“Wir haben ja ein Backup — uns kann nichts passieren.” Dieser Satz ist der gefährlichste Satz in der IT-Sicherheit des Mittelstands. Nicht weil Backups wertlos wären. Sondern weil diese Aussage auf einem Verständnis von Ransomware basiert, das seit mindestens drei Jahren überholt ist.
2026 reicht ein Backup nicht mehr. Wer das noch glaubt, hat nicht verstanden, wie moderne Ransomware funktioniert.
Wie moderne Ransomware wirklich funktioniert
Ein Ransomware-Angriff ist kein spontanes Ereignis. Er ist ein Prozess — und der kritischste Schritt passiert, bevor die erste Datei verschlüsselt wird.
Phase 1 — Initialer Zugang: Der Angreifer kommt rein. Klassische Wege: Phishing-Mail mit schadhaftem Anhang, ungepatchte VPN-Schwachstelle, schwaches RDP-Passwort ohne MFA. Dieser Schritt dauert Minuten.
Phase 2 — Lateral Movement: Der Angreifer bewegt sich durchs Netzwerk. Er sucht Admin-Zugänge, kartiert die Infrastruktur, identifiziert die wertvollsten Systeme. Das dauert Tage bis Wochen — in Stille.
Phase 3 — Daten-Exfiltration: Bevor irgendetwas verschlüsselt wird, werden Daten gestohlen. Kundendaten, Verträge, Entwicklungsunterlagen, Finanzdaten — alles, was Druckmittel sein könnte. Das ist der Schritt, der den Backup-Schutz aushebelt.
Phase 4 — Verschlüsselung und Forderung: Erst jetzt wird verschlüsselt. Und erst jetzt sieht das Opfer überhaupt, dass ein Angriff stattgefunden hat.
Double Extortion: Das bedeutet: Selbst wenn Sie ein perfektes Backup haben und alle Daten vollständig wiederherstellen können — die Angreifer drohen trotzdem mit der Veröffentlichung der gestohlenen Daten. Backup hilft gegen die Verschlüsselung. Es hilft nicht gegen die Erpressung mit exfiltrierten Daten.
Triple Extortion geht noch weiter: Zusätzlich werden Kunden oder Geschäftspartner des Opfers direkt kontaktiert und unter Druck gesetzt. Ransomware-as-a-Service (RaaS) macht all das heute ohne tiefes technisches Know-how zugänglich — fertige Angriffs-Toolkits, inklusive Support-Chat für die Erpresser.
Der Backup-Mythos im Detail
Warum klassische Backup-Lösungen versagen — die häufigsten Varianten:
Externe Festplatte dauerhaft angeschlossen: Wird vom Ransomware-Prozess miteinbezogen und verschlüsselt. Kein Schutz.
NAS im selben Netzwerk: Sobald das NAS über SMB erreichbar ist, ist es ein Angriffsziel. Moderne Ransomware sucht aktiv nach Netzlaufwerken. Kein Schutz.
Cloud-Sync (OneDrive, Dropbox, Google Drive): Synchronisiert die verschlüsselten Dateien automatisch hoch und überschreibt die Originale. Je nach Versionshistorie bleibt ein kurzes Zeitfenster zur Wiederherstellung — aber nur, wenn man es schnell genug merkt. Kein verlässlicher Schutz.
Was wirklich hilft: Die 3-2-1-Regel. Drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine offline und offsite. Die Offline-Komponente ist entscheidend — ein Backup, das nicht im Netzwerk erreichbar ist, kann nicht verschlüsselt werden. Und “offsite” bedeutet: nicht im selben Gebäude, das bei einem Brand oder Wasserschaden ebenfalls betroffen wäre.
Hinzu kommt: Backups müssen regelmäßig getestet werden. Ein Backup, das nie wiederhergestellt wurde, ist eine Hoffnung, keine Sicherung.
Was modernen Schutz wirklich ausmacht
EDR statt klassischem Antivirus
Endpoint Detection & Response-Lösungen analysieren das Verhalten von Prozessen in Echtzeit — nicht nur Signaturen bekannter Schadsoftware. Wenn ein Prozess beginnt, tausende Dateien in Sekunden zu verschlüsseln, erkennt EDR das Muster und stoppt den Prozess, bevor der Schaden vollständig ist. Klassischer Antivirus reagiert auf bekannte Malware. EDR reagiert auf verdächtiges Verhalten — auch bei völlig neuer Schadsoftware.
Netzwerksegmentierung
Wenn sich Ransomware im Netzwerk ausbreitet, tut sie das über flache Netzwerkstrukturen. Wer Server, Clients, IoT und Backups in getrennten Netzwerksegmenten betreibt, begrenzt den möglichen Schaden erheblich. Ein kompromittierter Buchhaltungsrechner sollte keinen direkten Zugriff auf Produktionssysteme haben.
MFA überall — besonders für Admins
Phishing ist und bleibt Eingangstor Nummer eins. MFA macht gestohlene Passwörter alleine wertlos. Wer noch Admin-Konten ohne MFA betreibt, hat eine offene Tür.
Strukturiertes Patch-Management
Ungepatchte Systeme sind die Einladung. VPN-Schwachstellen, Exchange-Lücken, Windows-Exploits — alles, was bekannt und ungepatcht ist, wird aktiv ausgenutzt. Patches müssen dokumentiert, priorisiert und zeitnah eingespielt werden.
Mitarbeiter-Awareness
Phishing funktioniert, weil Menschen unter Druck oder in Ablenkung klicken. Regelmäßige Schulungen und simulierte Phishing-Tests reduzieren die Anfälligkeit messbar. Kein technisches System ersetzt einen Mitarbeiter, der eine verdächtige Mail erkennt und meldet.
Der erste Tag nach einem Angriff
Wenn es passiert, zählt jede Minute — und die häufigsten Fehler werden in den ersten Stunden gemacht.
Nicht sofort alle Geräte ausschalten. Forensik braucht laufende Systeme, um den Angriffspfad zu rekonstruieren. Wer sofort den Stecker zieht, vernichtet Beweise.
Netzwerk isolieren. Betroffene Systeme vom Netz trennen — Kabel raus, WLAN deaktivieren — um weitere Ausbreitung zu stoppen.
Externe Spezialisten rufen. Incident Response ist kein Alltagsjob. Wer keinen IR-Dienstleister unter Vertrag hat, verliert im Ernstfall wertvolle Stunden mit der Suche nach einem.
BSI informieren. Für NIS2-regulierte Unternehmen ist die 24-Stunden-Meldung Pflicht. Für alle anderen ist es empfehlenswert — das BSI bietet aktiv Unterstützung an.
Anzeige erstatten. Polizei einschalten. Nicht nur aus Pflicht, sondern weil die Behörden heute deutlich besser aufgestellt sind als noch vor fünf Jahren.
Niemals sofort zahlen. Auch wenn der Druck enorm ist: Lösegeld zahlen garantiert nichts. Die Erfolgsquote für eine saubere Entschlüsselung nach Zahlung liegt laut unabhängigen Studien (Sophos State of Ransomware 2025) bei unter 70 % — und wer zahlt, signalisiert, dass er zahlen kann. Rechtliche Beratung vor jeder Entscheidung.
Wie gut ist Ihr aktueller Schutz wirklich? smetrics führt einen strukturierten Ransomware-Readiness-Check durch — Backup-Konzept, Netzwerkarchitektur, Endpoint-Security, Notfallplan. Konkrete Befunde, keine Präsentation. Jetzt anfragen.
Quellen