Zum Hauptinhalt springen
Cybersecurity

Ransomware Schutz fuer Unternehmen

Veröffentlicht: Aktualisiert:

Das Wichtigste in Kürze

  • 34% der deutschen Unternehmen von Ransomware betroffen - Schaden: rund 69 Mrd. EUR jaehrlich (Bitkom 2025)
  • Wichtigste Schutzmassnahme: 3-2-1-Backup-Regel plus Immutable Backups (Recovery in einer Woche statt einem Monat)
  • Haeufigster Angriffsweg: Phishing-E-Mails (90% aller Angriffe), zunehmend KI-gestuetzt
  • 74% aller Ransomware-Vorfaelle beinhalten Datendiebstahl vor Verschluesselung (Doppel-Erpressung)
  • Cyberversicherung deckt IT-Forensik, Betriebsunterbrechung und Wiederherstellung

Ransomware Schutz fuer Unternehmen beruht auf drei Saeulen: getestete Offline-Backups nach der 3-2-1-Regel, Multi-Faktor-Authentifizierung an allen Zugaengen und ein Notfallplan, der im Ernstfall sofort greift. Laut Bitkom Wirtschaftsschutz 2025 waren 34 Prozent der deutschen Unternehmen von Ransomware betroffen. Der jaehrliche Schaden liegt bei rund 69 Milliarden Euro. Dieser Ratgeber erklaert, woran Sie einen Befall erkennen, welche BSI-Massnahmen wirken und was Sie im Notfall tun.

Bedrohungslage 2025/2026

  • 34% der deutschen Unternehmen von Ransomware betroffen (2022: nur 12%) (Bitkom 2025)
  • Ransomware verursacht rund 69 Mrd. EUR Schaden jaehrlich (34% der 202,4 Mrd. EUR Cyberschaden)
  • 15% der Betroffenen haben Loesegeld bezahlt - bis zu 500.000 EUR und mehr
  • 74% aller Ransomware-Vorfaelle beinhalten Datendiebstahl (Doppel-Erpressung)

Was ist Ransomware?

Ransomware (Erpressungssoftware, die Daten verschluesselt und Loesegeld fordert) legt das Firmennetzwerk lahm und macht Dateien unbrauchbar. Die mittlere Ausfallzeit liegt bei rund 22 Tagen. Moderne Varianten stehlen die Daten zusaetzlich, bevor sie verschluesseln, und drohen mit deren Veroeffentlichung (Double Extortion, also doppelte Erpressung).

Ransomware (von "Ransom" = Loesegeld) ist Schadsoftware, die Dateien auf dem Computer oder im Netzwerk verschluesselt. Die Angreifer fordern dann Loesegeld (meist in Kryptowaehrung) fuer den Entschluesselungsschluessel.

Moderne Ransomware-Taktiken

  • Double Extortion: Daten werden vor der Verschluesselung gestohlen. Bei Nicht-Zahlung droht Veroeffentlichung.
  • Triple Extortion: Zusaetzlich werden Kunden oder Partner des Opfers erpresst.
  • Ransomware-as-a-Service (RaaS): Kriminelle "mieten" Ransomware-Tools, was die Angriffe demokratisiert.
  • Gezielte Angriffe: Nicht mehr nur Massen-Angriffe, sondern gezielte Infiltration mit hoeheren Forderungen.

Wie gelangt Ransomware ins Unternehmen?

90% aller Cyberangriffe beginnen mit Phishing-E-Mails - der haeufigste Einstiegspunkt fuer Ransomware. Weitere Wege sind kompromittierte Fernzugaenge (RDP, VPN), ungepatchte Software-Schwachstellen, Drive-by-Downloads und Supply-Chain-Angriffe ueber IT-Dienstleister.

1. Phishing-E-Mails (haeufigster Weg)

Gefaelschte E-Mails mit schaedlichen Anhaengen (Word-Dokumente mit Makros, ZIP-Archive, PDFs) oder Links zu infizierten Websites.

2. Kompromittierte Fernzugaenge

Unsichere Remote Desktop Protocol (RDP)-Server, VPN-Zugaenge mit schwachen Passwoertern oder ohne MFA, Fernwartungstools.

3. Software-Schwachstellen

Ungepatchte Systeme, bekannte Sicherheitsluecken in Software, veraltete Betriebssysteme.

4. Drive-by-Downloads

Besuch infizierter Websites, kompromittierte Werbeanzeigen (Malvertising).

5. Supply-Chain-Angriffe

Infizierte Software-Updates, kompromittierte IT-Dienstleister.

Ransomware erkennen: Anzeichen eines aktiven Angriffs

Sie erkennen Ransomware an verschluesselten Dateien mit fremden Endungen (etwa .locked oder .crypt), an einer Loesegeld-Notiz auf dem Desktop und an ploetzlich nicht mehr oeffnenbaren Dokumenten. Oft warnen schon Stunden vorher leise Vorboten: ungewoehnlich hohe CPU-Last, deaktivierte Antiviren-Software und neue Admin-Konten.

Je frueher Sie diese Signale bemerken, desto eher koennen Sie betroffene Systeme isolieren und die Verschluesselung stoppen. Auf folgende Punkte sollten IT-Verantwortliche achten:

  • Dateinamen oder Dateiendungen aendern sich massenhaft und lassen sich nicht mehr oeffnen.
  • Eine Textdatei oder ein Sperrbildschirm fordert Loesegeld, meist in Bitcoin, oft mit Countdown.
  • Backup-Jobs schlagen fehl oder Sicherungsdateien verschwinden, weil Angreifer zuerst die Backups angreifen.
  • Sicherheitssoftware wurde ohne Erklaerung abgeschaltet oder gibt Manipulationswarnungen aus.
  • Im Netzwerk tauchen unbekannte Tools, neue Benutzerkonten oder auffaellige Datenuebertragungen ins Internet auf.

Bestaetigt sich der Verdacht, gilt die Reihenfolge aus dem Abschnitt Was tun bei einem Ransomware-Angriff: isolieren, Ausbreitung stoppen, Beweise sichern. Eine ausfuehrliche Anleitung fuer den Krisenfall finden Sie im Cyber-Notfallplan-Ratgeber.

Ransomware in Zahlen: Die Bedrohungslage 2025/2026

Die Bitkom-Studie Wirtschaftsschutz 2025 zeigt: Ransomware hat sich zur groessten Einzelbedrohung fuer deutsche Unternehmen entwickelt. Die Zahlen sind deutlich gestiegen - sowohl bei der Betroffenheit als auch bei den Loesegeldforderungen.

Betroffenheit und Schaden

  • 34% der deutschen Unternehmen waren von Ransomware betroffen - fast dreimal so viele wie 2022 (12%)
  • 15% haben Loesegeld bezahlt, weitere 15% verweigern Angaben zur Zahlung
  • Ransomware verursacht 34% der 202,4 Milliarden Euro Cyberschaden - das entspricht rund 69 Milliarden Euro jaehrlich
  • 87% aller Unternehmen waren von irgendeiner Form von Cyberkriminalitaet betroffen

Loesegeldforderungen im Detail

Die Hoehe der Loesegeldzahlungen variiert erheblich. Laut Bitkom-Daten:

  • 19% der Zahler ueberwiesen 10.000 bis 100.000 EUR
  • 34% zahlten 100.000 bis 500.000 EUR
  • 12% zahlten 500.000 EUR bis 1 Million EUR

International liegt die durchschnittliche Loesegeldzahlung bei rund 1 Million US-Dollar (etwa 867.000 EUR). Weltweit erbeuteten Ransomware-Gruppen 1,1 Milliarden US-Dollar an Loesegeld.

Praeventionsmassnahmen gegen Ransomware

Die wichtigste Schutzmassnahme ist die 3-2-1-Backup-Regel: 3 Kopien auf 2 Medien, davon 1 offline. Hinzu kommen Patch-Management, E-Mail-Security, Multi-Faktor-Authentifizierung und Mitarbeiterschulungen. Diese Bausteine decken sich mit den Empfehlungen aus den Top-10-Ransomware-Massnahmen des BSI (Bundesamt fuer Sicherheit in der Informationstechnik).

1. Backup-Strategie (3-2-1-Regel)

Die wichtigste Schutzmassnahme gegen Ransomware sind funktionierende Backups:

  • 3 Kopien Ihrer Daten
  • 2 verschiedene Speichermedien
  • 1 Kopie offline oder offsite

Wichtig

Backups regelmaessig testen! Ein Backup, das sich nicht wiederherstellen laesst, ist wertlos.

Immutable Backups: Die moderne Ergaenzung zur 3-2-1-Regel

Klassische Backups reichen gegen moderne Ransomware oft nicht mehr aus, denn Angreifer verschluesseln gezielt auch Backup-Systeme. Die Loesung: Immutable Backups (unveraenderliche Sicherungen), die nachtraeglich nicht ueberschrieben oder geloescht werden koennen.

  • Schnellere Wiederherstellung: 53% der Organisationen mit Immutable Backups erholen sich innerhalb einer Woche nach einem Ransomware-Angriff
  • Automatisierte Wiederherstellung: Reduziert die Recovery-Zeit von durchschnittlich 31 auf 14 Tage
  • WORM-Speicher (Write Once, Read Many): Daten werden einmal geschrieben und koennen fuer einen definierten Zeitraum nicht veraendert werden
  • Cloud-basierte Immutable Backups: Anbieter wie AWS S3 Object Lock oder Azure Immutable Blob Storage bieten diese Funktion nativ an

Empfehlung: Kombinieren Sie die 3-2-1-Regel mit mindestens einem Immutable Backup. So stellen Sie sicher, dass Ransomware Ihre letzte Verteidigungslinie nicht kompromittieren kann.

2. Patch-Management

  • Betriebssysteme und Software regelmaessig aktualisieren
  • Besonders kritisch: Browser, E-Mail-Client, Office
  • Alte, nicht mehr unterstuetzte Systeme ersetzen

3. E-Mail-Security

  • Spam- und Malware-Filter
  • Schaedliche Anhangstypen blockieren (.exe, .js, .vbs)
  • Links in E-Mails pruefen
  • E-Mail-Authentifizierung (SPF, DKIM, DMARC)

4. Endpoint Protection

  • Moderne Endpoint Detection & Response (EDR)-Loesung
  • Nicht nur signaturbasiert, sondern verhaltensbasiert
  • Zentrale Verwaltung und Monitoring

5. Multi-Faktor-Authentifizierung (MFA)

  • Fuer alle Remote-Zugaenge (VPN, RDP, Cloud)
  • Fuer E-Mail-Konten
  • Fuer Admin-Zugaenge

6. Netzwerksegmentierung

  • Kritische Systeme vom Rest des Netzwerks trennen
  • Ausbreitung von Malware erschweren
  • Backup-Server isolieren

7. Mitarbeiterschulungen

  • Phishing-Erkennung trainieren
  • Sichere Passwort-Praktiken
  • Verdaechtige Aktivitaeten melden
  • Regelmaessige Awareness-Kampagnen

8. Prinzip der geringsten Rechte

  • Benutzer nur mit notwendigen Rechten ausstatten
  • Admin-Konten nur fuer Admin-Aufgaben
  • Regelmaessige Ueberpruefung von Zugriffsrechten

Schutzmassnahmen im Ueberblick: Aufwand und Wirkung

Welche Massnahme lohnt sich zuerst? Die folgende Tabelle ordnet die wichtigsten Bausteine nach ungefaehrem Aufwand fuer ein KMU und nach ihrer Wirkung gegen Ransomware ein. Die Kostenangaben sind Richtwerte und haengen stark von Unternehmensgroesse und IT-Umgebung ab.

MerkmalAufwand (Richtwert)Wirkung gegen Ransomware
Immutable Offline-Backups (3-2-1)Gering bis mittelSehr hoch: ermoeglicht Wiederherstellung ohne Loesegeld
Multi-Faktor-Authentifizierung (MFA)GeringHoch: stoppt die meisten kompromittierten Zugaenge
Patch- und Update-ManagementMittelHoch: schliesst bekannte Einfallstore
Endpoint Detection & Response (EDR)Mittel bis hochHoch: erkennt verdaechtiges Verhalten frueh
Mitarbeiterschulung gegen PhishingGeringMittel bis hoch: senkt die Klickrate auf schaedliche Mails
CyberversicherungLaufender BeitragDeckt finanzielle Folgen, ersetzt keine Praevention

Was tun bei einem Ransomware-Angriff?

Bei Ransomware-Befall isolieren Sie betroffene Systeme sofort, ohne sie auszuschalten. Trennen Sie die Netzwerkverbindungen, alarmieren Sie Ihre Notfallkontakte und sichern Sie Beweise. Die mittlere Ausfallzeit liegt bei rund 22 Tagen. Wer in den ersten Stunden richtig handelt, begrenzt den Schaden deutlich.

Sofortmassnahmen

  1. Systeme isolieren: Betroffene Geraete vom Netzwerk trennen (nicht ausschalten!)
  2. Ausbreitung stoppen: Netzwerkverbindungen kappen
  3. Notfallkontakte alarmieren: IT-Team, Geschaeftsfuehrung, Cyberversicherung
  4. Beweise sichern: Screenshots der Loesegeldforderung, Logs sichern
  5. Nicht mit Angreifern verhandeln (zumindest nicht ohne Experten)

Wiederherstellung

  1. Forensische Analyse: Wie kam der Angreifer rein?
  2. Sicherheitsluecken schliessen
  3. Systeme neu aufsetzen (nicht einfach entschluesseln!)
  4. Daten aus Backup wiederherstellen
  5. Passwoerter aendern

Meldepflichten bei Ransomware: NIS-2 und DSGVO

Nach einem Ransomware-Vorfall laufen mehrere Fristen parallel. Seit der Umsetzung der NIS-2-Richtlinie greifen fuer betroffene Unternehmen kurze Meldefenster ans BSI. Werden personenbezogene Daten abgegriffen, kommt die DSGVO-Meldepflicht hinzu.

  • 24 Stunden (NIS-2): Fruehwarnung ans BSI, sobald ein meldepflichtiger Sicherheitsvorfall erkannt wird.
  • 72 Stunden (NIS-2): ausfuehrlichere Meldung mit erster Bewertung des Vorfalls.
  • 72 Stunden (DSGVO, Art. 33): Meldung an die zustaendige Datenschutz-Aufsichtsbehoerde bei betroffenen personenbezogenen Daten.
  • Empfohlen: Strafanzeige bei der Polizei beziehungsweise der Zentralen Ansprechstelle Cybercrime (ZAC).

Welche Unternehmen unter NIS-2 fallen und welche Pflichten daraus folgen, erklaert unser Ratgeber zur NIS-2-Richtlinie.

Beratungsfehler im Rahmen der Vorfallbehandlung koennen zusaetzliche Haftungsansprueche ausloesen. Eine Berufshaftpflichtversicherung schuetzt IT-Dienstleister und Berater vor Vermoegensschaeden, die durch fehlerhafte Beratung oder verzoegerte Reaktion entstehen. Geschaeftsfuehrer, die NIS-2-Pflichten nicht einhalten, haften persoenlich mit ihrem Privatvermoegen. Eine D&O-Versicherung uebernimmt in diesem Fall die Anwalts- und Prozesskosten.

Loesegeld zahlen oder nicht?

Das BSI und Strafverfolgungsbehoerden raten von Loesegeldzahlungen ab. Es gibt keine Garantie auf einen funktionierenden Entschluesselungsschluessel, jede Zahlung finanziert weitere Angriffe, und gezahlt habende Unternehmen gelten als lohnendes Wiederholungsziel. Praevention ist die guenstigere Investition.

Die Entscheidung faellt im Ernstfall trotzdem schwer. Gegen eine Zahlung sprechen mehrere Punkte:

  • Keine Garantie, dass Sie den Schluessel bekommen
  • Keine Garantie, dass der Schluessel funktioniert
  • Sie finanzieren weitere Kriminalitaet
  • Sie werden als zahlungswillig bekannt (Wiederholungsgefahr)

Allerdings ist die Realitaet oft komplizierter, besonders wenn keine Backups vorhanden sind und die Unternehmensexistenz auf dem Spiel steht.

Cyberversicherung bei Ransomware

Eine Cyberversicherung deckt bei Ransomware die IT-Forensik, die Betriebsunterbrechung waehrend der rund 22 Tage Ausfall, das Krisenmanagement und teilweise auch Loesegeldzahlungen. Sie ersetzt keine Schutzmassnahme, faengt im Schadensfall aber die finanziellen Folgen ab.

Eine Cyberversicherung kann bei Ransomware-Angriffen helfen:

  • IT-Forensik: Professionelle Analyse und Wiederherstellung
  • Betriebsunterbrechung: Ersatz fuer entgangene Einnahmen
  • Krisenmanagement: PR, Rechtsberatung
  • Loesegeld: Einige Policen decken Loesegeldzahlungen (umstritten)
  • 24/7-Hotline: Schnelle Hilfe im Notfall

Hinweis: Versicherer erwartet zunehmend angemessene Sicherheitsmassnahmen (MFA, Backups, Patches). Ohne diese kann der Versicherungsschutz eingeschraenkt sein.

Doppel-Erpressung: Das neue Ransomware-Geschaeftsmodell

Klassische Ransomware verschluesselte lediglich Daten. Moderne Angreifer setzen auf Doppel-Erpressung (Double Extortion): Zuerst werden vertrauliche Daten gestohlen, dann werden Systeme gesperrt. Unternehmen stehen damit vor zwei Drohungen gleichzeitig.

Laut einer Analyse von datensicherheit.de beinhalten inzwischen 74% aller Ransomware-Vorfaelle eine Datenexfiltration. Die Angreifer stehlen Kundendaten, Geschaeftsgeheimnisse oder Mitarbeiterdaten, bevor sie die Systeme verschluesseln.

So funktioniert Doppel-Erpressung

  1. Eindringen: Ueber Phishing, kompromittierte Zugaenge oder Schwachstellen
  2. Auskundschaften: Angreifer bewegen sich wochen- oder monatelang unbemerkt im Netzwerk
  3. Daten stehlen: Vertrauliche Informationen werden exfiltriert (Kundendaten, Finanzdaten, geistiges Eigentum)
  4. Verschluesseln: Erst dann werden Systeme gesperrt
  5. Doppelt erpressen: Loesegeld fuer Entschluesselung und dafuer, dass die gestohlenen Daten nicht veroeffentlicht werden

Ransomware-as-a-Service senkt die Einstiegshuerde

Ransomware-as-a-Service (RaaS) hat das Geschaeftsmodell der Cyberkriminalitaet grundlegend veraendert. Kriminelle ohne technisches Know-how koennen fertige Ransomware-Toolkits mieten - inklusive Support und Umsatzbeteiligung. Das Ergebnis: Deutlich mehr Angriffe, auch auf kleinere Unternehmen, die frueher nicht im Fokus standen.

Zusaetzlich nutzen Angreifer zunehmend KI-gestuetztes Phishing als Einstiegsvektor. Die E-Mails sind sprachlich einwandfrei, personalisiert und kaum noch von echten Nachrichten zu unterscheiden - was die Erfolgsquote der Angriffe erhoeht.

Fazit: Ransomware Schutz ist Pflicht, kein Kann

Vorbeugen ist billiger als reparieren

34 Prozent der deutschen Unternehmen sind betroffen, der jaehrliche Schaden liegt bei rund 69 Milliarden Euro (Bitkom 2025). Immutable Backups, MFA, regelmaessige Updates und geschulte Mitarbeiter bilden den Grundschutz und kosten weniger als ein einziger erfolgreicher Angriff. Fuer das Restrisiko bleibt die Cyberversicherung fuer KMU, die im Ernstfall IT-Forensik, Wiederherstellung und Betriebsunterbrechung abdeckt. Wer Versicherer und Leistungen gegenueberstellen will, findet die Grundlagen im Cyberversicherungs-Ratgeber.

Wer als Geschaeftsfuehrer NIS-2-pflichtig ist, haftet persoenlich. Eine D&O-Versicherung schuetzt in diesem Fall das Privatvermoegen. Berater und IT-Dienstleister sichern sich ergaenzend ueber die Berufshaftpflichtversicherung ab.

Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Beratung durch einen zugelassenen Versicherungsvermittler oder -berater.

Ransomware ist Schadsoftware, die Ihre Daten verschluesselt und Loesegeld fuer die Entschluesselung fordert. Moderne Varianten stehlen zusaetzlich Daten und drohen mit Veroeffentlichung ("Double Extortion").

Experten und Behoerden raten generell von der Zahlung ab: Es gibt keine Garantie fuer Entschluesselung, es finanziert weitere Kriminalitaet, und Sie werden als zahlungswillig bekannt. Allerdings ist die Entscheidung im Einzelfall kompliziert.

Die haeufigsten Wege sind: Phishing-E-Mails mit schaedlichen Anhaengen oder Links, kompromittierte Fernzugaenge (RDP, VPN), Drive-by-Downloads auf infizierten Websites, und Ausnutzung ungepatchter Schwachstellen.

Eine Cyberversicherung schuetzt nicht vor dem Angriff selbst, aber vor den finanziellen Folgen: Kosten fuer IT-Forensik, Datenwiederherstellung, Betriebsunterbrechung und teilweise auch Loesegeld-Zahlungen.

Drei Kopien Ihrer Daten, auf zwei verschiedenen Medien, davon eine an einem externen Standort (z.B. Cloud oder Bankschliessfach). Mindestens ein Backup muss offline sein, damit Ransomware es nicht mitverschluesseln kann.

Im Durchschnitt 21 Tage, in schweren Faellen mehrere Monate. Die Dauer haengt davon ab, ob brauchbare Backups vorhanden sind, wie schnell die Schadsoftware identifiziert wird und ob IT-Forensiker verfuegbar sind. Eine Cyberversicherung beschleunigt den Prozess durch sofortige Experten-Vermittlung.

Der Gesamtschaden fuer ein KMU liegt durchschnittlich bei 150.000 EUR. Darin enthalten: Betriebsunterbrechung, IT-Forensik, Datenwiederherstellung, Meldepflichten und Reputationsschaden. Das Loesegeld selbst (50.000-150.000 EUR) kommt gegebenenfalls dazu.

Ja, wenn personenbezogene Daten betroffen sind: DSGVO-Meldung an die Aufsichtsbehoerde innerhalb von 72 Stunden. Seit Dezember 2025 gilt zusaetzlich NIS-2: Betroffene Unternehmen muessen innerhalb von 24 Stunden eine Fruehwarnung ans BSI senden.

Ransomware-Schutz Checkliste

  • Regelmaessige Offline-Backups (3-2-1-Regel)
  • Backup-Wiederherstellung getestet
  • Alle Systeme und Software aktuell (Patches)
  • MFA fuer alle Remote-Zugaenge aktiviert
  • E-Mail-Security konfiguriert
  • Endpoint Protection (EDR) im Einsatz
  • Mitarbeiter zu Phishing geschult
  • Notfallplan dokumentiert
  • Cyberversicherung abgeschlossen

Cyberversicherung gegen Ransomware

Schuetzen Sie Ihr Unternehmen vor den finanziellen Folgen von Ransomware-Angriffen.

Cyberversicherung vergleichen