OneDrive und Google Drive: Wie man Massenlöschung oder Ransomware-Verschlüsselung im Jahr 2026 rückgängig macht
Massenhafte Dateilöschungen oder Ransomware-Verschlüsselungen in Cloud-Speichern sind längst keine Ausnahme mehr. Im Jahr 2026 verfügen sowohl Microsoft OneDrive als auch Google Drive über integrierte Wiederherstellungsfunktionen, mit denen sich Dateien zurückholen, ganze Konten auf einen früheren Stand zurücksetzen und die Auswirkungen einer Verschlüsselung ohne Zahlung von Lösegeld beheben lassen. Entscheidend ist, zu verstehen, wie Versionsverlauf, Papierkorb und kontoweite Wiederherstellungspunkte tatsächlich funktionieren. Dieser Leitfaden erläutert Schritt für Schritt, wie Sie Ihre Daten sicher wiederherstellen und welche Einschränkungen vor einem Rollback zu beachten sind.
Wie Cloud-Speicher Löschungen und Ransomware verarbeiten
Werden Dateien in OneDrive oder Google Drive gelöscht, verschwinden sie nicht sofort endgültig aus dem System. Beide Dienste verschieben sie zunächst in einen Papierkorb (OneDrive-Papierkorb, Google Drive-Papierkorb), wo sie für einen begrenzten Zeitraum gespeichert bleiben. Im Jahr 2026 beträgt die Standardaufbewahrungsfrist bei privaten Konten bis zu 30 Tage, während Unternehmenskonten je nach administrativen Richtlinien längere Fristen ermöglichen können.
Ransomware-Angriffe verschlüsseln in der Regel zuerst lokale Dateien. Da die Cloud-Clients automatisch synchronisieren, werden die verschlüsselten Versionen hochgeladen und überschreiben die Originaldateien im Cloud-Speicher. Frühere Versionen werden jedoch nicht sofort gelöscht. Beide Dienste führen einen Versionsverlauf, der die Wiederherstellung nicht verschlüsselter Versionen erlaubt.
Der entscheidende Faktor ist die Reaktionszeit. Werden Speicherlimits überschritten oder laufen Aufbewahrungsrichtlinien ab, können ältere Versionen endgültig entfernt werden. Je schneller nach der Feststellung ungewöhnlicher Dateiänderungen gehandelt wird, desto höher sind die Erfolgschancen einer vollständigen Wiederherstellung.
Versionsverlauf und Wiederherstellungspunkte verstehen
Der Versionsverlauf funktioniert auf Dateiebene. Bei jeder Änderung und Synchronisierung wird eine frühere Version gespeichert. In OneDrive für Microsoft 365 ist der Versionsverlauf standardmäßig aktiviert und kann – abhängig von der Konfiguration durch Administratoren – Hunderte von Versionen speichern. Google Drive speichert ebenfalls Versionen für Docs, Sheets, Slides sowie für die meisten hochgeladenen Dateitypen.
Wiederherstellungspunkte arbeiten auf Kontoebene. OneDrive bietet die Funktion „Ihr OneDrive wiederherstellen“, mit der das gesamte Laufwerk auf einen Zeitpunkt innerhalb der letzten 30 Tage zurückgesetzt werden kann. Google-Workspace-Administratoren können über die Admin-Konsole die Drive-Daten eines Nutzers innerhalb eines definierten Wiederherstellungszeitraums zurückholen.
Bei umfangreichen Ransomware-Vorfällen ist eine kontoweite Wiederherstellung häufig deutlich effizienter als die manuelle Rücksetzung einzelner Dateien, insbesondere wenn sehr viele Elemente in kurzer Zeit betroffen sind.
Dateien in OneDrive nach Massenlöschung oder Verschlüsselung wiederherstellen
Wurden Dateien gelöscht, öffnen Sie zunächst OneDrive im Webbrowser und wechseln Sie in den Papierkorb. Prüfen Sie die Liste sorgfältig und stellen Sie die gewünschten Elemente wieder her. Die Dateien werden an ihrem ursprünglichen Speicherort mit allen Metadaten wieder eingefügt.
Bei verschlüsselten Dateien wählen Sie die betroffene Datei aus, öffnen den „Versionsverlauf“ und prüfen die Zeitstempel. Stellen Sie eine Version wieder her, die vor dem Angriff gespeichert wurde. Dieser Vorgang kann für mehrere Dateien wiederholt werden, ist bei großem Schadensumfang jedoch zeitaufwendig.
Bei weitreichenden Vorfällen empfiehlt sich die Funktion „Ihr OneDrive wiederherstellen“ in den Kontoeinstellungen. Wählen Sie ein Datum vor dem Angriff. Das System zeigt eine Aktivitätsübersicht, darunter Massenlöschungen oder ungewöhnliche Änderungen. Nach Bestätigung wird das gesamte Laufwerk auf diesen Stand zurückgesetzt.
Administrative Wiederherstellung in Microsoft-365-Umgebungen
In Unternehmensumgebungen verfügen Microsoft-365-Administratoren über zusätzliche Wiederherstellungsoptionen im SharePoint Admin Center. Da OneDrive for Business auf SharePoint basiert, können bei Bedarf ganze Website-Sammlungen zurückgesetzt werden.
Aufbewahrungsrichtlinien und sogenannte Litigation Holds bieten zusätzlichen Schutz, sofern sie im Voraus eingerichtet wurden. Selbst dauerhaft gelöschte Dateien können über Compliance-Werkzeuge unter Umständen noch wiederhergestellt werden.
Im Jahr 2026 ist Microsoft Defender for Office 365 zudem in der Lage, Anzeichen für Massenverschlüsselungen zu erkennen und Warnmeldungen zu generieren. Dadurch können Administratoren eingreifen, bevor Aufbewahrungsfristen ablaufen.
Dateien in Google Drive nach Löschung oder Ransomware wiederherstellen
In Google Drive beginnen Sie im Papierkorb. Gelöschte Dateien bleiben dort in Standardkonten bis zu 30 Tage erhalten. In Google Workspace können Administratoren – abhängig von den Einstellungen – erweiterte Wiederherstellungsoptionen nutzen.
Für verschlüsselte Dateien öffnen Sie das betroffene Element und wählen „Versionsverlauf“. Google-Dokumente zeigen eine detaillierte Chronologie mit einzelnen Bearbeitungsschritten. Auch bei hochgeladenen Dateien wie PDFs oder Office-Dokumenten können frühere Versionen wiederhergestellt werden, sofern Versionierung aktiv war.
Sind zahlreiche Dateien betroffen, können Workspace-Administratoren über die Admin-Konsole die Drive-Daten eines Nutzers auf einen früheren Stand zurücksetzen. Diese Methode ist bei unternehmensweiten Vorfällen in der Regel die effizienteste Lösung.
Einschränkungen, Zeitfenster und bewährte Praxis
Die Wiederherstellungsmöglichkeiten sind zeitlich begrenzt. Private Google-Konten erlauben in der Regel eine Wiederherstellung innerhalb von 25 bis 30 Tagen. Nach Ablauf dieser Frist können gelöschte Dateien dauerhaft verloren sein. In Workspace-Umgebungen können Google Vault-Richtlinien längere Aufbewahrungszeiten ermöglichen, sofern sie vor dem Vorfall aktiviert wurden.
Der Versionsverlauf schützt nicht vor allen Risiken. Ist die Ransomware weiterhin aktiv und synchronisiert erneut verschlüsselte Dateien, muss zunächst das betroffene Gerät vom Netzwerk getrennt und bereinigt werden, bevor Cloud-Daten wiederhergestellt werden.
Als vorbeugende Maßnahmen sollten Mehrfaktor-Authentifizierung aktiviert, der Zugriff externer Anwendungen regelmäßig überprüft und zusätzliche Offline-Backups in Betracht gezogen werden. Versionsverwaltung in der Cloud ist ein starkes Instrument, bietet jedoch den besten Schutz im Zusammenspiel mit weiteren Sicherheitsmaßnahmen.
