Viele Inhaber kleiner Unternehmen denken immer noch, dass Ransomware-Angriffe nur Krankenhäuser, globale Marken oder die öffentliche Infrastruktur treffen. In der Realität ist das Ransomware-Risiko für kleine Unternehmen eines der klarsten Beispiele dafür, wie Angreifer konsequent Organisationen mit wertvollen Daten, begrenzter Zeit und schwächeren Abwehrmaßnahmen ins Visier nehmen.

Jüngste Erkenntnisse aus dem Data Breach Observatory von Proton zeigen, dass KMU häufig Opfer von Datenlecks werden. Sie sind auch überproportional in den schädlichsten Vorfällen vertreten, einschließlich Datenlecks, bei denen es um Hochrisikodaten und die Offenlegung großer Datensätze geht.

Ransomware ist ein Problem der Business Continuity, der Sicherheit von Anmeldedaten und des Datenschutzes. Der Cyber Security Breaches Survey der britischen Regierung ergab, dass 1 % der britischen Unternehmen in den vorangegangenen 12 Monaten Ransomware-Vorfälle identifizierten, gegenüber weniger als 0,5 % im Jahr 2024. Auf nationaler Ebene entspricht dies schätzungsweise 19.000 Unternehmen.

Trotz der Zunahme von Ransomware ist Phishing immer noch die häufigste Art von Cyberangriffen. Angreifer verschaffen sich am häufigsten über Personen, Anmeldedaten und routinemäßige Arbeitsabläufe Zugriff auf Unternehmensnetzwerke und nicht über groß angelegte Cyberangriffe. Sie können im Grunde einen Phishing-Angriff nutzen, um dann einen größeren Ransomware-Angriff zu starten, wenn sie einen größeren Zahltag wittern.

Für ein kleines Unternehmen kann der durch Ransomware verursachte Schaden erhebliche Störungen der Business Continuity verursachen. Teammitglieder verlieren den Zugriff auf Dateien und können ihre Arbeit nicht fortsetzen, der Betrieb verlangsamt sich oder kommt zum Erliegen, und Kunden oder Mandanten erhalten keine angemessenen Dienstleistungen. Wenn personenbezogene Daten gefährdet sind, folgen Meldepflichten. Eine praktische Ransomware-Strategie für KMU muss beide Aspekte eines Angriffs abdecken: Prävention und das Wiederherstellen von Daten.

Wie funktioniert Ransomware?

Ransomware ist eine Art von Malware, die dich daran hindert, auf Geräte oder Daten zuzugreifen, meist durch das Verschlüsseln von Dateien, und dann eine Zahlung im Austausch für die Entschlüsselung verlangt. In vielen Fällen tun Angreifer heute mehr, als nur Dateien zu sperren. Sie stehlen auch Daten und drohen damit, diese als Leak zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird, was den Vorfall sowohl zu einer Verfügbarkeitskrise als auch zu einem potenziellen Datenleck macht.

Opfer werden oft angewiesen, über anonyme E-Mails oder Webseiten zu kommunizieren und in Kryptowährung zu bezahlen. Für kleine Unternehmen ist dieser Unterschied wichtig, da Kryptowährungen anonym, dezentralisiert und nicht von traditionellen Finanzinstituten reguliert sind: Es ist fast unmöglich, Zahlungen zurückzuverfolgen.

Ein Ransomware-Termin beschränkt sich nicht immer auf den Verlust des Zugriffs auf Dateien. Er kann auch bedeuten, dass Kundeninformationen, Mitarbeiterdaten, Finanzunterlagen, Verträge oder Anmeldedaten bereits exfiltriert wurden. Ransomware kann dazu führen, dass der rechtzeitige Zugriff auf personenbezogene Daten verloren geht und, falls keine geeignete Sicherung vorhanden oder verfügbar ist, sogar zu dauerhaftem Verlust führen.

Die Angriffskette ist meist gewöhnlicher, als du vielleicht erwartest. Zu den leicht zu übersehenden Vorfällen, die zu einem Ransomware-Angriff führen können, gehören:

  • Das Folgen von Phishing-Links.
  • Wiederverwendete Passwörter, die bei Datenlecks offengelegt werden.
  • Offenliegende Fernzugriffsdienste.
  • Bekannte Schwachstellen, die ungepatcht bleiben.

Sobald sich ein Angreifer Zugriff auf ein Unternehmensnetzwerk verschafft hat, bewegt er sich lateral, weitet Privilegien aus, deaktiviert Wiederherstellungspfade, wo immer möglich, und setzt Verschlüsselung oder Erpressung dort ein, wo es am meisten schmerzt. Kein einzelnes Tool und keine Lösung kann Ransomware-Angriffe verhindern. Stattdessen müssen sich Organisationen darauf konzentrieren, die Anzahl der einfachen Pfade in ihr Netzwerk zu reduzieren.

Warum kleine Unternehmen überproportional ins Visier genommen werden

Kleine Unternehmen sind aus einem einfachen Grund attraktive Ransomware-Ziele: Sie verfügen über wertvolle Daten, die nicht so gut geschützt sind, wie sie es sein sollten. Die neuesten Observatory-Ergebnisse von Proton zeigen, dass KMU 63 % der seit Januar 2025 verfolgten Datenlecks und mehr als 352 Millionen als Leak veröffentlichte Datensätze ausmachen.

Sie machen auch 61 % der Datenlecks mit Hochrisikodaten aus, wobei kleine Unternehmen allein für 48 % dieser kritischen Vorfälle stehen. Bei Datenlecks, bei denen mehr als 100.000 Datensätze offengelegt werden, machen KMU 60 % aus, und kleine Unternehmen repräsentieren 42 %.

Kleine Unternehmen sind nicht nachlässig. Tatsächlich beweist der SMB Cybersecurity Report 2026 von Proton, dass kleine Unternehmen versuchen, ihre Cybersicherheit zu verbessern. Das Problem ist, dass ihre Abwehrmaßnahmen unter realen Bedingungen versagen. Inkonsequente Durchsetzung, menschliche Fehler, Gewohnheiten beim Teilen von Zugriffen und begrenzte interne Sicherheitskapazitäten machen kleine Unternehmen zu verlockenden Zielen.

In der Umfrage von Proton unter 3.000 Führungskräften in Unternehmen mit weniger als 250 Mitarbeitern gaben 39 % an, dass Vorfälle auf menschliche Fehler zurückzuführen seien, und 48 % gaben an, dass sie keinen Passwort-Manager im Einsatz hätten.

Größere Unternehmen verfügen möglicherweise bereits über spezielle Response-Teams, segmentierte Umgebungen, getestete Pläne für eine Sicherung und externe Unterstützung bei Vorfällen. Kleinere Unternehmen haben oft nur eine schlanke IT-Funktion, ausgelagerten Support oder keinen dedizierten Sicherheitsexperten. Wenn der Angriff erfolgt, ist das Unternehmen gezwungen, unter operativem Druck weitreichende Entscheidungen zu treffen. Genau auf diesen Druck setzen Ransomware-Betreiber.

Die häufigsten Einfallstore für Ransomware in KMU

Nach der Untersuchung der im Vereinigten Königreich durchgeführten Studien wissen wir, dass Phishing der dominierende Vektor für Cyberkriminalität in Unternehmen bleibt. Aber warum? Weil Phishing oft der erste Schritt zum Diebstahl von Anmeldedaten, zum Gefährden von Konten, zur Verbreitung von Malware oder zum Missbrauch des Fernzugriffs ist.

Schwache oder wiederverwendete Anmeldedaten sind ein weiteres großes Problem. Kleine Unternehmen haben oft gemeinsam genutzte Anmeldungen, Passwörter, die für mehrere Dienste wiederverwendet werden, oder alte Konten, die aktiv bleiben, nachdem jemand die Rolle gewechselt oder das Unternehmen verlassen hat. Sobald Angreifer eine funktionierende Anmeldung erhalten, müssen sie sich nicht mehr in Konten hacken. Sie können sich einfach anmelden.

Von dort aus kann ein schlecht geschütztes Administrator-Konto, eine offenliegende Cloud-Konsole oder ein Fernzugriffspunkt ohne Zwei-Faktor-Authentifizierung (2FA) zur Brücke in einen umfassenderen Ransomware-Vorfall werden. Realistischerweise müssen Organisationen 2FA, den Zugriff mit den geringsten Privilegien und regelmäßige Berechtigungsüberprüfungen bereitstellen, um zu reduzieren, wie leicht gestohlene Anmeldedaten wiederverwendet werden können und wie weit sich Malware verbreiten kann.

Nicht gepatchte Software ist ein weiterer häufiger Einstiegspunkt. Das NCSC weist darauf hin, dass Ransomware zunehmend über exponierte Dienste wie RDP oder nicht gepatchte Fernzugriffsgeräte bereitgestellt wird, und empfiehlt, Schwachstellen in Fernzugriffssystemen und Systemen mit Internetzugang zu patchen, sobald Patches verfügbar sind. Für KMU ist dies der Punkt, an dem ein unbemerkter Vorfall still und leise zu einer Angriffsfläche wird.

So schützt du dich vor Ransomware: ein mehrschichtiger Ansatz

Es gibt keine einzelne Maßnahme, die Ransomware verhindern kann. Der effektivste Ansatz ist mehrschichtig und praxisorientiert.

Beginne mit der Identitätsverwaltung

Die Daten in den Konten deiner Teammitglieder müssen gründlich geschützt werden, um Ransomware-Angriffe abzuwehren. Mache die Zwei-Faktor-Authentifizierung überall dort zur Pflicht, wo dies bei geschäftskritischen Konten möglich ist, insbesondere bei E-Mails, Administrator-Tools, Cloud-Speichern, Finanzplattformen, Fernzugriffspunkten und allen Systemen, die personenbezogene Kundendaten oder andere sensible personenbezogene Informationen (PII) speichern.

Verbessere die Passworthygiene

Angreifer brechen nicht immer in Konten ein. Oft melden sie sich mit gestohlenen oder wiederverwendeten Anmeldedaten an. Jedes Geschäftskonto muss ein einzigartiges, starkes Passwort haben, und der gemeinsame Zugriff sollte durch das verwaltete, sichere Teilen von Anmeldedaten über einen Business-Passwort-Manager ersetzt werden, anstatt über Tabellen, Chats oder E-Mails.

Der eigene KMU-Bericht von Proton hebt hervor, dass selbst Unternehmen mit vorhandenen Tools oft noch auf unsichere Gewohnheiten beim Teilen von Passwörtern zurückgreifen. Genau hier kann ein sicherer Business-Passwort-Manager wie Proton Pass for Business das Risiko verringern: Er hilft Teams dabei, starke und einzigartige Anmeldedaten zu erstellen, sie sicher zu speichern und den Zugriff kontrolliert und sicher zu teilen.

Das Patch-Management muss diszipliniert erfolgen

Sicherheitsupdates für Betriebssysteme, Apps, VPNs, Fernzugriffstools und Peripheriegeräte sollten als betriebliche Notwendigkeit und nicht als optionale Wartung betrachtet werden. Installiere Sicherheitsupdates so schnell wie möglich und aktiviere automatische Updates, sofern dies machbar ist.

Robuster E-Mail- und Web-Schutz

E-Mail-Filterung, Anhangskontrollen, das Blockieren bekannter bösartiger Websites und Schutzmaßnahmen für sicheres Surfen verringern die Wahrscheinlichkeit, dass Ransomware überhaupt erst zugestellt wird. Da Phishing so verbreitet ist, sind diese Kontrollen unerlässlich.

Menschliche Fehler angehen

Selbst wenn du Sicherheitsmaßnahmen und eine Passwortrichtlinie implementiert hast, ist ein Training zum Sicherheitsbewusstsein weiterhin notwendig. Schulungen helfen den Mitarbeitern, verdächtige E-Mails und Social-Engineering-Versuche zu erkennen, aber Menschen werden immer Fehler machen.

Stärkere Tools oder Funktionen und Zugriffskontrollen sollten davon ausgehen. Das NCSC empfiehlt ausdrücklich Bewusstseinsschulungen, aber die Forschung von Proton weist auch darauf hin, dass Schulungen allein nicht jeden Fehler abfangen. Ein gutes Sicherheitsdesign reduziert den Schaden, wenn jemand doch klickt, indem es die Wahrscheinlichkeit verringert, dass ein einziger Fehler zu einem umfassenden Vorfall wird – sei es durch 2FA, Zugriff mit minimalen Rechten, stärkeren E-Mail-Schutz, segmentierten Zugriff oder getestete Sicherungen, die die Wiederherstellung unterstützen.

Schütze die Wiederherstellung, bevor du sie brauchst

Sicherungen müssen regelmäßig, isoliert und getestet sein. Das ICO empfiehlt den 3-2-1-Ansatz: drei Kopien auf zwei verschiedenen Geräten, wobei eine extern gespeichert wird. Das NCSC fügt eine wichtige betriebliche Warnung hinzu: Ransomware könnte bereits vor der Entdeckung in deine Umgebung eingedrungen sein, daher sollten Sicherungen vor der Wiederherstellung gescannt und die Sicherungssysteme selbst geschützt werden.

Die Verbindung über Anmeldedaten: Warum Passwörter bei der Ransomware-Abwehr immer noch wichtig sind

Man denkt bei Ransomware leicht an Malware und vergisst, dass Passwörter bei einem erfolgreichen Angriff eine Rolle spielen. Viele Ransomware-Vorfälle beginnen jedoch mit dem Diebstahl, der Wiederverwendung oder dem Missbrauch von Anmeldungen.

Das kann bedeuten, dass ein Mitarbeiter ein Passwort eines anderen Dienstes wiederverwendet, ein Konto eines ehemaligen Auftragnehmers aktiv bleibt, die Anmeldedaten eines Administrators von mehreren Personen gemeinsam genutzt werden oder ein exponierter Fernzugriffspunkt nur durch ein Passwort geschützt ist. Jede dieser Abkürzungen vergrößert die Angriffsfläche.

Dies ist ein Grund, warum eine starke Verwaltung von Anmeldedaten in jeden Plan zur Wiederherstellung nach Ransomware-Angriffen und in jedes Präventions-Framework gehört. Einzigartige Passwörter pro Dienst verringern den Schadensradius einer gestohlenen Anmeldung. MFA macht dieses gestohlene Passwort allein weniger nützlich, während eine zentrale Speicherung von Anmeldedaten unsichere Notlösungen überflüssig macht.

Sicheres Teilen bedeutet, dass Mitarbeiter den benötigten Zugriff über kontrollierte, nachverfolgbare Methoden erhalten und nicht durch informelles Teilen von Passwörtern. Die regelmäßige Überprüfung, wer worauf Zugriff hat, unterstützt auch das Prinzip der minimalen Rechtevergabe, das das NCSC als Teil der Begrenzung von Seitwärtsbewegungen und Ausbreitung empfiehlt.

Wir haben ausführlich über die Ransomware-Bedrohungen geschrieben, denen KMU ausgesetzt sind. Immer wieder sehen wir das Gleiche: Angreifer suchen zunehmend nach Unternehmen, bei denen man leichter einbrechen kann, und nicht nur nach den Unternehmen mit den bekanntesten Namen.

Was zu tun ist, wenn dein kleines Unternehmen angegriffen wird

1. Den Vorfall eindämmen

Wenn dein Unternehmen betroffen ist, hat die Eindämmung oberste Priorität. Trenne infizierte Geräte vom Netzwerk, deaktiviere gefährdete Konten, sofern du diese identifizieren kannst, isoliere Fernzugriffspfade, sichere Beweise und vermeide es, Systeme zu schnell zu löschen, falls du später forensischen Support benötigst.

2. Melde den Vorfall

Das NCSC rät britischen Organisationen, Vorfälle zu melden, und bietet spezielle Ransomware-Leitfäden für Reaktion und Wiederherstellung an. Der Leitfaden von Proton zur Reaktion auf Vorfälle ist ebenfalls eine nützliche Referenz für die Strukturierung des umfassenderen Entscheidungsprozesses in den Bereichen Eindämmung, Untersuchung, Kommunikation und Wiederherstellung.

3. Zahle kein Lösegeld

Das NCSC und die britischen Strafverfolgungsbehörden befürworten, unterstützen oder dulden die Zahlung von Lösegeldforderungen nicht. Sie weisen darauf hin, dass es keine Garantie dafür gibt, dass du den Zugriff wiedererlangst, deine Systeme weiterhin infiziert sein könnten, du kriminelle Gruppen finanzierst und die Wahrscheinlichkeit steigt, erneut ins Visier zu geraten.

Das ICO stellt ebenso klar, dass die Zahlung eines Lösegelds das Risiko für Personen nicht verringert und die Informationen nicht schützt. Selbst wenn ein Entschlüsselungsschlüssel angeboten wird, gibt es keine Garantie dafür, dass dieser funktioniert oder dass gestohlene Daten nicht trotzdem als Leak veröffentlicht werden.

4. Starte die Wiederherstellung

Die Wiederherstellung sollte sich auf eine langsame und sichere Restauration konzentrieren. Das bedeutet: Neuaufbau aus sauberen Sicherungen, Validierung, dass der Angriffspfad geschlossen wurde, Austausch betroffener Anmeldedaten, vorsichtige erneute Freigabe des Zugriffs und Dokumentation der Ereignisse. Wenn Sicherungen mit Live-Systemen verbunden sind oder nicht getestet wurden, entdecken Unternehmen hier oft nach dem ersten Fehler einen zweiten. Ein guter Ransomware-Wiederherstellungsplan beginnt eigentlich schon lange vor dem Eintreten eines Vorfalls.

Britische Meldepflichten: Wann das ICO eingeschaltet werden muss

Wenn ein Ransomware-Vorfall personenbezogene Daten betrifft, kann dies ein Datenleck gemäß der britischen GDPR sein. Das ICO erklärt, dass bereits der Verlust des Zugriffs auf personenbezogene Daten ein Leck darstellen kann, wenn dadurch ein Risiko für Einzelpersonen entsteht. Du musst das ICO unverzüglich und, sofern machbar, innerhalb von 72 Stunden benachrichtigen, wenn das Datenleck wahrscheinlich zu einem Risiko für die Rechte und Freiheiten von Personen führt. Wenn das Risiko hoch ist, müssen betroffene Personen unter Umständen ebenfalls unverzüglich informiert werden.

Einige Organisationen gehen immer noch davon aus, dass eine Meldung unnötig ist, wenn sie Systeme schnell wiederherstellen oder kein offensichtlicher öffentlicher Leak vorliegt. Das ist keine sichere Annahme. Der Ransomware-Leitfaden des ICO geht explizit auf Szenarien zur Benachrichtigung über Datenlecks ein und macht deutlich, dass die Bewertung vom Risiko für Einzelpersonen abhängt und nicht nur davon, ob gestohlene Dateien bereits online aufgetaucht sind.

Ransomware ist jetzt ein Problem für KMU

Kleine Unternehmen werden immer häufiger von Ransomware-Angriffen getroffen, und wenn sie getroffen werden, können die Auswirkungen schwerwiegend sein, da Angreifer ihre Schwachstellen ausnutzen. Die neuesten Daten zu Datenlecks von Proton machen das deutlich: Die Bedrohung ist messbar, wächst und stört den Betrieb erheblich.

Die gute Nachricht ist, dass die Grundlagen für jedes KMU den Großteil der Arbeit leisten können. Maßnahmen wie die Nutzung eines geschäftlichen Passwort-Managers zur Bereitstellung von 2FA und zum Erstellen einzigartiger Anmeldedaten, Patching, E-Mail-Filterung, Sensibilisierung der Mitarbeiter, Überprüfung von Berechtigungen, getestete Sicherungen und die Planung der Reaktion auf Vorfälle mögen für sich genommen nicht spektakulär erscheinen, aber zusammen machen sie einen bedeutenden Unterschied. Sie verringern die Wahrscheinlichkeit, dass ein einzelnes gestohlenes Passwort, eine Phishing-E-Mail oder ein exponierter Remote-Dienst zu einem unternehmensweiten Ausfall eskaliert.