Die Anzahl an Cyberangriffen steigt. 2022 um 27 Prozent im Vergleich zum Vorjahr; 2023 nochmals um 24 Prozent. Neben Naturkatastrophen und Krankheitswellen sind es Cyberangriffe, die Unternehmen in der technologisierten Gesellschaft herausfordern. Wir zeigen, wie Unternehmen nach einem Ransomware-Angriff reagieren sollten und wie sie dabei die Oberhand behalten.
2023 verursachten Cyberangriffe einen Gesamtschaden von über 200 Milliarden Euro. Für das Jahr 2024 wird der Schaden auf 265 Milliarden Euro geschätzt.
(Bild: Andrey Popov - stock.adobe.com)
Der Arbeitstag beginnt, der Posteingang wird gecheckt und dann passiert es: Der Zugriff auf die eigenen Dateien wird verweigert, das komplette System ist blockiert. Die Ursache: Ein Ransomware-Angriff. Unternehmensdaten wurden verschlüsselt und liegen bei den Angreifern, die nun ein Lösegeld verlangen und mit der Veröffentlichung der Daten drohen, sollte das Lösegeld nicht gezahlt werden. Schon ein unbedachter Klick auf einen Link, das Öffnen eines E-Mail-Anhangs oder einer infizierten Website genügt, um ein Szenario wie dieses auszulösen. Und die Gefahr steigt: Pro Tag registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) 70 neue kritische Schwachstellen in Software-Produkten. Und gerade, wenn Unternehmen von einer Ransomware-Attacke getroffen werden, sind die Schäden meist empfindlich hoch.
Gefahr durch Ransomware steigt massiv
Allein im Jahr 2023 verursachten Cyberangriffe einen Gesamtschaden von über 200 Milliarden Euro. Für das Jahr 2024 wird der Schaden auf 265 Milliarden Euro geschätzt. Zusätzlich zu dem Lösegeld kommen Kosten für Betriebsstörungen und die Datenwiederherstellung bei Umsatzeinbußen und Reputationsschäden hinzu. Betroffen sind nicht nur die großen Unternehmen und Konzerne. Auch kleine und mittlere Betriebe werden angegriffen – für die meisten ein Existenzrisiko. Inzwischen fokussieren sich die Kriminellen auf mobile Geräte, um sowohl an unternehmensbezogene als auch personenbezogene Daten zu gelangen. Die entsprechenden Ransomware-Kits sind inzwischen schon für 40 Dollar käuflich zu erwerben. Vorsicht ist geboten, Prävention zwingend notwendig.
Die vier Phasen eines fiktiven Ransomware-Angriffs
Phase 1: „Sie wurden gehackt“
Das fiktive Szenario beginnt mit einem Klick auf einen infizierten Link oder einen gefährlichen E-Mail-Anhang. Das eigene PC-System wurde durch die Angreifenden gesperrt. Umgehend öffnet sich ein Bildschirmfenster. Die Angreifenden informieren die Mitarbeitenden und dadurch auch das Unternehmen über die entwendeten und nun verschlüsselten Unternehmensdaten – Preislisten, Kundendaten, Gehaltsinformationen oder ähnliches –, fordern ein Lösegeld und drohen mit der Veröffentlichung der Daten, sollte der Angriff ignoriert oder das Lösegeld nicht gezahlt werden.
In dem Moment des Angriffs ist es essenziell, den internen Krisen- und Notfallplan zu aktivieren. Mit einem digitalen Tool erfolgt diese Alarmierung per einfachen Klick, um 1.) das Krisenmanagement zu informieren und 2.) wahlweise weitere Personen über den Vorfall und das weitere Vorgehen zu informieren. Zusätzlich ermöglichen digitale Tools, sofern diese unabhängig von der eigenen IT-Infrastruktur betrieben werden wie zum Beispiel als extern gehostete SaaS-Lösung, eine abteilungsübergreifende Kommunikation, selbst wenn das interne IT-System lahmgelegt wird. So wird die angegriffene Person anschließend automatisch mit dem Krisenstab in einen sicheren virtuellen Raum zugelassen oder ein physisches Treffen organisiert, um die nächsten Schritte zu besprechen.
Phase 2: Das Krisenmanagement wird aktiviert
Tritt diese Krise ein, gilt es, sich so schnell wie möglich einen Überblick zu verschaffen, alle notwendigen Rollen einzuberufen und die Handlungsmöglichkeiten zu definieren. Dazu sollten immer die W-Fragen – Was ist passiert? Wo ist es passiert? Wann ist es passiert? Warum ist es passiert und wie ist es passiert? – beantwortet werden. Erst dann können Krisenverantwortliche Entscheidungen treffen und die nächsten Schritte einleiten. Wichtig ist auch, alle Stakeholder – u.a. Medien, Investoren, Kunden – ins Boot zu holen und den Reputationsschaden möglichst gering zu halten. Ist der Vertrauensverlust zu groß, würde sich das auf die weitere Zusammenarbeit auswirken. Denn die Angreifenden könnten ebenfalls Zugriff auf die gespeicherten Daten Einzelner haben und diese jederzeit nutzen, um ihre Verhandlungsposition zu stärken. Digitale Tools wie beispielsweise FACT24 können diese Kommunikation vereinfachen und professionalisieren.
Die einzelnen Rollen und Verantwortlichkeiten sollten bereits im Vorfeld definiert worden sein. Der genaue Prozess zur Krisenbewältigung ist unternehmensspezifisch, kann sich aber an der Grafik orientieren. Auf digitalen Tools können die Informationen zur Situation, Lösungsmöglichkeiten, Entscheidungsvorschläge, die Gründe für die Entscheidung und eine Schlussfolgerung festgehalten werden.
In der Regel gibt es mindestens drei Optionen für das weitere Vorgehen: Das Lösegeld direkt zu zahlen, das Lösegeld nicht zu bezahlen oder zu verhandeln. Vor diese Wahl gestellt, müssen Unternehmen sich immer fragen, ob sie überhaupt bereit sind, mit Kriminellen zu verhandeln – eine Frage, die auch ethische Implikationen mit sich bringt. Neben dieser ethischen Implikation gilt es natürlich auch die finanzielle Ebene zu betrachten: Liegen die Wiederherstellungskosten inklusive einer Lösegeldzahlung über oder unter den Kosten des Versuches, die Daten ohne die Entschlüsselungssoftware wiederherzustellen? Im Ernstfall sind diese Faktoren sorgfältig abzuwägen, um das bestmögliche Vorgehen zu bestimmen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Phase 3: Die Verhandlung wird eingeleitet
Ganz egal, ob das Unternehmen grundsätzlich zur Zahlung eines Lösegeldes bereit ist oder nicht: In jedem Fall sollte es in die Verhandlung treten und die Bereitschaft zur Zahlung äußern, um wertvolle Zeit zu gewinnen. Ob ein Unternehmen tatsächlich zahlt, hängt von vielen Faktoren ab. Handelt es sich beispielsweise um eine russische Attacke oder einen Angriff aus einem anderen Land, das auf einer Sanktions-Liste steht, darf bereits aus juristischen Gründen kein Lösegeld gezahlt werden. Auch die Unternehmens-Policy gibt in den meisten Fällen klare Handlungsanweisungen vor – und für alle im Artikel genannten Ratschläge gilt: Jede Cyberattacke ist unterschiedlich und kann sich anders auf das Unternehmen auswirken. Für die strategisch taktische Beratung von Verhandlungsgesprächen sollten spezialisierte Experten herangezogen werden.
Um zu verhandeln, müssen Unternehmen in der Regel einen Tor Browser downloaden, um auf den spezifischen Service der Angreifer zuzugreifen und einen „Proof of Data“ anzufordern. So gewinnen sie einen Einblick in die gestohlenen Daten. Dieser Datensatz sollte direkt an die IT-Abteilung zur Einschätzung des Schadens und der Kosten für die Wiederherstellung weitergeleitet werden. Allein, um zu diesem Zeitpunkt noch abteilungsübergreifend schnell und effektiv kommunizieren zu können, sind digitale Kommunikations-Tools unerlässlich. Diese können als Software-as-a-Service implementiert und dadurch bei einer ausgefallenen IT-Infrastruktur genutzt werden. Mit einer integrierten Chat-Funktion können sich die Abteilungen untereinander kontaktieren und Dateien wie den “Proof of Data” austauschen. Dadurch bleibt die Kommunikation schnell und auf die Bewältigung der Krise ausgerichtet.
Wurden alle Informationen zusammentragen, wird die Verhandlung um das Lösegeld mit polizeilicher Unterstützung intensiviert. Haben sich beide Seiten geeinigt, wird das Lösegeld meist in Bitcoin oder einer vergleichbaren Währung gezahlt. Unternehmen müssen sich jedoch des Risikos bewusst sein, dass die Angreifenden unter Umständen die Daten trotz Zahlung nicht freigeben könnten. Um das Risiko eines solchen Szenarios zu minimieren, sollten Unternehmen sich zunächst schriftlich bestätigen lassen, dass der Angreifende bei Zahlung des Lösegeldes auch sicher garantiert, die Daten nicht zu veröffentlichen und einen Downloadlink – einen sogenannten Decrypter – mit den Daten bereitzustellen.
Verhandlungstipp: Ungerade Zahlen wirken seriöser und erhöhen dadurch die Wahrscheinlichkeit, das Lösegeld zu reduzieren.
Phase 4: Die Nachbereitung optimiert die Sicherheit und die Prozesse
Die Verhandlung lief erfolgreich, die Medien, Stakeholder sowie Geschäftsführung sind informiert. Doch erst jetzt beginnt die eigentliche Arbeit. Dabei geht es darum, die gehackte IT-Infrastruktur grundlegend neu aufzubauen. Noch sicherer als die vorherige, mit stärkeren E-Mail-Filtern, klügeren Passwort-Regeln bis hin zu fortlaufend aktuellen System-Updates. Auch Regelmäßige IT-Sicherheitsschulungen helfen dabei, das Bewusstsein für Gefahren wie Phishing-Mails und Social Engineering zu schärfen. Hat das angegriffene Unternehmen bis zu diesem Zeitpunkt bereits mit einem digitalen Tool gearbeitet, wurden alle Schritte des Krisenmanagements sorgfältig protokolliert. Aus diesen können wichtige Learnings abgeleitet und Trainings aufgebaut werden. Dann ist keine Krisensituation unlösbar und das Unternehmen geht dank der digitalen Resilienz-Steigerung gestärkt aus der Krise hervor.
Über den Autor: Markus Epner ist ausgewiesener Krisenexperte mit einer mehr als 20-jährigen Erfahrung im Sicherheits- und Krisenmanagement, u.a. bei der Deutschen Lufthansa und Boehringer Ingelheim. Aktuell ist Epner bei F24 als Head of Academy tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/36/6c/366cd695200c41535c06b4179ee97852/0125498142v2.jpeg "Ransomware ist eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Sie wollen sich damit meist finanziell bereichern. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/1a/c6/1ac63ffc66b280858cf7d7a0bfddf128/0125841252v2.jpeg "Dem State of Ransomware Report von Sophos zufolge gab es im Vergleich zum Vorjahresreport zwar weniger Cyberattacken, dafür wurde aber mehr Lösegeld bezahlt. (Bild: Thomas - stock.adobe.com)")