BSI warnt: Malware trifft Mittelstand – 7 Schutzmaßnahmen sofort

309.000 neue Schadprogramm-Varianten pro Tag. Das ist keine Schlagzeile aus einem Sci-Fi-Roman, sondern der nüchterne Befund aus dem BSI-Lagebericht 2024. Plot Twist: Der Mittelstand steht dabei besonders im Fadenkreuz – und merkt es oft erst, wenn die Systeme schweigen.

Das Lagebild: Zahlen, die nicht lügen

Das Bundesamt für Sicherheit in der Informationstechnik beschreibt die aktuelle Cybersicherheitslage in Deutschland als kritisch, aber nicht aussichtslos. Das „nicht aussichtslos“ ist dabei die einzige gute Nachricht. Die harten Zahlen sprechen eine andere Sprache: Laut dem BSI-Lagebericht 2024 wurden durchschnittlich 309.000 neue Schadprogramm-Varianten pro Tag registriert. Ein Anstieg von 26 Prozent gegenüber dem Vorjahreszeitraum.

Für viele IT-Teams verschärft das denselben Ransomware Preparedness Gap, der Angriffe nicht spektakulärer, aber deutlich teurer macht.

Wer jetzt glaubt, das betreffe vor allem Großkonzerne mit ausgefeilten Verteidigungslinien, irrt. Der BVMW dokumentiert explizit das steigende Risiko für kleine und mittlere Unternehmen – also genau jene Firmen, die häufig weder ein eigenes Security-Operations-Center noch einen dedizierten CISO haben. Das Pikante daran: Angreifer wissen das.

Cyberkriminalität trifft den Mittelstand nicht trotz seiner Größe, sondern oft wegen seiner Struktur. Flache Hierarchien, gewachsene IT-Infrastrukturen, wenig Budget für Informationssicherheit. Ein klassisches Angriffsprofil. Und eine Einladung, die niemand verschickt hat.

Neue Malware, alte Muster – was wirklich dahintersteckt

Vorsicht bei der Begrifflichkeit: „Neue Malware-Familie“ klingt dramatisch. In der Praxis der Threat Intelligence bedeutet es oft etwas Nüchterneres – ein neues Sample, eine angepasste Kampagne, ein bekanntes Framework in neuem Gewand. Echte neue Malware-Familien mit vollständig unbekanntem Code sind selten. Was sich ändert, sind Taktiken, Techniken und Prozeduren, kurz TTPs.

Der aktuelle Trend im Bedrohungsraum ist dabei eindeutig: Infostealer gewinnen gegenüber klassischer Ransomware an Bedeutung, werden aber häufig als Vorläufer eingesetzt. Zuerst stiehlt ein Infostealer Zugangsdaten und Sessiontokens. Dann folgt der eigentliche Schlag – Ransomware, Lateral Movement, Datenexfiltration. Zweistufige Angriffe, die viele EDR-Systeme erst beim zweiten Schritt erkennen.

Remote Access Trojaner, kurz RATs, spielen dabei ebenfalls eine zunehmende Rolle. Ein RAT gibt Angreifern persistent Fernzugriff auf ein System – oft wochenlang unentdeckt. In Mittelstandsumgebungen, wo nicht jeder Netzwerkfluss protokolliert und analysiert wird, ist das erschreckend realistisch. Wiper-Malware, die Daten schlicht zerstört statt verschlüsselt, ist das düsterste Ende dieser Angriffskette. Brisant deshalb: Gegen einen Wiper hilft kein Lösegeld. Da gibt es schlicht nichts mehr zu retten.

Warum der Mittelstand? Eine ehrliche Antwort

Laut einer Umfrage, auf die „Die Familienunternehmer“ verweisen, schätzen 72 Prozent der Befragten die Gefahr von Cyberkriminalität für den deutschen Mittelstand als hoch oder sehr hoch ein. Das Risikobewusstsein wächst. Die Schutzmaßnahmen halten damit häufig nicht Schritt. Das ist die eigentliche Lücke.

Warum Mittelstandsunternehmen? Weil sie attraktiv und erreichbar sind. Sie verfügen über Umsatz, Kundendaten, Intellectual Property – gerade im deutschen Maschinenbau oder in der Fertigungsindustrie ist Know-how bares Geld. Gleichzeitig fehlen häufig Ressourcen für Enterprise-grade Security. Wenig überraschend, dass professionelle Angreifer dieses Kalkül kennen.

Die Einfallstore sind bekannt und bleiben es: ungepatchte Software, schwache oder wiederverwendete Passwörter, fehlende Netzwerksegmentierung, Mitarbeitende ohne aktuelle Sicherheitsschulungen. Dazu kommt CEO-Fraud per gefälschten E-Mails oder – zunehmend – per KI-generierter Stimme, was Behörden-Phishing zu einem ernsten Vehikel für Malware-Staging macht. Das ist kein abstraktes Szenario. Das sind dokumentierte Angriffsmuster.

Angriffskette im Detail: So läuft ein typischer Mittelstandsangriff ab

Ein realistisches Angriffsszenario, das sich aus den dokumentierten Mustern ergibt: Eine Phishing-Mail landet im Postfach einer Buchhalterin. Sie wirkt plausibel – gefälschtes Briefkopf, korrektes Firmenlogo, dringlicher Ton. Anhang: eine Excel-Datei mit aktiviertem Makro. Klick. Der Infostealer entfaltet sich. Er sammelt Browserdaten, gespeicherte Passwörter, Sessioncookies. Alles landet auf einem Command-and-Control-Server der Angreifer.

Wenige Tage später: Die Angreifer nutzen gestohlene VPN-Zugangsdaten. Lateral Movement durch das interne Netz. Dabei kartieren sie Systeme, identifizieren das Backup-System – und schalten es als erstes aus. Erst dann folgt die Ransomware-Verschlüsselung. Das Unternehmen steht still. Produktion läuft nicht. Angebote können nicht erstellt werden. Betriebsunterbrechung ist bei Ransomware oft der teuerste Schaden, wie PwC in seiner Analyse zur Cybersicherheit in Familienunternehmen betont – nicht das Lösegeld selbst.

Der Clou: Dieser Ablauf ist nicht hypothetisch. Er ist in Incident-Response-Berichten aus dem deutschen Mittelstand mehrfach dokumentiert. Was variiert, sind Details der Malware-Samples. Was konstant bleibt: die Methodik.

Was Behörden empfehlen – und was davon wirklich hilft

Das BSI und die Transferstelle Cybersicherheit geben konkrete Empfehlungen, die für den Mittelstand umsetzbar sind. Ich halte einen davon für besonders unterschätzt: Netzwerksegmentierung. Klingt technisch, bedeutet in der Praxis: Wenn ein System kompromittiert wird, kann sich der Angreifer nicht automatisch durch das gesamte Netzwerk bewegen. Jede Zone braucht eigene Zugriffsrechte. Das allein hätte in einer Reihe dokumentierter Fälle den Schaden massiv begrenzt.

Die vollständige Empfehlungsliste umfasst mehrere kritische Punkte:

• Patch-Management: Bekannte Sicherheitslücken zeitnah schließen. Nicht irgendwann. Zeitnah.
• Endpoint Detection and Response (EDR): Klassische Antivirus-Software erkennt moderne Malware häufig nicht. EDR-Lösungen analysieren Verhaltensmuster, nicht nur Signaturen.
• Multi-Faktor-Authentifizierung: Pflicht für alle externen Zugänge, besonders VPN und Remote Desktop.
• Offline-Backups: Backups, die vom Netz getrennt und damit vor Ransomware geschützt sind. Online-Backups allein reichen nicht.
• Mitarbeiterschulungen: Phishing-Simulationen, regelmäßig, nicht einmalig beim Onboarding.
• Incident Response Plan: Schriftlich. Getestet. Mit klaren Verantwortlichkeiten. Nicht erst nach dem ersten Angriff erstellt.

Das klingt nach einem Standard-Kanon. Das ist es auch. Das Problem: Im deutschen Mittelstand sind mehrere dieser Maßnahmen laut Umfragen noch immer nicht flächendeckend implementiert. Cyberkriminalität setzt genau dort an.

EDR vs. klassisches Antivirus: Der Unterschied, der zählt

Viele Mittelstandsunternehmen vertrauen noch auf klassische Antivirus-Lösungen. Die Logik dahinter: Hat früher funktioniert. Was sich geändert hat: Moderne Malware, insbesondere Infostealer und RATs, operiert oft „living off the land“ – nutzt legitime Systemwerkzeuge wie PowerShell oder WMI, um Aktivitäten zu verschleiern. Kein bekannter Schadcode. Kein Antivirus-Alarm.

EDR-Systeme analysieren Verhaltensanomalien. Ein Prozess, der plötzlich massenhaft Zugangsdaten abfragt. Eine Anwendung, die ungewöhnliche Netzwerkverbindungen aufbaut. Ein Skript, das sich selbst deaktiviert. Diese Muster fallen auf – wenn das System darauf ausgelegt ist, sie zu sehen. Ohne EDR bleibt ein Angreifer im Schnitt wochenlang unentdeckt. Das ist kein Pessimismus. Das sind Messwerte aus Incident-Response-Einsätzen.

Der Einwand ist berechtigt: EDR-Lösungen kosten Geld, benötigen Administration und erzeugen Alarme, die jemand interpretieren muss. Für Unternehmen ohne eigene IT-Abteilung ist das eine reale Hürde. Managed Security Service Provider, kurz MSSPs, können diese Lücke schließen – und werden von Behörden zunehmend als Option für den Mittelstand empfohlen.

Melden oder nicht melden? Die unterschätzte Frage

Plot Twist, der viele überrascht: Die meisten Cyberangriffe auf den deutschen Mittelstand werden nicht gemeldet. Nicht bei der Polizei, nicht beim BSI. Reputationsangst, fehlende Kapazitäten während einer laufenden Krise, Unsicherheit über zuständige Stellen. Das Ergebnis: Das kollektive Lagebild ist unvollständig. Behörden bekämpfen Cyberkriminalität mit Informationen, die oft nur einen Bruchteil der Realität abbilden.

Dabei wäre Meldung kein Selbstopfer. Das BSI und das Bundeskriminalamt bieten vertrauliche Meldewege an. Informationen aus Incidents – Indikatoren wie Dateihashes, IP-Adressen, Domänennamen – helfen dabei, Malware-Kampagnen frühzeitig zu identifizieren und Warnungen für andere Unternehmen auszusprechen. Wer einen Angriff meldet, schützt damit auch Unternehmen, die noch nicht getroffen wurden. Das ist kein Appell an den Altruismus. Das ist Eigeninteresse an einem funktionierenden Informationsökosystem.

Security-Insider berichtet regelmäßig über aktuelle Vorfälle und Behördenwarnungen – wer kein internes Frühwarnsystem hat, sollte zumindest solche Kanäle im Blick behalten. Das kostet nichts außer etwas Aufmerksamkeit.

Lieferkette als Einfallstor: Das unterschätzte Risiko im Mittelstand

Ein Aspekt, der in der öffentlichen Diskussion zu wenig Aufmerksamkeit bekommt, ist die sogenannte Supply-Chain-Attacke. Nicht das Mittelstandsunternehmen selbst wird dabei direkt angegriffen – sondern ein Dienstleister, Softwareanbieter oder Zulieferer, der Zugang zu dessen Systemen hat. Der Angreifer kompromittiert diesen schwächeren Dritten und bewegt sich von dort aus ins eigentliche Zielunternehmen.

Für den Mittelstand ist das aus zwei Gründen besonders relevant. Erstens: Viele Unternehmen sind in engmaschige Lieferketten eingebunden – als Zulieferer für größere Konzerne, aber auch als Abnehmer von spezialisierten Software- oder IT-Dienstleistern. Zweitens: Die Zugänge, die Dienstleister für Fernwartung oder Software-Updates benötigen, sind selten mit der gleichen Sorgfalt abgesichert wie der direkte Mitarbeiterzugang. Ein Wartungszugang ohne MFA, ohne Zeitbegrenzung und ohne Protokollierung ist ein offenes Fenster.

Das Gegenargument liegt nahe: Man kann nicht jeden Dienstleister kontrollieren. Stimmt. Aber man kann klare vertragliche Sicherheitsanforderungen stellen, Zugriffe dokumentieren und zeitlich begrenzen sowie regelmäßige Sicherheitsnachweise einfordern. Das ist kein bürokratischer Aufwand, sondern Risikomanagement. Wer als Mittelständler Teil einer Lieferkette für kritische Infrastruktur ist – und viele sind das, ohne es zu wissen – trägt zudem eine Mitverantwortung für die Resilienz des Gesamtsystems.

Risikowahrnehmung und Wirklichkeit: Eine ehrliche Bilanz

72 Prozent schätzen das Risiko als hoch ein. Wie viele haben einen getesteten Incident-Response-Plan? Wie viele haben in den letzten zwölf Monaten eine Phishing-Simulation durchgeführt? Wie viele können garantieren, dass ihre Backups außerhalb des Netzwerks liegen und tatsächlich funktionieren?

Das Pikante daran ist nicht, dass Unternehmen das Risiko unterschätzen. Es ist, dass sie es anerkennen – und trotzdem handlungsarm bleiben. Dieser Gap zwischen Risikowahrnehmung und Schutzmaßnahmen ist der eigentliche Angriffspunkt. Cyberkriminalität wächst nicht im Vakuum. Sie wächst in Lücken, die bekannt, aber ungeschlossen sind.

Meine persönliche Einschätzung: Die größte Bedrohung für den deutschen Mittelstand ist nicht die nächste unbekannte Malware-Familie. Es ist die Annahme, dass es schon gut gehen wird, weil es bisher gut gegangen ist. Das ist kein Sicherheitskonzept. Das ist Glück mit Verfallsdatum.

Was jetzt zu tun ist – konkret und ohne Ausreden

Erstens: Bestandsaufnahme. Was ist tatsächlich geschützt? Welche Systeme haben externe Zugänge? Wo liegen Backups? Welche Software wurde seit Monaten nicht gepatcht? Ohne Bestandsaufnahme keine sinnvolle Prioritätenliste.

Zweitens: Die niedrig hängenden Früchte pflücken. MFA für alle externen Zugänge. Offline-Backup einrichten oder prüfen. Patch-Zyklen verkürzen. Das sind keine Hexerei-Maßnahmen. Das ist Basisschutz.

Drittens: Externe Unterstützung holen, wenn intern die Kapazität fehlt. Die Transferstelle Cybersicherheit bietet kostenlose Beratungsangebote speziell für KMU. Das BSI stellt Leitfäden bereit. Es muss nicht alles intern gelöst werden – aber es muss gelöst werden.

Viertens: Den Ernstfall durchspielen. Was passiert, wenn die Systeme morgen früh verschlüsselt sind? Wer wird informiert? Wer trifft Entscheidungen? Gibt es einen Kommunikationsplan für Kunden und Partner? Unternehmen, die diesen Plan erst nach dem Angriff entwickeln, zahlen dafür – in Zeit, Geld und Reputationsverlust.

Fünftens: Dienstleisterzugänge systematisch überprüfen. Welche externen Partner haben aktuell Zugriff auf interne Systeme? Sind diese Zugänge dokumentiert, zeitlich begrenzt und mit MFA gesichert? Eine einfache Zugriffsmatrix, die halbjährlich aktualisiert wird, kann hier bereits erheblichen Mehrwert schaffen – ohne großen technischen Aufwand.

Sechstens: Versicherung und Haftung klären. Cyberversicherungen werden für den Mittelstand zunehmend relevant. Wichtig dabei: Viele Policen setzen einen Mindeststandard an technischen Schutzmaßnahmen voraus, andernfalls greift der Versicherungsschutz im Schadensfall nicht oder nur eingeschränkt. Wer eine Cyberversicherung abschließt oder verlängert, sollte die technischen Anforderungen genau prüfen und mit dem tatsächlichen Sicherheitsniveau abgleichen.

Siebtens: Sicherheitskultur langfristig verankern. Technik allein löst das Problem nicht. Mitarbeitende, die verdächtige E-Mails melden, die keine Zugangsdaten weitergeben und die im Zweifelsfall nachfragen, sind ein ebenso wichtiger Schutzfaktor wie jede Software. Sicherheitskultur entsteht nicht durch einmalige Schulungen, sondern durch regelmäßige, kurze Sensibilisierungsmaßnahmen und eine Führungsebene, die das Thema sichtbar ernst nimmt.

Meine persönliche Meinung: Wer heute noch glaubt, Cybersicherheit sei ein Problem nur für Großkonzerne, hat 309.000 neue Argumente pro Tag, die das Gegenteil belegen. Die Frage ist nicht, ob der Mittelstand angegriffen wird. Die Frage ist, ob er vorbereitet ist, wenn es passiert.

Was bleibt?

Das BSI-Lagebild 2024 ist kein Alarmismus. Es ist Dokumentation einer Entwicklung, die sich seit Jahren abzeichnet und sich beschleunigt. Malware wird schneller, angepasster, gezielter. Der Mittelstand bleibt ein attraktives Ziel. Und die Schutzlücken sind bekannt.

Was also hält Ihr Unternehmen davon ab, heute mit der Bestandsaufnahme zu beginnen?