0345-78282673
KMGIT GmbH
Security

Ransomware-Schutz für KMU: Anatomie eines Angriffs und drei Linien der Verteidigung

Wie Ransomware-Angriffe auf KMU 2026 ablaufen, welche Eintrittsvektoren wir in der Praxis sehen und welche drei Verteidigungslinien wirklich Schutz bieten.

KMGIT Redaktion 6 Min. Lesezeit

Ransomware ist 2026 das mit Abstand häufigste schadenrelevante IT-Sicherheitsereignis im Mittelstand. Das Lagebild des BSI weist seit 2022 jährlich Ransomware als Top-1-Bedrohung für Unternehmen aus — sowohl quantitativ als auch nach Schadenshöhe. Was sich gegenüber den ersten Wellen 2017 (WannaCry, NotPetya) verändert hat: Die Angriffe sind heute zielgerichtet, professionell, mehrstufig und betreffen den Mittelstand mehr als Großunternehmen. Wir haben in den letzten zwei Jahren mehrere Vorfälle in unserem Kundenumfeld in Sachsen-Anhalt begleitet — typischerweise Mittelständler mit 20 bis 100 Mitarbeitern. Was wir dabei sehen, fassen wir hier zusammen.

Wie ein moderner Ransomware-Angriff abläuft

Der naive Angriffsmythos (“ein Mitarbeiter klickt auf einen Link und alles ist verschlüsselt”) trifft heute nicht mehr zu. Ein typischer Angriff 2024–2026 hat folgende Phasen:

Phase 1 — Initial Access (Tag 0 bis 7)

Eintrittsvektoren, die wir in der Praxis sehen, in Häufigkeitsreihenfolge:

  1. Phishing-Mails mit Office-Anhang oder Link auf eine Web-Anmeldemaske, die Zugangsdaten abfängt (auch MFA-fähig durch Reverse-Proxy-Frameworks wie evilginx).
  2. Ungepatchte VPN-Gateways und Firewalls (Fortinet, SonicWall, Citrix — die jeweils aktuellen CVE-Listen sollten monatlich abgeglichen werden).
  3. RDP-Server, direkt aus dem Internet erreichbar — häufig bei kleineren Unternehmen, die einen “Außendienst-Zugang” gebaut haben.
  4. Kompromittierte Drittsoftware (Supply-Chain-Angriffe wie Kaseya 2021, in kleinerem Maßstab auch heute regelmäßig).

In dieser Phase verschlüsselt der Angreifer noch nichts. Er installiert ein Remote-Access-Tool (z.B. Cobalt Strike, AnyDesk, ScreenConnect, eigene Hintertüren) und legt sich schlafen.

Phase 2 — Lateral Movement (Tag 7 bis 30)

Der Angreifer erkundet das Netzwerk. Ziele:

  • Active Directory kompromittieren (Domain Admin).
  • Backup-Systeme identifizieren und Zugriff darauf erlangen.
  • Sensible Daten lokalisieren (Datenbanken, Datei-Server, E-Mail-Postfächer).
  • Persistence sicherstellen — mehrere Hintertüren, damit das Entfernen einer einzelnen nicht reicht.

In dieser Phase werden meist parallel Daten exfiltriert (Double Extortion: Verschlüsselung + Drohung mit Veröffentlichung).

Phase 3 — Detonation (Tag 30 bis 60)

Erst wenn der Angreifer alles vorbereitet hat, wird die Verschlüsselung ausgelöst — typischerweise an einem Wochenende oder Feiertag, um die Reaktionszeit zu maximieren. Wichtig: Die Verschlüsselung läuft heute in der Regel gleichzeitig auf allen erreichbaren Systemen, einschließlich Backups. Wer hier kein offline-isoliertes Backup hat, hat keines.

Erste Verteidigungslinie: Prävention

Prävention ist die billigste, aber selten ausreichende Linie. Was wirklich wirkt:

  • Mail-Filterung mit Sandbox-Detonation (Microsoft Defender for Office 365, Proofpoint, Mimecast). Reine Pattern-basierte Filter erkennen die meisten Phishing-Mails 2026 nicht mehr.
  • MFA durchgängig, mit FIDO2-Hardware-Keys für privilegierte Accounts. Push-MFA reicht nicht (siehe MFA-Bypass via “Prompt Bombing”).
  • Patch-Management mit definierten SLAs: kritische Patches binnen 7 Tagen, hohe binnen 30 Tagen. Mehr in unserem Beitrag zum Monitoring-KPIs.
  • Keine direkten RDP-Zugriffe aus dem Internet. Punkt.
  • Firewall- und VPN-Hardware mit aktivem Support-Vertrag und regelmäßigen Firmware-Updates.
  • Awareness-Training für alle Mitarbeiter, mindestens jährlich — siehe unseren Beitrag zu Phishing-Awareness.

Zweite Verteidigungslinie: Detektion

Wenn die Prävention versagt — und das tut sie irgendwann — entscheidet die Detektion über das Ausmaß. Hier sind die zentralen Werkzeuge:

Endpoint Detection and Response (EDR)

EDR-Systeme protokollieren das Verhalten von Endgeräten und Servern und erkennen Anomalien. Im Gegensatz zu klassischem Virenschutz, der auf Signaturen basiert, identifizieren EDR-Systeme verdächtige Verhaltensmuster — auch von zuvor unbekannter Malware.

Für den deutschen Mittelstand sind 2026 relevante Kategorien:

  • Microsoft Defender for Business / Defender XDR — als Bestandteil von Microsoft 365 Business Premium ohne zusätzliche Lizenz.
  • CrowdStrike Falcon — Premium-Lösung mit ausgeprägtem Threat Hunting.
  • SentinelOne Singularity — vergleichbarer Funktionsumfang, oft günstigere Lizenzen.
  • ESET PROTECT Enterprise — solide europäische Alternative.

Eine konkrete Produktempfehlung lässt sich nur nach Anforderungsanalyse aussprechen. Mehr dazu in unserer Übersicht Antivirenlösungen.

Managed Detection and Response (MDR)

Für KMU ohne eigenes Security-Team ist eine reine EDR-Lizenz wirkungslos — niemand schaut auf die Alarme. Wir empfehlen für Unternehmen ab 20 Mitarbeitern, EDR mit einer MDR-Dienstleistung zu koppeln, die 24/7 auf Alarme reagiert. MDR-Dienstleistungen sind heute auch für kleinere Mittelständler bezahlbar (typischerweise 8–15 € pro Endpoint und Monat).

Logging und SIEM

Alle Aktivitäten an kritischen Systemen — AD, Firewall, E-Mail, VPN — sollten in einem zentralen Log-System landen, das mindestens 90 Tage Rückblick erlaubt. Ohne Logs ist nach einem Vorfall keine Forensik möglich, und die Versicherung zahlt typischerweise nicht.

Dritte Verteidigungslinie: Wiederherstellung

Wenn der Angreifer erfolgreich verschlüsselt hat, ist die einzige Versicherung ein funktionierendes, vor dem Angreifer geschütztes Backup. Die wichtigsten Prinzipien:

  • 3-2-1-Regel: drei Kopien, zwei Medien, eine offsite. Details in unserem Beitrag zur Backup-Strategie.
  • Air-Gap oder Immutability für mindestens eine Backup-Kopie. Ein Backup, das vom selben AD-Account gelöscht werden kann wie die Produktivdaten, ist im Ransomware-Szenario wertlos.
  • Regelmäßige Restore-Tests — mindestens monatlich für kritische Systeme. Wir sehen in der Praxis regelmäßig Backups, die zwar laufen, aber sich nicht wiederherstellen lassen.
  • RTO/RPO-Vorgaben schriftlich fixiert: Recovery Time Objective und Recovery Point Objective bestimmen, wie viel Daten- und Zeitverlust akzeptabel ist.

Was im Ernstfall zu tun ist

Wenn der Verdacht auf einen aktiven Angriff besteht — verdächtige Aktivität in Logs, neue Konten im AD, ungewöhnliche Datei-Aktivität:

  1. Nicht den Strom abschalten — der Arbeitsspeicher enthält forensisch wertvolle Informationen.
  2. Netzwerk-Isolation des betroffenen Systems (Netzwerkkabel ziehen, WLAN deaktivieren).
  3. Backup-Systeme physisch trennen — verhindert die Mit-Verschlüsselung.
  4. Externe Spezialisten einschalten — eigene IT ist im Vorfall typischerweise überfordert. Wir bieten in solchen Fällen Notfall-Beratung auch außerhalb der Geschäftszeiten an, siehe Fernzugriff.
  5. Strafanzeige bei der Zentralen Ansprechstelle Cybercrime des LKA Sachsen-Anhalt (ZAC).
  6. Datenschutz-Meldung nach Art. 33 DSGVO innerhalb von 72 Stunden, wenn personenbezogene Daten betroffen sind.

Was Sie NICHT tun sollten

  • Lösegeld zahlen: kein verlässlicher Wiederherstellungs-Garant, finanziert das Geschäftsmodell der Angreifer und ist in einigen Konstellationen strafrechtlich problematisch.
  • System neu installieren, bevor Forensik gemacht ist: zerstört Spuren und macht die Ursachenanalyse unmöglich.
  • Aus alten Backups ohne Sicherheitscheck wieder herstellen: die Hintertür ist oft Wochen vor der Detonation installiert worden und in alten Backups enthalten.
  • Den Vorfall verschweigen: führt zu Bußgeldern (DSGVO), zur Verweigerung von Versicherungsleistungen und zu Folgekosten in zweistelliger Höhe.

Versicherungsschutz 2026

Cyber-Versicherungen sind 2026 deutlich teurer und restriktiver als 2020. Die meisten Versicherer verlangen heute als Mindestvoraussetzung:

  • MFA für alle externen Zugänge.
  • EDR mit MDR-Anbindung.
  • Backup-Air-Gap mit nachweisbaren Restore-Tests.
  • Patch-Management mit dokumentierten SLAs.
  • Awareness-Schulungen mit Teilnahmenachweis.

Ohne diese Maßnahmen ist eine Police entweder nicht erhältlich oder mit Selbstbehalten von 50.000 € und mehr versehen. Die gute Nachricht: Wer diese Anforderungen erfüllt, hat die wesentlichen Risiken bereits abgesichert.

Beratung anfragen

Wir konzipieren Ransomware-Schutz-Strategien regelmäßig für KMU in Sachsen-Anhalt und im Großraum Leipzig — von der Risikoanalyse über die Werkzeugauswahl bis zur Notfallübung. Sprechen Sie uns an, wenn Sie Ihren aktuellen Schutzstand prüfen oder ein konkretes Verteidigungskonzept ausarbeiten möchten.

#Ransomware #Security #EDR #Backup

Weiter lesen

Weiterführende Artikel

Security

DSGVO-Audit in sieben Schritten: Self-Check-Liste für mittelständische Unternehmen

Wie ein DSGVO-Audit im KMU konkret abläuft — Verarbeitungsverzeichnis, TOM, AV-Verträge, Löschkonzept und eine Self-Check-Liste zum Mitnehmen.

Artikel lesen Security

Phishing-Awareness im Mittelstand: Was 2026 wirklich gegen KI-Phishing hilft

KI-Phishing, MFA-Bypass via Reverse-Proxy und OAuth-Phishing — wie ein Mittelständler ein wirksames Awareness-Konzept aufbaut, was nach Klick zu tun ist.

Artikel lesen Security

Backup-Strategie 3-2-1 in der Praxis: Konkrete Umsetzung für eine 8-Plätze-Kanzlei

Wie die 3-2-1-Backup-Regel in einer kleinen Steuerkanzlei konkret aussieht — NAS, Cloud-Backup, Offline-Quartalsbackup, RPO/RTO und Restore-Tests.

Artikel lesen

Sie haben Fragen?

Persönliche Beratung statt Hotline-Wartemusik.

Rufen Sie uns an oder schreiben Sie kurz — wir melden uns innerhalb eines Arbeitstages mit einer konkreten Einschätzung.

Seit 2008 im Saalekreis · DATEV-erprobt · §203-AVV-Standard.

Beratung anfragen Antivirenlösungen & Security

Können wir Ihnen helfen?

Der IT-Dienstleister für Steuerberater

Anrufen Kontakt