Zum Hauptinhalt springen
Uebersicht VersicherungenCyberversicherungBerufshaftpflichtD&O VersicherungKFZ-VersicherungHausratversicherungPrivathaftpflichtWohngebaeudeversicherungRechtsschutzversicherungTierhalterhaftpflichtZahnzusatzversicherung
Uebersicht EnergieStromvergleichGasvergleich
Uebersicht TelekommunikationDSL VergleichHandyvertrag Vergleich
Uebersicht FinanzenRatenkredit Vergleich
Uebersicht RatgeberNIS-2 RichtlinieCyber-Risiken fuer KMURansomware-SchutzCEO-Fraud SchutzCyber-NotfallplanGeschaeftsfuehrer HaftungD&O vs Berufshaftpflicht
Glossar
Cybersecurity

Ransomware-Schutz

Veröffentlicht: Aktualisiert:

Das Wichtigste in Kürze

  • 34% der deutschen Unternehmen von Ransomware betroffen - Schaden: rund 69 Mrd. EUR jaehrlich (Bitkom 2025)
  • Wichtigste Schutzmassnahme: 3-2-1-Backup-Regel plus Immutable Backups (Recovery in einer Woche statt einem Monat)
  • Haeufigster Angriffsweg: Phishing-E-Mails (90% aller Angriffe), zunehmend KI-gestuetzt
  • 74% aller Ransomware-Vorfaelle beinhalten Datendiebstahl vor Verschluesselung (Doppel-Erpressung)
  • Cyberversicherung deckt IT-Forensik, Betriebsunterbrechung und Wiederherstellung

Ein Klick auf den falschen E-Mail-Anhang, und das gesamte Firmennetzwerk steht still. Ransomware verschluesselt Ihre Daten und fordert Loesegeld. Laut Bitkom Wirtschaftsschutz 2025 waren bereits 34% der deutschen Unternehmen betroffen - mit Schaeden von insgesamt rund 69 Milliarden Euro jaehrlich. Hier erfahren Sie, wie Sie sich schuetzen und was im Ernstfall zu tun ist.

Bedrohungslage 2025/2026

  • 34% der deutschen Unternehmen von Ransomware betroffen (2022: nur 12%) (Bitkom 2025)
  • Ransomware verursacht rund 69 Mrd. EUR Schaden jaehrlich (34% der 202,4 Mrd. EUR Cyberschaden)
  • 15% der Betroffenen haben Loesegeld bezahlt - bis zu 500.000 EUR und mehr
  • 74% aller Ransomware-Vorfaelle beinhalten Datendiebstahl (Doppel-Erpressung)

Was ist Ransomware?

Ransomware verschluesselt Ihre Daten und fordert Loesegeld. Der durchschnittliche Schaden fuer KMU betraegt 4,5 Mio. EUR, die mittlere Ausfallzeit 22 Tage. Moderne Varianten stehlen zusaetzlich Daten und drohen mit Veroeffentlichung (Double Extortion).

Ransomware (von "Ransom" = Loesegeld) ist Schadsoftware, die Dateien auf dem Computer oder im Netzwerk verschluesselt. Die Angreifer fordern dann Loesegeld (meist in Kryptowaehrung) fuer den Entschluesselungsschluessel.

Moderne Ransomware-Taktiken

  • Double Extortion: Daten werden vor der Verschluesselung gestohlen. Bei Nicht-Zahlung droht Veroeffentlichung.
  • Triple Extortion: Zusaetzlich werden Kunden oder Partner des Opfers erpresst.
  • Ransomware-as-a-Service (RaaS): Kriminelle "mieten" Ransomware-Tools, was die Angriffe demokratisiert.
  • Gezielte Angriffe: Nicht mehr nur Massen-Angriffe, sondern gezielte Infiltration mit hoeheren Forderungen.

Wie gelangt Ransomware ins Unternehmen?

90% aller Cyberangriffe beginnen mit Phishing-E-Mails - der haeufigste Einstiegspunkt fuer Ransomware. Weitere Wege sind kompromittierte Fernzugaenge (RDP, VPN), ungepatchte Software-Schwachstellen, Drive-by-Downloads und Supply-Chain-Angriffe ueber IT-Dienstleister.

1. Phishing-E-Mails (haeufigster Weg)

Gefaelschte E-Mails mit schaedlichen Anhaengen (Word-Dokumente mit Makros, ZIP-Archive, PDFs) oder Links zu infizierten Websites.

2. Kompromittierte Fernzugaenge

Unsichere Remote Desktop Protocol (RDP)-Server, VPN-Zugaenge mit schwachen Passwoertern oder ohne MFA, Fernwartungstools.

3. Software-Schwachstellen

Ungepatchte Systeme, bekannte Sicherheitsluecken in Software, veraltete Betriebssysteme.

4. Drive-by-Downloads

Besuch infizierter Websites, kompromittierte Werbeanzeigen (Malvertising).

5. Supply-Chain-Angriffe

Infizierte Software-Updates, kompromittierte IT-Dienstleister.

Ransomware in Zahlen: Die Bedrohungslage 2025/2026

Die Bitkom-Studie Wirtschaftsschutz 2025 zeigt: Ransomware hat sich zur groessten Einzelbedrohung fuer deutsche Unternehmen entwickelt. Die Zahlen sind deutlich gestiegen - sowohl bei der Betroffenheit als auch bei den Loesegeldforderungen.

Betroffenheit und Schaden

  • 34% der deutschen Unternehmen waren von Ransomware betroffen - fast dreimal so viele wie 2022 (12%)
  • 15% haben Loesegeld bezahlt, weitere 15% verweigern Angaben zur Zahlung
  • Ransomware verursacht 34% der 202,4 Milliarden Euro Cyberschaden - das entspricht rund 69 Milliarden Euro jaehrlich
  • 87% aller Unternehmen waren von irgendeiner Form von Cyberkriminalitaet betroffen

Loesegeldforderungen im Detail

Die Hoehe der Loesegeldzahlungen variiert erheblich. Laut Bitkom-Daten:

  • 19% der Zahler ueberwiesen 10.000 bis 100.000 EUR
  • 34% zahlten 100.000 bis 500.000 EUR
  • 12% zahlten 500.000 EUR bis 1 Million EUR

International liegt die durchschnittliche Loesegeldzahlung bei rund 1 Million US-Dollar (etwa 867.000 EUR). Weltweit erbeuteten Ransomware-Gruppen 1,1 Milliarden US-Dollar an Loesegeld.

Praeventionsmassnahmen

Die wichtigste Schutzmassnahme ist die 3-2-1-Backup-Regel: 3 Kopien auf 2 Medien, davon 1 offline. Zusaetzlich schuetzen Patch-Management, E-Mail-Security, Multi-Faktor-Authentifizierung und Mitarbeiterschulungen vor 90% der Ransomware-Angriffe.

1. Backup-Strategie (3-2-1-Regel)

Die wichtigste Schutzmassnahme gegen Ransomware sind funktionierende Backups:

  • 3 Kopien Ihrer Daten
  • 2 verschiedene Speichermedien
  • 1 Kopie offline oder offsite

Wichtig

Backups regelmaessig testen! Ein Backup, das sich nicht wiederherstellen laesst, ist wertlos.

Immutable Backups: Die moderne Ergaenzung zur 3-2-1-Regel

Klassische Backups reichen gegen moderne Ransomware oft nicht mehr aus, denn Angreifer verschluesseln gezielt auch Backup-Systeme. Die Loesung: Immutable Backups (unveraenderliche Sicherungen), die nachtraeglich nicht ueberschrieben oder geloescht werden koennen.

  • Schnellere Wiederherstellung: 53% der Organisationen mit Immutable Backups erholen sich innerhalb einer Woche nach einem Ransomware-Angriff
  • Automatisierte Wiederherstellung: Reduziert die Recovery-Zeit von durchschnittlich 31 auf 14 Tage
  • WORM-Speicher (Write Once, Read Many): Daten werden einmal geschrieben und koennen fuer einen definierten Zeitraum nicht veraendert werden
  • Cloud-basierte Immutable Backups: Anbieter wie AWS S3 Object Lock oder Azure Immutable Blob Storage bieten diese Funktion nativ an

Empfehlung: Kombinieren Sie die 3-2-1-Regel mit mindestens einem Immutable Backup. So stellen Sie sicher, dass Ransomware Ihre letzte Verteidigungslinie nicht kompromittieren kann.

2. Patch-Management

  • Betriebssysteme und Software regelmaessig aktualisieren
  • Besonders kritisch: Browser, E-Mail-Client, Office
  • Alte, nicht mehr unterstuetzte Systeme ersetzen

3. E-Mail-Security

  • Spam- und Malware-Filter
  • Schaedliche Anhangstypen blockieren (.exe, .js, .vbs)
  • Links in E-Mails pruefen
  • E-Mail-Authentifizierung (SPF, DKIM, DMARC)

4. Endpoint Protection

  • Moderne Endpoint Detection & Response (EDR)-Loesung
  • Nicht nur signaturbasiert, sondern verhaltensbasiert
  • Zentrale Verwaltung und Monitoring

5. Multi-Faktor-Authentifizierung (MFA)

  • Fuer alle Remote-Zugaenge (VPN, RDP, Cloud)
  • Fuer E-Mail-Konten
  • Fuer Admin-Zugaenge

6. Netzwerksegmentierung

  • Kritische Systeme vom Rest des Netzwerks trennen
  • Ausbreitung von Malware erschweren
  • Backup-Server isolieren

7. Mitarbeiterschulungen

  • Phishing-Erkennung trainieren
  • Sichere Passwort-Praktiken
  • Verdaechtige Aktivitaeten melden
  • Regelmaessige Awareness-Kampagnen

8. Prinzip der geringsten Rechte

  • Benutzer nur mit notwendigen Rechten ausstatten
  • Admin-Konten nur fuer Admin-Aufgaben
  • Regelmaessige Ueberpruefung von Zugriffsrechten

Was tun bei einem Ransomware-Angriff?

Bei Ransomware-Befall: Systeme sofort isolieren (nicht ausschalten!), Netzwerkverbindungen trennen, Notfallkontakte alarmieren und Beweise sichern. Die durchschnittliche Downtime betraegt 22 Tage - schnelles Handeln minimiert den Schaden erheblich.

Sofortmassnahmen

  1. Systeme isolieren: Betroffene Geraete vom Netzwerk trennen (nicht ausschalten!)
  2. Ausbreitung stoppen: Netzwerkverbindungen kappen
  3. Notfallkontakte alarmieren: IT-Team, Geschaeftsfuehrung, Cyberversicherung
  4. Beweise sichern: Screenshots der Loesegeldforderung, Logs sichern
  5. Nicht mit Angreifern verhandeln (zumindest nicht ohne Experten)

Wiederherstellung

  1. Forensische Analyse: Wie kam der Angreifer rein?
  2. Sicherheitsluecken schliessen
  3. Systeme neu aufsetzen (nicht einfach entschluesseln!)
  4. Daten aus Backup wiederherstellen
  5. Passwoerter aendern

Meldepflichten

  • Bei personenbezogenen Daten: DSGVO-Meldung innerhalb von 72 Stunden
  • Bei kritischer Infrastruktur: BSI-Meldung
  • Strafanzeige bei der Polizei (empfohlen)

Beratungsfehler im Rahmen der Vorfallbehandlung koennen zusaetzliche Haftungsansprueche ausloesen. Eine Berufshaftpflichtversicherung schuetzt IT-Dienstleister und Berater vor Vermoegensschaeden, die durch fehlerhafte Beratung oder verzoegerte Reaktion entstehen. Geschaeftsfuehrer, die NIS-2-Pflichten nicht einhalten, haften persoenlich mit ihrem Privatvermoegen. Eine D&O-Versicherung uebernimmt in diesem Fall die Anwalts- und Prozesskosten.

Loesegeld zahlen oder nicht?

Experten und Behoerden raten von Loesegeldzahlungen ab: Keine Garantie fuer Entschluesselung, Finanzierung weiterer Kriminalitaet und erhoehte Wiederholungsgefahr. Bei durchschnittlich 4,5 Mio. EUR Gesamtschaden ist Praevention die bessere Investition.

Diese Frage ist komplex. Grundsaetzlich raten Experten und Behoerden von der Zahlung ab:

  • Keine Garantie, dass Sie den Schluessel bekommen
  • Keine Garantie, dass der Schluessel funktioniert
  • Sie finanzieren weitere Kriminalitaet
  • Sie werden als zahlungswillig bekannt (Wiederholungsgefahr)

Allerdings ist die Realitaet oft komplizierter, besonders wenn keine Backups vorhanden sind und die Unternehmensexistenz auf dem Spiel steht.

Cyberversicherung bei Ransomware

Eine Cyberversicherung deckt bei Ransomware: IT-Forensik, Betriebsunterbrechung (durchschnittlich 22 Tage Ausfall), Krisenmanagement und teilweise Loesegeld. Bei 4,5 Mio. EUR durchschnittlichem Schaden ist die Versicherung oft existenzsichernd.

Eine Cyberversicherung kann bei Ransomware-Angriffen helfen:

  • IT-Forensik: Professionelle Analyse und Wiederherstellung
  • Betriebsunterbrechung: Ersatz fuer entgangene Einnahmen
  • Krisenmanagement: PR, Rechtsberatung
  • Loesegeld: Einige Policen decken Loesegeldzahlungen (umstritten)
  • 24/7-Hotline: Schnelle Hilfe im Notfall

Hinweis: Versicherer erwartet zunehmend angemessene Sicherheitsmassnahmen (MFA, Backups, Patches). Ohne diese kann der Versicherungsschutz eingeschraenkt sein.

Doppel-Erpressung: Das neue Ransomware-Geschaeftsmodell

Klassische Ransomware verschluesselte lediglich Daten. Moderne Angreifer setzen auf Doppel-Erpressung (Double Extortion): Zuerst werden vertrauliche Daten gestohlen, dann werden Systeme gesperrt. Unternehmen stehen damit vor zwei Drohungen gleichzeitig.

Laut einer Analyse von datensicherheit.de beinhalten inzwischen 74% aller Ransomware-Vorfaelle eine Datenexfiltration. Die Angreifer stehlen Kundendaten, Geschaeftsgeheimnisse oder Mitarbeiterdaten, bevor sie die Systeme verschluesseln.

So funktioniert Doppel-Erpressung

  1. Eindringen: Ueber Phishing, kompromittierte Zugaenge oder Schwachstellen
  2. Auskundschaften: Angreifer bewegen sich wochen- oder monatelang unbemerkt im Netzwerk
  3. Daten stehlen: Vertrauliche Informationen werden exfiltriert (Kundendaten, Finanzdaten, geistiges Eigentum)
  4. Verschluesseln: Erst dann werden Systeme gesperrt
  5. Doppelt erpressen: Loesegeld fuer Entschluesselung und dafuer, dass die gestohlenen Daten nicht veroeffentlicht werden

Ransomware-as-a-Service senkt die Einstiegshuerde

Ransomware-as-a-Service (RaaS) hat das Geschaeftsmodell der Cyberkriminalitaet grundlegend veraendert. Kriminelle ohne technisches Know-how koennen fertige Ransomware-Toolkits mieten - inklusive Support und Umsatzbeteiligung. Das Ergebnis: Deutlich mehr Angriffe, auch auf kleinere Unternehmen, die frueher nicht im Fokus standen.

Zusaetzlich nutzen Angreifer zunehmend KI-gestuetztes Phishing als Einstiegsvektor. Die E-Mails sind sprachlich einwandfrei, personalisiert und kaum noch von echten Nachrichten zu unterscheiden - was die Erfolgsquote der Angriffe erhoeht.

Fazit

Vorbeugen ist billiger als reparieren

Bei 34% betroffenen Unternehmen und 69 Milliarden Euro Schaden jaehrlich ist Ransomware-Schutz keine Option, sondern Pflicht. Immutable Backups, MFA, regelmaessige Updates und Mitarbeiterschulungen sind der Grundschutz. Das kostet weniger als ein einziger erfolgreicher Angriff. Und fuer das Restrisiko gibt es die Cyberversicherung fuer KMU, die im Ernstfall IT-Forensik, Wiederherstellung und Betriebsunterbrechung abdeckt.

Wer als Geschaeftsfuehrer NIS-2-pflichtig ist, haftet persoenlich. Eine D&O-Versicherung schuetzt in diesem Fall das Privatvermoegen.

Ransomware ist Schadsoftware, die Ihre Daten verschluesselt und Loesegeld fuer die Entschluesselung fordert. Moderne Varianten stehlen zusaetzlich Daten und drohen mit Veroeffentlichung ("Double Extortion").

Experten und Behoerden raten generell von der Zahlung ab: Es gibt keine Garantie fuer Entschluesselung, es finanziert weitere Kriminalitaet, und Sie werden als zahlungswillig bekannt. Allerdings ist die Entscheidung im Einzelfall kompliziert.

Die haeufigsten Wege sind: Phishing-E-Mails mit schaedlichen Anhaengen oder Links, kompromittierte Fernzugaenge (RDP, VPN), Drive-by-Downloads auf infizierten Websites, und Ausnutzung ungepatchter Schwachstellen.

Eine Cyberversicherung schuetzt nicht vor dem Angriff selbst, aber vor den finanziellen Folgen: Kosten fuer IT-Forensik, Datenwiederherstellung, Betriebsunterbrechung und teilweise auch Loesegeld-Zahlungen.

Drei Kopien Ihrer Daten, auf zwei verschiedenen Medien, davon eine an einem externen Standort (z.B. Cloud oder Bankschliessfach). Mindestens ein Backup muss offline sein, damit Ransomware es nicht mitverschluesseln kann.

Im Durchschnitt 21 Tage, in schweren Faellen mehrere Monate. Die Dauer haengt davon ab, ob brauchbare Backups vorhanden sind, wie schnell die Schadsoftware identifiziert wird und ob IT-Forensiker verfuegbar sind. Eine Cyberversicherung beschleunigt den Prozess durch sofortige Experten-Vermittlung.

Der Gesamtschaden fuer ein KMU liegt durchschnittlich bei 150.000 EUR. Darin enthalten: Betriebsunterbrechung, IT-Forensik, Datenwiederherstellung, Meldepflichten und Reputationsschaden. Das Loesegeld selbst (50.000-150.000 EUR) kommt gegebenenfalls dazu.

Ja, wenn personenbezogene Daten betroffen sind: DSGVO-Meldung an die Aufsichtsbehoerde innerhalb von 72 Stunden. Seit Dezember 2025 gilt zusaetzlich NIS-2: Betroffene Unternehmen muessen innerhalb von 24 Stunden eine Fruehwarnung ans BSI senden.

Fazit

Ransomware bleibt die groesste Cyberbedrohung fuer Unternehmen. Backups, Patch-Management und geschulte Mitarbeiter bilden die Grundlage. Fuer die finanzielle Absicherung gibt es die Cyberversicherung. Wer als Geschaeftsfuehrer persoenlich haftet, sollte auch eine D&O-Versicherung pruefen.

Ransomware-Schutz Checkliste

  • Regelmaessige Offline-Backups (3-2-1-Regel)
  • Backup-Wiederherstellung getestet
  • Alle Systeme und Software aktuell (Patches)
  • MFA fuer alle Remote-Zugaenge aktiviert
  • E-Mail-Security konfiguriert
  • Endpoint Protection (EDR) im Einsatz
  • Mitarbeiter zu Phishing geschult
  • Notfallplan dokumentiert
  • Cyberversicherung abgeschlossen

Cyberversicherung gegen Ransomware

Schuetzen Sie Ihr Unternehmen vor den finanziellen Folgen von Ransomware-Angriffen.

Cyberversicherung vergleichen

Verwandte Themen

Betriebsunterbrechung IT-Ausfall →Cyber-Notfallplan erstellen →Cyber-Risiken fuer KMU →Cyberversicherung fuer KMU →