IT-SicherheitRansomwareBackupKMU

Ransomware im Mittelstand: Was der BSI-Lagebericht für KMU zeigt

Von Patrick M. Garske ·

Halten auch Sie Ihr Unternehmen für zu klein, um ins Visier von Cyberkriminellen zu geraten? „Für die sind wir doch viel zu unbedeutend", dieser Trugschluss ist im Mittelstand weit verbreitet, und er ist gefährlich. Die aktuellen Lagebilder zeichnen ein anderes Bild: Der Schaden durch Cyberangriffe erreicht in Deutschland neue Rekordwerte, und gerade kleine und mittlere Unternehmen stehen im Fokus der Angreifer, weil ihnen oft die schlagkräftige Abwehr fehlt.

Die gute Nachricht: Sie müssen kein Sicherheitskonzern sein, um sich wirksam zu schützen. Mit den richtigen Maßnahmen, mit Augenmaß umgesetzt, lässt sich Ihr Risiko erheblich senken. Dieser Beitrag ordnet die Zahlen ein, erklärt, warum der Mittelstand im Visier ist, und zeigt die Schutzmaßnahmen, die wirklich zählen.

Die Lage in Zahlen

Die aktuellen Erhebungen sprechen eine deutliche Sprache. Die Schadenssummen stammen aus der Bitkom-Studie Wirtschaftsschutz 2025, die Einordnung von Bedrohungslage und Zielgruppen aus dem Lagebericht des BSI:

Kennzahl Wert
Gesamtschaden für die deutsche Wirtschaft rund 289 Mrd. € pro Jahr
davon durch Cyberkriminalität rund 202 Mrd. € (rund 70 %)
Von Ransomware betroffene Unternehmen rund jedes dritte (ca. 34 %)
Registrierte Angriffe (Größenordnung) zehntausende pro Tag

Besonders bemerkenswert: Der Anteil rein digitaler Angriffe am Gesamtschaden ist erneut gestiegen, und die Ransomware-Betroffenheit hat sich gegenüber wenigen Jahren zuvor beinahe verdreifacht. Cyberkriminalität ist damit kein Randthema mehr, sondern der größte Einzelposten wirtschaftlicher Schäden.

Warum gerade der Mittelstand im Visier ist

Der BSI-Lagebericht benennt drei Hauptzielgruppen ausdrücklich: kleine und mittlere Unternehmen, IT-Dienstleister und Kommunen. Dass KMU überproportional getroffen werden, hat handfeste Gründe:

  • Fehlende Abwehr: Oft fehlen eine eigene IT-Sicherheitsabteilung, aktuelle Schutzsysteme und ein durchdachtes Backup-Konzept.
  • Lohnendes Ziel: Angreifer arbeiten hochautomatisiert und wahllos. Sie suchen nicht den prominentesten, sondern den am leichtesten verwundbaren Betrieb.
  • Lieferketten-Hebel: Arbeiten Sie als Zulieferer oder Dienstleister für größere Unternehmen, sind Sie ein attraktives Einfallstor. Das ist ein Thema, das eng mit NIS-2 und den Anforderungen an die Lieferkette zusammenhängt.

Die Vorstellung, „unter dem Radar" zu fliegen, ist damit ein Irrtum. Für automatisierte Angriffe ist jedes erreichbare System ein potenzielles Ziel.

Hinzu kommt: Für ein KMU wiegt ein Ausfall oft schwerer als für einen Konzern. Wenn Auftragsannahme, Produktion oder Buchhaltung tagelang stillstehen, geht es schnell an die Substanz. Der größte Kostenposten ist selten das Lösegeld, sondern der Betriebsausfall, die aufwendige Wiederherstellung und der Vertrauensverlust bei Kundinnen und Kunden.

Wie ein Ransomware-Angriff abläuft

Um zu verstehen, wo Schutz ansetzt, hilft ein Blick auf den typischen Ablauf:

  1. Erstzugang: Meist über eine Phishing-Mail, gestohlene Zugangsdaten oder eine ungepatchte Schwachstelle.
  2. Ausbreitung: Die Angreifer bewegen sich unbemerkt im Netzwerk, weiten Rechte aus und suchen die wertvollsten Daten.
  3. Erpressung: Die Daten werden verschlüsselt. Häufig werden sie zusätzlich kopiert. Diese doppelte Erpressung droht nicht nur mit Datenverlust, sondern auch mit Veröffentlichung.

Entscheidend: Zwischen Erstzugang und Verschlüsselung liegen oft Tage. Wer Angriffe früh erkennt und Ausbreitung erschwert, kann den Schaden verhindern, bevor er entsteht.

Die wirksamsten Schutzmaßnahmen

Wirksamer Schutz ist selten eine einzelne teure Lösung, sondern das Zusammenspiel mehrerer solider Bausteine:

Maßnahme Wirkung Aufwand
Mehr-Faktor-Authentifizierung (MFA) stoppt gestohlene Passwörter gering
Konsequentes Patch-Management schließt bekannte Lücken mittel
Moderne Geräteschutz-Software (EDR) erkennt Angriffe früh mittel
Netzwerksegmentierung bremst Ausbreitung mittel
Mitarbeitenden-Sensibilisierung entschärft Phishing gering, laufend
Getestete Backups (3-2-1) rettet den Ernstfall mittel

Der größte Hebel bei kleinem Aufwand ist fast immer die Kombination aus MFA und geschulten Mitarbeitenden, denn der Mensch ist das häufigste Einfallstor. EDR steht dabei für moderne Schutzsoftware auf allen Geräten, die verdächtiges Verhalten früh erkennt und stoppt. Wie sich ein solides Fundament aufbauen lässt, zeigen wir auf unserer Seite zur IT-Sicherheit.

Der Schlüssel liegt im Zusammenspiel: Fällt eine Schutzschicht aus, fangen die anderen den Angriff ab. Dieses gestufte Vorgehen (Fachleute nennen es „Defense in Depth") ist gerade für KMU attraktiv, weil es ohne ein einzelnes teures Großprojekt auskommt und sich Schritt für Schritt aufbauen lässt. Wichtig ist, dass die Sensibilisierung der Mitarbeitenden kein Einmaltermin bleibt, sondern regelmäßig aufgefrischt wird.

Backups, die einen Angriff überleben

Ein Backup ist Ihre letzte Verteidigungslinie, aber nur, wenn es einem Angriff standhält. Moderne Ransomware sucht gezielt nach erreichbaren Sicherungen und verschlüsselt sie mit. Deshalb gilt die bewährte 3-2-1-Regel:

  • 3 Kopien Ihrer Daten,
  • auf 2 verschiedenen Medien,
  • davon 1 außer Haus, idealerweise offline oder unveränderbar (immutable), sodass Angreifer nicht darauf zugreifen können.

Genauso wichtig wie das Backup selbst ist die regelmäßig getestete Wiederherstellung. Ein Backup, das im Ernstfall nicht zurückspielbar ist, ist wertlos. Welche Speicherstrategie zu Ihnen passt, vertiefen wir in NAS oder Cloud-Speicher.

Der Ernstfall: Notfallplan und Meldepflichten

Kein Schutz ist zu 100 Prozent sicher, deshalb gehört zur Vorsorge auch die Vorbereitung auf den Ernstfall:

  • Notfallplan: Wer ist im Angriffsfall zu informieren, wer entscheidet, wie kommunizieren Sie ohne die eigenen Systeme? Das gehört vorab geklärt und geübt.
  • Meldepflichten beachten: Für betroffene Unternehmen können gesetzliche Meldefristen gelten, etwa eine Erstmeldung binnen 24 Stunden nach den Vorgaben von NIS-2. Wer das erst im Chaos des Angriffs klärt, verliert wertvolle Zeit.
  • Lösegeld ist keine Lösung: Eine Zahlung garantiert weder die Entschlüsselung noch, dass kopierte Daten nicht doch veröffentlicht werden, und finanziert die nächsten Angriffe.

Welche Melde- und Informationspflichten konkret für Sie gelten, ist eine rechtliche Frage: Diese Einordnung ersetzt keine Rechtsberatung und gehört in fachkundige Hände.

Die ersten Stunden nach einem Angriff

Wird ein Angriff bemerkt, entscheidet besonnenes Handeln über das Ausmaß des Schadens. Die wichtigsten Grundsätze:

  • Isolieren, nicht panisch abschalten: Betroffene Systeme vom Netzwerk trennen, um die Ausbreitung zu stoppen. Geräte aber nach Möglichkeit nicht einfach ausschalten, da sonst wichtige Spuren für die spätere Analyse verloren gehen.
  • Backups schützen: Sicherungen sofort vom Netz nehmen, damit sie nicht ebenfalls verschlüsselt werden. Sie sind Ihr Weg zurück in den Betrieb.
  • Fachleute einbinden: Ein Ransomware-Vorfall ist kein Fall für Selbstversuche. Ziehen Sie früh spezialisierte Unterstützung hinzu, idealerweise entlang eines vorbereiteten Notfallplans.
  • Dokumentieren: Halten Sie fest, was wann passiert ist. Das hilft bei Analyse, Meldung sowie gegenüber Versicherung und Behörden.

Wer diese Schritte erst im Ernstfall zum ersten Mal durchdenkt, verliert wertvolle Zeit. Ein knapper, geübter Notfallplan ist im Krisenmoment mehr wert als jedes Hochglanz-Sicherheitskonzept in der Schublade.

Häufige Stolpersteine

Aus der Praxis lassen sich einige typische Fehler benennen:

  • Backup nie getestet: Viele Betriebe entdecken erst im Ernstfall, dass die Wiederherstellung nicht funktioniert.
  • Kein Notfallplan: Ohne vorab geklärte Zuständigkeiten geht im Angriffsfall wertvolle Zeit verloren.
  • Alles auf eine Karte: Der Verlass auf eine einzelne Schutzmaßnahme genügt nicht: Sicherheit entsteht aus dem Zusammenspiel.
  • MFA-Lücken: Ein einziger ungeschützter Zugang, etwa im Fernzugriff, kann das ganze Konzept aushebeln.

Häufige Fragen

Sind wir als kleiner Betrieb wirklich ein Ziel? Ja. Moderne Angriffe laufen automatisiert und wahllos. Nicht die Größe entscheidet, sondern die Verwundbarkeit.

Was ist die wichtigste einzelne Maßnahme? Es gibt nicht die eine, aber MFA, getestete Backups und wachsame Mitarbeitende bilden zusammen ein sehr belastbares Fundament bei überschaubarem Aufwand.

Reicht eine Cyberversicherung nicht aus? Nein. Versicherer setzen zunehmend Mindeststandards voraus und ersetzen keinen Schutz. Sie mildern finanzielle Folgen, verhindern aber weder den Angriff noch den Betriebsausfall.

Wie schnell muss ein Angriff gemeldet werden? Das hängt von Ihrer Betroffenheit ab. Fallen Sie unter NIS-2, gilt für erhebliche Vorfälle typischerweise eine Erstmeldung binnen 24 Stunden; zusätzlich können datenschutzrechtliche Meldepflichten greifen. Klären Sie die für Sie geltenden Fristen, bevor der Ernstfall eintritt.

Verschaffen Sie sich Klarheit

Die Lage ist ernst, aber beherrschbar. Für KMU lässt sie sich strukturiert angehen: Der erste und wichtigste Schritt ist eine ehrliche Standortbestimmung. Sind MFA und aktuelle Backups überall im Einsatz? Gibt es einen Notfallplan? Wüssten Sie, wen Sie im Ernstfall in welcher Frist informieren müssen? Für eine erste Einschätzung Ihrer Sicherheits- und Compliance-Lage nutzen Sie unseren kostenfreien Compliance-Checker.

Auf dieser Basis lässt sich gezielt aufbauen, gemeinsam mit einem festen persönlichen Ansprechpartner im Rahmen unserer Leistungen zur IT-Sicherheit für den Mittelstand, im kostenfreien, unverbindlichen Erstgespräch. So wird aus der abstrakten Bedrohung ein konkreter, abgesicherter Plan.

Alle Beiträge Kostenfreie Erstberatung