Alle Beiträge Netzwerk & Infrastruktur

Ransomware-Schutz für kleine und mittlere Unternehmen

Ransomware trifft nicht nur Konzerne. Wie KMU sich realistisch schützen — ohne Panikmache und ohne unbezahlbare Tool-Listen.

Veröffentlicht
12. Februar 2026
Autor
Jakub Kaczor
Lesezeit
9 Min.
Aktualisiert
19. Mai 2026
Symbolbild Ransomware-Schutz im Mittelstand

Ransomware-Angriffe auf den deutschen Mittelstand sind keine Schlagzeile von 2017 — sie passieren wöchentlich, oft im Verborgenen, oft erst Wochen nach Veröffentlichung der Fakten. Das BSI meldet konstant hohe Bedrohungslagen, und die Tendenz für die nächsten Jahre ist nicht „weniger”. Für KMU geht es nicht darum, jedes denkbare Angriffsszenario abzudecken — das ist nicht finanzierbar. Es geht darum, die häufigsten Angriffswege abzudichten und im Ernstfall handlungsfähig zu sein.

Wie Ransomware typischerweise hineinkommt

Drei Wege machen den allergrößten Teil aus:

  1. Phishing-E-Mail mit infiziertem Anhang oder Link. Jemand klickt, ein Skript läuft, Schadcode etabliert sich im System.
  2. Ungeschlossene Sicherheitslücken in extern erreichbaren Systemen. VPN, Remote-Desktop, schlecht gepatchte Firewall, alte Mailserver.
  3. Kompromittierte Zugangsdaten. Passwort eines Mitarbeiters wurde in einem Datenleck mitgesaugt; Angreifer probiert es bei Ihrem System.

Wer diese drei Wege schließt, hat 80 % des realistischen Risikos abgedeckt. Der Rest verteilt sich auf alles andere zusammen.

Die wichtigsten Schutzmaßnahmen — in Reihenfolge

1. Backup mit 3-2-1-Strategie Erste Verteidigungslinie ist nicht Schutz — es ist Wiederherstellung. Wer ein erprobtes Backup hat, kann selbst nach einem erfolgreichen Angriff weitermachen. Details im Artikel Backup-Strategie nach dem 3-2-1-Prinzip.

2. Patch-Management Sicherheits-Updates für Windows, Office, Browser und alle extern erreichbaren Systeme — monatlich, mindestens. Wer Updates „später” macht, läuft ungeschützt durch bekannte Schwachstellen.

3. Mehrfaktor-Authentifizierung (MFA) Für alle Konten, die von außen erreichbar sind. Microsoft 365, VPN, Admin-Konten. MFA macht gestohlene Passwörter weitgehend wirkungslos.

4. Endpoint-Schutz auf jedem Gerät Moderne Endpoint-Detection-and-Response-Lösungen (EDR) statt klassischer Antivirus-Programme. Erkennt verdächtiges Verhalten, nicht nur bekannte Signaturen. Microsoft Defender for Business, Sophos, ESET, CrowdStrike sind etablierte Optionen.

5. E-Mail-Filter mit Anti-Phishing Mehr als 90 % der Schadsoftware kommt per Mail. Ein professioneller Filter sortiert das meiste aus, bevor es den Mitarbeiter erreicht.

6. Netzwerksegmentierung Office, Produktion, Gäste, IoT in getrennten Netzen. Ein gehackter Bürorechner soll nicht die Maschinensteuerung erreichen.

7. Privileged Access Admin-Konten sind getrennt von normalen Mitarbeiter-Konten. Niemand arbeitet täglich mit Administrator-Rechten. Wenn doch, ist die Wahrscheinlichkeit von kompromittierten Admin-Zugängen hoch.

8. Awareness-Schulung Eine Stunde pro Mitarbeiter pro Jahr. Erklären, wie Phishing aussieht, was bei Verdacht zu tun ist, wer kontaktiert wird. Die Mitarbeiter sind nicht das Problem, sondern die wichtigste Verteidigungslinie — wenn sie wissen, worauf sie achten sollen.

9. Notfallplan Konkretes Dokument: was tun bei Verdacht, wer wird angerufen, wer entscheidet über Trennung vom Netz, wer informiert Geschäftsleitung, Aufsicht, Versicherer.

Was Sie nicht brauchen

Wird oft verkauftRealität für KMU
Hochpreisige SIEM-LösungenSelten verhältnismäßig in dieser Größe.
24/7-SOC-ServiceSinnvoll ab ca. 100 Mitarbeitern oder regulierter Branche.
Penetrationstests jedes QuartalEinmal jährlich reicht im KMU; im Wachstum oder nach Architektur-Änderungen.
Acht verschiedene Security-ToolsSchmerzhafter Pflegeaufwand. Konsolidierung schlägt Vielfalt.
Cyber-Versicherung als alleiniger SchutzWichtig als Ergänzung, ersetzt aber keine Maßnahmen.

Was Schutz realistisch kostet

Beispiel: 25 Mitarbeiter, ein Server, Microsoft 365.

  • Backup-Lösung (siehe oben): 1.800 – 5.000 € pro Jahr.
  • Endpoint-Schutz: 4 – 12 € pro Endgerät und Monat.
  • Mail-Filter: 2 – 5 € pro Konto und Monat.
  • MFA: kostenlos in Microsoft 365 enthalten.
  • Firewall (Hardware + Lizenz): 1.200 – 3.500 € initial, plus 300 – 800 € pro Jahr.
  • Awareness-Schulung: 1.500 – 4.000 € pro Jahr.
  • Patch-Management (intern oder extern): 1.000 – 4.000 € pro Jahr.

Gesamt typischerweise 8.000 – 18.000 € pro Jahr für ein solides Niveau. Bei größeren Setups skaliert das mit Endgeräten.

Wenn es passiert ist

Die ersten drei Stunden entscheiden viel. Klare Reihenfolge:

  1. Betroffene Systeme vom Netz trennen — Stecker ziehen, WLAN aus, VPN kappen.
  2. Nicht herunterfahren — Forensik braucht laufende Systeme.
  3. Ressourcen sichern — Backups isolieren, sicherstellen, dass sie nicht infiziert sind.
  4. Externe Hilfe holen — IT-Forensik, im Zweifel BSI-Hotline.
  5. Geschäftsleitung informieren, Krisenstab bilden.
  6. Behörden und Versicherer kontaktieren — DSGVO-Meldepflicht prüfen (innerhalb 72 Stunden bei personenbezogenen Daten).
  7. Erst danach Wiederherstellung beginnen.

Auf keinen Fall: zahlen. Das BSI rät klar davon ab. Es gibt keine Garantie, dass Daten wirklich entschlüsselt werden — und der Geldfluss finanziert weitere Angriffe.

FAQ

Sind wir als KMU überhaupt ein Ziel? Ja. Angreifer nutzen automatisierte Werkzeuge, die unspezifisch scannen. Wer in dieser Maschinerie auftaucht, wird zum Ziel — Branche oder Größe ist sekundär.

Reicht ein Antivirus-Programm? Klassische Signatur-Antivirus ist heute nicht ausreichend. Aktuelle Endpoint-Detection erkennt Verhalten, nicht nur bekannten Code — das ist die Mindestanforderung.

Sollen wir eine Cyber-Versicherung abschließen? Sinnvoll, ergänzend. Wichtig: viele Policen verlangen Mindeststandards (MFA, Patch-Management, Backup-Test). Wer die nicht hat, bekommt im Schadensfall keine Leistung.

Wie schnell sollten wir Sicherheits-Updates einspielen? Kritische Updates innerhalb von 14 Tagen, im Idealfall innerhalb von 7 Tagen. Reguläre Patches monatlich, in einem festen Fenster.

Wie wir das angehen

Wir setzen Schutzmaßnahmen in der oben genannten Reihenfolge auf — Backup zuerst, Patch-Management zweitens, Endpoint-Schutz drittens. Dokumentiert, mit Quartalstest. Kein Tool-Wirrwarr, sondern konsolidierte Lösungen, die zur Größe passen. Mehr dazu auf Netzwerk & IT-Infrastruktur. Wenn Sie Compliance-seitig eine NIS2-Betroffenheit haben, hilft auch der Artikel NIS2: Bin ich betroffen und was muss die Geschäftsleitung tun?.

Anrufen
E-Mail
WhatsApp