Etwa 60 % aller Unternehmen sind von Ransomware betroffen. Bei etwa 31 % davon entsteht ein Schaden, sei es durch den Ausfall von Produktion oder Dienstleistung, durch Kosten für den IT-Dienstleister oder weil die Lösegeldsumme bezahlt wurde, so eine aktuelle BITKOM-Studie.
Ransomware ist also eine reale Bedrohung für viele Unternehmen, aber keine, gegen die man sich nicht schützen kann. In diesem Beitrag helfen wir Ihnen dabei zu bestimmen, wie groß Ihr Risiko ist, Opfer von Ransomware zu werden, zeigen Ihnen die wichtigsten präventiven Maßnahmen, Tools und eine Anleitung, wie Sie im Fall der Fälle vorgehen sollten.
Wie gefährdet ist Ihr Unternehmen bei einer Ransomware-Attacke? Mit dieser Checkliste prüfen Sie Ihr Risiko
Gehen Sie die Checkliste durch und prüfen Sie, wie viele der Punkte auf Ihr Unternehmen zutreffen.
Access Management & Authentifizierung
☑️ Wird ein sicheres Passwortmanagement mit Passwortrichtlinien und MFA genutzt?
☑️ Werden Administratorrechte nur an autorisierte Personen vergeben (Prinzip der minimalen Rechte)?
☑️ Wird Multifaktor-Authentifizierung (MFA) für alle kritischen Systeme genutzt?
☑️ Sind RDP- und andere Remote-Zugänge abgesichert (z. B. durch VPN oder Deaktivierung)?
IT-Sicherheitsmaßnahmen & Netzwerkschutz
☑️ Sind EDR/XDR-Lösungen (Endpoint Detection & Response) im Einsatz, um Angriffe frühzeitig zu erkennen?
☑️ Wird das Unternehmensnetzwerk aktiv auf Anomalien und potenzielle Angriffe überwacht?
☑️ Werden Betriebssysteme und Software regelmäßig geupdated und gepatched?
☑️ Sind Firewalls installiert und wird Netzwerksegmentierung regelmäßig durchgeführt?
Backup-Strategie & Notfallplanung
☑️ Gibt es einen Notfallplan für Cyberangriffe, insbesondere für Ransomware-Angriffe?
☑️ Gibt es eine Notfallwiederherstellungsstrategie und einen Disaster-Recovery-Plan?
☑️ Werden regelmäßig Backups erstellt und separat von Netzwerk gespeichert?
Sicherheitsbewusstsein & Mitarbeiterschulungen
☑️ Werden Mitarbeitende regelmäßig zu Cybersecurity, Phishing und Social Engineering geschult?
☑️ Gibt es interne Richtlinien zur Erkennung und Meldung verdächtiger E-Mails oder Aktivitäten?
Verantwortlichkeiten & Zusammenarbeit
☑️ Sind Verantwortlichkeiten für Cybersecurity geklärt?
☑️ Ist eine Zusammenarbeit mit externen Sicherheitsexperten oder Behörden geplant?
Ergebnis:
0-6 Checks: Ihr Unternehmen hat erhebliche Sicherheitslücken. Es besteht dringender Handlungsbedarf.
7-12 Checks: Sie haben solide Cybersecurity-Grundlage, sollten aber weiter optimieren.
13-15 Checks: Sehr gut! Ihr Unternehmen ist gut geschützt, sollte aber regelmäßig Maßnahmen überprüfen.
Präventive Maßnahmen: So kann ein Ransomware-Angriff verhindert werden
Keine Sorge: Sie sind den diversen Gefahren und Risiken durch Cyberkriminelle und Ransomware nicht schutzlos ausgeliefert. Es gibt einige Maßnahmen, die Sie zur Prävention vor Ransomware ergreifen können. Die wichtigsten stellen wir Ihnen hier vor.
Zugangskontrolle & Authentifizierung
Der erste Schritt beim Schutz vor Ransomware ist es, sämtliche Benutzerkonten in Ihrem Unternehmen abzusichern. Dazu gehört die konsequente Multi-Faktor-Authentifizierung, aber auch das Einführen von Passwortrichtlinien inklusive eines Tools zum Passwortmanagement.
Administratorenrechte sollten nur an ausgewählte Personen vergeben werden, insgesamt gilt das Prinzip der minimalen Rechte (Least Privilege Principle). Es besagt, dass Benutzer, Programme und Systeme nur die minimal erforderlichen Zugriffsrechte erhalten, die sie für ihre Aufgaben benötigen.
In Zeiten von Remote-Arbeit sollten auch diese Zugänge abgesichert werden. Das ist möglich durch die Arbeit mit VPNs oder die Deaktivierung des Remote-Desktop-Protokolls (RDP). Es ermöglicht zwar Remote-Arbeitenden, einfach auf ihren Arbeits-Desktop zugreifen zu können, ist aber gleichzeitig auch ein beliebtes Ziel für Cyberangriffe.
System- und Netzwerksicherheit
Cyberangriffe nutzen oft Sicherheitslücken in veralteter Software aus, um Schadsoftware wie Ransomware ins Unternehmensnetzwerk einzuschleusen. Deshalb gehört die regelmäßige Aktualisierung von Betriebssystemen, Anwendungen und Firmware zu den wichtigsten Schutzmaßnahmen. Sicherheitsupdates (Patches) schließen bekannte Schwachstellen und verhindern, dass Angreifer diese für ihre Zwecke ausnutzen. Unternehmen sollten dabei ein strukturiertes Patch-Management einsetzen, um sicherzustellen, dass Updates zeitnah und systematisch eingespielt werden.
Zusätzlich zur Aktualisierung der Software ist der Einsatz moderner Sicherheitslösungen unerlässlich. Firewalls überwachen den Datenverkehr und blockieren unerlaubte Zugriffe von außen. Noch leistungsfähiger sind Intrusion-Detection- und -Prevention-Systeme (IDS/IPS): Diese analysieren den Netzwerkverkehr auf verdächtige Aktivitäten und können Angriffe nicht nur erkennen, sondern in vielen Fällen auch automatisch verhindern.
Ein weiteres wichtiges Schutzschild sind Antivirus- und Antimalware-Lösungen. Diese Programme überprüfen Dateien und Prozesse auf schädlichen Code und können viele Bedrohungen frühzeitig erkennen und eliminieren. Moderne Lösungen setzen dabei zunehmend auf künstliche Intelligenz und verhaltensbasierte Erkennung, um auch neue, bisher unbekannte Malware-Varianten zu identifizieren.
Backup-Strategie & Notfallwiederherstellung
Falls es trotz aller Schutzmaßnahmen zu einem Angriff kommt, sind sichere Backups die letzte Verteidigungslinie. Unternehmen sollten regelmäßige Backups nach dem 3-2-1-Prinzip durchführen: Drei Kopien der Daten, auf zwei verschiedenen Medientypen, eine davon offline oder in der Cloud. Zudem müssen die Backups regelmäßig getestet werden, um sicherzustellen, dass sie im Ernstfall schnell wiederhergestellt werden können. Ein Disaster-Recovery-Plan sollte genau festlegen, wie das Unternehmen auf einen erfolgreichen Angriff reagiert
Schulungen & Sicherheitsbewusstsein
Mitarbeiter sind oft das erste Ziel von Cyberkriminellen – insbesondere durch Phishing-Angriffe. Daher sind regelmäßige Schulungen zu Cybersecurity, Social Engineering und verdächtigen E-Mails essenziell. Simulierte Phishing-Tests helfen, das Sicherheitsbewusstsein zu stärken. Zudem sollten klare Richtlinien festgelegt werden, wie verdächtige Aktivitäten schnell gemeldet werden können.
Überwachung & Reaktionsfähigkeit
Selbst mit den besten Schutzmaßnahmen gibt es keine absolute Sicherheit. Daher ist eine kontinuierliche Überwachung des Netzwerks auf Anomalien notwendig. Security Information & Event Management (SIEM)-Systeme helfen dabei, Bedrohungen in Echtzeit zu erkennen. Zudem sollten Unternehmen einen Incident-Response-Plan bereithalten, um im Ernstfall schnell handeln zu können. Eine Zusammenarbeit mit externen Sicherheitsexperten und Behörden kann helfen, Angriffe frühzeitig zu entschärfen und Schäden zu minimieren.
Diese Tools helfen, Ihr Unternehmen gegen Ransomware abzusichern
Zusätzlich zu den oben beschriebenen Maßnahmen sollten Sie auf die folgenden Tools setzen, um Ihr Unternehmen optimal gegen Ransomware abzusichern.
Firewall & Intrusion Detection
Unternehmen stehen im ständigen Kampf gegen Ransomware-Bedrohungen. Firewalls sowie Intrusion-Detection-Systeme (IDS) sind dabei essenzielle Verteidigungslinien. Firewalls kontrollieren den ein- und ausgehenden Datenverkehr und blockieren verdächtige Verbindungen, bevor Schadsoftware in das Unternehmensnetzwerk gelangt. Intrusion-Detection-Systeme (IDS) gehen noch einen Schritt weiter: Sie analysieren den Netzwerkverkehr und erkennen auffällige Muster, die auf einen Angriff hindeuten könnten.
Durch den Einsatz eines Intrusion-Prevention-Systems (IPS)-Funktion kann ein Unternehmen nicht nur Angriffe erkennen, sondern auch automatisch Gegenmaßnahmen einleiten, um verdächtige Aktivitäten zu stoppen. Moderne Firewalls mit Deep Packet Inspection (DPI) und KI-gestützter Bedrohungserkennung helfen, selbst raffinierte Ransomware-Varianten zu identifizieren.
EDR und XDR: Moderne Sicherheitslösungen gegen Ransomware
Angriffe mit Ransomware werden immer ausgefeilter. Deshalb benötigen Unternehmen fortschrittliche Schutzmaßnahmen wie Endpoint Detection & Response (EDR) und Extended Detection & Response (XDR). EDR-Lösungen überwachen Endpunkte (z. B. Computer und Server) in Echtzeit, analysieren verdächtige Aktivitäten und ermöglichen eine schnelle Reaktion auf Bedrohungen. Sie helfen, Ransomware frühzeitig zu erkennen und zu isolieren, bevor sie sich im Netzwerk ausbreiten kann.
XDR geht noch einen Schritt weiter: Es kombiniert Daten aus verschiedenen Sicherheitssystemen, von Endpunkten über E-Mails bis hin zu Netzwerken, und bietet eine ganzheitliche Bedrohungserkennung. Durch den Einsatz von künstlicher Intelligenz und Automatisierung können Unternehmen Angriffe schneller identifizieren und darauf reagieren. In einer Zeit, in der Ransomware-Angriffe immer komplexer werden, bieten EDR- und XDR-Lösungen eine proaktive und intelligente Verteidigung gegen Cyberbedrohungen.
Phishing-Simulationen: Training gegen Cyberangriffe
Phishing-Simulationen helfen dabei, Mitarbeiter gezielt auf diese Bedrohung vorzubereiten. Dabei erhalten sie täuschend echt wirkende, simulierte Phishing-Mails, um zu testen, wie sicher sie verdächtige Nachrichten erkennen und darauf reagieren.
Diese Trainings sensibilisieren Mitarbeiter für verdächtige Links, gefälschte Absenderadressen und ungewöhnliche Anfragen, die auf einen Angriff hindeuten. Unternehmen können durch regelmäßige Simulationen Schwachstellen in der Belegschaft aufdecken und gezielt nachschulen. In Kombination mit klaren Meldeprozessen und Awareness-Kampagnen tragen Phishing-Simulationen dazu bei, das Sicherheitsbewusstsein nachhaltig zu stärken und so eine der größten Einfallstore für Ransomware zu schließen.
Ransomware-Angriff: Was tun im Ernstfall?
Ein Ransomware-Angriff kann jedes Unternehmen treffen. Und wenn es passiert, zählt jede Sekunde. Ein durchdachter Incident-Response-Plan hilft, den Schaden zu minimieren und die Kontrolle schnellstmöglich zurückzugewinnen. Im Ernstfall gilt: Ruhe bewahren und diese Schritte befolgen.
Schritt 1: Sofortmaßnahmen. Eindämmung des Angriffs
Betroffene Geräte vom Netzwerk trennen. Sobald eine Infektion erkannt wird, sollten alle infizierten Systeme sofort isoliert werden, um eine weitere Verbreitung der Ransomware zu verhindern. Ziehen Sie Netzwerkverbindungen, trennen Sie WLAN und VPN-Zugänge.
Infizierte System ausschalten. In manchen Fällen kann es helfen, kompromittierte Geräte herunterzufahren, um eine weitere Verschlüsselung von Daten oder die Ausbreitung im Netzwerk zu stoppen.
IT-Abteilung und das Incident Response Team informieren. Ein schnelles Reaktionsmanagement ist entscheidend. Cybersecurity-Experten sollten den Angriff analysieren, um den Ursprung der Infektion zu ermitteln und erste Gegenmaßnahmen einzuleiten.
Schritt 2: Analyse & Schadensbewertung
Welche Systeme sind betroffen? Führen Sie eine Bestandsaufnahme durch: Welche Geräte, Server oder Cloud-Dienste sind infiziert? Gibt es Anzeichen dafür, dass sich die Ransomware noch weiter ausbreitet?
Sind Backups intakt und aktuell? Überprüfen Sie, ob Ihre Datensicherungen noch verfügbar, unbeschädigt und ausreichend aktuell sind, um eine Wiederherstellung ohne Datenverlust zu ermöglichen.
Wurden sensible Daten gestohlen? Viele moderne Ransomware-Gruppen nutzen Double Extortion, bei der nicht nur Daten verschlüsselt, sondern auch gestohlen werden. Falls sensible Informationen betroffen sind, müssen rechtliche Schritte und Meldepflichten geprüft werden.
Schritt 3: Wiederherstellung & Schadensbegrenzung
Mit Backups Systeme wiederherstellen. Wenn sichere Backups vorhanden sind, können Sie betroffene Systeme aus einem sauberen Zustand wiederherstellen. Achten Sie darauf, dass die Infektionsquelle vollständig beseitigt wurde, bevor Sie Systeme erneut ins Netzwerk einbinden.
Sicherheitslücken analysieren und schließen. Überprüfen Sie, wie die Ransomware ins System gelangen konnte – z. B. durch Phishing, unsichere RDP-Zugänge oder fehlende Updates – und setzen Sie sofort Schutzmaßnahmen um.
Betroffene Partner, Kunden und Behörden informieren. Falls sensible Daten kompromittiert wurden, müssen unter Umständen Datenschutzbehörden (BSI, CERT), Kunden und Geschäftspartner informiert werden. Eine offene Kommunikation kann den Vertrauensverlust minimieren und rechtliche Folgen abwenden. Sie sollten außerdem die Polizei einschalten.
Achtung: Kein Lösegeld zahlen
Experten raten davon ab, Lösegeld zu zahlen. Wenn auch ein erheblicher Anteil der Unternehmen laut Studien der Erpressung nachgeben, besteht dennoch keine Garantie, dass die Daten wiederhergestellt werden.
- Deutschland: Laut einer Studie des Sicherheitsanbieters Semperis aus dem ersten Halbjahr 2024 zahlten 75 % der betroffenen Unternehmen Lösegeld. Allerdings erhielten 35 % dieser Zahler entweder keinen oder einen fehlerhaften Entschlüsselungsschlüssel.
- Europa: Eine Kaspersky-Studie aus dem Jahr 2021 ergab, dass 44 % der befragten Nutzer in Europa nach einem Ransomware-Angriff Lösegeld zahlten. Von diesen erhielten jedoch nur 27 % wieder Zugriff auf ihre Daten.
Stattdessen wird empfohlen, die oben genannten präventiven Maßnahmen zu befolgen und einen dezidierten Notfallplan zu haben.
