Ransomware – Schutz, Erkennung, Abwehr: Ihr Leitfaden

Bedrohlicher Totenkopf über einer Nachricht aus Zeitungsausschnitten: "We Hacked Your Computer PAY!". Ein klares Zeichen für Malware und Ransomware.

Geschrieben von

Thilo Arndt

Veröffentlicht am

18. Juni 2026

Inhaltsverzeichnis

Ransomware gehört zu den unangenehmsten Formen von Malware, weil sie nicht nur Dateien verschlüsselt, sondern oft ganze Abläufe stoppt und zusätzlich mit gestohlenen Daten Druck aufbaut. Für Unternehmen in Deutschland ist das längst kein Randthema mehr: Entscheidend ist, zu verstehen, wie solche Angriffe starten, woran man sie erkennt und welche Maßnahmen in der Praxis wirklich helfen. Genau darauf konzentriert sich dieser Artikel, ohne Umwege und ohne Sicherheitsfloskeln.

Die wichtigsten Punkte auf einen Blick

  • Ransomware verschlüsselt Daten oder erpresst mit gestohlenen Informationen, oft beides gleichzeitig.
  • Die häufigsten Einstiegswege sind Phishing, gestohlene Zugangsdaten, unsichere Fernzugänge und ungepatchte Systeme.
  • Backups helfen nur dann wirklich, wenn sie offline oder unveränderbar sind und regelmäßig getestet werden.
  • MFA, Rechteminimierung, Segmentierung und sauberes Patch-Management senken das Risiko deutlich.
  • Im Ernstfall zählen die ersten 60 Minuten: isolieren, Zugangsdaten sperren, Beweise sichern, Meldewege prüfen.
  • Reine Antivirus-Strategien reichen nicht mehr, nötig ist ein Zusammenspiel aus Technik, Prozessen und Schulung.

Was Ransomware von anderer Schadsoftware unterscheidet

Ich trenne Ransomware bewusst von „normaler“ Schadsoftware, weil das Ziel ein anderes ist. Ein Trojaner kann Daten stehlen, ein Wurm kann sich verbreiten, Spyware kann überwachen, aber Ransomware zielt in erster Linie auf Erpressung. Das passiert entweder durch Verschlüsselung von Dateien, durch Blockieren von Systemen oder durch die Drohung, sensible Daten öffentlich zu machen.

Damit ist Ransomware heute mehr als nur „Dateien werden unbrauchbar“. In vielen Fällen beginnt der eigentliche Schaden schon vorher, wenn Angreifer sich im Netzwerk bewegen, Daten abziehen und erst später den sichtbaren Sperrbildschirm oder die Lösegeldforderung ausrollen. ENISA beschreibt diesen Trend nicht ohne Grund als mehrstufige Erpressung, bei der die Täter mehrere Druckmittel gleichzeitig einsetzen.

Verschlüsselung ist nur der sichtbare Teil

Die Verschlüsselung ist oft das, was Mitarbeitende zuerst sehen. Aus Sicht der Angreifer ist sie aber nur ein Baustein. Vorher werden Rechte erweitert, Systeme ausgespäht, Sicherheitskontrollen umgangen und Sicherungen gezielt sabotiert. Genau deshalb ist die Frage „Wie kam die Schadsoftware hinein?“ meistens wichtiger als die Frage „Welcher Dateiname stand am Ende auf dem Desktop?“

Doppelte Erpressung hat sich durchgesetzt

Heute reicht es vielen Gruppen nicht mehr, Daten nur zu sperren. Sie kopieren zusätzlich Informationen ab und drohen mit Veröffentlichung oder Verkauf. Das erhöht den Druck erheblich, vor allem bei Unternehmen mit Kundendaten, Konstruktionsplänen, Personalakten oder vertraulichen Verträgen. Für mich ist das der Punkt, an dem aus einem reinen IT-Vorfall schnell ein operatives und rechtliches Problem wird.

Damit ist klar, was der Begriff technisch meint. Spannender ist die Frage, wie die Angreifer überhaupt in reale Umgebungen hineinkommen und dort so viel Schaden anrichten können.

Schutz vor Ransomware: Firewall, Backups, Netzwerksegmentierung, Mitarbeiterschulung, Whitelisting, Sicherheitstests, Passwortsicherheit und Software-Updates sind entscheidend gegen Malware.

So läuft ein Angriff typischerweise ab

Die meisten Vorfälle beginnen nicht mit einem spektakulären Exploit, sondern mit einem langweiligen Einstieg. Ich sehe immer wieder dieselben Muster: Phishing-Mails mit gefälschten Anhängen, gekaufte oder gestohlene Zugangsdaten, unsichere VPN- oder RDP-Zugänge und ungepatchte Internetdienste. Gerade in gewachsenen Umgebungen kommt noch ein zweites Problem dazu, nämlich zu weit gefasste Rechte und schlecht getrennte Netzwerksegmente.

Ein typischer Angriff folgt dann meist einer klaren Kette:

  • Erstzugang über E-Mail, Remotezugriff oder eine Schwachstelle in einem extern erreichbaren System.
  • Aufbau von Persistenz, damit der Zugang auch nach einem Neustart erhalten bleibt.
  • Ausbreitung im Netzwerk, häufig mit gültigen Konten statt mit lauten Exploits.
  • Auslesen sensibler Daten und Ermittlung der wertvollsten Systeme.
  • Deaktivieren oder Umgehen von Sicherheitswerkzeugen, Backups und Protokollierung.
  • Gleichzeitige Verschlüsselung, Erpressung und oft auch Datenabfluss.

Warum Zugangsdaten oft schlimmer sind als ein Exploit

Ein gestohlenes Passwort ist für einen Angreifer oft mehr wert als ein technischer Trick. Mit gültigen Anmeldedaten wirkt die Aktivität zunächst legitim, das macht die Erkennung schwerer. Dazu kommt, dass viele Unternehmen Fernzugänge zwar technisch abgesichert haben, aber nicht sauber begrenzen, welche Systeme darüber erreichbar sind. Genau an dieser Stelle entfaltet Ransomware ihre größte Wirkung.

Lesen Sie auch: Zero-Knowledge-Verfahren: Sicherheit ohne Geheimnisse?

Was „Living off the land“ praktisch bedeutet

Viele Gruppen nutzen Werkzeuge, die ohnehin im System vorhanden sind, etwa PowerShell, Remote-Management-Funktionen oder Standard-Administrationswerkzeuge. Das ist unbequem, weil solche Befehle nicht automatisch verdächtig wirken. Ich halte diesen Punkt für zentral: Nicht jede moderne Ransomware fällt durch außergewöhnlichen Code auf, sondern durch ungewöhnliche Nutzung ganz normaler Werkzeuge.

Wenn man diese Kette verstanden hat, ist die nächste Frage logisch: Woran erkennt man den Angriff, bevor alles verschlüsselt ist?

Woran ich einen laufenden Angriff erkenne

Ransomware kündigt sich selten durch ein einziges Warnsignal an. In der Praxis ist es eher eine Summe kleiner Auffälligkeiten. Einzelne Hinweise wirken harmlos, in Kombination sind sie oft eindeutig. Das gilt besonders bei human-operated Ransomware, also Angriffen, bei denen Menschen den Angriff aktiv steuern und nicht nur ein automatisches Schadprogramm laufen lassen.

  • plötzlich sehr viele Dateiänderungen oder Dateiumbenennungen in kurzer Zeit
  • ungewöhnliche CPU-, RAM- oder Datenträgerlast auf mehreren Systemen gleichzeitig
  • Fehler bei Backups, Snapshot-Löschungen oder deaktivierte Sicherungsjobs
  • neue Admin-Anmeldungen zu ungewöhnlichen Zeiten oder von ungewohnten Standorten
  • gesperrte Konten, Passwortspray-Versuche oder auffällige MFA-Anfragen
  • deaktivierte Sicherheitsdienste, gelöschte Logs oder veränderte Richtlinien
  • auffällige PowerShell-, Skript- oder Remote-Tool-Aktivität

Ich rate Teams immer, nicht erst auf die Verschlüsselung zu warten. Wenn mehrere dieser Signale zusammen auftreten, ist das schon ein Vorfall, auch wenn noch niemand auf dem Bildschirm eine Lösegeldforderung sieht.

Genau an dieser Stelle entscheidet sich, ob ein Angriff früh eingedämmt wird oder sich im ganzen Netz festsetzt. Deshalb sind die nächsten Maßnahmen wichtiger als jede spätere Analyse.

Welche Schutzmaßnahmen wirklich den Unterschied machen

Die gute Nachricht ist: Es gibt keine Wunderlösung, aber es gibt eine sehr klare Priorität. Die BSI-Empfehlungen laufen im Kern auf dieselben Hebel hinaus, die ich auch in Projekten zuerst anpacke: Identitäten absichern, Systeme härten, Backups schützen und die Ausbreitung begrenzen. Alles andere ist ergänzend, nicht ersetzend.

Maßnahme Warum sie zählt Typischer Fehler
MFA für alle kritischen Zugänge Ein gestohlenes Passwort reicht dann nicht mehr aus. Ausnahmen für Admin-, VPN- oder Cloud-Konten.
Offline- oder unveränderbare Backups Die 3-2-1-Regel reduziert das Risiko, dass auch Sicherungen verschlüsselt werden. Backups liegen im selben Netz und mit denselben Rechten wie die Produktivsysteme.
Patch-Management für exponierte Systeme VPN, Remotezugänge, Webserver und Gateways sind häufige Einstiegspunkte. Updates werden gesammelt statt nach Risiko priorisiert.
Rechteminimierung und Segmentierung Der Angreifer kann sich nicht so leicht lateral bewegen. Zu viele lokale Adminrechte und zu flache Netze.
EDR, Logging und Alarmierung Verdächtige Aktivitäten werden früher sichtbar. Logs werden zu kurz aufbewahrt oder nicht regelmäßig ausgewertet.
Mail- und Webfilter mit klaren Regeln Phishing und bösartige Downloads werden an der Quelle reduziert. Filter sind vorhanden, aber organisatorisch nie nachgeschärft.

Wenn ich priorisieren muss, gehe ich fast immer in dieser Reihenfolge vor: erst exponierte Systeme, dann Identitäten, dann Backups, danach Rechte und Segmentierung. Der Grund ist einfach: Die besten Backups helfen wenig, wenn ein Angreifer über dieselben Adminrechte auch die Sicherung löschen kann.

Besonders wirksam ist ein realistischer Wiederherstellungstest. Ich meine nicht eine theoretische Häkchenübung, sondern die echte Rücksicherung kritischer Daten und, wenn möglich, ganzer Systeme. Wer nur Backups erzeugt, aber nie zurückspielt, betreibt Hoffnung, keine Resilienz. Und genau diese Differenz merkt man im Ernstfall sofort.

Was in den ersten 60 Minuten zählt

Wenn Ransomware aktiv ist, geht es zuerst um Begrenzung, nicht um Perfektion. Die ersten 60 Minuten sind dafür meist entscheidender als die nächsten 60 Tage. Ich würde in dieser Phase nicht diskutieren, ob der Vorfall wirklich groß genug ist, sondern sofort die Ausbreitung stoppen und den Überblick zurückholen.

  1. Betroffene Systeme vom Netz trennen, ohne blind alles abzuschalten.
  2. Komprimittierte Konten sperren und Tokens, Sitzungen oder Passwörter zurücksetzen.
  3. Logs, Speicherabbilder und andere Beweise sichern, bevor sie überschrieben werden.
  4. Backups prüfen und den sauberen Wiederherstellungspfad festlegen.
  5. Management, IT, Legal, Datenschutz und gegebenenfalls externe Forensik zusammenziehen.
  6. Meldepflichten und externe Kontaktwege prüfen, statt erst am nächsten Tag zu reagieren.

Für Deutschland ist wichtig: Das BSI bietet ein Meldeportal für Sicherheitsvorfälle, und je nach Sektor können Meldepflichten greifen. Ich würde deshalb immer parallel klären, ob der Vorfall nur intern behandelt wird oder ob er offiziell gemeldet werden muss. Wer hier Zeit verliert, verliert oft auch Beweise und Reaktionsfreiheit.

Ein Punkt, den ich klar halte: Eine Lösegeldzahlung ist keine Wiederherstellungsstrategie. Sie kann im Einzelfall Teil einer Krisenentscheidung sein, aber sie ersetzt weder saubere Forensik noch belastbare Backups noch einen funktionierenden Recovery-Prozess.

Nach der Erstreaktion kommt die unbequemste Frage überhaupt, nämlich warum manche Umgebungen trotz Backups und Tools trotzdem schwer getroffen werden.

Warum Backups allein nicht reichen

Viele Teams beruhigen sich zu früh mit dem Satz: „Wir haben ja ein Backup.“ In der Praxis ist das nur dann ein echter Schutz, wenn mehrere Bedingungen erfüllt sind. Die Sicherung muss getrennt, geschützt, getestet und schnell genug rückspielbar sein. Sonst ist sie im Angriffsfall nur ein weiterer Datensatz, den die Täter beschädigen.

Die häufigsten Fehler sehe ich immer wieder in derselben Reihenfolge:

  • Backups sind online erreichbar und mit denselben Rechten verwaltbar wie die Produktivsysteme.
  • Wiederherstellungen wurden seit Monaten oder Jahren nicht mehr vollständig getestet.
  • Die Organisation kennt nur Datei-Backups, aber keine Wiederherstellung ganzer Identitäts- oder Verzeichnisdienste.
  • Domänenadmin-Konten und Backup-Administratoren sind zu eng miteinander verknüpft.
  • Cloud-Dienste, SaaS und lokale Infrastruktur werden getrennt betrachtet, obwohl der Angriff sie gemeinsam trifft.

Ich halte besonders den letzten Punkt für gefährlich. Viele Angriffe enden heute nicht mehr an der Netzwerkgrenze, sondern dort, wo Identitäten, Cloud-Zugänge und lokale Server zusammenlaufen. Wer nur auf den klassischen Serverraum schaut, übersieht oft den eigentlichen Schadenpfad.

Deshalb ist es klüger, Sicherung, Identität und Segmentierung als ein gemeinsames Schutzsystem zu denken. Das führt direkt zur Frage, was ich für die nächsten Monate besonders ernst nehme.

Was ich für die nächsten Angriffe besonders im Blick behalte

Der Trend geht nicht zurück, sondern wird professioneller. Gruppen arbeiten arbeitsteilig, kaufen Zugänge ein, nutzen legitime Werkzeuge und setzen stärker auf Mehrfacherpressung. Für 2026 ist für mich vor allem relevant, dass die Angreifer weniger auffällig und gleichzeitig besser organisiert sind.

  • Identity-first-Schutz wird wichtiger als der reine Perimeterschutz.
  • Cloud- und SaaS-Konten brauchen dieselbe Disziplin wie lokale Administratoren.
  • Immutable Backups und getestete Restore-Prozesse sind kein Luxus mehr.
  • Tabletop-Übungen sollten mindestens halbjährlich durchgespielt werden, nicht nur einmal im Jahr.
  • Angriffsflächen-Management gehört fest in den Betrieb, vor allem bei extern erreichbaren Diensten.

Wenn ich den wichtigsten Satz aus diesem Thema herausziehen müsste, dann diesen: Ransomware ist kein reines IT-Problem, sondern ein Resilienztest für Identitäten, Prozesse und Wiederherstellung. Wer diese drei Ebenen sauber aufstellt, reduziert das Risiko nicht auf null, aber er verkürzt den Schaden massiv und bleibt handlungsfähig, wenn andere schon aus dem Netz gedrängt sind.

Häufig gestellte Fragen

Ransomware ist eine spezielle Art von Malware, die darauf abzielt, Daten zu verschlüsseln oder Systeme zu blockieren, um Lösegeld zu erpressen. Oft werden zusätzlich gestohlene Daten zur Drohung genutzt. Im Gegensatz zu anderer Malware liegt der Fokus hier klar auf der Erpressung und der Störung von Geschäftsabläufen.

Die häufigsten Wege sind Phishing-E-Mails, gestohlene Zugangsdaten, unsichere Fernzugriffspunkte (wie RDP oder VPN) und ungepatchte Schwachstellen in Systemen. Angreifer nutzen oft auch "Living off the land"-Techniken, indem sie legitime Systemwerkzeuge missbrauchen.

Die wirksamsten Maßnahmen umfassen Multi-Faktor-Authentifizierung (MFA) für alle kritischen Zugänge, offline oder unveränderbare Backups, konsequentes Patch-Management, Rechteminimierung und Netzwerksegmentierung. Eine Kombination dieser Strategien bietet den besten Schutz.

Sofortiges Handeln ist entscheidend: Betroffene Systeme isolieren, kompromittierte Konten sperren und Passwörter zurücksetzen. Logs und Beweise sichern, Backups prüfen und einen Wiederherstellungspfad festlegen. Management und relevante Abteilungen informieren und Meldepflichten prüfen.

Backups sind nur dann wirksam, wenn sie offline, unveränderbar und regelmäßig getestet werden. Sind Backups online erreichbar oder mit denselben Rechten wie Produktivsysteme verwaltbar, können Angreifer diese ebenfalls verschlüsseln oder löschen. Ein Wiederherstellungstest ist unerlässlich.

Artikel bewerten

Bewertung: 0.00 Stimmenanzahl: 0

Tags:

malware ransomware ransomware schutzmaßnahmen ransomware angriff erkennen ransomware prävention ransomware backup strategie

Beitrag teilen

Thilo Arndt

Thilo Arndt

Mein Name ist Thilo Arndt und ich bringe 10 Jahre Erfahrung in den Bereichen IT-Infrastruktur, Web-Technologien und Sicherheit mit. Mein Interesse an diesen Themen begann bereits in meiner Jugend, als ich die Funktionsweise von Computern und Netzwerken erkunden wollte. Diese Neugier hat sich zu einer Leidenschaft entwickelt, die mich dazu motiviert, komplexe technische Konzepte verständlich zu machen und aktuelle Trends in der Branche zu verfolgen. In meinen Beiträgen konzentriere ich mich darauf, nützliche und präzise Informationen zu liefern, die sowohl für Fachleute als auch für Interessierte zugänglich sind. Ich lege großen Wert darauf, Quellen zu überprüfen und Informationen zu vergleichen, um sicherzustellen, dass ich meinen Lesern die bestmöglichen Einblicke gebe. Dabei ist es mir wichtig, schwierige Themen zu vereinfachen und klar zu strukturieren, damit jeder die Herausforderungen und Chancen der digitalen Welt besser verstehen kann.

Kommentar schreiben