Ransomware: Was tun, wenn der Betrieb verschlüsselt ist?

Veröffentlicht am 08.07.2026

Der Anruf, den niemand bekommen will

Es ist Montagmorgen, die ersten Mitarbeiter kommen ins Büro und können nicht auf ihre Dateien zugreifen. Auf jedem Rechner erscheint dieselbe Nachricht: Die Daten wurden verschlüsselt, für die Entschlüsselung wird ein Betrag in Kryptowährung gefordert. So oder so ähnlich beginnt ein Ransomware-Angriff.

Was viele kleine Betriebe nicht glauben: Sie sind genauso Ziel solcher Angriffe wie große Konzerne, manchmal sogar attraktiver, weil die Sicherheitsmaßnahmen geringer sind und die Zahlungsbereitschaft oft höher ist, wenn ein kleines Unternehmen an einem Strang zieht und sich keinen wochenlangen Ausfall leisten kann.

Was Ransomware ist und wie sie in einen Betrieb kommt

Ransomware ist eine Art Schadsoftware, die Dateien auf dem befallenen System verschlüsselt und damit unbrauchbar macht. Die Angreifer fordern dann Lösegeld für den Entschlüsselungsschlüssel. Ob man diesen nach Zahlung tatsächlich bekommt, ist nicht garantiert.

Die häufigsten Einfallstore sind:

Phishing-E-Mails mit manipulierten Anhängen oder Links sind nach wie vor der häufigste Weg. Wer auf einen Link klickt oder einen Anhang öffnet, ohne die Quelle zu kennen, kann eine Infektion auslösen, ohne es zu merken.

Ungesicherte Remote-Desktop-Zugänge sind ein weiteres großes Problem. Viele Betriebe haben während der Homeoffice-Phase RDP-Zugänge eingerichtet und diese nie wieder richtig abgesichert. Angreifer scannen das Internet nach solchen offenen Zugängen und probieren automatisiert Passwörter durch.

Veraltete Software mit bekannten Sicherheitslücken wird ebenfalls gezielt ausgenutzt. Wer seine Systeme nicht regelmäßig aktualisiert, lässt Türen offen, für die Angreifer bereits Schlüssel haben.

Was im Ernstfall zu tun ist

Der erste Impuls vieler Betroffener ist: zahlen und hoffen, dass der Spuk damit vorbei ist. Das ist aus mehreren Gründen keine gute Strategie.

Erstens gibt es keine Garantie, dass man den Entschlüsselungsschlüssel tatsächlich bekommt. Zweitens macht man sich als zahlungsbereiter Betrieb bekannt und riskiert Folgeangriffe. Drittens finanziert man damit die Weiterentwicklung von Angriffswerkzeugen.

Was stattdessen hilft: Sobald eine Infektion bemerkt wird, alle betroffenen Systeme vom Netzwerk trennen. Nicht herunterfahren, sondern physisch vom Netzwerk trennen, also Netzwerkkabel ziehen oder WLAN deaktivieren. So verhindert man, dass sich die Schadsoftware auf weitere Systeme im Netzwerk ausbreitet.

Dann: Backups prüfen. Falls regelmäßige, isolierte Backups vorhanden sind, kann man die Systeme zurücksetzen und aus dem Backup wiederherstellen, ohne zahlen zu müssen. Genau hier entscheidet sich, wie teuer ein Angriff wird.

Außerdem: Den Vorfall melden. Je nach Art der betroffenen Daten besteht unter der DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde. Diese Pflicht gilt innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls.

Warum ein Backup allein nicht reicht

Viele Betriebe haben ein Backup. Das Problem: Das Backup liegt oft auf einem Laufwerk, das dauerhaft mit dem Netzwerk verbunden ist. Ransomware verschlüsselt in diesem Fall auch das Backup mit.

Ein funktionierendes Backup für den Ernstfall muss vom aktiven System getrennt sein, idealerweise an einem anderen physischen Ort oder in einem isolierten Cloud-Speicher, auf den die Ransomware keinen direkten Zugriff hat. Und es muss regelmäßig getestet werden, ob eine Wiederherstellung tatsächlich funktioniert.

Was vor einem Angriff schützt

Es gibt keine hundertprozentige Sicherheit. Aber es gibt Maßnahmen, die das Risiko erheblich senken und im Schadensfall die Folgen begrenzen.

Regelmäßige Updates für Betriebssystem und Software schließen bekannte Sicherheitslücken. Das klingt banal, wird aber in vielen Betrieben vernachlässigt, weil Updates Zeit kosten und manchmal Kompatibilitätsprobleme verursachen. Trotzdem: Der Aufwand für ein Update ist kleiner als der Aufwand nach einem Ransomware-Angriff.

Zwei-Faktor-Authentifizierung für alle Zugänge, die von außen erreichbar sind, erhöht die Hürde für Angreifer erheblich. Selbst wenn ein Passwort bekannt ist, kommt man ohne den zweiten Faktor nicht rein.

Mitarbeitersensibilisierung ist ein unterschätzter Faktor. Wer einmal eine echte Phishing-Mail mit Erklärung gesehen hat, erkennt das nächste Mal das Muster schneller. Eine kurze Schulung im Team kostet wenig und hat messbare Wirkung.

Netzwerksegmentierung verhindert, dass ein infiziertes System den gesamten Betrieb lahmlegt. Wenn Produktions- und Bürorechner in getrennten Netzbereichen laufen, bleibt ein Angriff auf einen Bereich begrenzt.

Cyberversicherungen: Sinnvoll, aber kein Ersatz für Prävention

Cyberversicherungen können im Schadensfall helfen, unter anderem bei Kosten für IT-Forensik, Wiederherstellung und eventuellen Betriebsunterbrechungen. Wer eine solche Versicherung abschließen möchte, wird aber feststellen, dass die Versicherer mittlerweile konkrete Sicherheitsanforderungen stellen: aktuelle Systeme, funktionierende Backups, Zugriffsschutz. Wer diese Anforderungen nicht erfüllt, bekommt entweder keinen Vertrag oder muss im Schadensfall mit Kürzungen rechnen.

Die Versicherung ersetzt keine Prävention. Sie ist eine Absicherung für den Fall, dass trotz aller Maßnahmen etwas passiert.

Was wir in der Region erleben

Ransomware-Angriffe auf kleine Betriebe in der Eifel und im Ahrtal sind keine Ausnahmen mehr. Wir haben Betriebe erlebt, die wochenlang nicht arbeitsfähig waren, weil kein funktionierendes Backup vorhanden war. Und wir haben Betriebe erlebt, die innerhalb eines Tages wieder oben waren, weil alles vorbereitet war.

Der Unterschied liegt fast immer nicht an der Technik allein, sondern daran, ob jemand vorab darüber nachgedacht hat, was im Ernstfall zu tun ist. Wer sich nicht sicher ist, wie gut der eigene Betrieb aufgestellt ist, kann das mit uns in einem kurzen Gespräch klären. Mehr zu unserem Angebot: IT-Support und laufende IT-Betreuung.

Jetzt kostenloses Erstgespräch vereinbaren


← Zurück zum Ratgeber

Fragen zu Ihrer IT?

Vereinbaren Sie ein kostenloses Erstgespräch. Wir schauen uns Ihre Situation an und geben eine ehrliche Einschätzung.

Jetzt Termin vereinbaren

Kontakt & Terminbuchung

📍 Auf der Jeich 8, 56769 Retterath
📞 +49 (0) 2657 3999 833
✉️ hallo [at] godigitalize [dot] me

Termin online buchen

Sie haben ein konkretes Anliegen?

📞 Anrufen 📅 Termin buchen

Datenschutzhinweis

Diese Website verwendet Leaflet zur Darstellung interaktiver Karten. Dabei werden Kartenkacheln von OpenStreetMap-Servern geladen, wobei Ihre IP-Adresse an diese übertragen wird. Darüber hinaus wird auf unserer Website ein Sicherheitsdienst (hCaptcha) verwendet, um automatisierte Anfragen und Spam zu verhindern. Dabei können personenbezogene Daten wie Ihre IP-Adresse sowie technische Nutzungsinformationen an den Anbieter übermittelt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Weitere rechtliche Informationen zu unserem Unternehmen finden sie im Impressum.