Sollte man Loesegeld bezahlen?

Behoerden und BSI raten grundsaetzlich von Loesegeldzahlungen ab, da sie weitere Angriffe finanzieren und keine Garantie auf Dateiwiederherstellung bieten. In der Praxis haengt die Entscheidung von der konkreten Situation ab: verfuegbare Backups, Art der verschluesselten Daten und Geschaeftsunterbrechungskosten. Vor jeder Entscheidung sollte rechtlicher Rat eingeholt werden, da Zahlungen an sanktionierte Gruppen strafbar sein koennen.

Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

Ransomware-Prävention für Unternehmen

Q: Muss ein Ransomware-Angriff gemeldet werden?

Das haengt von den betroffenen Daten und der Unternehmensgrösse ab. Wenn personenbezogene Daten betroffen sind, besteht nach Art. 33 DSGVO eine 72-Stunden-Meldepflicht gegenueber der Datenschutzaufsicht. Unternehmen, die unter NIS2 fallen, muessen den Vorfall zusaetzlich innerhalb von 24 Stunden beim BSI melden (Erstmeldung) und innerhalb von 72 Stunden eine vollstaendige Meldung einreichen. Kritische Infrastrukturen haben noch strengere Pflichten.

Q: Was kostet ein Ransomware-Schutzkonzept?

Der Aufwand haengt von der Ausgangssituation und Unternehmensgrösse ab. Wir starten mit einer Schwachstellenanalyse, die zeigt, wo der groesste Handlungsbedarf liegt, und entwickeln darauf aufbauend ein massgeschneidertes Schutzkonzept. Im ersten Gespraech besprechen wir, was Ihre Situation erfordert.

Ransomware ist die teuerste Bedrohung im Cyberraum. Wir helfen Ihnen, Angriffsflächen zu reduzieren, Backups angreiferfest zu machen und im Ernstfall handlungsfähig zu bleiben.

80 %

aller Ransomware-Opfer sind KMU (BSI Bundeslagebild 2025)

420.000 €

durchschnittliche Lösegeldforderung bei Angriffen auf KMU in Deutschland (2024)

72 h

Meldefrist nach DSGVO Art. 33 bei Ransomware-bedingter Datenpanne

Aktuelle Bedrohungslage

KMU im Visier: Ransomware trifft jeden.

Laut BSI Bundeslagebild 2025 sind 80 Prozent aller Ransomware-Opfer kleine und mittlere Unternehmen. Angreifer wählen KMU gezielt, weil dort Schutzmaßnahmen oft lückenhafter sind als in Konzernen. Die durchschnittliche Betriebsunterbrechung liegt bei 21 Tagen. Kosten durch Datenverlust, Wiederherstellung, Reputationsschaden und mögliche Bußgelder übersteigen die Lösegeldforderung meist um ein Vielfaches.

Moderne Ransomware-Gruppen arbeiten arbeitsteilig: Spezialisten für Erstzugang, laterale Bewegung und finale Verschlüsselung. Über 75 Prozent aller Vorfälle kombinieren Verschlüsselung mit Datenexfiltration (Double Extortion). Backups allein schützen nicht mehr.

NIS2-Pflicht

Unter NIS2 müssen betroffene Unternehmen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden beim BSI melden (Erstmeldung) und innerhalb von 72 Stunden einen vollständigen Bericht einreichen. Ransomware-Angriffe auf wichtige oder kritische Einrichtungen lösen diese Pflicht regelmäßig aus.

Auf dieser Seite

Wie Ransomware-Angriffe ablaufen
Was Double Extortion bedeutet und warum Backups allein nicht schützen
Die vier häufigsten Angriffsvektoren
Backup-Konzepte, MFA und technische Schutzmaßnahmen
NIS2- und DSGVO-Meldepflichten im Ernstfall
Was ein vollständiges Schutzkonzept umfasst

Angriffsvektoren

So gelangen Angreifer in Ihr Netzwerk.

Phishing & Social Engineering

Täuschend echte E-Mails verleiten Mitarbeitende zur Eingabe von Zugangsdaten oder zum Öffnen präparierter Anhänge. Über 60 Prozent aller Ransomware-Erstzugänge beginnen so.

Ungepatchte Systeme

Bekannte Schwachstellen in VPN-Gateways, Remote-Desktop-Diensten und Servern werden von Angreifern innerhalb von Stunden nach Veröffentlichung eines Exploits ausgenutzt.

Schwache Zugangsdaten

Brute-Force-Angriffe auf RDP und VPN mit kompromittierten Passwörtern aus Datenlecks sind der dritthäufigste Einstiegsweg. Fehlende MFA macht diese Angriffe trivial.

Kompromittierte Lieferkette

Angreifer infiltrieren vertrauenswürdige Dienstleister oder Software-Updates, um über legitime Kanäle in gut gesicherte Netzwerke zu gelangen.

Bausteine der Prävention

Was ein vollständiges Schutzkonzept umfasst.

Backup-Konzept & Recovery

3-2-1-Backup-Strategie mit Offline-Kopie
Immutable Backups (unveränderlicher Speicher)
Regelmäßige Wiederherstellungstests
Recovery Time Objective (RTO) und RPO definieren

Identität & Zugang absichern

Multi-Faktor-Authentifizierung für alle externen Zugänge
Privileged Access Management (PAM)
Least-Privilege-Prinzip und Rollenkonzepte
Überwachung privilegierter Konten und Anomalieerkennung

Netzwerk & Systeme härten

Netzwerksegmentierung und VLAN-Konzepte
Patchmanagement-Prozess mit Priorisierung
Deaktivierung nicht benötigter Dienste und Ports
EDR/XDR-Einsatz und zentralisiertes Logging

Notfallplanung & Awareness

Ransomware-Notfallplan mit klaren Eskalationswegen
Tabletop-Übungen und Simulationen
Mitarbeiterschulungen und Phishing-Simulationen
Kommunikationsplan für Kunden und Behörden

FAQ

Häufige Fragen zur Ransomware-Prävention.

Verwandte Themen

Wie funktioniert ein Ransomware-Angriff?+

Angreifer verschaffen sich Zugang zum Netzwerk, meistens über Phishing-E-Mails, kompromittierte Zugangsdaten oder ungepatchte Schwachstellen. Sie breiten sich im Netzwerk aus, exfiltrieren Daten und verschlüsseln dann Dateien und Systeme. Moderne Ransomware-Gruppen kombinieren Verschlüsselung mit Datenexfiltration, um doppelten Druck aufzubauen.

Was ist Double Extortion bei Ransomware?+

Bei Double Extortion exfiltrieren Angreifer sensible Daten, bevor sie verschlüsseln. Die Erpressung läuft dann auf zwei Ebenen: Lösegeld für den Entschlüsselungsschlüssel und zweites Lösegeld, damit gestohlene Daten nicht veröffentlicht werden. Selbst wer Daten aus einem Backup wiederherstellt, ist noch erpressbar. Laut BKA Bundeslagebild Cybercrime 2025 sind über 75 Prozent aller Ransomware-Angriffe mittlerweile Double-Extortion-Fälle.

Was ist die 3-2-1-Backup-Regel?+

Die 3-2-1-Regel beschreibt ein bewährtes Backup-Konzept: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie an einem anderen Standort (offsite). Mindestens eine Kopie sollte offline oder in einem unveränderlichen Speicher (Immutable Backup) vorliegen, damit Ransomware sie nicht verschlüsseln kann. Regelmäßige Wiederherstellungstests sind essenziell, da ein Backup, das im Ernstfall nicht funktioniert, keinen Schutz bietet.

Muss ein Ransomware-Angriff gemeldet werden?+

Das hängt von den betroffenen Daten und der Unternehmensgröße ab. Wenn personenbezogene Daten betroffen sind, besteht nach Art. 33 DSGVO eine 72-Stunden-Meldepflicht gegenüber der Datenschutzaufsicht. Unternehmen, die unter NIS2 fallen, müssen den Vorfall zusätzlich innerhalb von 24 Stunden beim BSI melden (Erstmeldung) und innerhalb von 72 Stunden eine vollständige Meldung einreichen.

Sollte man Lösegeld bezahlen?+

Behörden und BSI raten grundsätzlich von Lösegeldzahlungen ab, da sie weitere Angriffe finanzieren und keine Garantie auf Dateiwiederherstellung bieten. Vor jeder Entscheidung sollte rechtlicher Rat eingeholt werden, da Zahlungen an sanktionierte Gruppen strafbar sein können. Entscheidend ist eine vorbeugende Strategie, die Lösegeldzahlungen von vornherein überflüssig macht.

Was kostet ein Ransomware-Schutzkonzept?+

Der Aufwand hängt von der Ausgangssituation und Unternehmensgröße ab. Wir starten mit einer Schwachstellenanalyse, die zeigt, wo der größte Handlungsbedarf liegt, und entwickeln darauf aufbauend ein auf Ihre Situation abgestimmtes Schutzkonzept. Im ersten Gespräch besprechen wir, was Ihre Situation erfordert.

Leistung ISMS aufbauen & betreiben Zur Leistung Leistung ISO 27001 Zertifizierung Zur Leistung Leistung Incident Response Zur Leistung

Ransomware-Schutz im ISMS verankern.

Ein ISMS nach ISO 27001 integriert Backup, MFA und Notfallplanung systematisch und auditfest.

Zum ISMS-Aufbau