Ransomware-Schutz für Unternehmen: So verhindern Sie den Worst Case

Ein Montagmorgen. Sie kommen ins Büro, starten den Rechner – und sehen eine Nachricht: "Ihre Dateien wurden verschlüsselt. Zahlen Sie 50.000€ in Bitcoin für den Entschlüsselungsschlüssel." Alle Daten weg. Server, Buchhaltung, Kundendatenbank, E-Mails. Der ganze Betrieb steht still.

Das ist kein Horrorszenario aus einem Film. Das passiert deutschen Unternehmen jeden Tag. Das BSI zählt über 100 neue Ransomware-Varianten pro Tag. Und die Angreifer zielen längst nicht mehr nur auf Konzerne – sondern gezielt auf KMUs.

Warum trifft es gerade kleine Unternehmen?

Weil sie leichte Ziele sind. Ein Konzern hat eine IT-Sicherheitsabteilung mit 20 Leuten. Ein KMU mit 15 Mitarbeitern hat oft nicht mal einen eigenen IT-Admin. Die Angreifer wissen das.

• Weniger Schutz: Kein Endpoint-Protection, veraltete Systeme, kein Netzwerk-Monitoring
• Höhere Zahlungsbereitschaft: Ein KMU kann sich keinen wochenlangen Ausfall leisten
• Weniger Backup-Strategie: Oft gibt es nur ein NAS im gleichen Netzwerk – das wird mitverschlüsselt
• Mehr Einfallstore: Private Geräte im Firmennetz, keine MFA, veraltete Router

Wie Ransomware in Ihr Unternehmen kommt

1. Phishing-E-Mails (90% der Fälle)

Eine E-Mail, die aussieht wie von DHL, der Telekom oder einem Geschäftspartner. Ein Klick auf den Anhang oder Link – und die Schadsoftware ist installiert. Oft vergehen Tage oder Wochen, bevor die Verschlüsselung startet. In der Zwischenzeit breitet sich die Malware im Netzwerk aus.

2. Schwachstellen in Software

Veraltete Software mit bekannten Sicherheitslücken. Ein ungepatchter Exchange-Server, ein alter VPN-Gateway oder ein Router mit Standard-Passwort – jede Schwachstelle ist ein Einfallstor.

3. Remote Desktop Protocol (RDP)

Viele Unternehmen haben RDP direkt ins Internet offen – für Fernwartung oder Homeoffice. Angreifer scannen das Internet automatisch nach offenen RDP-Ports und probieren schwache Passwörter durch.

4. Infizierte Software/Updates

Supply-Chain-Angriffe: Die Software, die Sie nutzen, wird kompromittiert, und das nächste Update enthält Ransomware. Selten, aber verheerend.

Die 7 wichtigsten Schutzmaßnahmen

1. Backup-Strategie nach der 3-2-1-1-Regel

Die klassische 3-2-1-Regel reicht nicht mehr. Für Ransomware-Schutz brauchen Sie:

• 3 Kopien Ihrer Daten
• 2 verschiedene Speichermedien
• 1 Kopie an einem externen Standort (Offsite/Cloud)
• 1 Kopie, die immutable (unveränderbar) ist

Der letzte Punkt ist entscheidend: Ein immutables Backup kann von Ransomware nicht verschlüsselt oder gelöscht werden – auch wenn der Angreifer Admin-Zugriff hat.

2. Multi-Faktor-Authentifizierung (MFA) überall

MFA ist die einzelne wirksamste Maßnahme gegen Ransomware. Selbst wenn ein Passwort gestohlen wird, kommt der Angreifer nicht ins System. Aktivieren Sie MFA für:

• E-Mail (Microsoft 365, Google Workspace)
• VPN-Zugänge
• Remote Desktop
• Admin-Accounts
• Cloud-Dienste

3. Endpoint Detection & Response (EDR)

Ein klassisches Antivirus reicht nicht mehr. Moderne Ransomware umgeht signaturbasierte Erkennung. EDR-Lösungen wie Microsoft Defender for Business, Sophos Intercept X oder SentinelOne erkennen verdächtiges Verhalten und stoppen Angriffe, bevor sie Schaden anrichten.

4. Netzwerksegmentierung

Wenn ein PC infiziert wird, muss die Ransomware sich nicht im gesamten Netzwerk ausbreiten können. Trennen Sie:

• Arbeitsplätze vom Server-Netzwerk
• Gäste-WLAN vom Firmennetz
• Produktionsnetze von Office-Netzen
• Backup-Systeme vom Rest

5. Patch-Management

Halten Sie alle Systeme aktuell:

• Windows-Updates zeitnah einspielen
• Router- und Firewall-Firmware aktualisieren
• Anwendungssoftware regelmäßig updaten
• Veraltete Systeme (Windows 10, Server 2012) ablösen

6. E-Mail-Security

Da 90% der Ransomware über E-Mail kommt:

• Professionellen Spam-Filter einsetzen (nicht nur den eingebauten)
• Ausführbare Anhänge blockieren (.exe, .js, .bat, .ps1)
• SPF, DKIM und DMARC konfigurieren
• Mitarbeiter regelmäßig schulen

7. Incident-Response-Plan

Was tun Sie, wenn es trotzdem passiert? Ein dokumentierter Plan spart im Ernstfall wertvolle Stunden:

1. Infizierte Systeme sofort vom Netzwerk trennen (LAN-Kabel ziehen, WLAN aus)
2. IT-Dienstleister und Geschäftsführung informieren
3. Ausmaß feststellen: Welche Systeme sind betroffen?
4. Backup-Integrität prüfen: Sind die Backups sauber?
5. Wiederherstellung starten
6. Datenschutzbehörde informieren (72-Stunden-Frist nach DSGVO)
7. Einfallstor identifizieren und schließen
8. Anzeige bei der Polizei erstatten

Was tun, wenn es passiert ist?

Nicht bezahlen

Das BSI und Strafverfolgungsbehörden raten klar davon ab, Lösegeld zu zahlen:

• Keine Garantie für die Entschlüsselung (oft funktioniert der Key nicht)
• Sie werden als zahlendes Opfer markiert – der nächste Angriff kommt garantiert
• Sie finanzieren Kriminelle und weitere Angriffe

Sofort handeln

1. Systeme isolieren – Netzwerkkabel ziehen, WLAN deaktivieren
2. Nicht herunterfahren – der Arbeitsspeicher kann forensische Hinweise enthalten
3. IT-Dienstleister anrufen – professionelle Hilfe holen
4. Backup prüfen – ist ein sauberes Backup vorhanden?
5. Behörden informieren – Polizei (Cybercrime-Stelle) und Datenschutzbehörde

Checkliste: Ist Ihr Unternehmen geschützt?

• Immutables Backup vorhanden und regelmäßig getestet
• MFA für alle Benutzer und Admin-Accounts aktiviert
• Endpoint-Schutz (EDR) auf allen Geräten
• Netzwerk segmentiert (Server, Clients, Gäste getrennt)
• Alle Systeme auf aktuellem Patch-Stand
• E-Mail-Security konfiguriert (SPF, DKIM, DMARC)
• RDP nicht direkt ins Internet offen
• Incident-Response-Plan dokumentiert
• Mitarbeiter geschult (letzte 12 Monate)
• Backup-Wiederherstellung getestet (letzte 6 Monate)

Wenn Sie bei mehr als 3 Punkten kein Häkchen setzen können, ist Ihr Unternehmen angreifbar.

Unterstützung beim Ransomware-Schutz

Als IT-Dienstleister implementiere ich alle genannten Schutzmaßnahmen für Unternehmen:

• Security-Audit: Schwachstellen in Ihrer aktuellen IT identifizieren
• Backup-Strategie: Immutables Backup nach der 3-2-1-1-Regel einrichten
• MFA-Rollout: Multi-Faktor-Authentifizierung für alle Systeme aktivieren
• Endpoint-Schutz: EDR-Lösung auf allen Geräten ausrollen
• E-Mail-Security: SPF, DKIM, DMARC konfigurieren
• Incident-Response-Plan: Individuellen Notfallplan erstellen

FAQ

Wie viel kostet Ransomware-Schutz für ein KMU?

Die Grundmaßnahmen (MFA, Patch-Management, E-Mail-Security) kosten wenig bis nichts. Professioneller Endpoint-Schutz und Managed Backup liegen bei ca. 5-15€ pro Arbeitsplatz und Monat. Das ist ein Bruchteil dessen, was ein erfolgreicher Angriff kostet.

Schützt eine Cyberversicherung vor den Folgen?

Teilweise. Eine Cyberversicherung deckt finanzielle Schäden ab, aber sie verhindert keinen Angriff. Und: Versicherer prüfen zunehmend die IT-Sicherheitsmaßnahmen. Ohne MFA und aktuelles Backup werden viele Unternehmen gar nicht mehr versichert.

Wie lange dauert die Wiederherstellung nach einem Ransomware-Angriff?

Mit einem guten Backup: Stunden bis wenige Tage. Ohne Backup: Wochen bis Monate – wenn überhaupt. Etwa 60% der KMUs, die einen Ransomware-Angriff ohne Backup erleiden, schließen innerhalb von 6 Monaten.

Kann Ransomware auch Cloud-Daten verschlüsseln?

Ja. Wenn OneDrive- oder SharePoint-Dateien lokal synchronisiert werden, verschlüsselt die Ransomware die lokalen Kopien – und die Verschlüsselung wird in die Cloud synchronisiert. Deshalb brauchen Sie ein separates, vom Sync unabhängiges Backup.