Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Ratgeber · Aktualisiert Juni 2026

Schutz vor Ransomware: Prävention, Sofortmaßnahmen und Notfallplan

Ransomware verschlüsselt Daten und erpresst Lösegeld — und trifft Konzerne wie Privathaushalte. Dieser Leitfaden erklärt, wie Sie sich wirksam schützen, was im Ernstfall sofort zu tun ist und wo Sie offizielle Hilfe finden.

Automatisiert erstellt von CyberDeutsch

01Was ist Ransomware?

Ransomware ist Schadsoftware, die Daten auf einem Gerät oder im gesamten Netzwerk verschlüsselt und für die Freigabe ein Lösegeld („ransom“) fordert. Bis zur Zahlung — meist in Kryptowährung — bleiben Dateien, Anwendungen und oft ganze Systeme unbrauchbar. Für Unternehmen bedeutet das Produktionsstillstand, für Privatpersonen den Verlust von Fotos, Dokumenten und Erinnerungen.

Moderne Gruppen setzen auf doppelte Erpressung: Sie stehlen die Daten vor dem Verschlüsseln und drohen mit Veröffentlichung. Damit geraten selbst Opfer unter Druck, die ihre Daten aus Backups wiederherstellen könnten — denn die Drohung mit dem Datenleck bleibt bestehen. Manche Angreifer gehen noch weiter und setzen Kunden, Partner oder Aufsichtsbehörden des Opfers zusätzlich unter Druck.

02Was tun bei einem Ransomware-Angriff? Sofortmaßnahmen

Im Ernstfall zählt jede Minute. Die folgenden Schritte begrenzen den Schaden und bewahren die Optionen für eine saubere Wiederherstellung — in dieser Reihenfolge:

  1. 1 Netzwerk trennen, nicht ausschalten Trennen Sie betroffene Geräte sofort vom Netzwerk (LAN-Kabel ziehen, WLAN deaktivieren), um die Ausbreitung zu stoppen. Schalten Sie die Systeme aber nicht aus — flüchtige Speicherinhalte können für die spätere Analyse entscheidend sein.
  2. 2 Ruhe bewahren und dokumentieren Fotografieren Sie die Erpressernachricht und notieren Sie Zeitpunkt, betroffene Systeme und auffällige Vorgänge. Diese Dokumentation ist für IT-Forensik, Versicherung und Strafanzeige wichtig.
  3. 3 Vorfall melden Informieren Sie umgehend Ihre IT-Verantwortlichen bzw. einen Incident-Response-Dienstleister. Unternehmen sollten zudem die Meldepflichten prüfen (DSGVO bei Datenabfluss, ggf. KRITIS-Meldung an das BSI).
  4. 4 Beweise sichern Erstellen Sie — wenn möglich — forensische Abbilder betroffener Systeme, bevor etwas verändert wird. Sichern Sie Logdateien zentral, damit sie nicht durch die Schadsoftware gelöscht werden.
  5. 5 Nicht vorschnell zahlen Zahlen Sie kein Lösegeld unter Zeitdruck. Eine Zahlung garantiert keine Wiederherstellung und finanziert weitere Angriffe. Prüfen Sie zuerst, ob saubere Backups vorliegen.
  6. 6 Sauber wiederherstellen Setzen Sie betroffene Systeme vollständig neu auf und spielen Sie Daten nur aus geprüften, nicht kompromittierten Backups zurück. Wechseln Sie alle Zugangsdaten, bevor die Systeme wieder online gehen.

03Ransomware vorbeugen: die wichtigsten Schutzmaßnahmen

Prävention verhindert die meisten Angriffe — und ist günstiger und wirksamer als jede Wiederherstellung. Die folgenden Maßnahmen sind nach Wirkung geordnet — beginnen Sie oben:

01Backups nach der 3-2-1-Regel

Die wirksamste Einzelmaßnahme. Halten Sie drei Kopien Ihrer Daten auf zwei verschiedenen Medien vor, davon eine räumlich getrennt und offline (Air-Gap). Mindestens ein Backup muss unveränderbar (immutable) und vom produktiven Netz isoliert sein, damit es die Verschlüsselung nicht miterfasst. Testen Sie die Wiederherstellung regelmäßig — ein nie geprüftes Backup ist kein Backup.

02E-Mail- und Phishing-Schutz

Phishing-E-Mails zählen weiterhin zu den häufigsten Einstiegswegen. Aktivieren Sie SPF, DKIM und DMARC, filtern Sie gefährliche Anhänge serverseitig und blockieren Sie Makros aus dem Internet. Schulen Sie Mitarbeitende, verdächtige Nachrichten zu erkennen und zu melden, statt Links und Anhänge ungeprüft zu öffnen.

03Updates und Patch-Management

Erpressergruppen nutzen bevorzugt bekannte, längst geschlossene Schwachstellen. Spielen Sie Sicherheitsupdates zeitnah ein — besonders auf VPN-Gateways, Servern und allem, was aus dem Internet erreichbar ist. Priorisieren Sie kritische Schwachstellen und orientieren Sie sich an den Fristen, die Hersteller und Behörden wie das BSI in ihren Warnmeldungen nennen.

04Mehr-Faktor-Authentifizierung und Zugänge

Erzwingen Sie MFA für alle Remote-Zugänge (VPN, RDP, Cloud, E-Mail). Gestohlene Passwörter sind der häufigste Erstzugriffsvektor; ein zweiter Faktor entwertet sie weitgehend. Vergeben Sie Rechte nach dem Prinzip der minimalen Berechtigung und deaktivieren Sie ungenutzte Konten.

05Netzwerksegmentierung

Trennen Sie Ihr Netz in Zonen, damit ein kompromittiertes System nicht das gesamte Unternehmen erreicht. Besonders kritische Systeme, Backups und Administrationszugänge gehören in separate, streng kontrollierte Segmente.

06Awareness und Schulung

Technik allein genügt nicht. Regelmäßige, praxisnahe Schulungen und simulierte Phishing-Tests senken die Erfolgsquote von Angriffen messbar. Etablieren Sie eine Kultur, in der das Melden eines Fehlklicks belohnt und nicht bestraft wird.

07Virenschutz und Monitoring

Setzen Sie aktuelle Endpoint-Protection bzw. EDR ein, die verdächtiges Verhalten erkennt — nicht nur bekannte Signaturen. Überwachen Sie Protokolle zentral auf Auffälligkeiten wie ungewöhnliche Anmeldungen, deaktivierte Sicherheitsdienste oder gelöschte Backups.

04Ransomware-Schutz für Privatpersonen und Unternehmen

Die Grundprinzipien gelten für alle — der Aufwand unterscheidet sich. Das Wichtigste in Kürze für beide Gruppen:

Für Privatpersonen
Das Wichtigste in Kürze
  • Regelmäßige Backups auf eine externe Festplatte, die danach abgezogen wird.
  • Betriebssystem, Browser und Apps automatisch aktualisieren lassen.
  • Keine Anhänge oder Links aus unerwarteten Nachrichten öffnen.
  • Für wichtige Konten Mehr-Faktor-Authentifizierung aktivieren.
  • Aktuellen Virenschutz nutzen (der in Windows integrierte genügt für viele).
Für Unternehmen
Das Wichtigste in Kürze
  • Immutable-Offline-Backups mit getesteter Wiederherstellung (3-2-1).
  • MFA für alle Remote- und Admin-Zugänge erzwingen.
  • Striktes Patch-Management für internetexponierte Systeme.
  • Netzwerksegmentierung und Least-Privilege-Rechtevergabe.
  • Einen geübten Notfallplan mit klaren Rollen und Kontakten.

05Lösegeld zahlen — ja oder nein?

Das BSI und die Strafverfolgungsbehörden raten grundsätzlich davon ab, Lösegeld zu zahlen. Eine Zahlung garantiert nicht, dass Sie funktionierende Entschlüsselungsschlüssel erhalten — und selbst dann ist die Wiederherstellung oft langwierig und unvollständig. Jede Zahlung finanziert die nächste Angriffswelle und macht Sie als zahlungsbereites Opfer für künftige Kampagnen attraktiver.

Hinzu kommt: Bei doppelter Erpressung haben die Angreifer Ihre Daten bereits. Eine Zahlung kauft bestenfalls ein Versprechen, sie nicht zu veröffentlichen — kein Beleg, dass Kopien gelöscht werden. Wer hingegen geprüfte Offline-Backups besitzt, kann ohne Verhandlung wiederherstellen. Die Entscheidung über eine Zahlung gehört im Unternehmen auf die Leitungsebene, unter Einbindung von Rechtsberatung, Versicherung und den Behörden — niemals unter dem Zeitdruck des Countdowns allein.

06Häufige Fragen (FAQ)

Was ist doppelte Erpressung?

Bei der doppelten Erpressung verschlüsseln Angreifer nicht nur Ihre Daten, sondern stehlen sie vorher und drohen mit Veröffentlichung. So setzen sie auch Opfer unter Druck, die ihre Daten aus Backups wiederherstellen könnten.

Sollte man das Lösegeld zahlen?

BSI und Strafverfolgungsbehörden raten grundsätzlich ab. Eine Zahlung garantiert keine Entschlüsselung, finanziert weitere Angriffe und macht Sie zum bevorzugten Ziel. Entscheidend ist, vorher saubere Backups zu haben.

Bekomme ich meine Daten mit einem Entschlüsselungstool zurück?

Manchmal. Das Projekt „No More Ransom“ stellt für viele Ransomware-Familien kostenlose Entschlüsselungstools bereit. Prüfen Sie dort, bevor Sie über eine Zahlung nachdenken.

Wie kommen Angreifer überhaupt ins Netzwerk?

Am häufigsten über Phishing-E-Mails, gestohlene Zugangsdaten ohne MFA und ungepatchte, aus dem Internet erreichbare Systeme wie VPN-Gateways.

Schützt ein Virenscanner allein?

Nein. Ein Virenscanner ist ein Baustein, aber moderne Angriffe umgehen reine Signaturerkennung. Backups, Updates und MFA sind wirksamer als jeder einzelne Schutz.

Sind auch Privatpersonen betroffen?

Ja. Neben gezielten Angriffen auf Unternehmen gibt es breit gestreute Kampagnen, die jeden treffen können. Backups und Updates schützen auch zu Hause.

Muss ich einen Angriff melden?

Bei einem Abfluss personenbezogener Daten sind Verantwortliche in der Regel verpflichtet, die zuständige Datenschutzbehörde zu informieren — möglichst binnen 72 Stunden, sofern ein Risiko für die Betroffenen besteht (Art. 33 DSGVO). KRITIS-Betreiber haben zusätzliche Meldepflichten gegenüber dem BSI. Eine Strafanzeige bei der ZAC der Polizei wird empfohlen.

Wie schnell muss ich reagieren?

Sofort. Je früher betroffene Systeme vom Netz getrennt werden, desto geringer der Schaden. Ein vorbereiteter, geübter Notfallplan spart im Ernstfall entscheidende Zeit.

Wie erkenne ich einen Ransomware-Befall?

Typische Anzeichen sind plötzlich unbrauchbare Dateien mit veränderten Dateiendungen, eine Erpressernachricht auf dem Bildschirm sowie spürbar langsamere oder ausfallende Systeme. Bei solchen Hinweisen das Gerät sofort vom Netzwerk trennen.

07Offizielle Anlaufstellen und Ressourcen

Im Verdachts- oder Schadensfall hilft der direkte Draht zu offiziellen Stellen. Diese Anlaufstellen sind kostenlos und unabhängig:

BSI — Bundesamt für Sicherheit in der Informationstechnik Lagebilder, Warnungen und konkrete Handlungsempfehlungen für Bürger und Unternehmen. bsi.bund.de → Allianz für Cyber-Sicherheit Netzwerk des BSI mit praxisnahen Empfehlungen und Erfahrungsaustausch für Organisationen. allianz-fuer-cybersicherheit.de → No More Ransom Internationale Initiative mit kostenlosen Entschlüsselungstools und Präventionshinweisen. nomoreransom.org → Polizei / Zentrale Ansprechstellen Cybercrime (ZAC) Anlaufstelle der Landeskriminalämter für Unternehmen zur Anzeige und Beratung. polizei.de →

Dieser Ratgeber bietet allgemeine Informationen und ersetzt keine individuelle Sicherheits- oder Rechtsberatung. Alle Angaben ohne Gewähr.

Aktuelle Bedrohungslage

Ransomware-Gruppen Profile aktiver Erpressergruppen Wochenreport Die Lage der Woche, eingeordnet Sicherheitslücken CVE Katalog bekannter Schwachstellen Ransomware DACH LIVE Aktuelle Opfer in DE · AT · CH