Die wichtigsten Punkte auf einen Blick
- Ransomware verschlüsselt Daten oder erpresst mit gestohlenen Informationen, oft beides gleichzeitig.
- Die häufigsten Einstiegswege sind Phishing, gestohlene Zugangsdaten, unsichere Fernzugänge und ungepatchte Systeme.
- Backups helfen nur dann wirklich, wenn sie offline oder unveränderbar sind und regelmäßig getestet werden.
- MFA, Rechteminimierung, Segmentierung und sauberes Patch-Management senken das Risiko deutlich.
- Im Ernstfall zählen die ersten 60 Minuten: isolieren, Zugangsdaten sperren, Beweise sichern, Meldewege prüfen.
- Reine Antivirus-Strategien reichen nicht mehr, nötig ist ein Zusammenspiel aus Technik, Prozessen und Schulung.
Was Ransomware von anderer Schadsoftware unterscheidet
Ich trenne Ransomware bewusst von „normaler“ Schadsoftware, weil das Ziel ein anderes ist. Ein Trojaner kann Daten stehlen, ein Wurm kann sich verbreiten, Spyware kann überwachen, aber Ransomware zielt in erster Linie auf Erpressung. Das passiert entweder durch Verschlüsselung von Dateien, durch Blockieren von Systemen oder durch die Drohung, sensible Daten öffentlich zu machen.
Damit ist Ransomware heute mehr als nur „Dateien werden unbrauchbar“. In vielen Fällen beginnt der eigentliche Schaden schon vorher, wenn Angreifer sich im Netzwerk bewegen, Daten abziehen und erst später den sichtbaren Sperrbildschirm oder die Lösegeldforderung ausrollen. ENISA beschreibt diesen Trend nicht ohne Grund als mehrstufige Erpressung, bei der die Täter mehrere Druckmittel gleichzeitig einsetzen.
Verschlüsselung ist nur der sichtbare Teil
Die Verschlüsselung ist oft das, was Mitarbeitende zuerst sehen. Aus Sicht der Angreifer ist sie aber nur ein Baustein. Vorher werden Rechte erweitert, Systeme ausgespäht, Sicherheitskontrollen umgangen und Sicherungen gezielt sabotiert. Genau deshalb ist die Frage „Wie kam die Schadsoftware hinein?“ meistens wichtiger als die Frage „Welcher Dateiname stand am Ende auf dem Desktop?“
Doppelte Erpressung hat sich durchgesetzt
Heute reicht es vielen Gruppen nicht mehr, Daten nur zu sperren. Sie kopieren zusätzlich Informationen ab und drohen mit Veröffentlichung oder Verkauf. Das erhöht den Druck erheblich, vor allem bei Unternehmen mit Kundendaten, Konstruktionsplänen, Personalakten oder vertraulichen Verträgen. Für mich ist das der Punkt, an dem aus einem reinen IT-Vorfall schnell ein operatives und rechtliches Problem wird.
Damit ist klar, was der Begriff technisch meint. Spannender ist die Frage, wie die Angreifer überhaupt in reale Umgebungen hineinkommen und dort so viel Schaden anrichten können.

So läuft ein Angriff typischerweise ab
Die meisten Vorfälle beginnen nicht mit einem spektakulären Exploit, sondern mit einem langweiligen Einstieg. Ich sehe immer wieder dieselben Muster: Phishing-Mails mit gefälschten Anhängen, gekaufte oder gestohlene Zugangsdaten, unsichere VPN- oder RDP-Zugänge und ungepatchte Internetdienste. Gerade in gewachsenen Umgebungen kommt noch ein zweites Problem dazu, nämlich zu weit gefasste Rechte und schlecht getrennte Netzwerksegmente.
Ein typischer Angriff folgt dann meist einer klaren Kette:
- Erstzugang über E-Mail, Remotezugriff oder eine Schwachstelle in einem extern erreichbaren System.
- Aufbau von Persistenz, damit der Zugang auch nach einem Neustart erhalten bleibt.
- Ausbreitung im Netzwerk, häufig mit gültigen Konten statt mit lauten Exploits.
- Auslesen sensibler Daten und Ermittlung der wertvollsten Systeme.
- Deaktivieren oder Umgehen von Sicherheitswerkzeugen, Backups und Protokollierung.
- Gleichzeitige Verschlüsselung, Erpressung und oft auch Datenabfluss.
Warum Zugangsdaten oft schlimmer sind als ein Exploit
Ein gestohlenes Passwort ist für einen Angreifer oft mehr wert als ein technischer Trick. Mit gültigen Anmeldedaten wirkt die Aktivität zunächst legitim, das macht die Erkennung schwerer. Dazu kommt, dass viele Unternehmen Fernzugänge zwar technisch abgesichert haben, aber nicht sauber begrenzen, welche Systeme darüber erreichbar sind. Genau an dieser Stelle entfaltet Ransomware ihre größte Wirkung.
Lesen Sie auch: Zero-Knowledge-Verfahren: Sicherheit ohne Geheimnisse?
Was „Living off the land“ praktisch bedeutet
Viele Gruppen nutzen Werkzeuge, die ohnehin im System vorhanden sind, etwa PowerShell, Remote-Management-Funktionen oder Standard-Administrationswerkzeuge. Das ist unbequem, weil solche Befehle nicht automatisch verdächtig wirken. Ich halte diesen Punkt für zentral: Nicht jede moderne Ransomware fällt durch außergewöhnlichen Code auf, sondern durch ungewöhnliche Nutzung ganz normaler Werkzeuge.
Wenn man diese Kette verstanden hat, ist die nächste Frage logisch: Woran erkennt man den Angriff, bevor alles verschlüsselt ist?
Woran ich einen laufenden Angriff erkenne
Ransomware kündigt sich selten durch ein einziges Warnsignal an. In der Praxis ist es eher eine Summe kleiner Auffälligkeiten. Einzelne Hinweise wirken harmlos, in Kombination sind sie oft eindeutig. Das gilt besonders bei human-operated Ransomware, also Angriffen, bei denen Menschen den Angriff aktiv steuern und nicht nur ein automatisches Schadprogramm laufen lassen.
- plötzlich sehr viele Dateiänderungen oder Dateiumbenennungen in kurzer Zeit
- ungewöhnliche CPU-, RAM- oder Datenträgerlast auf mehreren Systemen gleichzeitig
- Fehler bei Backups, Snapshot-Löschungen oder deaktivierte Sicherungsjobs
- neue Admin-Anmeldungen zu ungewöhnlichen Zeiten oder von ungewohnten Standorten
- gesperrte Konten, Passwortspray-Versuche oder auffällige MFA-Anfragen
- deaktivierte Sicherheitsdienste, gelöschte Logs oder veränderte Richtlinien
- auffällige PowerShell-, Skript- oder Remote-Tool-Aktivität
Ich rate Teams immer, nicht erst auf die Verschlüsselung zu warten. Wenn mehrere dieser Signale zusammen auftreten, ist das schon ein Vorfall, auch wenn noch niemand auf dem Bildschirm eine Lösegeldforderung sieht.
Genau an dieser Stelle entscheidet sich, ob ein Angriff früh eingedämmt wird oder sich im ganzen Netz festsetzt. Deshalb sind die nächsten Maßnahmen wichtiger als jede spätere Analyse.
Welche Schutzmaßnahmen wirklich den Unterschied machen
Die gute Nachricht ist: Es gibt keine Wunderlösung, aber es gibt eine sehr klare Priorität. Die BSI-Empfehlungen laufen im Kern auf dieselben Hebel hinaus, die ich auch in Projekten zuerst anpacke: Identitäten absichern, Systeme härten, Backups schützen und die Ausbreitung begrenzen. Alles andere ist ergänzend, nicht ersetzend.
| Maßnahme | Warum sie zählt | Typischer Fehler |
|---|---|---|
| MFA für alle kritischen Zugänge | Ein gestohlenes Passwort reicht dann nicht mehr aus. | Ausnahmen für Admin-, VPN- oder Cloud-Konten. |
| Offline- oder unveränderbare Backups | Die 3-2-1-Regel reduziert das Risiko, dass auch Sicherungen verschlüsselt werden. | Backups liegen im selben Netz und mit denselben Rechten wie die Produktivsysteme. |
| Patch-Management für exponierte Systeme | VPN, Remotezugänge, Webserver und Gateways sind häufige Einstiegspunkte. | Updates werden gesammelt statt nach Risiko priorisiert. |
| Rechteminimierung und Segmentierung | Der Angreifer kann sich nicht so leicht lateral bewegen. | Zu viele lokale Adminrechte und zu flache Netze. |
| EDR, Logging und Alarmierung | Verdächtige Aktivitäten werden früher sichtbar. | Logs werden zu kurz aufbewahrt oder nicht regelmäßig ausgewertet. |
| Mail- und Webfilter mit klaren Regeln | Phishing und bösartige Downloads werden an der Quelle reduziert. | Filter sind vorhanden, aber organisatorisch nie nachgeschärft. |
Wenn ich priorisieren muss, gehe ich fast immer in dieser Reihenfolge vor: erst exponierte Systeme, dann Identitäten, dann Backups, danach Rechte und Segmentierung. Der Grund ist einfach: Die besten Backups helfen wenig, wenn ein Angreifer über dieselben Adminrechte auch die Sicherung löschen kann.
Besonders wirksam ist ein realistischer Wiederherstellungstest. Ich meine nicht eine theoretische Häkchenübung, sondern die echte Rücksicherung kritischer Daten und, wenn möglich, ganzer Systeme. Wer nur Backups erzeugt, aber nie zurückspielt, betreibt Hoffnung, keine Resilienz. Und genau diese Differenz merkt man im Ernstfall sofort.
Was in den ersten 60 Minuten zählt
Wenn Ransomware aktiv ist, geht es zuerst um Begrenzung, nicht um Perfektion. Die ersten 60 Minuten sind dafür meist entscheidender als die nächsten 60 Tage. Ich würde in dieser Phase nicht diskutieren, ob der Vorfall wirklich groß genug ist, sondern sofort die Ausbreitung stoppen und den Überblick zurückholen.
- Betroffene Systeme vom Netz trennen, ohne blind alles abzuschalten.
- Komprimittierte Konten sperren und Tokens, Sitzungen oder Passwörter zurücksetzen.
- Logs, Speicherabbilder und andere Beweise sichern, bevor sie überschrieben werden.
- Backups prüfen und den sauberen Wiederherstellungspfad festlegen.
- Management, IT, Legal, Datenschutz und gegebenenfalls externe Forensik zusammenziehen.
- Meldepflichten und externe Kontaktwege prüfen, statt erst am nächsten Tag zu reagieren.
Für Deutschland ist wichtig: Das BSI bietet ein Meldeportal für Sicherheitsvorfälle, und je nach Sektor können Meldepflichten greifen. Ich würde deshalb immer parallel klären, ob der Vorfall nur intern behandelt wird oder ob er offiziell gemeldet werden muss. Wer hier Zeit verliert, verliert oft auch Beweise und Reaktionsfreiheit.
Ein Punkt, den ich klar halte: Eine Lösegeldzahlung ist keine Wiederherstellungsstrategie. Sie kann im Einzelfall Teil einer Krisenentscheidung sein, aber sie ersetzt weder saubere Forensik noch belastbare Backups noch einen funktionierenden Recovery-Prozess.
Nach der Erstreaktion kommt die unbequemste Frage überhaupt, nämlich warum manche Umgebungen trotz Backups und Tools trotzdem schwer getroffen werden.
Warum Backups allein nicht reichen
Viele Teams beruhigen sich zu früh mit dem Satz: „Wir haben ja ein Backup.“ In der Praxis ist das nur dann ein echter Schutz, wenn mehrere Bedingungen erfüllt sind. Die Sicherung muss getrennt, geschützt, getestet und schnell genug rückspielbar sein. Sonst ist sie im Angriffsfall nur ein weiterer Datensatz, den die Täter beschädigen.
Die häufigsten Fehler sehe ich immer wieder in derselben Reihenfolge:
- Backups sind online erreichbar und mit denselben Rechten verwaltbar wie die Produktivsysteme.
- Wiederherstellungen wurden seit Monaten oder Jahren nicht mehr vollständig getestet.
- Die Organisation kennt nur Datei-Backups, aber keine Wiederherstellung ganzer Identitäts- oder Verzeichnisdienste.
- Domänenadmin-Konten und Backup-Administratoren sind zu eng miteinander verknüpft.
- Cloud-Dienste, SaaS und lokale Infrastruktur werden getrennt betrachtet, obwohl der Angriff sie gemeinsam trifft.
Ich halte besonders den letzten Punkt für gefährlich. Viele Angriffe enden heute nicht mehr an der Netzwerkgrenze, sondern dort, wo Identitäten, Cloud-Zugänge und lokale Server zusammenlaufen. Wer nur auf den klassischen Serverraum schaut, übersieht oft den eigentlichen Schadenpfad.
Deshalb ist es klüger, Sicherung, Identität und Segmentierung als ein gemeinsames Schutzsystem zu denken. Das führt direkt zur Frage, was ich für die nächsten Monate besonders ernst nehme.
Was ich für die nächsten Angriffe besonders im Blick behalte
Der Trend geht nicht zurück, sondern wird professioneller. Gruppen arbeiten arbeitsteilig, kaufen Zugänge ein, nutzen legitime Werkzeuge und setzen stärker auf Mehrfacherpressung. Für 2026 ist für mich vor allem relevant, dass die Angreifer weniger auffällig und gleichzeitig besser organisiert sind.
- Identity-first-Schutz wird wichtiger als der reine Perimeterschutz.
- Cloud- und SaaS-Konten brauchen dieselbe Disziplin wie lokale Administratoren.
- Immutable Backups und getestete Restore-Prozesse sind kein Luxus mehr.
- Tabletop-Übungen sollten mindestens halbjährlich durchgespielt werden, nicht nur einmal im Jahr.
- Angriffsflächen-Management gehört fest in den Betrieb, vor allem bei extern erreichbaren Diensten.
Wenn ich den wichtigsten Satz aus diesem Thema herausziehen müsste, dann diesen: Ransomware ist kein reines IT-Problem, sondern ein Resilienztest für Identitäten, Prozesse und Wiederherstellung. Wer diese drei Ebenen sauber aufstellt, reduziert das Risiko nicht auf null, aber er verkürzt den Schaden massiv und bleibt handlungsfähig, wenn andere schon aus dem Netz gedrängt sind.