Inhabergeführt aus Fahrdorf bei Schleswig
info@dekom.it04635 – 40 30003

Ransomware-Schutz für KMU:
So überlebt Ihr Unternehmen einen Angriff.

Ransomware ist die teuerste Cyberbedrohung für kleine und mittlere Unternehmen. Dieser Ratgeber erklärt, wie moderne Erpressungssoftware funktioniert, welche Präventionsmaßnahmen wirklich helfen und was Sie im Ernstfall Schritt für Schritt tun müssen.

Backup-Lösung anfragen 04635 – 40 30003
Ø 23 Tage
Ausfall nach Ransomware
3-2-1
Backup-Regel, die rettet
<30 Min
Reaktion im Ernstfall
15+
Jahre IT-Praxis, DEKOM.IT
3-2-1-Backup-Strategie
Immutable Backups
Notfallplan & schnelle Reaktion
Praxiserprobte Maßnahmen
Ratgeber Ransomware & Backup

Wie Ransomware wirklich funktioniert

Ransomware ist Erpressungssoftware. Sie verschlüsselt alle erreichbaren Dateien auf infizierten Systemen und zeigt dann eine Lösegeldforderung an: Zahlen Sie in Kryptowährung, um den Schlüssel zur Entschlüsselung zu erhalten. In der Theorie klingt das nach einem handfesten Deal – in der Praxis ist er für die betroffenen Unternehmen oft fatal.

Was viele unterschätzen: Moderne Ransomware-Angriffe sind keine spontanen Aktionen. Sie folgen einem ausgeklügelten Ablauf, der in vielen Fällen Wochen vor der eigentlichen Verschlüsselung beginnt.

Phase 1: Eindringen und Festsetzen

Der Angriff beginnt meist unauffällig – eine Phishing-Mail, eine Sicherheitslücke in einem veralteten System oder kompromittierte Zugangsdaten. Die Schadsoftware verschafft sich zunächst Zugang zu einem einzigen System. Von dort aus breitet sie sich geduldig im Netzwerk aus, sucht nach weiteren Zugangsdaten und wertvollen Systemen.

Phase 2: Aufklärung und Vorbereitung

In dieser Phase – die oft Tage oder Wochen dauern kann – kartiert die Malware das Netzwerk. Sie sucht Backups, Netzlaufwerke, Cloud-Verbindungen und Domänencontroller. Ziel: alles erfassen, was später verschlüsselt werden soll. Gleichzeitig werden Backups, soweit erreichbar, gelöscht oder korrumpiert.

Das ist der Grund, warum ein Backup, das dauerhaft ins Netzwerk eingebunden ist, keinen ausreichenden Schutz bietet. Eine NAS-Freigabe im Windows Explorer oder ein dauerhaft gemountetes Cloud-Laufwerk ist für Ransomware genauso erreichbar wie eine lokale Festplatte.

Phase 3: Auslösung und Erpressung

Wenn alles vorbereitet ist, wird die Verschlüsselung ausgelöst – oft nachts oder am Wochenende, um die Reaktionszeit zu minimieren. Innerhalb von Minuten bis Stunden sind alle betroffenen Systeme unbrauchbar. Die Lösegeldforderung erscheint auf dem Bildschirm oder in einem Textdokument in jedem betroffenen Verzeichnis.

Moderne Ransomware-Gruppen betreiben zudem eine „doppelte Erpressung": Sie exfiltrieren vor der Verschlüsselung vertrauliche Daten und drohen zusätzlich mit deren Veröffentlichung, falls das Lösegeld nicht gezahlt wird. Für Branchen mit sensiblen Daten – Ärzte, Anwälte, Steuerberater – ist das eine besonders ernste Bedrohung.

Warum KMU besonders gefährdet sind

Die Antwort liegt nicht in der Böswilligkeit der Angreifer gegenüber kleinen Betrieben, sondern im Kalkül. Ransomware-Gruppen operieren heute wie Unternehmen: mit Marktanalyse, Erfolgskennzahlen und optimierten Prozessen. Kleine Unternehmen bieten dabei mehrere Vorteile für Angreifer:

  • Geringere Investitionen in Sicherheitsmaßnahmen als Konzerne
  • Keine dedizierten Sicherheitsteams, die Angriffe frühzeitig erkennen
  • Höhere Bereitschaft, schnell zu zahlen – weil ein längerer Ausfall existenzbedrohend ist
  • Oft veraltete Systeme mit bekannten, nicht gepatchten Schwachstellen
  • Viele KMU sind Teil von Lieferketten und bieten damit Zugänge zu größeren Zielen

Wer tiefer ins Thema einsteigen möchte, findet in unserem Ratgeber Cyberangriffe auf KMU eine umfassende Übersicht aller relevanten Bedrohungsszenarien.

Das 3-2-1-Backup als wichtigstes Sicherheitsnetz

Selbst wenn alle Präventionsmaßnahmen versagen – ein funktionsfähiges Backup nach der 3-2-1-Regel ist das letzte und wirkungsvollste Sicherheitsnetz gegen Ransomware. Es macht den Unterschied zwischen einer kontrollierten Wiederherstellung in Stunden und einem wochenlangen Ausfall mit ungewissem Ausgang.

Die 3-2-1-Regel erklärt

  • 3 Kopien Ihrer Daten: die Originaldaten plus zwei unabhängige Backups
  • 2 verschiedene Medientypen: z. B. lokale Festplatte/NAS und Cloud-Backup
  • 1 Kopie außerhalb des Standorts: damit ein Brand, Wasserschaden oder physischer Diebstahl nicht alle Backups trifft

Für maximalen Schutz vor Ransomware gibt es eine Erweiterung: 3-2-1-1-0. Das erste zusätzliche „1" steht für mindestens eine Offline-Kopie (air-gapped), die nicht dauerhaft ans Netzwerk angebunden ist. Die „0" steht für null Fehler beim Restore-Test: Jedes Backup wird regelmäßig auf seine Wiederherstellbarkeit geprüft.

Details zu den technischen Varianten und der Auswahl des richtigen Systems finden Sie in unserem Ratgeber Die 3-2-1-Backup-Regel einfach erklärt.

Immutable Backups: Warum sie entscheidend sind

Ein Immutable Backup kann in einem definierten Zeitfenster weder verändert noch gelöscht werden – auch nicht von einem Administrator-Account im Unternehmen. Das macht es für Ransomware unangreifbar, selbst wenn die Angreifer Admin-Rechte im Netzwerk erlangt haben.

Immutable Backups sind heute in professionellen Backup-Lösungen verfügbar und sollten für jede ernsthafte Datensicherungsstrategie zum Standard gehören. DEKOM.IT richtet entsprechende Lösungen im Rahmen unseres Backup & Recovery-Angebots ein.

Key Facts: Ransomware und Backups

  • Ransomware schläft oft Wochen im Netzwerk, bevor sie zuschlägt
  • Dauerhaft eingebundene Netzlaufwerke und Cloud-Speicher sind mitgefährdet
  • Ohne funktionsfähiges Backup: durchschnittlich 3+ Wochen Ausfall
  • 3-2-1-Regel: 3 Kopien, 2 Medien, 1 Standort außerhalb
  • Immutable Backups sind für Ransomware nicht manipulierbar
  • Backups müssen regelmäßig auf Wiederherstellbarkeit getestet werden

Prävention: Was Sie konkret tun können

Ransomware-Schutz ist mehrschichtig. Kein einzelnes Werkzeug schützt vollständig – aber die Kombination der folgenden Maßnahmen macht einen erfolgreichen Angriff deutlich unwahrscheinlicher:

Regelmäßige Updates und Patch-Management

Viele Ransomware-Angriffe nutzen bekannte Schwachstellen in veralteter Software. Betriebssysteme, Anwendungen, VPN-Zugänge, Netzwerkgeräte-Firmware: All das muss zeitnah und konsequent aktualisiert werden. Im Rahmen von Managed Services übernehmen wir das Patch-Management automatisiert und dokumentiert – so entstehen keine Lücken durch vergessene Updates.

Mehr-Faktor-Authentifizierung für alle privilegierten Konten

Kompromittierte Zugangsdaten sind einer der häufigsten Einfallswege. MFA für Administrator-Konten, VPN-Zugänge und Remote-Desktop-Verbindungen verhindert, dass gestohlene Passwörter direkt zum Systemzugang führen.

Netzwerksegmentierung

Wenn alle Systeme im selben flachen Netzwerk hängen, kann sich Ransomware nach dem ersten Eindringen ungehindert ausbreiten. Netzwerksegmentierung – die logische Trennung verschiedener Systembereiche durch VLANs und Firewall-Regeln – begrenzt den potenziellen Schaden erheblich. Ein infizierter Arbeitsplatz-PC sollte keinen direkten Zugang zu Produktivservern oder Backup-Systemen haben.

Endpoint Detection & Response (EDR)

Moderne EDR-Lösungen erkennen verdächtiges Verhalten von Prozessen und schlagen Alarm, noch bevor eine vollständige Verschlüsselung stattfinden kann. Sie sind deutlich wirkungsvoller als klassischer Virenschutz, der nur bekannte Schadsoftware-Signaturen erkennt.

E-Mail-Sicherheit und Mitarbeiterschulungen

Weil die meisten Ransomware-Infektionen über Phishing-Mails starten, ist E-Mail-Sicherheit eine direkte Präventionsmaßnahme. Professionelle E-Mail-Filter, sichere Konfiguration von Microsoft 365 und regelmäßige Schulungen zum Erkennen von Phishing senken das Eintragsrisiko erheblich.

Der Notfallplan: Was tun im Angriffsfall?

Ein Notfallplan ist kein Dokument für die Schublade – er muss bekannt sein, bevor es brennt. Hier ist der grundsätzliche Ablauf, den jeder Betrieb vorab definieren und kommunizieren sollte:

Sofortmaßnahmen in den ersten Minuten

  1. Systeme isolieren: Betroffene Rechner sofort vom Netzwerk trennen – Netzwerkkabel raus, WLAN deaktivieren. Kein Ausschalten, da forensische Spuren im RAM verloren gehen können.
  2. Ausbreitung stoppen: Wenn möglich, Netzwerksegmente oder den gesamten Internetzugang temporär sperren, bis das Ausmaß bekannt ist.
  3. IT-Notdienst alarmieren: Sofortiger Anruf beim IT-Dienstleister. Im Raum Schleswig-Holstein erreichen Sie den IT-Notdienst von DEKOM.IT unter 04635 – 40 30003 – wir reagieren per Fernwartung in unter 30 Minuten.
  4. Nicht zahlen: Keine Lösegeldzahlungen, bevor nicht alle Recovery-Optionen geprüft wurden. Zahlung garantiert keine Entschlüsselung und finanziert weitere Angriffe.

Analyse und Eindämmung

Nach der Erstreaktion beginnt die forensische Analyse: Welche Systeme sind betroffen, welcher Schaden ist entstanden, wie ist die Schadsoftware ins Netzwerk gelangt? Diese Arbeit sollte von einem erfahrenen IT-Dienstleister begleitet werden. Gleichzeitig werden alle sauberen Backups gesichert und auf Integrität geprüft.

Wiederherstellung aus dem Backup

Wenn ein funktionsfähiges Immutable Backup vorhanden ist, beginnt die kontrollierte Wiederherstellung. Priorisiert werden dabei die systemkritischen Dienste: Kommunikation, Buchhaltung, aktuelle Aufträge. Der Recovery Time Objective (RTO) – also die Zeit, bis Systeme wieder produktiv nutzbar sind – hängt direkt davon ab, wie gut das Backup-System geplant und getestet wurde.

Meldepflichten nicht vergessen

Wenn bei dem Angriff personenbezogene Daten betroffen sind, besteht nach DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden nach Kenntnisnahme. Darüber hinaus ist eine Strafanzeige empfehlenswert – Ransomware-Angriffe sind Straftaten, und die Strafverfolgungsbehörden können in manchen Fällen Entschlüsselungstools bereitstellen.

Häufige Fragen zu Ransomware

Behörden und Sicherheitsexperten raten davon ab. Es gibt keine Garantie, dass die Angreifer einen funktionsfähigen Schlüssel liefern. Die Zahlung finanziert weitere Angriffe und macht Ihr Unternehmen als zahlungswillig bekannt. Vorrang hat immer: Systeme sichern, Backup nutzen, Strafverfolgung informieren.
Ohne funktionsfähiges Backup können Wochen vergehen – teils sind Daten unwiederbringlich verloren. Mit einem aktuellen, getesteten Backup nach der 3-2-1-Regel lässt sich die Recovery-Zeit erheblich verkürzen. Entscheidend sind der vorab definierte Recovery Time Objective (RTO) und Recovery Point Objective (RPO).
Nicht automatisch. Wenn Cloud-Speicher dauerhaft ins Netzwerk eingebunden ist, kann Ransomware auch diesen verschlüsseln. Wirksamer Schutz erfordert ein Immutable Backup: eine Datensicherung, die im Backup-Zeitfenster nicht verändert oder gelöscht werden kann. Zusätzlich sollte mindestens eine Kopie offline oder air-gapped aufbewahrt werden.

Weiterführende Ratgeber

Ist Ihr Backup wirklich ransomware-sicher?

Viele Unternehmen glauben, ein Backup zu haben – aber im Ernstfall stellt sich heraus, dass es nicht getrennt vom Netzwerk liegt, nie auf Wiederherstellbarkeit getestet wurde oder Ransomware mitgefasst hat. DEKOM.IT überprüft Ihre Backup-Situation und richtet eine wirklich sichere Datensicherung nach der 3-2-1-Regel ein – für Unternehmen im Raum Schleswig, Flensburg, Rendsburg und ganz Schleswig-Holstein.

Mehr zu unserem Leistungsangebot: Backup & Recovery · IT-Notdienst
Jetzt Backup-Check anfragen →

Jetzt absichern

Backup-Check & Ransomware-Schutz für Ihr Unternehmen

Wir prüfen, ob Ihre Datensicherung wirklich ransomware-sicher ist – und richten bei Bedarf ein lückenloses 3-2-1-Backup ein.

So erreichen Sie uns

  • Backup-Check kostenlos & unverbindlich
  • Im Notfall: Reaktion <30 Min. per Fernwartung
  • 100 % regional aus Schleswig-Holstein
Kostenlos & unverbindlich. Antwort innerhalb von 24 Stunden.
Passend dazu

Leistungen & weiterführende Ratgeber

LeistungBackup & RecoveryGetestete Datensicherung nach der 3-2-1-Regel. LeistungIT-NotdienstAkut-Hilfe bei Ransomware-Angriffen. RatgeberDie 3-2-1-Backup-RegelTechnisch erklärt – einfach verständlich. RatgeberCyberangriffe auf KMUAlle Bedrohungen im Überblick. LeistungFirewall-LösungenAngriffe blockieren, bevor sie ankommen. LeistungManaged ServicesRundum-Betreuung inkl. Patch-Management.
Ransomware-sicher? Jetzt Backup-Check anfragen.
Anrufen Check anfragen