Ransomware ist nicht mehr das Problem großer Konzerne – sie trifft Steuerberater, Handwerksbetriebe, Arztpraxen und Kanzleien. Die Angriffe sind automatisiert, die Einstiegspunkte bekannt, und die Täter brauchen kein spezifisches Ziel. Wer verwundbar ist, wird früher oder später gefunden.

Was in den ersten Stunden passiert

Ein Ransomware-Angriff beginnt selten mit der Verschlüsselung. Meistens sind Angreifer Tage oder Wochen früher bereits im System – durch ein gestohlenes Passwort, eine ungepatchte Schwachstelle oder einen Phishing-Klick. In dieser Zeit erkunden sie das Netzwerk, deaktivieren Virenscanner und suchen nach Backups, die sie ebenfalls verschlüsseln können.

Erst dann folgt der sichtbare Angriff: Dateien werden verschlüsselt, eine Lösegeldforderung erscheint auf dem Bildschirm. Zu diesem Zeitpunkt ist der Schaden oft längst vollständig eingetreten – die Verschlüsselung ist nur der letzte Schritt.

Kritischer Fehler in den ersten Minuten: Viele Betroffene versuchen sofort, betroffene Systeme zu reparieren oder neu zu starten. Das zerstört Spuren, die für die Analyse und Wiederherstellung nötig sind. Besser: betroffene Systeme sofort vom Netzwerk trennen, aber nicht ausschalten.

Zahlen oder nicht zahlen?

Die Lösegeldforderung liegt typischerweise zwischen einigen Tausend und mehreren Hunderttausend Euro – oft angepasst an die vermutete Zahlungsfähigkeit des Opfers. Bezahlen ist keine Garantie: Viele Unternehmen erhalten nach der Zahlung keinen funktionierenden Entschlüsselungsschlüssel, oder die Daten wurden bereits vor der Verschlüsselung gestohlen und werden trotzdem veröffentlicht.

Behörden empfehlen grundsätzlich, nicht zu zahlen – auch weil jede Zahlung zukünftige Angriffe finanziert. Die Entscheidung ist im Ernstfall trotzdem schwer, wenn der Betrieb vollständig stillsteht.

Der Weg zurück: Was wirklich hilft

Ob und wie schnell ein Unternehmen nach einem Angriff wieder arbeitsfähig wird, entscheidet sich nicht im Moment des Angriffs – sondern in den Wochen und Monaten davor. Die entscheidenden Faktoren:

Meldepflicht beachten: Wenn bei einem Ransomware-Angriff personenbezogene Daten betroffen sind – und das ist fast immer der Fall – besteht eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden. Das gilt auch für kleine Unternehmen.

Sofortmaßnahmen im Ernstfall

Was zu tun ist – in dieser Reihenfolge

  • Betroffene Systeme sofort vom Netzwerk trennen (Netzwerkkabel, WLAN), aber nicht ausschalten
  • IT-Dienstleister oder Notfallteam informieren
  • Nicht zahlen, bevor alle Optionen geprüft sind
  • Datenschutzbehörde innerhalb von 72 Stunden informieren (falls personenbezogene Daten betroffen)
  • Anzeige bei der Polizei erstatten – Landeskriminalämter haben spezialisierte Cybercrime-Einheiten
  • Backups auf Vollständigkeit und Integrität prüfen, bevor mit der Wiederherstellung begonnen wird

Fazit

Ransomware ist kein abstraktes Risiko – sie trifft täglich Unternehmen jeder Größe in Deutschland. Die schlechte Nachricht: einen hundertprozentigen Schutz gibt es nicht. Die gute Nachricht: wer getrennte Backups hat, MFA aktiviert und Systeme aktuell hält, erholt sich von einem Angriff deutlich schneller und günstiger als jemand, der unvorbereitet getroffen wird.

Wie gut ist Ihr Unternehmen vorbereitet?

Wir prüfen Ihre Backup-Strategie, Netzwerkkonfiguration und Zugriffsabsicherung – und zeigen konkret, wo die größten Lücken sind.

Unverbindlich anfragen
Manuel Eilert
Manuel Eilert Geschäftsführer, digital73 it service gmbh Manuel berät Berliner Unternehmen und Kanzleien seit über 15 Jahren in IT-Sicherheit und Microsoft-365-Infrastrukturen.