“Wir haben ein Backup — uns kann nichts passieren.” Dieser Satz fällt in der Beratung regelmäßig. Und er war lange nicht falsch: Ein funktionierendes Backup war jahrelang die zuverlässigste Versicherung gegen Ransomware. Wer seine Daten wiederherstellen konnte, hatte dem Angreifer seinen Hebel entzogen.
2026 ist das nicht mehr so einfach. Nicht weil Backups wertlos geworden wären — sie bleiben unverzichtbar. Sondern weil moderne Ransomware-Angriffe gezielt auf den Punkt abzielen, an dem ein Backup nicht mehr hilft. Wer das versteht, kann sich besser schützen. Wer es nicht versteht, kauft sich eine trügerische Sicherheit.
Wie moderne Ransomware wirklich funktioniert
Der populäre Begriff “Ransomware-Angriff” suggeriert einen einzelnen Moment: Dateien werden verschlüsselt, eine Lösegeldforderung erscheint. In Wirklichkeit ist das der letzte Schritt eines mehrstufigen Prozesses, der Tage oder Wochen vorher begonnen hat.
Phase 1 — Initialer Zugang. Angreifer gelangen ins Netzwerk, in der Regel über eine von drei Wegen: eine Phishing-Mail, die einen Mitarbeiter zur Eingabe seiner Zugangsdaten verleitet; eine ungepatchte Schwachstelle in VPN- oder Remote-Desktop-Systemen; oder ein schwaches, mehrfach verwendetes Passwort auf einem öffentlich erreichbaren Dienst. Der Einstieg selbst ist oft unspektakulär.
Phase 2 — Lateral Movement und Privilege Escalation. Im Netzwerk angekommen, bewegen sich Angreifer ruhig und systematisch. Sie suchen nach Administrator-Konten, kartieren die Netzwerkstruktur und identifizieren die wertvollsten Systeme: Fileserver, Backupsysteme, Buchhaltungssoftware, ERP. Dieser Schritt kann Wochen dauern — Stille ist dabei Strategie.
Phase 3 — Daten-Exfiltration. Bevor eine einzige Datei verschlüsselt wird, kopieren Angreifer die wertvollsten Daten nach draußen. Kundendaten, Konstruktionszeichnungen, Verträge, Gehaltsabrechnungen — was auch immer auf die Erpressbarkeit des Unternehmens einzahlt.
Phase 4 — Verschlüsselung und Forderung. Erst jetzt wird verschlüsselt, oft in den frühen Morgenstunden, wenn keine Mitarbeiter online sind. Mit der Verschlüsselung kommt die Forderung — und damit das zweite Druckmittel.
Double Extortion: Das ist der Kern des Problems. Angreifer drohen nicht nur damit, Dateien verschlüsselt zu lassen — sie drohen damit, die exfiltrierten Daten zu veröffentlichen oder an Konkurrenten zu verkaufen. Ein funktionierendes Backup löst die Verschlüsselung auf. Die Exfiltration lässt es nicht rückgängig machen.
Triple Extortion geht noch weiter: Parallel zur Lösegeldforderung an das betroffene Unternehmen werden dessen Kunden oder Geschäftspartner direkt kontaktiert — mit der Drohung, deren Daten zu veröffentlichen, wenn kein Druck auf das Opfer ausgeübt wird.
Ransomware-as-a-Service (RaaS) erklärt, warum die Angriffszahlen steigen: Spezialisierte Gruppen entwickeln die technische Infrastruktur und vermieten sie an Affiliates — Angreifer ohne eigene Programmierkenntnisse. Der technische Einstieg in die Kriminalität sinkt. Die Zahl der Angriffe steigt.
In Deutschland verzeichnet das BSI rund 1.345 Cyberangriffe pro Woche auf Unternehmen — Tendenz steigend. Etwa 80 % der Vorfälle treffen kleine und mittlere Unternehmen.
Aus der Praxis: Ein Lohnfertigungsbetrieb mit knapp 90 Mitarbeitern in Sachsen-Anhalt wurde im Frühjahr 2025 Opfer eines RaaS-Angriffs. Das Backup war vorhanden und funktionsfähig. Die Angreifer hatten es trotzdem bereits drei Wochen vor der Verschlüsselung gefunden — und deaktiviert. Als der Verschlüsselungsbefehl kam, gab es nichts mehr, auf das zurückgespielt werden konnte. Der Betrieb stand zwei Wochen still.
Der Backup-Mythos im Detail
Ein Backup schützt — wenn es richtig aufgebaut ist. Viele Unternehmen glauben, sie hätten eines. Was sie tatsächlich haben, hält einem Ransomware-Angriff nicht stand.
Externe Festplatte am USB-Port. Sie ist dauerhaft verbunden, erscheint dem Betriebssystem als Laufwerk und wird bei der Verschlüsselung miterfasst. Kein Schutz.
NAS im gleichen Netzwerk. Netzwerklaufwerke sind für Ransomware erreichbar, sobald das Netzwerk kompromittiert ist. Wenn das NAS auf demselben Netzwerksegment liegt wie die Arbeitsplätze, wird es mitgeschlüsselt. Kein Schutz.
Cloud-Sync (OneDrive, Dropbox, Google Drive). Synchronisationsdienste gleichen den lokalen Zustand mit der Cloud ab — in beide Richtungen. Werden lokale Dateien verschlüsselt, synchronisiert die Cloud-Lösung die verschlüsselten Versionen hoch und überschreibt die Originale. Die Versionierungsfunktion kann hier helfen, ist aber kein verlässlicher Ersatz für ein echtes Backup.
Was wirklich hilft: die 3-2-1-Regel. Drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon mindestens eine Kopie offline und außer Haus. Die Offline-Kopie ist der entscheidende Punkt — was nicht im Netzwerk erreichbar ist, kann nicht verschlüsselt werden. Und außer Haus bedeutet: auch im Fall eines Feuers, einer Überschwemmung oder eines physischen Einbruchs gesichert.
Ergänzung für 2026: Immutable Backups — unveränderliche Sicherungskopien, die auch mit Admin-Rechten nicht überschrieben oder gelöscht werden können. Anbieter wie Veeam oder Acronis unterstützen dieses Konzept.
Was modernen Schutz wirklich ausmacht
Ein Backup ist eine Schadensbegrenzungsmaßnahme. Es hilft nach einem Angriff. Was einen Angriff verhindert oder begrenzt, sind andere Maßnahmen.
EDR statt klassischem Antivirus. Klassische Antivirus-Software erkennt bekannte Schadsoftware anhand von Signaturen — Muster, die vorher in einer Datenbank hinterlegt wurden. Moderner RaaS-Code ist darauf ausgelegt, diese Signaturen nicht zu treffen. EDR (Endpoint Detection and Response) analysiert stattdessen das Verhalten von Prozessen: Schreibt ein Prozess ungewöhnlich viele Dateien in kurzer Zeit? Versucht er, auf Backup-Verzeichnisse zuzugreifen? Kommuniziert er mit unbekannten externen Adressen? Dieses Verhaltensmodell erkennt auch bisher unbekannte Angriffsmuster. Auf Netzwerkebene ergänzt ein Intrusion Detection & SOC-Monitoring den Endpunktschutz: Anomale Verschlüsselungsmuster und verdächtige Lateral-Movement-Aktivitäten werden in Echtzeit erkannt — oft bevor der finale Verschlüsselungsbefehl ausgeführt wird. Weitere Informationen zu einem vollständigen Schutzrahmen finden Sie unter Cyber Shield.
Netzwerksegmentierung. Wenn alle Systeme im gleichen Netzwerksegment liegen, kann sich Schadcode nach dem initialen Zugang ungehindert ausbreiten. Segmentierung trennt kritische Systeme — Produktionssteuerung, Buchhaltung, Backupsysteme — in eigene Netzwerkbereiche mit kontrollierten Übergängen. Ein Angreifer, der in die Büro-IT gelangt, kommt so nicht automatisch an die Fertigungssteuerung.
MFA überall — besonders auf Admin-Konten. Privilegierte Zugänge sind das wertvollste Ziel. Ein Admin-Konto ohne MFA ist in einem kompromittierten Netzwerk die direkteste Abkürzung zur vollständigen Übernahme.
Strukturiertes Patch-Management. Bekannte Schwachstellen in VPN-Gateways, Remote-Desktop-Diensten und Betriebssystemen sind die häufigsten Einstiegspunkte. Patches müssen nicht sofort, aber zeitnah und dokumentiert eingespielt werden. Was nicht gepatcht ist, steht in öffentlichen Schwachstellendatenbanken — und wird aktiv ausgenutzt. Ein strukturiertes Endpoint Management mit Intune stellt sicher, dass Compliance-Richtlinien, BitLocker-Verschlüsselung und Patch-Pflichten automatisiert durchgesetzt werden — ohne manuelle Nachverfolgung.
Mitarbeiter-Awareness. Phishing bleibt Eingangstor Nummer eins. Regelmäßige Schulungen und simulierte Phishing-Tests sind keine Formalität, sondern eine der kosteneffizientesten Schutzmaßnahmen überhaupt.
Incident-Response-Plan. Nicht “ob” ein Angriff kommt, sondern “wenn”. Wer ruft wen an? Wer trifft die Entscheidung, das Netzwerk zu trennen? Wer informiert Kunden und Behörden? Wer kommuniziert nach außen? Diese Fragen unter Druck zu beantworten kostet Zeit und Geld. Im Voraus zu beantworten kostet einen Nachmittag.
Der erste Tag nach einem Angriff
Wenn die Verschlüsselung eingesetzt hat, kommt es auf die nächsten Stunden an.
Nicht sofort alle Geräte ausschalten. Der Reflex ist verständlich — aber falsch. Laufende Systeme enthalten flüchtige Informationen im Arbeitsspeicher, die für die forensische Analyse entscheidend sein können: Angreifer-Tools, Verbindungsdaten, verschlüsselte Schlüssel. Ein abruptes Abschalten vernichtet diese Spuren.
Netzwerk-Isolation. Was ausgeschaltet werden sollte: der Internetzugang und die Verbindungen zwischen Netzwerksegmenten. Netzwerkkabel trennen, WLAN-Access-Points deaktivieren. Ziel ist es, die Ausbreitung zu stoppen, ohne forensische Beweise zu vernichten.
Externe Incident-Response-Spezialisten hinzuziehen. Forensik nach einem Angriff ist Spezialarbeit. Wer dabei Fehler macht — falsch gesicherte Logs, überschriebene Datenträger, vorschnell neuaufgesetzte Systeme — verliert nicht nur Beweise, sondern möglicherweise auch Versicherungsansprüche. Unsere Incident Response & IT-Forensik-Leistungen decken diesen Ablauf strukturiert ab — von der gesicherten Beweissicherung über Krisenmanagement bis zur BSI-Meldung und forensischen Aufarbeitung.
BSI-Meldung. Für NIS2-pflichtige Unternehmen ist eine erhebliche Störung innerhalb von 24 Stunden zu melden. Aber auch ohne NIS2-Pflicht empfiehlt das BSI die freiwillige Meldung — sie hilft, das Lagebild für alle Unternehmen zu schärfen.
Anzeige bei der Polizei. Cyberkriminalität ist Kriminalität. Eine Strafanzeige ist Voraussetzung für eventuelle Versicherungsleistungen und eröffnet Ermittlungen, die in Einzelfällen tatsächlich zu Tätern führen.
Nicht zahlen, ohne rechtliche Beratung. Selbst wenn die Entscheidung fällt, das Lösegeld zu zahlen: Die Erfolgsquote einer sauberen Entschlüsselung liegt nach Angaben des Sophos State of Ransomware Reports bei rund 60–70 % [QUELLE: Sophos State of Ransomware 2025 — URL eintragen]. Und: In manchen Fällen sind Zahlungen an Sanktionslisten-Organisationen rechtlich problematisch. Juristischer Beistand vor der Zahlung ist Pflicht, nicht Option.
Backups sind notwendig — aber nicht hinreichend
Das Fazit ist kein Widerspruch: Backups gehören in jeden Schutzplan, und ein ransomware-resistentes Backup-Konzept nach der 3-2-1-Regel ist unverzichtbar. Aber wer glaubt, damit fertig zu sein, hat das Problem nicht vollständig verstanden. Daten-Exfiltration, deaktivierte Backupsysteme und RaaS-Professionalität haben die Angriffswirklichkeit verändert.
Wer wissen möchte, wie gut sein aktueller Schutz tatsächlich aufgestellt ist — Backup-Konzept, Netzwerkarchitektur, EDR-Abdeckung — bieten wir eine strukturierte Erstbewertung an. Sprechen Sie uns an über
Cyber Shield
Quellen:
- BSI Lagebericht IT-Sicherheit Deutschland 2025: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lageberichte/lageberichte_node.html
- Sophos State of Ransomware 2025: https://www.sophos.com/en-us/content/state-of-ransomware
- BSI Empfehlung Datensicherung (3-2-1-Regel): https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Datensicherung/datensicherung_node.html