Ransomware ist nicht mehr das Problem großer Konzerne – sie trifft Steuerberater, Handwerksbetriebe, Arztpraxen und Kanzleien. Die Angriffe sind automatisiert, die Einstiegspunkte bekannt, und die Täter brauchen kein spezifisches Ziel. Wer verwundbar ist, wird früher oder später gefunden.
Was in den ersten Stunden passiert
Ein Ransomware-Angriff beginnt selten mit der Verschlüsselung. Meistens sind Angreifer Tage oder Wochen früher bereits im System – durch ein gestohlenes Passwort, eine ungepatchte Schwachstelle oder einen Phishing-Klick. In dieser Zeit erkunden sie das Netzwerk, deaktivieren Virenscanner und suchen nach Backups, die sie ebenfalls verschlüsseln können.
Erst dann folgt der sichtbare Angriff: Dateien werden verschlüsselt, eine Lösegeldforderung erscheint auf dem Bildschirm. Zu diesem Zeitpunkt ist der Schaden oft längst vollständig eingetreten – die Verschlüsselung ist nur der letzte Schritt.
Zahlen oder nicht zahlen?
Die Lösegeldforderung liegt typischerweise zwischen einigen Tausend und mehreren Hunderttausend Euro – oft angepasst an die vermutete Zahlungsfähigkeit des Opfers. Bezahlen ist keine Garantie: Viele Unternehmen erhalten nach der Zahlung keinen funktionierenden Entschlüsselungsschlüssel, oder die Daten wurden bereits vor der Verschlüsselung gestohlen und werden trotzdem veröffentlicht.
Behörden empfehlen grundsätzlich, nicht zu zahlen – auch weil jede Zahlung zukünftige Angriffe finanziert. Die Entscheidung ist im Ernstfall trotzdem schwer, wenn der Betrieb vollständig stillsteht.
Der Weg zurück: Was wirklich hilft
Ob und wie schnell ein Unternehmen nach einem Angriff wieder arbeitsfähig wird, entscheidet sich nicht im Moment des Angriffs – sondern in den Wochen und Monaten davor. Die entscheidenden Faktoren:
- Getrennte Backups: Backups, die vom Netzwerk getrennt aufbewahrt werden (offline oder in einer isolierten Cloud), können nicht mitverschlüsselt werden. Backups, die dauerhaft erreichbar sind, werden bei einem Angriff in der Regel ebenfalls verschlüsselt.
- Bekannte Wiederherstellungszeit: Wer noch nie einen Restore durchgeführt hat, weiß nicht wie lange er dauert. Für viele KMU sind das Stunden bis Tage – in denen der Betrieb stillsteht.
- Netzwerksegmentierung: Wenn alle Systeme im selben Netzwerksegment liegen, breitet sich Ransomware ungehindert aus. Getrennte Segmente begrenzen den Schaden.
- MFA auf allen Konten: Die meisten Ransomware-Angriffe beginnen mit einem kompromittierten Benutzerkonto. MFA schließt diesen häufigsten Einstiegspunkt weitgehend.
Sofortmaßnahmen im Ernstfall
Was zu tun ist – in dieser Reihenfolge
- Betroffene Systeme sofort vom Netzwerk trennen (Netzwerkkabel, WLAN), aber nicht ausschalten
- IT-Dienstleister oder Notfallteam informieren
- Nicht zahlen, bevor alle Optionen geprüft sind
- Datenschutzbehörde innerhalb von 72 Stunden informieren (falls personenbezogene Daten betroffen)
- Anzeige bei der Polizei erstatten – Landeskriminalämter haben spezialisierte Cybercrime-Einheiten
- Backups auf Vollständigkeit und Integrität prüfen, bevor mit der Wiederherstellung begonnen wird
Fazit
Ransomware ist kein abstraktes Risiko – sie trifft täglich Unternehmen jeder Größe in Deutschland. Die schlechte Nachricht: einen hundertprozentigen Schutz gibt es nicht. Die gute Nachricht: wer getrennte Backups hat, MFA aktiviert und Systeme aktuell hält, erholt sich von einem Angriff deutlich schneller und günstiger als jemand, der unvorbereitet getroffen wird.
Wie gut ist Ihr Unternehmen vorbereitet?
Wir prüfen Ihre Backup-Strategie, Netzwerkkonfiguration und Zugriffsabsicherung – und zeigen konkret, wo die größten Lücken sind.
Unverbindlich anfragen