Ransomware hat sich zu einem industriellen Geschäftsmodell entwickelt. Deutsche KMU geraten verstärkt ins Visier, weil gewachsene IT-Landschaften, begrenzte Ressourcen und Altsysteme sie verwundbar machen. Viele verlassen sich auf Maßnahmen, die in der Praxis wenig Schutz bieten: klassische Antivirenprogramme, ungetestete Backups und einmalige Awareness-Schulungen.
Viele KMU verlassen sich auf Maßnahmen, die kaum Schutz bieten: klassische Antivirenprogramme erkennen moderne Ransomware oft nicht mehr zuverlässig, Backups sind häufig ungetestet und einmalige Awareness-Schulungen schaffen kein echtes Sicherheitsbewusstsein.
Cyberkriminelle professionalisieren sich rasant und mit Ransomware-as-a-Service entstehen Strukturen, die eher an Start-ups als an Schattennetzwerke erinnern. Während Großunternehmen ihre Abwehr hochrüsten, geraten deutsche KMU zunehmend ins Kreuzfeuer. Ein Blick auf Ursachen, Mechanismen und Auswege.
Die Vorstellung des hochspezialisierten Einzelhackers hat ausgedient. Ransomware hat sich von einer technischen Bedrohung zu einem industriellen Geschäftsmodell entwickelt. Angreifer arbeiten heute mit Rollenverteilungen, Support-Teams und automatisierten Angriffsketten, die kaum noch an klassische Hacker erinnern. Die Strukturen ähneln modernen Softwareunternehmen, nur das Geschäftsmodell ist ein anderes.
Wo früher tiefes technisches Know-how nötig war, reicht heute ein Baukastensystem, das Angriffspfade automatisiert, Infrastruktur bereitstellt und selbst ungeübten Tätern präzise Werkzeuge liefert.
Ransomware ist damit nicht mehr primär eine technologische Herausforderung, sie ist ein Geschäftsmodell, das skaliert.
Während Konzerne in den letzten Jahren massiv in Sicherheitsstrukturen investiert haben, zeigt sich im Mittelstand oft ein anderes Bild: gewachsene IT-Landschaften, begrenzte Ressourcen, parallellaufende Altsysteme und nur punktuell aufgesetzte Sicherheitsmaßnahmen. Das macht KMU aus Sicht der Täter zu einem idealen Angriffsziel: geringerer Aufwand, schnellerer Erfolg, hoher Schaden.
Hinzu kommt der reale wirtschaftliche Hebel. In Branchen wie Produktion, Logistik, Gesundheitswesen oder Professional Services können schon wenige Stunden Ausfall existenzielle Folgen haben. Genau darauf setzen Tätergruppen. Wertvolle Produktionsdaten, vertrauliche Mandanteninformationen oder Maschinendokumentationen lassen sich gezielt als Druckmittel einsetzen.
Diese Mischung aus verwundbaren Systemen und hoher Schadenswirkung macht KMU zum lukrativen Ziel - nicht trotz, sondern wegen ihrer Größe.
Automatisierte Technik trifft auf menschliche Faktoren
Technisch nutzen viele Kampagnen dieselben Einstiegspunkte: ungepatchte VPN-Gateways, offen erreichbare Remote-Dienste, veraltete Server oder falsch konfigurierte Cloud-Anbindungen. RaaS-Gruppen scannen das Internet kontinuierlich nach genau diesen Angriffsmöglichkeiten und automatisieren den Erstzugriff weitgehend.
Doch ein Großteil der erfolgreichen Angriffe beginnt immer noch auf menschlicher Ebene. Phishing ist nach wie vor der häufigste Startpunkt – verstärkt durch KI-gestützte Personalisierungsmethoden, die täuschend echte Kommunikation ermöglichen. Ebenso kritisch ist der Bereich der Schatten-IT: private Cloud-Speicher, nicht autorisierte Tools oder vergessene Zugänge externer Dienstleister schaffen zusätzliche Angriffsflächen, die häufig gar nicht im Blick der Unternehmen liegen.
Einmal im Netzwerk, profitieren Angreifer von fehlender Segmentierung und zentralisierten Admin-Rechten. In vielen Fällen reicht ein kompromittierter Account aus, um sich lateral auszubreiten und kritische Systeme zu erreichen.
In Gesprächen mit mittelständischen Firmen fällt immer wieder auf, dass viele sich auf Maßnahmen verlassen, die in der Praxis wenig Schutz bieten. Klassische Antivirenprogramme etwa erkennen moderne Ransomware kaum noch zuverlässig, insbesondere wenn Angreifer manuell vorgehen. Auch Compliance-Prüfungen oder Zertifizierungen werden häufig mit realer Wirksamkeit verwechselt.
Ähnlich trügerisch sind Backups, die zwar vorhanden, aber nicht getestet sind oder im schlimmsten Fall online angebunden und damit im Ernstfall verschlüsselbar. Ein Backup ist erst dann ein Sicherheitsfaktor, wenn es strikt getrennt, regelmäßig kontrolliert und unter realen Bedingungen zurückgespielt wurde.
Auch Awareness-Maßnahmen werden häufig überschätzt: einmalige Online-Schulungen schaffen kein Sicherheitsbewusstsein. Was fehlt, ist Routine – kurze, wiederkehrende Trainings und simulierte Angriffe, die Mitarbeitende tatsächlich auf Situationen vorbereiten.
Expertenkommentar
„Aus meiner Erfahrung sehe ich bei vielen Mittelständlern immer wieder die gleichen Fehlannahmen. Es wird wahnsinnig viel Energie in Maßnahmen gesteckt, die gut aussehen, aber in der Praxis wenig Wirkung entfalten - vor allem, wenn die Grundlagen fehlen.
Moderne Ransomware umgeht traditionelle Antivirenlösungen spielend. Ohne Endpoint-Überwachung bleiben kritische Aktivitäten unsichtbar. Auch jährliche Pentests reichen nicht mehr. Sie müssen Teil eines kontinuierlichen Sicherheitsprozesses sein: mit Nachtests, Priorisierung und konsequenter Umsetzung.
Ebenso problematisch sind einmalige Awareness-Trainings. Sicherheit entsteht durch Routine, nicht durch Folien. Regelmäßige Kurzformate, Phishing-Simulationen und echte Übungsszenarien sind deutlich wirksamer.
Und Backups? Viele verlassen sich darauf, obwohl sie weder getrennt noch getestet sind. Ein Backup ohne Restore-Test ist eine Illusion.
Der Fokus muss daher klar auf den Basics liegen: kontinuierliche Schwachstellenprüfung, regelmäßige Tests, laufende Schulungen, MFA und realistisches Monitoring. Diese Grundlagen verhindern den Großteil erfolgreicher Angriffe. Wenn KMU genau dort anfangen, machen sie sofort einen riesigen Schritt nach vorne.“
Alexander Maslo, Senior Technical Advisor der Sheriff Security GmbH
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Was wirklich wirkt und was nicht
Die Erfahrung zeigt: Effektiver Schutz entsteht nicht durch glänzende Tools, sondern durch eine klare Priorisierung. Die größten Fortschritte erzielen KMU meist durch grundlegende Maßnahmen wie durchgängige Multi-Faktor-Authentifizierung, saubere Rechtevergabe, Monitoring und kontinuierliches Schwachstellenmanagement. Ergänzend zählt vor allem eines: Geschwindigkeit. Der Unterschied zwischen einem Vorfall und einer Krise entscheidet sich oft innerhalb der ersten Minuten und ohne Detection & Response bleibt diese Zeit ungenutzt.
Dass diese Basics häufig fehlen, belegt nahezu jeder untersuchte Vorfall. Zwei Beispiele verdeutlichen es: Eine Steuerberatungskanzlei in NRW verlor nach gestohlenen RDP-Zugangsdaten binnen Stunden den Zugriff auf alle Mandantendaten. Ein Logistikunternehmen mit rund 70 Mitarbeitenden erlebte nach der Kompromittierung eines M365-Kontos einen Stillstand seiner Routenplanung - mit direkten Auswirkungen auf vertragliche Verpflichtungen. In beiden Fällen waren fehlende MFA, unzureichendes Monitoring und mangelhafte Segmentierung zentrale Faktoren.
Über den Autor: Oleksii Lysenko ist CEO der Sheriff Security GmbH. Der Schwerpunkt liegt auf ganzheitlichen Cybersecurity-Lösungen, die Unternehmen zuverlässig vor digitalen Bedrohungen schützen und Systeme, Daten und Prozesse nachhaltig absichern.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/2c/1e/2c1e3989b1b90904872cabde7eb0a6a4/0129888862v2.jpeg "Viele KMU verlassen sich auf Maßnahmen, die kaum Schutz bieten: klassische Antivirenprogramme erkennen moderne Ransomware oft nicht mehr zuverlässig, Backups sind häufig ungetestet und einmalige Awareness-Schulungen schaffen kein echtes Sicherheitsbewusstsein. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/32/62/32620eb62e7bf8901adb3e3c64e6a101/0129882648v1.jpeg "Ransomware-Angriffe auf OT-Systeme stiegen 2025 um 64 Prozent bei 3.300 betroffenen Organisationen. Dragos identifizierte drei neue Angreifergruppen, die industrielle Prozesse analysieren, um physische Schäden zu verursachen. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/ed/82ed8e528452a616405d60e5233468b5/0129895942v2.jpeg "Protected Users härtet privilegierte AD-Konten durch technische Einschränkungen auf Clients und Domänencontrollern. Die Sicherheitsgruppe reduziert Angriffsflächen messbar, verlangt aber Betriebsdisziplin. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/fa/fbfad3864ef2a802462c0e63f2b7dff2/0122470970v1.jpeg "Aktive Angriffe laufen auf Microsoft-Produkte derzeit zwar nicht. Dennoch waren einige der Schwachstellen vor dem Patchen öffentlich bekannt und die Updates des Microsoft Patchdays sollten dringend umgesetzt werden. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e404520283714af15431e4963d7ea71/0129740507v2.jpeg "Trotz der Zerschlagung im Mai 2025 ist LummaStealer laut Bitdefender wieder aktiv und verbreitet sich vor allem über Social Engineering mit CastleLoader, um Zugangsdaten und Sitzungen von Opfern abzugreifen. (Bild: donald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/00/3b00ece51f9d7136ddba9ddf090c7826/0129889664v1.jpeg "NIS-2 und der CRA markieren einen Paradigmenwechsel: Cybersicherheit in Unternehmen, Dienstleistungen und Produkten wird durch die neuen gesetzlichen Anforderungen vom technischen Thema zur knallharten Compliance-Pflicht. (Bild: © mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/4a/0d4a805981611f7acce37b36a12efb3c/0129887977v1.jpeg "Das KRITIS-Dachgesetz führt Unternehmen zu einem systematischen, überprüfbaren Umgang mit Risiken. Digitale Informationszwillinge helfen hier, weil sie Komplexität beherrschbar machen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/1a/de1ae4cb156aee02c7e54345c6c91ec4/0129540842v2.jpeg "96 Prozent der Ransomware-Opfer verlieren ihre Backups, weil Angreifer Wiederherstellungssysteme gezielt angreifen. Immutability macht Backups technisch unveränderlich und schützt vor Manipulation. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/2a/f52ae5932796c8711c2309a85a2710a3/0125772619v2.jpeg "Die Auswirkungen von Ransomware sind in vielen Fällen so massiv, dass sich Unternehmen oftmals genötigt fühlen, die Lösegelder zu bezahlen. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/68/6968270f0a8cb0827bbb22e1046f3f2f/0122644286v2.jpeg "In jedem Unternehmen wird Ransomware vermutet. So hoch sind die Kosten eines tatsächlichen Datendiebstahls und so gehen die Betroffenen damit um. (Bild: jamdesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/4d/1d4d18230dd6ea00a5b56151d22e7c09/0124273433v2.jpeg "Same Mistake, Different Company; Ransomware-Opfer sind sich oft so ähnlich, weil die selben Fehler in vielen unternehmen begangen werden. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/75/c5754ce1c35d5c702b48494667c66be3/0125539543v2.jpeg "Lieferketten sind ein attraktives Ziel für Cyberkriminelle, besonders wenn wirtschaftlicher Druck zu Abstrichen bei der IT-Sicherheit führt. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/ee/cbee1c75724b01f8b5d924146aff237f/0126746219v2.jpeg "Resilienz als Führungsaufgabe: Wer vorbereitet ist, bewahrt Sicherheit und Vertrauen in der Krise. (Bild: © DigitalMagicVisions - stock.adobe.com / KI-generiert)")