Ransomware: Was passiert, wenn Sie morgens kommen und alle Daten verschlüsselt sind
Sie fahren den Rechner hoch, doch statt des gewohnten Desktops erscheint ein schwarzer Bildschirm mit einer Lösegeldforderung und einem tickenden Countdown. In der Buchhaltung lässt sich keine Datei mehr öffnen, die Produktionssteuerung meldet Fehler, die Telefonanlage schweigt. Innerhalb weniger Minuten ist klar: Der gesamte Betrieb steht. Genau dieser Moment trifft in Deutschland jede Woche Unternehmen jeder Größe, und in den meisten Fällen waren die Betroffenen überzeugt, dass es sie nie erwischen würde.
Auf einen Blick
- Ransomware-Angriffe in Deutschland erreichten 2025 ein Rekordniveau — rund 90 Prozent der Attacken treffen kleine und mittlere Unternehmen.
- Ihr Backup allein rettet Sie nicht mehr. Bei der heute dominierenden Double Extortion stehlen die Täter Ihre Daten zusätzlich zur Verschlüsselung und drohen mit Veröffentlichung.
- Zahlen ist die schlechteste aller Optionen: Wer zahlt, bekommt im Schnitt nur rund 60 Prozent seiner Daten zurück, ohne Garantie, dass die gestohlenen Kopien gelöscht werden.
Inhalt
Was bei einem Ransomware-Angriff wirklich passiert
Der schwarze Bildschirm ist nicht der Anfang des Angriffs, sondern sein Ende. Wenn Sie die Lösegeldforderung sehen, haben die Angreifer ihre Arbeit längst getan.
Der typische Ablauf beginnt unscheinbar: Eine Mitarbeiterin öffnet einen manipulierten Anhang in einer täuschend echten E-Mail, oder die Täter nutzen eine ungepatchte Schwachstelle in einem Server, der vom Internet aus erreichbar ist. Ein einziger erfolgreicher Zugang genügt. Von dort bewegen sich die Angreifer oft tage- oder wochenlang unbemerkt durch das Netzwerk, verschaffen sich Administratorrechte, identifizieren die wertvollsten Daten und sichern sich Zugriff auf die Backups.
Erst wenn sie die Kontrolle über die kritischen Systeme haben, schlagen sie zu. Die Verschlüsselung läuft dann meist in den frühen Morgenstunden oder am Wochenende, wenn niemand mitliest. Sie macht in Minuten unbrauchbar, was ein Unternehmen über Jahre aufgebaut hat: Kundendatenbanken, Auftragsverwaltung, Konstruktionspläne, Lohnbuchhaltung. Der Erpresserbrief auf dem Bildschirm ist nur die Rechnung am Ende eines Einbruchs, der längst stattgefunden hat.
Warum Ihr Backup Sie nicht mehr rettet: Double Extortion
Jahrelang lautete der zentrale Rat gegen Ransomware: Macht regelmäßige Backups, dann könnt ihr eure Systeme wiederherstellen und müsst kein Lösegeld zahlen. Dieser Rat ist nicht falsch, aber er greift zu kurz. Denn die Angreifer haben ihre Taktik geändert.
Beim heute dominierenden Modell der Double Extortion verschlüsseln die Täter Ihre Daten nicht nur, sie kopieren sie vorher und drohen anschließend mit der Veröffentlichung. Das BSI bringt es in seinem Lagebericht 2025 auf den Punkt: Backups helfen zwar gegen die Verschlüsselung, aber nicht gegen die zweite Erpressungsstufe, die Drohung mit der Veröffentlichung der gestohlenen Daten. Selbst wenn Sie Ihre Systeme aus einer sauberen Sicherung wiederherstellen, bleibt die Drohung im Raum: Zahlen Sie, oder Ihre Kundendaten, Verträge und internen Dokumente landen im Netz.
Diese Doppelstrategie ist kein Randphänomen mehr. Rund 76 Prozent der angezeigten Vorfälle folgten 2025 dem Modus Operandi der Double Extortion, also der Kombination aus Verschlüsselung und Datendiebstahl mit Erpressung. Ein Teil der Szene geht sogar noch einen Schritt weiter und verzichtet ganz auf die Verschlüsselung. Bei der reinen Data Extortion werden Daten nur noch gestohlen, und die Gruppierung WorldLeaks hat seit Mai 2025 vollständig auf dieses Modell umgestellt. Für Sie bedeutet das: Die Frage ist nicht mehr nur, ob Sie Ihre Daten zurückbekommen, sondern ob Sie verhindern können, dass böswillige Akteure sie gegen Sie verwenden.
Die Lage 2026: Wen es trifft und wie hart
Die Zahlen des Bundeskriminalamts lassen wenig Spielraum für Beschwichtigung. Die Zahl der polizeilich angezeigten Ransomware-Vorfälle stieg 2025 auf 1.041, ein Plus von 10 Prozent gegenüber den 950 Fällen im Vorjahr. Und das ist nur das Hellfeld: Viele Unternehmen zeigen Angriffe aus Angst vor Reputationsschäden gar nicht erst an, sodass die tatsächliche Zahl deutlich höher liegen dürfte.
Besonders deutlich ist, wen es trifft. Rund 90 Prozent der Attacken trafen kleine und mittlere Unternehmen. Der Grund ist betriebswirtschaftliche Logik aufseiten der Täter: Der Mittelstand verfügt selten über spezialisierte Sicherheitsabteilungen, bietet also vergleichsweise einfache Zugangsmöglichkeiten, ist aber zahlungskräftig genug, um sich ein Lösegeld zu lohnen. Statt sich aufwendig an einem Großkonzern abzuarbeiten, nehmen die Angreifer lieber die Masse der schwächer geschützten Betriebe ins Visier.
Bemerkenswert ist eine gegenläufige Entwicklung beim Zahlungsverhalten. Nur noch 7 Prozent der Ransomware-Opfer zahlten überhaupt Lösegeld, doch die durchschnittliche Lösegeldhöhe stieg um 65 Prozent. Die durchschnittliche Zahlung kletterte auf umgerechnet rund 456.335 US-Dollar. Weil immer weniger Opfer zahlen, drehen die Täter an der Preisschraube und führen gleichzeitig mehr Angriffe durch.
Dass es längst nicht nur anonyme Mittelständler trifft, zeigen die bekannt gewordenen Fälle. Adidas bestätigte Ende Mai 2025, dass ein unbefugter Akteur über einen Drittanbieter Kundendaten abgreifen konnte; kurz zuvor meldeten die Berliner Verkehrsbetriebe Zugriff auf bis zu 180.000 Kundendatensätze. Diese Vorfälle sind nur die Spitze des Eisbergs, denn ein erheblicher Teil der Zahlungen geschieht still und heimlich, um größere Schäden abzuwenden.
Lösegeld zahlen oder nicht? Die ehrliche Antwort
Wenn der Countdown läuft und der Betrieb steht, wirkt die Zahlung wie der schnellste Ausweg. In Wahrheit ist sie die unsicherste Wette, die Sie eingehen können.
Selbst nach der Zahlung bekommen Sie Ihre Daten meist nicht vollständig zurück. Laut Sophos State of Ransomware 2025 erhielten zahlende Unternehmen im Durchschnitt nur 60 Prozent ihrer Daten zurück. Die von den Angreifern gelieferten Entschlüsselungstools sind häufig fehlerhaft, was zu beschädigten oder dauerhaft unzugänglichen Daten führen kann. Sie zahlen also einen sechsstelligen Betrag und stehen am Ende womöglich trotzdem vor unbrauchbaren Systemen.
Noch gravierender ist die Frage nach den gestohlenen Daten. Niemand weiß, ob die Erpresser nach der Zahlung wirklich alle Kopien löschen; häufig verkaufen sie die Daten weiter, was zu weiteren Erpressungsversuchen durch andere Gruppen führt. Eine Zahlung signalisiert zudem Zahlungsbereitschaft und erhöht damit das Risiko, erneut zum Ziel zu werden. Dazu kommt die rechtliche Dimension: Lösegeldzahlungen können Sie unter Umständen mit Sanktions- und Geldwäschevorschriften in Konflikt bringen, und das BSI sowie die Strafverfolgungsbehörden raten grundsätzlich von einer Zahlung ab. Die belastbarere Antwort liegt nicht in der Verhandlung mit Kriminellen, sondern in der Vorbereitung, die eine Zahlung überflüssig macht.
So überstehen Sie einen Angriff und verhindern den nächsten
Im Ernstfall zählt jede Minute, aber Aktionismus richtet oft mehr Schaden an als der Angriff selbst. Trennen Sie betroffene Systeme sofort vom Netzwerk, statt sie vorschnell herunterzufahren, denn dabei gehen forensische Spuren verloren. Informieren Sie Ihre IT-Verantwortlichen und externe Spezialisten, dokumentieren Sie den Erpresserbrief und ziehen Sie die zuständige Zentrale Ansprechstelle Cybercrime (ZAC) der Polizei hinzu. Wer einen geprobten Notfallplan in der Schublade hat, gewinnt in diesem Moment entscheidende Stunden.
Wirklich entscheidend ist jedoch, was Sie tun, bevor es passiert. Die wirksamsten technischen und organisatorischen Maßnahmen sind bekannt, werden aber zu selten konsequent umgesetzt:
- Offline- und Offsite-Backups: Sicherungen, die physisch vom Netzwerk getrennt sind (3-2-1-Regel), können von den Angreifern nicht mitverschlüsselt werden. Testen Sie die Wiederherstellung regelmäßig, ein nie geprobtes Backup ist kein Backup.
- Multi-Faktor-Authentifizierung: Ein gestohlenes Passwort allein darf nicht genügen, um ins Netzwerk zu gelangen. Wie Multi-Faktor-Authentifizierung den entscheidenden Riegel vorschiebt, lesen Sie im zugehörigen Beitrag.
- Netzwerksegmentierung: Wer das Netzwerk in Zonen unterteilt, verhindert, dass sich ein einzelner kompromittierter Rechner ungehindert ausbreitet.
- Konsequentes Patch-Management: Ungepatchte, aus dem Internet erreichbare Systeme sind das häufigste Einfallstor. Schließen Sie bekannte Schwachstellen zeitnah.
- Awareness der Belegschaft: Da der erste Klick meist von einem Menschen kommt, ist geschultes Personal eine Ihrer stärksten Verteidigungslinien.
Wie groß der Schaden eines Stillstands über die reine Verschlüsselung hinaus wird, zeigt der Beitrag zum Cyberangriffe 2026. Und welche Dimension Ransomware erreicht, wenn sie lebenswichtige Versorgung trifft, lesen Sie im Beitrag über Angriffe auf kritische Infrastruktur.
Ransomware ist heute eine der ernstesten Cyberbedrohungen für Unternehmen, aber sie ist kein Schicksal. Ob Sie einen Angriff als überstandene Episode oder als existenzielle Krise erleben, entscheidet sich, bevor der erste Bildschirm schwarz wird.
Häufige Fragen zu Ransomware
Was ist ein Ransomware-Angriff?
Ein Ransomware-Angriff ist eine Cyberattacke mit Schadsoftware, die Daten oder ganze Systeme verschlüsselt und für die Freigabe ein Lösegeld fordert. Bei der heute verbreiteten Double Extortion stehlen die Täter die Daten zusätzlich und drohen mit Veröffentlichung, falls nicht gezahlt wird.
Sollte man bei Ransomware das Lösegeld zahlen?
Behörden wie das BSI raten von einer Zahlung ab. Wer zahlt, erhält im Schnitt nur rund 60 Prozent der Daten zurück, hat keine Garantie auf Löschung der gestohlenen Kopien und macht sich zum Wiederholungsziel. Zudem können rechtliche Risiken entstehen.
Wie schützt man sich vor Ransomware?
Die wirksamsten Maßnahmen sind vom Netzwerk getrennte Offline-Backups, Multi-Faktor-Authentifizierung, Netzwerksegmentierung, konsequentes Patch-Management und geschulte Mitarbeiter. Entscheidend ist ein geprobter Notfallplan für den Ernstfall.
Sind Sie auf den Ernstfall vorbereitet?
Die meisten Unternehmen erfahren erst beim schwarzen Bildschirm, wie es um ihre Abwehr steht. Lassen Sie es nicht so weit kommen. In einem unverbindlichen Erstgespräch analysieren wir Ihre aktuelle Bedrohungslage und zeigen Ihnen, wo Ihre größten Risiken liegen, bevor es ein Angreifer tut.
Jetzt Erstgespräch buchen und Ihre Ransomware-Resilienz auf den Prüfstand stellen.