DOMAIN VERKAUF

cybersecurity-experte.de steht zum Kauf, Mietkauf oder zur Miete bereit.

Mehr erfahren →
Ratgeber · Ransomware

Ransomware-Schutz: schützen statt zahlen.

Ransomware ist 2026 noch immer das teuerste Cyberrisiko für den Mittelstand – und gleichzeitig eines der besser beherrschbaren. Hier finden Sie die sieben Maßnahmen, die in der Praxis 90 % der Angriffe stoppen, bevor sie Schaden anrichten.

Ransomware-Quickcheck anfragen Schutzmaßnahmen ansehen

Was ist Ransomware – und warum ist sie so gefährlich?

Ransomware ist Schadsoftware, die Daten oder ganze Systeme verschlüsselt und anschließend ein Lösegeld („ransom") für die Entschlüsselung fordert. Moderne Gruppen kombinieren dieses Vorgehen mit Datenklau („Double Extortion"): Sie drohen, die gestohlenen Daten zu veröffentlichen, falls nicht gezahlt wird – auch wenn Sie aus Backups wiederherstellen könnten.

Aktuelle Bedrohungslage.

Die Zahlen variieren je nach Studie – die Tendenz ist eindeutig.

~24 h
Zeit zwischen Erst-Kompromittierung und Verschlüsselung in vielen Fällen
70 %
der Ransomware-Opfer sind KMU mit weniger als 1.000 Mitarbeitern
21 Tage
durchschnittliche Ausfallzeit nach einem erfolgreichen Angriff
höhere Wahrscheinlichkeit, erneut Opfer zu werden, wenn das erste Mal gezahlt wurde

Wie kommt Ransomware ins Unternehmen?

Die romantische Vorstellung der „infizierten E-Mail-Anhänge" ist heute ein Randszenario. Moderne Ransomware-Operatoren arbeiten arbeitsteilig und professionell: sogenannte Initial Access Broker beschaffen den Erstzugang, andere Gruppen monetarisieren ihn.

  • Kompromittierte Zugangsdaten – meist via Phishing, Infostealer-Malware oder Reuse aus Daten-Leaks
  • Ungepatchte VPN/Remote-Access-Lösungen – einer der häufigsten Initialvektoren
  • Internet-exponierte Dienste – RDP, exponierte Datenbanken, fehlkonfigurierte Cloud-Storage
  • Lieferketten-Kompromittierung – über IT-Dienstleister oder Software-Updates

Die 7 wirksamsten Schutzmaßnahmen.

In dieser Reihenfolge umsetzen – die ersten drei stoppen die meisten Angriffe bereits.

  1. 1

    Multi-Faktor-Authentifizierung (MFA)

    Pflicht für E-Mail, VPN, Cloud, Admin-Konten. Hardware-Schlüssel oder Passkeys statt SMS, wo möglich. Allein MFA stoppt einen Großteil aller Credential-basierten Angriffe.

  2. 2

    3-2-1-Backup mit Immutable-Kopie

    Drei Kopien, zwei Medien, eine offline oder unveränderlich. Restore-Tests vierteljährlich – ein ungeprüftes Backup ist im Ernstfall meist wertlos.

  3. 3

    Patch-Management auf VPN & Perimeter

    VPN-Gateways, Firewalls und Internet-exponierte Dienste binnen 72 Stunden patchen. Ein veralteter VPN-Concentrator ist das aktuell häufigste Einfallstor.

  4. 4

    EDR / Endpoint Detection & Response

    Klassisches Antivirus reicht nicht. EDR-Lösungen erkennen verdächtiges Verhalten (z. B. Massen-Verschlüsselung von Dateien) und stoppen es automatisch.

  5. 5

    Netzwerk-Segmentierung

    Server, Client-Netze, Backup-Infrastruktur und Produktionsanlagen in getrennten VLANs. Ransomware soll sich nicht ungehindert über das gesamte Netz ausbreiten können.

  6. 6

    Awareness & Phishing-Resistenz

    Regelmäßige, praxisnahe Schulungen und Phishing-Simulationen. Mitarbeiter, die einen Vorfall melden, dürfen keine Konsequenzen fürchten – Meldekultur schlägt Sperrkultur.

  7. 7

    Notfallplan – greifbar, getestet, offline verfügbar

    Wer entscheidet was? Wer ruft Versicherung, Behörden, Pressestelle, externen Incident-Responder? Notfall-Telefonliste in Papierform im Tresor – wenn alle Systeme verschlüsselt sind, hilft kein PDF auf dem Server.

Was tun, wenn es bereits passiert ist?

Die ersten Stunden entscheiden – diese Reihenfolge hat sich in der Praxis bewährt.

  1. 1

    Isolieren

    Infizierte Systeme vom Netz trennen – physisch oder per VLAN. Nicht ausschalten: Forensik braucht den RAM.

  2. 2

    Eskalieren

    Geschäftsführung informieren, Krisenstab einberufen, externen Incident-Responder kontaktieren.

  3. 3

    Sichern

    Forensische Images, Logs, betroffene Endpoints. Beweise sind später für Versicherung und ggf. Strafverfolgung relevant.

  4. 4

    Melden

    Innerhalb 72 Stunden DSGVO-Meldung bei der Aufsichtsbehörde prüfen, ggf. BSI-Meldung (KRITIS/NIS2), Cyber-Versicherung benachrichtigen.

Häufige Fragen zu Ransomware.

Soll man bei einem Ransomware-Angriff Lösegeld zahlen?

Sicherheitsbehörden raten generell davon ab. Zahlen finanziert die Angreifer, garantiert keinen funktionierenden Decryptor und macht Sie zum bevorzugten Wiederholungsziel. Studien zeigen, dass selbst nach Zahlung nur ein Teil der Daten tatsächlich wiederhergestellt werden kann.

Reicht ein Backup als Schutz aus?

Nein. Moderne Ransomware-Gruppen suchen aktiv nach Backup-Servern, löschen Online-Backups und exfiltrieren Daten vor der Verschlüsselung. Backups müssen offline oder unveränderlich (immutable) sein und regelmäßig getestet werden.

Wie schnell sollte ein Incident-Response-Team verfügbar sein?

In den ersten 4 Stunden entscheidet sich, wie groß der Schaden wird. Definieren Sie vorab, wen Sie anrufen (eigenes Team, externer Dienstleister, Cyber-Versicherung), wer entscheiden darf Systeme abzuschalten, und wo Ihre Kontaktliste offline verfügbar ist.

Hilft eine Cyber-Versicherung gegen Ransomware?

Eine Versicherung deckt finanzielle Schäden ab, ersetzt aber keine Schutzmaßnahmen. Versicherer fordern heute meist Mindeststandards (MFA, Backup, EDR), bevor sie Verträge abschließen oder Schäden regulieren. Prävention bleibt günstiger als jeder Versicherungsfall.

So ehrlich wie Ihre Risikolage es verdient.

Im kostenlosen Erstgespräch ordnen wir Ihre konkrete Bedrohungslage ein und identifizieren die drei wichtigsten Maßnahmen für Ihre Situation – ohne Verkaufsdruck.

Quickcheck unverbindlich anfragen

Verwandte Themen.