· Mehdi Aroui · cybersecurity  · 4 min read

Ransomware 2026: Prävention und Reaktion für KMU

Ransomware ist seit 2016 die häufigste Schadensursache in deutschen KMU. Dieser aktualisierte Leitfaden erklärt, was heute wirkt: 3-2-1-Backup, EDR, Patch-Management und ein klarer Reaktionsplan.

Ransomware ist seit 2016 die häufigste Schadensursache in deutschen KMU. Dieser aktualisierte Leitfaden erklärt, was heute wirkt: 3-2-1-Backup, EDR, Patch-Management und ein klarer Reaktionsplan.

Bedrohungslage 2016 und 2026

Dieser Beitrag erschien erstmals im November 2016 und verwies auf ein BSI-Dokument zu Ransomware-Prävention und Reaktion. Die Bedrohungslage hat sich seitdem nicht beruhigt, sie hat sich professionalisiert.

Das BSI stellte 2016 fest: Seit Mitte 2015 stiegen Ransomware-Vorfälle stark an. Täter lenkten Ressourcen von Banktrojanern zu Ransomware um, weil die Erfolgsrate höher und der Aufwand für Geldwäsche geringer war.

BSI-Lagebericht 2024: Ransomware bleibt die Bedrohung mit dem höchsten Schadenspotenzial. Durchschnittlicher Schaden pro Ransomware-Vorfall in KMU: sechsstellig, inklusive Betriebsunterbrechung, Wiederherstellung und Reputationsverlust. Neu seit 2020: Double Extortion (Verschlüsselung plus Datendiebstahl mit Veröffentlichungsdrohung).

Definition

Ransomware ist Schadsoftware, die Daten oder Systeme verschlüsselt oder sperrt und Lösegeld für die Freigabe fordert. Der Angriff richtet sich gegen die Verfügbarkeit von Daten und ist nach deutschem Recht Erpressung (§ 253 StGB) in Verbindung mit Computersabotage (§ 303b StGB).

Angriffsvektor: Wie Ransomware ins Netz kommt

Laut BSI-Lagebericht 2024 sind die drei häufigsten Einstiegspunkte:

  1. Phishing-E-Mails mit schädlichen Anhängen oder Links (häufigster Vektor).
  2. Gestohlene oder schwache Zugangsdaten (RDP, VPN, Cloud-Dienste).
  3. Ungepatchte Schwachstellen in öffentlich erreichbaren Diensten (VPN-Appliances, Exchange, Firewalls).

Prävention: Was wirkt

Backup nach 3-2-1-Regel

Das ist die wichtigste Einzelmaßnahme. Drei Kopien, zwei verschiedene Medien, eine davon außerhalb des Netzwerks:

  • Lokal: Tägliche Veeam-Snapshots auf NAS oder Backup-Server.
  • Offsite: Automatische Replikation in zweiten Standort oder Azure Backup (Deutschland-Region).
  • Immutable Backup: Veeam Hardened Repository oder Azure Blob Storage mit WORM-Option verhindert, dass Ransomware Backups mitlöscht.

Entscheidend: Getestete Wiederherstellung. Netzleiter führt quartalsweise Restore-Tests durch. Ein Backup ohne Restore-Test ist kein Backup.

Endpoint Detection and Response

ESET PROTECT mit EDR-Modul erkennt Verschlüsselungsverhalten auf Endgeräten und stoppt Prozesse, bevor alle Daten betroffen sind. Klassischer signaturbasierter Virenschutz reicht nicht, weil neue Ransomware-Varianten zunächst keine bekannte Signatur haben.

Patch-Management

Ungepatchte VPN-Appliances und Firewalls waren 2023/2024 der häufigste Einstiegspunkt bei schwerwiegenden Ransomware-Vorfällen (Quelle: BSI). NinjaOne RMM priorisiert kritische CVEs und meldet ungepatchte Systeme in Echtzeit.

Netzwerksegmentierung

Ransomware bewegt sich lateral durch flache Netzwerke. VLANs für Server, Workstations, IoT und Verwaltungssysteme begrenzen die Ausbreitung.

E-Mail-Schutz

ESET Mail Security und Microsoft Defender for Office 365 analysieren Anhänge vor der Zustellung. Schädliche Dokumente mit Makros, ZIP-Archive mit ausführbaren Dateien und Phishing-Links werden blockiert.

Zwei-Faktor-Authentifizierung

Für alle Cloud-Dienste (Microsoft 365, VPN, Remote-Zugang) ist Zwei-Faktor-Authentifizierung Pflicht. Gestohlene Zugangsdaten allein reichen dann nicht mehr aus.

Reaktion: Was tun bei einem Vorfall

Sofortmaßnahmen

  1. Betroffene Systeme isolieren (Netzwerkkabel ziehen, WLAN deaktivieren). Nicht herunterfahren: forensische Spuren bleiben im RAM.
  2. Netzleiter Hotline anrufen: 040 25 499 500. Rund um die Uhr erreichbar.
  3. Keine Zahlung ohne Rücksprache. Zahlung garantiert keine Entschlüsselung und kann zu weiteren Angriffen führen.
  4. Vorgehen dokumentieren (Zeitstempel, betroffene Systeme, Screenshot der Lösegeldforderung).

Meldepflichten nach NIS2 (ab Oktober 2024)

Betroffene Unternehmen in regulierten Sektoren müssen:

  • Binnen 24 Stunden: Erstmeldung an BSI (Frühwarnung).
  • Binnen 72 Stunden: Vollständige Stoerungsmeldung.
  • Binnen 30 Tagen: Abschlussbericht.

Netzleiter unterstützt bei der Vorfallsdokumentation und der BSI-Meldung.

Wiederherstellung

Wiederherstellung aus Veeam-Backup ist der schnellste Weg zurück in den Betrieb. Bei vollständiger Verschlüsselung und aktuellem Offsite-Backup: Wiederherstellungszeit je nach Datenmenge zwischen Stunden und einem Werktag.

BSI-Ressourcen

Das BSI stellt kostenfreie Leitfäden bereit:

  • BSI-Grundschutz-Kompendium: Maßnahmen für KMU.
  • BSI-Ransomware-Leitfaden: Prävention und Reaktion, regelmäßig aktualisiert.
  • CERT-Bund: Aktuelle Warnmeldungen und Indicators of Compromise.

Häufige Fragen

Wie gelangt Ransomware ins Unternehmensnetzwerk?

Die drei häufigsten Einstiegspunkte sind Phishing-E-Mails mit schädlichen Anhängen, gestohlene oder schwache Zugangsdaten für RDP und VPN sowie ungepatchte Schwachstellen in öffentlich erreichbaren Diensten wie VPN-Appliances oder Firewalls (BSI-Lagebericht 2024).

Was ist das Wichtigste gegen Ransomware?

Ein getestetes Backup nach der 3-2-1-Regel ist die wichtigste Einzelmaßnahme. Drei Kopien, zwei verschiedene Medien, eine davon außerhalb des Netzwerks. Entscheidend ist der regelmäßige Restore-Test: Ein Backup ohne Wiederherstellungstest ist kein Backup.

Muss ich einen Ransomware-Angriff melden?

Unternehmen in regulierten Sektoren müssen nach NIS2 innerhalb von 24 Stunden eine Frühwarnung an das BSI senden, innerhalb von 72 Stunden eine vollständige Störungsmeldung und innerhalb von 30 Tagen einen Abschlussbericht.

Soll ich das Lösegeld zahlen?

Nein. Zahlung garantiert keine Entschlüsselung und kann zu weiteren Angriffen führen. Vor jeder Entscheidung zuerst die Netzleiter-Hotline 040 25 499 500 anrufen und betroffene Systeme isolieren.

Was kostet ein Ransomware-Vorfall im Durchschnitt?

Laut BSI-Lagebericht 2024 liegt der durchschnittliche Schaden pro Ransomware-Vorfall in KMU im sechsstelligen Bereich, inklusive Betriebsunterbrechung, Wiederherstellung und Reputationsverlust.

Fazit

Ransomware ist kein IT-Problem, sondern ein unternehmerisches Risiko. Kein System ist vollständig sicher, aber mit getesteten Backups, EDR, Patch-Management und klaren Reaktionsprozessen bleibt Ihr Betrieb auch nach einem Angriff lauffähig.

Backup-Audit oder NIS2-Gap-Analyse: Hotline 040 25 499 500.

Share:
Back to Blog

Related Posts

View All Posts »
NotPetya 2017: Supply-Chain-Lessons für KMU

NotPetya 2017: Supply-Chain-Lessons für KMU

NotPetya war kein gewöhnlicher Ransomware-Angriff, sondern ein staatlicher Sabotageakt mit weltweitem Kollateralschaden. Die Verschlüsselungsfehler waren damals Hoffnungsschimmer. Heute sind die Lehren daraus Pflichtlektüre für jeden KMU-Entscheider.