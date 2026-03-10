Ransomware: So schützen Sie Ihr Unternehmen vor Angriffen

202,4 Milliarden Euro. Das ist der Schaden, den Ransomware und andere Cyberangriffe deutschen Unternehmen allein 2025 gekostet haben – laut Bitkom-Wirtschaftsschutz-Studie. Kein Tippfehler. Und 80 Prozent der gemeldeten Ransomware-Angriffe treffen kleine und mittlere Unternehmen, die sich am wenigsten schützen können. Wer jetzt noch glaubt, das treffe nur „die anderen“, hat die Gefährdungslage schlicht nicht verstanden.

Montagmorgen, 8:47 Uhr – willkommen im Worst Case

Stellen Sie sich vor: Ihre Mitarbeitenden kommen ins Büro, schalten ihre Rechner ein – und nichts geht mehr. Auf jedem Monitor leuchtet dieselbe Meldung: „Ihre Daten wurden verschlüsselt. Zahlen Sie 150.000 Euro in Bitcoin innerhalb von 72 Stunden oder Ihre Daten werden gelöscht.“ Die Kaffeemaschine läuft noch. Alles andere nicht.

Das ist kein Horrorszenario aus einem schlechten Techno-Thriller. Das ist der Alltag von mittlerweile fast jedem dritten deutschen Unternehmen. Das Bundeskriminalamt zählte im Zeitraum von Juli 2024 bis Juni 2025 exakt 950 gemeldete Ransomware-Angriffe – und das ist nur die Spitze des Eisbergs. Das Dunkelfeld, schätzen Fachleute, liegt um ein Vielfaches höher.

Das Pikante daran: Die meisten Unternehmen, die es trifft, hatten vorher genug Warnzeichen ignoriert. Nicht aus Bösartigkeit – sondern aus einem Gemisch aus Zeitmangel, Budgetdruck und dem tröstlichen Glauben, man sei zu klein oder zu uninteressant, um ins Visier zu geraten.

Was Ransomware eigentlich ist – und warum sie so teuflisch effektiv arbeitet

Ransomware ist Erpressungssoftware. Sie verschlüsselt Dateien auf befallenen Systemen und macht sie unzugänglich – bis ein Lösegeld gezahlt wird. Der Name setzt sich zusammen aus „Ransom“ (Englisch für Lösegeld) und „Software“. Simpel. Brutal. Profitabel.

Spoiler: Moderne Ransomware-Gruppen operieren dabei wie reguläre Unternehmen. Sie haben Support-Teams, SLAs für die Entschlüsselung nach Zahlung, Kundenbewertungen ihrer „Dienstleistung“ in Darknet-Foren. Man kann sich nicht ausdenken, was die Realität liefert.

Der typische Angriffsverlauf läuft in mehreren Phasen ab. Erst kommt der Erstzugang – meist via Phishing-E-Mail, kompromittiertes Remote-Desktop-Protokoll (RDP) oder eine ungepatchte Sicherheitslücke. Dann folgt die stille Phase: Die Angreifer bewegen sich wochenlang unentdeckt durch das Netzwerk, kartieren die Infrastruktur, legen Backdoors an, kopieren Daten. Erst dann – wenn sie alles verstehen und alles gesichert haben – schlägt die Ransomware zu.

Das Perfide an modernen Angriffen ist die sogenannte „Double Extortion“-Taktik: Die Kriminellen verschlüsseln nicht nur Ihre Daten, sie stehlen sie auch. Selbst wenn Sie ein sauberes Backup haben und alles wiederherstellen können, drohen sie mit der Veröffentlichung vertraulicher Kundendata, Verträge, Geschäftsgeheimnisse. Das ist der Clou des modernen Ransomware-Modells: Das Backup allein rettet Sie nicht mehr.

Warum KMU besonders im Visier stehen

Großkonzerne haben CISO-Abteilungen, rund-um-die-Uhr besetzte Security-Operations-Center und Millionenbudgets für IT-Sicherheit. Das ist zwar keine Garantie – aber eine deutlich härtere Nuss.

Mittelständler und kleinere Betriebe hingegen: oft ein IT-Mensch für alles, veraltete Software, fehlende Segmentierung, Backup-Strategien aus dem Jahr 2012. Wenig überraschend, dass 80 Prozent der angezeigten Angriffe genau diese Zielgruppe treffen.

Das BSI-Lagebericht 2025 zeichnet ein düsteres Bild: Höchste Lösegeldforderungen seit Beginn der Aufzeichnungen, eine angespannte Bedrohungslage ohne Entspannung in Sicht – und eine erschreckend hohe Zahl von Unternehmen, die nach einem Angriff monatelang nicht wieder vollständig arbeitsfähig sind.

Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff liegt zwischen zwei und vier Wochen. Für viele KMU ist das existenzbedrohend.

Die 3-2-1-Backup-Regel: Das absolute Minimum

Eine strukturierte Backup-Strategie nach der 3-2-1-Regel ist die wichtigste Maßnahme gegen Ransomware

Wenn Sie sich eine einzige Maßnahme aus diesem Artikel merken, dann diese: 3-2-1-Backup. Drei Kopien Ihrer Daten. Auf zwei verschiedenen Medien. Eine Kopie an einem externen Ort – und diese externe Kopie muss offline sein.

Das „offline“ ist entscheidend. Viele Unternehmen haben Cloud-Backups, die dauerhaft mit dem Unternehmensnetzwerk verbunden sind. Wenn Ransomware zuschlägt, verschlüsselt sie im Zweifelsfall auch diese Backups. Das Backup, das Sie retten soll, ist damit wertlos.

Ein sauberes Backup-Konzept umfasst:

Regelmäßige Tests der Wiederherstellung – Ein Backup, das Sie noch nie getestet haben, ist kein Backup. Es ist Hoffnung.

– Ein Backup, das Sie noch nie getestet haben, ist kein Backup. Es ist Hoffnung. Versionierung – Falls Ransomware sich still im System eingenistet hat, bevor sie zuschlägt, brauchen Sie Backups aus einem Zeitraum vor der Infektion.

– Falls Ransomware sich still im System eingenistet hat, bevor sie zuschlägt, brauchen Sie Backups aus einem Zeitraum vor der Infektion. Air-Gapped-Backups – Mindestens eine Kopie, die physisch vom Netzwerk getrennt ist.

– Mindestens eine Kopie, die physisch vom Netzwerk getrennt ist. Verschlüsselte Backups – Damit Ihre Backups nicht zur Quelle von Datenlecks werden, falls jemand sie findet.

Brisant: Laut einer Studie über Ransomware-Angriffe auf ERP-Systeme sehen 88 Prozent der betroffenen DACH-Unternehmen auch ihre ERP-Systeme als Angriffsziel – also genau die Systeme, die das operative Kerngeschäft am Laufen halten. Ein Backup der Textdokumente nützt Ihnen wenig, wenn SAP oder andere ERP-Plattformen nicht wiederherstellbar sind.

Netzwerksegmentierung: Die stille Heldin der IT-Sicherheit

Ransomware breitet sich im Netzwerk aus wie ein Lauffeuer – sofern das Netzwerk ihr den Weg nicht versperrt. Netzwerksegmentierung bedeutet: Sie teilen Ihr Netzwerk in separate Zonen auf, die sich nicht einfach gegenseitig erreichen können.

Wenn der Buchhaltungsrechner befallen ist, muss er nicht zwangsläufig Zugriff auf den Produktionsserver, das Backup-System und den Fileserver haben. Segmentierung begrenzt den Schaden. Sie hält einen lokalisierten Brand davon ab, das gesamte Gebäude niederzubrennen.

In der Praxis beginnt das mit einfachen Maßnahmen: getrennte VLANs für Büro-, Server- und Gäste-Netzwerke, restriktive Firewall-Regeln zwischen Segmenten, kontrollierte Zugangspunkte. Das ist kein Hexenwerk. Es erfordert aber Planung – und jemanden, der die Architektur versteht.

Patch-Management: Der vernachlässigte Hausmeister

Eine erschreckend große Zahl von Ransomware-Angriffen nutzt bekannte Sicherheitslücken aus – Lücken, für die es seit Monaten oder Jahren Patches gibt. Der berüchtigte WannaCry-Angriff von 2017 nutzte eine Windows-Lücke, für die Microsoft bereits drei Monate vorher einen Patch veröffentlicht hatte.

Plot Twist: Das hat sich bis heute nicht grundlegend geändert. Ungepatchte VPN-Gateways, veraltete Exchange-Server, nicht aktualisierte Firewall-Firmware – das sind die Einladungen, die Angreifer gerne annehmen.

Ein strukturiertes Patch-Management-Prozess ist keine Kür. Es ist Pflicht:

Kritische Patches müssen innerhalb von 24-72 Stunden eingespielt werden

Alle Systeme – auch Drucker, Netzwerkkameras, IoT-Geräte – in die Patch-Planung einbeziehen

Regelmäßige Inventarisierung: Was haben Sie überhaupt im Netzwerk?

Automatisierung, wo möglich – manuelle Patch-Prozesse werden vergessen

Zugriffsrechte: Das Prinzip der minimalen Berechtigung

Stellen Sie sich vor, ein Angreifer kompromittiert den Rechner Ihrer Buchhalterin. Was kann er damit anfangen? In vielen Unternehmen: erschreckend viel. Domänen-Admin-Rechte für „praktische Zwecke“ vergeben, Vollzugriff auf alle Netzlaufwerke, Administratorrechte auf dem lokalen Rechner.

Das Prinzip der minimalen Berechtigung („Least Privilege“) besagt: Jeder Nutzer, jeder Dienst, jede Anwendung bekommt exakt die Rechte, die er für seine Aufgabe benötigt – und keine mehr. Das klingt trivial. Die Umsetzung in gewachsenen IT-Landschaften ist es nicht.

Besonders kritisch: privilegierte Accounts. Domain-Admins, lokale Administratoren, Service-Accounts mit weitreichenden Rechten. Diese sollten konsequent überwacht, rotiert und nach dem Vier-Augen-Prinzip eingesetzt werden.

Mehr dazu, wie ganzheitliche Sicherheitsansätze aussehen, erklärt dieser Artikel über digitalen Schutz durch ganzheitliche Sicherheitsstrategien.

Endpoint Detection and Response: Augen und Ohren im Netzwerk

Klassischer Antivirensoftware geht es wie dem Dinosaurier: Sie ist zwar noch da, aber nicht mehr das, was die Welt rettet. Moderne Angreifer kennen die Signaturen bekannter Schadsoftware und umgehen sie gezielt. Was Unternehmen heute brauchen, ist Endpoint Detection and Response (EDR).

EDR-Lösungen überwachen das Verhalten von Prozessen auf Endgeräten – nicht nur bekannte Malware-Signaturen, sondern verdächtige Aktivitätsmuster. Wenn ein Office-Dokument plötzlich PowerShell-Befehle ausführt, die Schattenkopien löschen, ist das ein klares Warnsignal – auch wenn die Malware noch nie gesehen wurde.

Die gute Nachricht: EDR-Lösungen sind nicht mehr nur für Konzerne erschwinglich. Viele Anbieter haben ihr Angebot auch für KMU skaliert. Die schlechte Nachricht: Ein EDR-Tool allein nützt wenig, wenn niemand die Alerts überwacht.

Mitarbeitende: Das schwächste und stärkste Glied

80 Prozent aller Angriffe beginnen mit einem Menschen – einer Phishing-E-Mail, einem unachtsamen Klick, einem zu leichtfertigen Umgang mit Zugangsdaten. Das ist die Statistik. Die Konsequenz daraus ist nicht, Mitarbeitende zu beschimpfen, sondern sie zu schulen.

Security Awareness Training ist kein einmaliges Onboarding-Video, das einmal im Jahr „absolviert“ wird und dann im digitalen Schubladen-Nirwana verschwindet. Effektive Programme setzen auf:

Regelmäßige simulierte Phishing-Tests – Lernen durch echte Erfahrung, ohne echte Konsequenzen

– Lernen durch echte Erfahrung, ohne echte Konsequenzen Klare Meldekanäle – Wer einen verdächtigen Anhang öffnet, muss das sofort melden können, ohne Angst vor Konsequenzen

– Wer einen verdächtigen Anhang öffnet, muss das sofort melden können, ohne Angst vor Konsequenzen Rollenspezifische Trainings – Die Buchhaltung hat andere Risikovektoren als die IT

– Die Buchhaltung hat andere Risikovektoren als die IT Kontinuierliche Wiederholung – Einmal ist keinmal

Das Ziel ist eine Sicherheitskultur, in der Vorsicht keine Behinderung des Arbeitsablaufs ist, sondern Teil davon.

Notfallplan: Wenn es doch passiert

Kein Schutz ist lückenlos. Ein Incident-Response-Plan legt fest, was passiert, wenn Ransomware doch zuschlägt. Wer wird informiert? In welcher Reihenfolge? Wer entscheidet über Lösegeldzahlungen? Wann wird der BSI oder das BKA eingeschaltet? Wann werden Kunden und Partner informiert?

Diese Entscheidungen sollten Sie nicht unter dem Stress eines laufenden Angriffs zum ersten Mal treffen. Ein dokumentierter und getesteter Incident-Response-Plan rettet nicht nur Zeit – er rettet die Nerven aller Beteiligten.

Wichtig: Gemäß NIS-2-Richtlinie und DSGVO gibt es konkrete Meldepflichten bei sicherheitsrelevanten Vorfällen. Verstöße gegen diese Meldepflichten können empfindliche Bußgelder nach sich ziehen – eine weitere Eskalation der ohnehin schon katastrophalen Situation.

Wie die NIS-2-Registrierung beim BSI praktisch aussieht und wen sie betrifft, ist ein eigenes Kapitel – eines, das Sie bereits aufgeschlagen haben sollten.

Lösegeldzahlung: Die Frage, die sich jeder stellt

Zahlen oder nicht zahlen? Die offizielle Empfehlung von BSI, BKA und internationalen Behörden ist eindeutig: Nicht zahlen. Jede Zahlung finanziert die kriminellen Strukturen und motiviert weitere Angriffe.

Die Realität ist komplizierter. Unternehmen, die keine funktionierenden Backups haben und deren operative Kernprozesse vollständig stillstehen, stehen vor einer existenziellen Entscheidung. Manche zahlen – und erhalten den Schlüssel. Manche zahlen – und erhalten trotzdem keinen Schlüssel. Manche zahlen, entschlüsseln alles, und werden sechs Wochen später erneut angegriffen, weil die Backdoor noch immer aktiv ist.

Das ist der Clou: Lösegeldzahlung löst das Problem nicht. Sie kauft bestenfalls Zeit.

Mehr zum Thema Bildungseinrichtungen, die besonders häufig getroffen werden, in dieser Analyse der Ransomware-Angriffe auf Bildungseinrichtungen.

Ransomware-as-a-Service: Die Demokratisierung des Verbrechens

Das, was die Bedrohungslage in den letzten Jahren so dramatisch verschlechtert hat, ist nicht technischer Fortschritt – es ist ein Geschäftsmodell. Ransomware-as-a-Service (RaaS) bedeutet: Kriminelle entwickeln die Ransomware und stellen sie anderen Kriminellen zur Verfügung, die die eigentlichen Angriffe durchführen. Im Austausch bekommen die Entwickler einen Anteil der Lösegelder.

Das Ergebnis: Für einen erfolgreichen Ransomware-Angriff braucht man kein technisches Genie mehr. Man braucht lediglich Zugang zu einem RaaS-Portal im Darknet – und eine schlecht gesicherte Unternehmensinfrastruktur als Ziel.

Gruppen wie LockBit, ALPHV/BlackCat oder Cl0p haben mit diesem Modell hunderte Millionen Dollar erpresst, bevor internationale Strafverfolgungsbehörden ihre Infrastrukturen zerschlagen haben. Spoiler: Auf LockBit folgte LockBit 4.0. Das Spiel beginnt von vorne.

Wo Sie aktuelle Bedrohungsdaten finden

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht regelmäßig Ransomware-Lageberichte und Handlungsempfehlungen: BSI-Empfehlungen zu Ransomware.

Kostenlose Entschlüsselungstools für bekannte Ransomware-Familien stellt die Initiative No More Ransom bereit: No More Ransom – kostenlose Entschlüsselungs-Tools.

Die vollständige Bitkom-Wirtschaftsschutz-Studie mit allen Schadensszahlen finden Sie unter: Bitkom Wirtschaftsschutz-Studie 2025.

Die technische Checkliste: Was Sie heute noch tun können

Große Sicherheitsstrategien brauchen Zeit. Diese Maßnahmen nicht:

RDP-Zugang abschalten oder hinter ein VPN verlegen

Multi-Faktor-Authentifizierung für alle externen Zugänge aktivieren

Letzte Backup-Wiederherstellung testen – und zwar jetzt, nicht irgendwann

Patch-Status kritischer Systeme prüfen

Domain-Admin-Accounts inventarisieren und auf das Nötigste reduzieren

Incident-Response-Kontakte (BSI, IT-Dienstleister, Versicherung) schriftlich festhalten

Sie werden feststellen: Manche dieser Maßnahmen dauern unter einer Stunde. Der Ransomware-Angriff, den Sie damit verhindern könnten, würde möglicherweise Wochen Ihres Lebens kosten.

Wie man die Gefahren der Digitalisierung insgesamt einordnet und welche Rolle das Nutzerverhalten spielt, beleuchtet dieser ältere, aber noch immer relevante Artikel über die Gefahren der Digitalisierung und wie naiv Anwender sein dürfen.

Versicherung: Ja, aber mit Verstand

Cyber-Versicherungen sind ein wachsendes Marktsegment – und ein zweischneidiges Schwert. Sie können im Schadensfall finanzielle Katastrophen abwenden. Sie ersetzen aber keinen einzigen Sicherheitsmechanismus.

Das Pikante daran: Viele Versicherungen erfordern mittlerweile Nachweise über implementierte Sicherheitsmaßnahmen, bevor sie den Schutz gewähren. Wer keine MFA, keine Backups, kein Patch-Management nachweisen kann, bekommt keinen Vertrag – oder einen mit so vielen Ausschlussklauseln, dass er im Schadenfall praktisch wertlos ist.

Die Botschaft dahinter ist eigentlich die richtige: Versicherung schützt vor den finanziellen Folgen. Prävention schützt vor dem Angriff.

289,2 Milliarden Euro Schaden in einem Jahr. 950 gemeldete Angriffe in zwölf Monaten. 80 Prozent KMU als Zielgruppe. Die Zahlen zeichnen ein klares Bild. Die Frage ist nicht, ob Ransomware ein Problem ist. Die Frage ist, ob Ihr Unternehmen bereit ist, wenn der Angriff kommt – und er kommt. Statistisch gesehen, ist er nur eine Frage der Zeit.