Ein Mittwochmorgen im Juli. Ihr Vertriebsleiter öffnet den Laptop und sieht: nichts. Keine Dateien, keine Präsentationen, keine Kundenlisten. Stattdessen eine Textdatei mit einer Bitcoin-Adresse und einer Forderung über 80.000 Euro. Die Deadline: 72 Stunden.
Das ist Alltag in Deutschland. Das BSI registrierte im Lagebericht 2025 insgesamt 950 Ransomware-Angriffe — und die Dunkelziffer liegt laut Experten zehnmal höher. 80 Prozent dieser Attacken richten sich gegen KMU. Der Grund ist simpel: Kleine Unternehmen haben selten ein dediziertes IT-Sicherheitsteam, aber oft wertvolle Daten.
Dieser Artikel liefert Ihnen acht konkrete Maßnahmen, die Sie sofort umsetzen können. Keine Theorie, keine Buzzwords. Nur das, was tatsächlich schützt.
Ransomware-Gruppen arbeiten wie Unternehmen. Sie kalkulieren Aufwand und Ertrag. Ein Konzern hat Security Operations Center, Incident-Response-Teams und Millionenbudgets. Ein KMU mit 30 Mitarbeitern hat oft nicht einmal eine Firewall der aktuellen Generation.
Laut BSI-Lagebericht 2025 erfüllen KMU im Schnitt nur 56 Prozent der Basisanforderungen an IT-Sicherheit. Das ist, als würden Sie Ihre Haustür nur halb abschließen. Angreifer wissen das — und nutzen es systematisch aus.
Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.
Nils OehmichenDatenschutzberater bei frag.hugoDieses Beispiel zeigt: Selbst gesunder Menschenverstand reicht nicht. Angreifer kompromittieren erst den Geschäftspartner und nutzen dessen echtes E-Mail-Konto, um Sie anzugreifen. Das nennt sich Business Email Compromise — und es funktioniert erschreckend gut.
Die folgende Checkliste basiert auf dem BSI-Maßnahmenkatalog Ransomware und unserer Praxiserfahrung aus der Beratung Hamburger Unternehmen.
Jede einzelne dieser Maßnahmen senkt Ihr Risiko erheblich. Zusammen bilden sie einen Schutzwall, den die meisten automatisierten Ransomware-Angriffe nicht durchbrechen.
Backups sind Ihre Lebensversicherung gegen Ransomware. Aber nur, wenn sie richtig umgesetzt sind. Ein Backup auf einer Netzwerkfreigabe, die permanent verbunden ist? Das wird mitverschlüsselt. Damit ist es wertlos.
Die 3-2-1-Regel ist der Standard, den auch das BSI empfiehlt:
| Regel | Bedeutung | Praxisbeispiel |
|---|---|---|
| 3 Kopien | Drei Kopien Ihrer Daten vorhalten | Original + lokales Backup + Cloud-Backup |
| 2 Medientypen | Zwei unterschiedliche Speichermedien nutzen | NAS im Büro + externe Festplatte oder Cloud |
| 1 externer Standort | Eine Kopie an einem anderen Ort aufbewahren | Cloud-Backup oder Festplatte im Bankschließfach |
Entscheidend: Mindestens eine Backup-Kopie muss offline oder immutable sein. Das bedeutet, sie kann nicht über das Netzwerk erreicht und daher auch nicht verschlüsselt werden. Testen Sie Ihre Backups regelmäßig — ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup.
Wenn der Ernstfall eintritt, zählt Geschwindigkeit. Trennen Sie betroffene Systeme sofort vom Netzwerk. Fahren Sie sie nicht herunter — im Arbeitsspeicher liegen forensische Spuren. Rufen Sie Ihren IT-Dienstleister an und informieren Sie die Geschäftsführung.
Eine detaillierte Schritt-für-Schritt-Anleitung finden Sie in unserem Notfall-Guide: Cyberangriff — Was tun?.
Das BSI rät ausdrücklich davon ab, Lösegeld zu bezahlen. Es gibt keine Garantie, dass Ihre Daten entschlüsselt werden. In vielen Fällen folgt auf die erste Zahlung eine zweite Forderung. Und: Jeder bezahlte Euro finanziert den nächsten Angriff auf ein anderes Unternehmen. Erstatten Sie stattdessen Anzeige bei der Polizei und prüfen Sie auf nomoreransom.org, ob ein kostenloses Entschlüsselungstool existiert.
IT-Sicherheit ist keine Aufgabe der IT-Abteilung allein. Seit NIS2 haften Geschäftsführer persönlich für unzureichende Sicherheitsmaßnahmen. Wer die Basics ignoriert, riskiert nicht nur den Betrieb — sondern auch das eigene Vermögen.
Sie brauchen kein Millionenbudget. Sie brauchen die acht Maßnahmen aus diesem Artikel, konsequent umgesetzt. Starten Sie mit den Backups und der Multi-Faktor-Authentifizierung. Das dauert einen Nachmittag und schließt die zwei größten Lücken.
Weiterführende Artikel: Unser IT-Sicherheitskonzept für KMU zeigt, wie Sie die Maßnahmen in eine Gesamtstrategie einbetten. Der BSI-Grundschutz-Guide für KMU erklärt das offizielle Framework. Und falls Ihre Lieferkette unter NIS2 fällt, lesen Sie unseren Artikel zur NIS2-Lieferketten-Compliance.
Ransomware-Schutz prüfen lassen?
Wir analysieren Ihre IT-Sicherheit und schließen die kritischsten Lücken – bevor es knallt.
Sicherheits-Check anfragen →2023 legte ein Ransomware-Angriff die IT eines norddeutschen Logistikers wochenlang lahm. Die Folge: Lieferketten im Hamburger Hafen gerieten ins Stocken. Solche Vorfälle zeigen, wie vernetzt die Wirtschaft in der Metropolregion ist — und wie schnell ein einzelner Angriff ganze Branchen trifft. Wenn Sie Ihren Ransomware-Schutz auf den Prüfstand stellen wollen, hilft unsere Cybersicherheitsberatung in Hamburg mit einer strukturierten Schwachstellenanalyse.
KMU haben oft geringere IT-Sicherheitsbudgets, keine eigene Security-Abteilung und veraltete Systeme. Angreifer wissen das und zielen gezielt auf kleine Unternehmen, die eher bereit sind, Lösegeld zu zahlen, um schnell wieder arbeitsfähig zu sein.
Halten Sie mindestens 3 Kopien Ihrer Daten auf 2 verschiedenen Medientypen vor, davon 1 Kopie an einem externen Standort (offline oder in der Cloud). So stellen Sie sicher, dass ein Ransomware-Angriff nicht alle Backups gleichzeitig verschlüsselt.
Das BSI und Strafverfolgungsbehörden raten davon ab. Es gibt keine Garantie, dass Sie Ihre Daten zurückbekommen, und die Zahlung finanziert weitere Angriffe. Investieren Sie stattdessen in Prävention und funktionierende Backups.
Die drei wirksamsten Maßnahmen sind: regelmäßige Offline-Backups, zeitnahes Einspielen von Sicherheitsupdates (Patch-Management) und Aktivierung der Zwei-Faktor-Authentifizierung für alle externen Zugänge und E-Mail-Konten.
In der Regel ja. Wenn personenbezogene Daten verschlüsselt oder abgeflossen sind, besteht ein Risiko für Betroffene. Sie müssen die Datenschutz-Aufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO).
Inhaltsverzeichnis
Malware Schutz Unternehmen: Aktuelle Bedrohungen, Schutzmaßnahmen und Notfallplan für KMU. BSI-Empfehlungen praxisnah umgesetzt.
WeiterlesenCyberversicherung für KMU — Kosten, Anforderungen der Versicherer und welche IT-Sicherheit Sie brauchen. Praxisleitfaden für kleine und mittlere Unternehmen.
WeiterlesenNIS2 umsetzen: Der praktische Schritt-für-Schritt-Plan mit Timeline, Maßnahmen und Checkliste – auch für betroffene Hamburger Unternehmen.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens ist seit Dezember 2004 IT-Unternehmer und Geschäftsführer der hagel IT-Services GmbH in Hamburg (35+ Mitarbeitende). Mitgründer der frag.hugo Informationssicherheit GmbH und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
