AKTIVER VORFALL? RUFEN SIE AN: +971 58 594 6337 · SIGNAL VERFÜGBAR · 24/7-REAKTIONSBRÜCKE DURCHSCHNITTLICHE EINDÄMMUNGSZEIT: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ENSCHLÜSSELUNGSBIBLIOTHEK AKTUALISIERT INFIZIERTE HOST-RECHNER NICHT AUSSCHALTEN — SPEICHER BEWAHREN AKTIVER VORFALL? RUFEN SIE +971 58 594 6337 AN · SIGNAL VERFÜGBAR · 24/7-REAKTIONSBRÜCKE DURCHSCHNITTLICHE ZEIT BIS ZUR EINDÄMMUNG: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ENTSCHLÜSSELUNGSBIBLIOTHEK AKTUALISIERT INFIZIERTE HOSTS NICHT AUSSCHALTEN — SPEICHER ERHALTEN
Englisch Spanisch Magyar Arabisch Русский Ukrainisch Deutsch Slowenisch Thai Chinesisch 日本語 Koreanisch Rumänisch Französisch Hindi Bengali Bahasa Indonesia Português Italienisch Tagalog Tiếng Việt Farsi Kiswahili Myanmarisch Amharisch Türkçe Urdu Javanisch Polnisch Čeština
system.log
letzte 5 Minuten · 20 Ereignisse
Snapshots
letzte 7 Tage · 7 Snapshots
Keine Backups gefunden
Letztes bekanntes Repository: nicht erreichbar

Was ein unbehandelter
Vorfall tatsächlich kostet.

Basierend auf unseren internen Daten zur Incident-Response und verifizierten öffentlichen Berichten aus den Jahren 2024–2025 – verschiedene Branchen, verschiedene Regionen.

01
5,08 Mio. $
Durchschnittliche Gesamtkosten eines Ransomware- oder Erpressungsvorfalls
02
241
Durchschnittliche Dauer bis zur Erkennung und Eindämmung einer Sicherheitsverletzung ohne spezielle IR-Maßnahmen
03
24
Durchschnittliche Betriebsausfallzeit pro Ransomware-Angriff in Tagen
04
4
Median der Tage vom ersten Eindringen bis zur Verschlüsselung
05
50
der Ransomware-Angriffe enden immer noch mit einer Verschlüsselung der Daten
06
28
Bei den Opfern von Verschlüsselungsangriffen wurden zudem Daten zur Erpressung abgezogen
Selbstdiagnose // 4 Fragen • 30 Sekunden

Bevor Sie in Panik geraten,
schätzen Sie das Ausmaß der Situation ein.

Beantworten Sie vier Fragen. Wir berechnen eine Echtzeit-Risikobewertung und die ersten vier Maßnahmen, die Ihr Team sofort ergreifen sollte – bevor jemand vor Wut auf die Tastatur loshämmert.

FRAGE 01 / 04
Was haben Sie als Erstes festgestellt?
Das früheste Anzeichen bestimmt, wie viel Zeit dir bleibt.
FRAGE 02 / 04
Wie weit hat sich der Angriff ausgebreitet?
Zählen Sie die Hosts mit bestätigter Verschlüsselung oder Manipulation.
FRAGE 03 / 04
Backup-Status?
„Unveränderlich“ bedeutet wirklich unveränderlich – Objektsperre, Air-Gap oder offline.
FRAGE 04 / 04
Anzeichen für Datendiebstahl?
Exfiltration verwandelt eine Wiederherstellungsaufgabe in eine Offenlegungsaufgabe.
ERGEBNIS
Triage abgeschlossen.
Dies ist eine grobe Bewertung. Ein PWN-ALL-Analyst kann dies in 15 Minuten auf der Response Bridge eingrenzen.
RESPONSE BRIDGE ÖFFNEN
▸ LIVE-URTEIL
Warten auf Eingabe
Beantworten Sie die Fragen auf der linken Seite. Der Schweregrad wird in Echtzeit aktualisiert.
00255075100

▸ Die ersten vier Maßnahmen

  1. Isolieren Sie betroffene Hosts vom Netzwerk – schalten Sie sie nicht aus.
  2. Speicher- und Volume-Schattenkopien auf mindestens einem Host sichern.
  3. Zugangsdaten der letzten 72 Stunden widerrufen; Dienstkonten rotieren.
  4. Errichten Sie eine Kommunikationsbrücke mit PWN•ALL, bevor Sie Backups anfassen.
Reaktionsablauf

vier Phasen.
Eine Brücke.

Wir bearbeiten jeden Vorfall über eine einzige, geprüfte Reaktionsbrücke – Ihr Team, unsere DFIR-Analysten, eine gemeinsame Zeitleiste und Belege bei jedem Schritt.

PHASE 01 // 0–60 Min.

Eindämmung

Isolierung auf Netzwerkebene, ohne Beweismaterial zu vernichten. Wir stoppen laterale Bewegungen am Switch, blockieren C2, sperren privilegierte Konten und sichern den Speicher auf Pivot-Hosts.

Mediane Verweildauer vor der Verschlüsselung: 4 Tage. Das Zeitfenster für die Eindämmung wird in Stunden gemessen, nicht in Schichten.
PHASE 02 // 1–6 Std

Umfang

Forensische Triage aller verschlüsselten Ressourcen, des ursprünglichen Zugangsvektors, der Persistenz und der Spuren der Exfiltration. Wir identifizieren den Stamm, die TTPs des Angreifers und die Verweildauer.

Ohne ein dediziertes IR-Team dauert der durchschnittliche Lebenszyklus einer Sicherheitsverletzung 241 Tage vom Eindringen bis zur Eindämmung.
PHASE 03 // 6–48 Std.

Wiederherstellung

Wiederherstellung in einer „Clean-Room“-Umgebung, Überprüfung der Backup-Integrität, Abgleich des Entschlüsselers mit unserer internen Bibliothek und – sofern Schlüssel vorhanden sind – schrittweise Entschlüsselung der Produktionsdaten.

Die durchschnittliche Ausfallzeit durch Ransomware beträgt 24 Tage. Vorbereitete Unternehmen verkürzen diese Lücke auf unter eine Woche.
PHASE 04 // 2–14 Tage

Absicherung

Behebung der Grundursache, Bereinigung von Identitäten, Einführung von EDR/MFA, wo diese fehlen, und ein schriftlicher Bericht, den Ihr Vorstand, Ihr Versicherer und Ihre Aufsichtsbehörde tatsächlich lesen können.

32 % aller Ransomware-Vorfälle beginnen mit einer ausgenutzten Sicherheitslücke. Phase 4 schließt die Tür, durch die sie hereingekommen sind.
Was wir abdecken

Jeder Stamm hat eine
eine Schwachstelle. Wir finden sie.

Unsere Forschungsbibliothek für Entschlüsselungsprogramme und unsere Verhandlungsinformationen werden anhand realer Fälle aktualisiert, die wir jede Woche abschließen. Wenn es einen Weg gibt, Daten ohne Zahlung wiederherzustellen, finden wir ihn zuerst.

FAMILIE // WINDOWS-ORIENTIERT

LockBit • BlackCat • Play

  • Domänencontroller & Veeam-Zielauswahl
  • Schattenkopien löschen über vssadmin/WMI
  • Schrittweise Exfiltration über MEGA/Rclone
  • Teilweise Schlüsselwiederherstellung, sofern möglich
FAMILIE // HYPERVISOR

Akira • Royal • Rhysida

  • ESXi-Stopp und Verschlüsselung auf VMFS-Ebene
  • Linux-ELF-Ransomware auf Appliances
  • Volumenwiederherstellung auf Datenspeicherebene
  • Integritätsprüfung auf Hypervisor-Seite
FAMILIE // NUR ERPRESSUNG

Cl0p • Karakurt • RansomHub

  • Reiner Datendiebstahl, keine Verschlüsselung
  • Überwachung und Sperrung von Websites mit Datenlecks
  • Koordination der rechtlichen Offenlegung
  • Von uns verwaltete Kommunikation mit Betreibern
Reaktionsbrücke

Ein Analyst
auf die Uhr.

Sobald Sie anrufen, wird eine gemeinsame Brücke mit zeitgestempelten Aktionen, Beweissicherung und einem Live-Schweregrad-Dashboard eingerichtet. Ihr Versicherer und Ihr Rechtsteam können sich schreibgeschützt zuschalten.

00
Uhr
47
Minuten
12
Sekunden
live
00:02 Analyst-04hat sich der Bridge angeschlossen
00:05 Hostdc01 am Switch isoliert
00:11Seitlicher Zugriffsversuch blockiert — 10.4.2.88 → 10.4.2.12
00:18Speichersnapshotgesichert – 4 Hosts
00:26Strain-Übereinstimmung: Lockbit 3.x (87 %)
00:34Backup-Repo intakt – veeam01 unberührt
00:41Entwurf des Wiederherstellungsplans – wartet auf Freigabe

Keine Geheimnisse. Kein Schweigen.

Jeder PWN-ALL-Vorfall läuft auf derselben Brückenvorlage, die Ihre Aufsichtsbehörden und Ihr Cyber-Versicherer bereits akzeptieren. Sie sehen, was wir sehen. Sie genehmigen jede destruktive Maßnahme. Nichts wird ohne Ihre Zustimmung verschlüsselt, gelöscht oder bezahlt.

Nach der Eindämmung erhalten Sie einen Bericht zur Beweiskette, eine auf MITRE ATT&CK abgestimmte Zeitleiste und einen 30/60/90-Tage-Sicherheitsplan – kein PDF voller Screenshots.

Häufig gestellte

Fragen
, die um 3 Uhr morgens gestellt werden.

Sollten wir das Lösegeld zahlen?

Das ist fast nie der richtige erste Schritt. Wir verhandeln nur als letztes Mittel, während Wiederherstellungsoptionen geprüft werden, und nur mit rechtlicher und sanktionsrechtlicher Freigabe. In ~94 % unserer Fälle ist eine vollständige oder teilweise Wiederherstellung ohne Zahlung möglich.

Wie schnell können Sie auf der Brücke sein?

Unsere SLA sieht vor, dass wir innerhalb von 60 Minuten nach dem ersten Anruf mit einem Analysten auf einer gemeinsamen Bridge mit Ihrem Team verbunden sind. Die Anleitung zur Eindämmung beginnt in der Regel innerhalb der ersten 15 Minuten, während parallel dazu die Bestandsaufnahme läuft.

Wir haben bereits alles ausgeschaltet. Ist das schlimm?

Das ist nicht ideal – der flüchtige Speicher enthält Schlüssel, eingeschleuste Prozesse und Betreiber-Traces –, aber es ist wiederherstellbar. Starten Sie nichts neu, bis wir an der Leitung sind. Wir verfügen über Verfahren für die Cold-Triage.

Arbeiten Sie mit unserem Cyber-Versicherer zusammen?

Ja. PWN-ALL ist so konzipiert, dass es sich in Standard-IR-Panels einbinden lässt. Wir stellen dem Versicherer zeitgestempelte Maßnahmen, Kostenkontrollen und einen Abschlussbericht in dem Format zur Verfügung, das die meisten Versicherer akzeptieren.

Was ist, wenn Daten nicht nur verschlüsselt, sondern auch gestohlen wurden?

Wir untersuchen die Datenexfiltration separat: Was wurde entwendet, von wo und für wie lange? Anschließend koordinieren wir die Offenlegung, rechtliche Schritte und – sofern angemessen – die Überwachung der Leak-Seiten sowie die Kommunikation mit den Angreifern.

Können Sie den nächsten Vorfall verhindern?

Das ist Phase 4. Behebung der Grundursache, Identitätshygiene, Einführung von EDR/MFA und kontinuierliche Überwachung – gepaart mit VulnScan und ConnGuard für den Perimeter.

24 / 7 / 365

Warten Sie nicht bis
Montagmorgen.

Mit jeder Stunde, die Sie zögern, werden Backups gelöscht, Beweise verfallen und die Täter tauchen tiefer unter. PWN-ALL ist an Werktagen, am Wochenende und an Feiertagen für Sie da – die Uhr macht keinen Unterschied, und wir auch nicht.

RUFEN SIE AN +971 58 594 6337 → Anfrage zu einem Retainer
SIGNAL UNTER DER GLEICHEN NUMMER VERFÜGBAR
50 % aller Angriffe enden immer noch mit einer Verschlüsselung. Warten Sie nicht ab, um herauszufinden, zu welcher Hälfte Sie gehören.