwortliche verfügen IT-Verantwortliche über eine klare Agenda, konkrete Playbooks und Runbooks sowie ein gemeinsames Verständnis von Rollen, Prozessen und technischen Hebeln, um Ransomware-Vorfälle nicht nur zu überstehen, sondern die Organisation langfristig spürbar resilienter aufzustellen.

Zielgruppe:

Das Training SC195 Ransomware-Resilienz für IT-Verantwortliche richtet sich an:

• BCM-Verantwortliche
• ITSCM-Verantwortliche
• IT-Leiter
• Response-Team-Personal
• Notfall-/Krisenstabspersonal
• Dienstleister / externe Partner (IR, SOC/MSSP)
• In kleineren IT-Verbunden: Multi-Funktions-Personen mit Verantwortung für den Betrieb der IT

Voraussetzungen:

Um dem Lerntempo und den Inhalten des Trainings SC195 Ransomware-Resilienz für IT-Verantwortliche gut folgen zu können, sind folgende Vorkenntnisse hilfreich:

• Grundkenntnisse typischer IT-/Security-Umgebungen
• Verständnis der wichtigsten interessierten Parteien und deren Erwartungen an die Organisation
• Verständnis kritischer Schutzziele und möglicher Schadensauswirkungen bei deren Verletzung
• Überblick über vorhandene Ressourcen zur Bewältigung von Sicherheitsvorfällen und zur Schadensbegrenzung

Beschreibung:

Ransomware-Angriffe treffen längst nicht mehr nur „die anderen“, sondern gehören zu den wahrscheinlichsten und folgenreichsten Krisenszenarien für jedes Unternehmen. IT-Verantwortliche stehen vor der Herausforderung, Management, Fachbereiche und Technik gleichzeitig zu steuern – oft ohne erprobte Abläufe, klare Playbooks oder abgestimmte Kommunikationswege.
Dieses viertägige Training SC195 Ransomware-Resilienz für IT-Verantwortliche richtet sich gezielt an das IT-Management, das seine Organisation fachlich und organisatorisch auf den Ernstfall vorbereiten möchte.

Zu Beginn erfolgt bewusst ein Perspektivwechsel: Ein Einstieg in das aktuelle Ransomware-Ökosystem, typische Tätergruppen, Angriffswege und Erpressungsstrategien – inklusive Livesimulation, wie ein Angriff abläuft (vom initialen Zugriff über Verschlüsselung bis zur Lösegeldforderung). Einblicke in Double/Triple-Extortion, Data-Leak-Plattformen, Walls of Shame, reale Fälle sowie die Arbeit von Strafverfolgern und Undercover-Ermittlern runden diesen Teil ab.

Im nächsten Schritt steht der Schutz der eigenen Organisation im Vordergrund: Welche Voraussetzungen braucht ein erfolgreicher Angreifer – und wie lässt sich die Angriffsfläche systematisch reduzieren? Auf Basis bewährter Best Practices werden Prioritäten für Identitäts- und Zugriffssicherheit, Architektur und Härtung (Segmentierung, Backup-Strategien) sowie wirksame Detektionsfähigkeiten mit EDR/XDR und zentralem Logging erarbeitet. Alarmierungs- und Rettungsketten, Rollen im operativen Notfallteam und im taktischen Krisenstab sowie professionelle Kommunikation intern (Management, Betriebsrat) und extern (Behörden, Kunden, Medien, Versicherer) werden definiert und geübt.

Zum Abschluss führt das Training SC195 Ransomware-Resilienz für IT-Verantwortliche in die konsequente Umsetzungs- und Wiederaufbauphase: Auf Basis des BSI™-Vorgehens bei Sicherheitsvorfällen entstehen konkrete Incident-Response-Playbooks und Runbooks für typische Ransomware-Szenarien (Server, Clients, kompromittiertes AD). Vermittelt wird, wie Skripte, Tools sowie EDR/XDR gezielt unterstützen, wie Ersthelfer geschult und Beweise gerichtsfest dokumentiert werden. Abschließend folgen Strategien für Arbeiten „am Ground Zero“, den Neuaufbau (Yellowfield/Greenfield), den Übergang vom Not- in den Regelbetrieb sowie die systematische Auswertung von Lessons Learned.