Ransomware: Wie sie funktioniert – und was man im Ernstfall tun sollte

Ransomware gehört heute zu den größten Cyberbedrohungen überhaupt. Die Schadsoftware verschlüsselt Daten und erpresst einen mit einer Lösegeldforderung – oft in Kryptowährungen. Für Unternehmen kann ein erfolgreicher Angriff Stillstand, Datenverlust und hohe Kosten bedeuten.

Aktuelle Berichte zeigen: Ransomware-Angriffe nehmen weiter zu, auch wenn internationale Strafverfolgung das Wachstum etwas gebremst hat. Besonders kritisch: Viele Angriffe finden abends, am Wochenende oder an Feiertagen statt – genau dann, wenn IT-Teams oft unterbesetzt sind.

In diesem Beitrag erfahren Sie:

• Was Ransomware genau ist

• Wie ein typischer Ransomware-Angriff abläuft

• Woran man eine Infektion erkennt

• Welche Schritte man im Ernstfall gehen sollte

• Wie man sein Unternehmen vorbeugend schützt

Was ist Ransomware?

Ransomware ist eine Form von Malware (Schadsoftware), die Dateien auf einem System verschlüsselt oder ganze Systeme sperrt. Anschließend fordern die Angreifer ein Lösegeld („ransom“), damit man wieder Zugriff auf seine Daten bekommt.

Typischerweise verlangen Cyberkriminelle die Zahlung in Kryptowährungen wie Bitcoin, um schwerer rückverfolgbar zu sein.

Bekannte Beispiele: WannaCry & Co.

Ein bekanntes Beispiel ist die WannaCry-Ransomware, die im Mai 2017 innerhalb weniger Tage über 200.000 Computer in mehr als 150 Ländern infizierte – darunter Krankenhäuser, Unternehmen und Behörden.

Der Angriff hat eindrücklich gezeigt, wie verheerend schlecht gewartete Systeme und fehlende Updates sein können.

Wie funktioniert ein Ransomware-Angriff?

Auch wenn Varianten und Gruppen sich unterscheiden, folgt ein großer Teil der Ransomware-Angriffe einem ähnlichen Ablauf:

1. Infektion

Die Ransomware gelangt auf das System, zum Beispiel durch:

• Phishing-E-Mails mit infizierten Anhängen oder Links

• Gefälschte Software-Downloads oder Cracks

• Drive-by-Downloads über manipulierte Websites

• Ausnutzung von Sicherheitslücken in nicht gepatchten Systemen

Ein unbedachter Klick oder ein fehlendes Update reicht oft aus.

2. Verbreitung im Netzwerk

Sobald die Malware aktiv ist, durchsucht sie:

• Lokale Laufwerke

• Netzlaufwerke (z. B. File-Server)

• Angeschlossene Backups oder externe Festplatten

Manche Ransomware-Varianten versuchen aktiv, sich im Netzwerk auszubreiten und weitere Systeme zu infizieren.

3. Verschlüsselung

Anschließend verschlüsselt die Ransomware Dateien, die für einen selbst oder das Unternehmen besonders wertvoll sind – etwa:

• Office-Dokumente

• Datenbanken

• Projekt- und Kundendaten

• Backups (falls erreichbar)

Die Verschlüsselung erfolgt mit starken Algorithmen, die sich ohne den Schlüssel der Angreifer praktisch nicht knacken lassen.

4. Erpressung und Drohung

Zum Schluss erscheint eine Lösegeldforderung – häufig als Pop-up oder Textdatei auf dem Desktop oder in den betroffenen Ordnern. Darin steht:

• Wie viel Geld man zahlen soll

• In welcher Kryptowährung

• Bis wann

• Was angeblich passiert, wenn man nicht zahlt (z. B. Datenverlust oder Veröffentlichung)

Viele Gruppen setzen inzwischen auf „Double Extortion“: Sie drohen nicht nur mit Datenverlust, sondern zusätzlich damit, gestohlene Daten zu veröffentlichen.

Wer ist von Ransomware betroffen?

Grundsätzlich kann jede Person und jede Organisation Opfer eines Ransomware-Angriffs werden – überall dort, wo digitale Daten verarbeitet oder gespeichert werden. Besonders häufig geraten jedoch kleine und mittlere Unternehmen, Einrichtungen aus dem Gesundheitswesen, der Industrie oder der kritischen Infrastruktur sowie öffentliche Verwaltungen und Bildungseinrichtungen ins Visier. Ransomware-Gruppen wählen ihre Ziele zunehmend strategisch aus. Untersuchungen zeigen, dass viele Angriffe bewusst zu Zeiten stattfinden, in denen weniger Personal im Dienst ist – beispielsweise an Wochenenden, Feiertagen oder während großer Events. Dadurch steigt die Wahrscheinlichkeit, dass ein Angriff unentdeckt bleibt und größeren Schaden anrichtet.

Woran erkennt man eine Ransomware-Infektion?

Je früher man die Anzeichen erkennt, desto eher kann man den Schaden begrenzen. Typische Hinweise sind:

• Dateien lassen sich nicht mehr öffnen oder sind fehlerhaft

• Ungewöhnliche Dateiendungen, z. B. .locked, .crypt oder zufällige Zeichenfolgen

• Auffällige Pop-ups oder Vollbild-Meldungen mit Zahlungsaufforderungen

• Neue Textdateien wie README.txt, HOW_TO_DECRYPT.txt in vielen Ordnern

• Deaktivierte Sicherheitssoftware (Antivirus/EDR)

• Starke Verlangsamung des Systems oder ungewöhnliche Festplattenaktivität
  

Wenn Sie eines oder mehrere dieser Anzeichen bemerken, sollten Sie sofort reagieren.

Was sollte man tun, wenn man von einer Ransomware betroffen ist?

Wichtigste Regel: Ruhe bewahren – und strukturiert vorgehen.

1. Verbindung trennen

• Gerät sofort vom Netzwerk trennen (WLAN/LAN deaktivieren)

• Keine weiteren USB-Sticks oder externen Festplatten anschließen

• Wenn möglich: betroffene Systeme vom Unternehmensnetz isolieren

So wird verhindert, dass sich die Ransomware weiter ausbreitet.

2. Kein Lösegeld zahlen

Auch wenn der Druck hoch ist:

• Es gibt keine Garantie, dass man nach Zahlung einen funktionierenden Schlüssel erhält.

• Durch die Zahlung werden kriminelle Aktivitäten gestärkt, und gleichzeitig steigt das Risiko weiterer Angriffe.

In vielen Fällen sind Daten später auch ohne Lösegeld (teilweise) wiederherstellbar – zum Beispiel über Backups.

3. IT- und Security-Expert:innen einschalten

• Interne IT sofort informieren

• Falls vorhanden: Incident-Response-Team aktivieren

• Externe Spezialist:innen hinzuziehen (Cybersecurity-Dienstleister / Forensik)

Sie können:

• Die Ransomware identifizieren

• Prüfen, ob Daten exfiltriert wurden

• Bewerten, ob Entschlüsselungs-Tools existieren

• Rechtliche und kommunikative Schritte mit vorbereiten

4. Backups nutzen – aber mit Vorsicht

• Nur saubere, nicht infizierte Backups verwenden

• Backups möglichst offline oder aus unveränderlichen Backup-Systemen (Immutable Backups)

• System neu aufsetzen und dann erst Daten zurückspielen

5. Vorfall dokumentieren und melden

Je nach Land, Branche und Art der Daten besteht ggf. eine Meldepflicht (z. B. an Aufsichtsbehörden, Kund:innen, Partner). Eine gute Dokumentation hilft:

• für rechtliche Anforderungen

• für Versicherungen (z. B. Cyber-Versicherung)

• zur späteren Verbesserung der eigenen Sicherheitsmaßnahmen

Wie kann man einen Ransomware-Angriffe vorbeugen?

Ein wirksamer Schutz vor Ransomware basiert auf technischen Maßnahmen, klaren Prozessen und einer guten Sicherheitskultur. Halten Sie Ihre Systeme stets aktuell und setzen Sie auf moderne Sicherheitslösungen wie Endpoint-Protection oder EDR, um verdächtiges Verhalten frühzeitig zu erkennen. Ebenso wichtig sind eine sinnvolle Netzwerksegmentierung, verlässliche Backups nach der 3-2-1-Regel und die Nutzung von Multi-Faktor-Authentifizierung, besonders für kritische Zugänge.

Auch organisatorisch sollten Sie vorbereitet sein: Ein klar definierter Notfallplan und regelmäßige Tests stellen sicher, dass Sie im Ernstfall handlungsfähig bleiben. Zudem lohnt sich ein Blick auf die Sicherheitsstandards Ihrer Dienstleister, um Risiken in der Lieferkette zu vermeiden.

Der menschliche Faktor bleibt jedoch entscheidend. Schulen Sie Ihre Mitarbeitenden regelmäßig zu Phishing und anderen Angriffsmethoden und fördern Sie eine Kultur, in der lieber einmal mehr nachgefragt wird, als unbedacht auf einen Link zu klicken.

FAQ: Häufige Fragen zu Ransomware

Fazit: Vorbereitung ist der beste Ransomware-Schutz

Ransomware ist gekommen, um zu bleiben – und die Angriffe werden professioneller. Aber Sie sind dem nicht hilflos ausgeliefert:

• Verstehen Sie, wie Ransomware funktioniert

• Erkennen Sie typische Anzeichen frühzeitig

• Haben Sie einen klaren Notfallplan

• Investieren Sie in Backups, Sicherheitslösungen und Awareness

Mit der richtigen Vorbereitung können Sie das Risiko deutlich senken – und im Ernstfall schneller reagieren, Daten retten und Folgeschäden begrenzen.