Soll man das Lösegeld zahlen?

In den meisten Fällen nein. Kriminelle liefern auch nach Zahlung häufig keinen funktionierenden Schlüssel. Wer zahlt, signalisiert außerdem, dass das Unternehmen zahlt, was zu Folgeangriffen einlädt. Die einzige vertretbare Ausnahme: kritische Daten ohne Backup-Alternative und ein Schaden, der die Existenz des Unternehmens bedroht. Auch dann zuerst BSI und Staatsanwaltschaft kontaktieren.

Muss ein Ransomware-Angriff gemeldet werden?

Wenn personenbezogene Daten betroffen oder unzugänglich sind, gilt die DSGVO-Meldepflicht. Die Datenschutzbehörde muss innerhalb von 72 Stunden informiert werden. Bei bestimmten Branchen und kritischen Infrastrukturen kommen weitere Meldepflichten nach IT-Sicherheitsgesetz und BSI-Gesetz hinzu. Im Zweifel gilt: früh melden ist besser als zu spät.

Wie schnell muss man nach einem Angriff reagieren?

Sofort. Die ersten 30 bis 60 Minuten entscheiden darüber, ob sich die Verschlüsselung auf weitere Systeme ausbreitet. Jedes Gerät, das noch online ist und noch nicht verschlüsselt wurde, kann noch gerettet werden. Deshalb ist der erste Schritt immer: Netzwerkverbindungen trennen.

Was gehört zwingend in einen Notfallplan?

Mindestens: eine Kontaktliste (IT-Dienstleister, Datenschutzbeauftragter, Anwalt, BSI-Notruf, Versicherung), eine Schritt-für-Schritt-Checkliste für die ersten 60 Minuten, Informationen zum Backup-Standort und Wiederherstellungsverfahren sowie eine Kommunikationsvorlage für Kunden und Lieferanten.

Schützt eine Cyber-Versicherung vor Ransomware-Schäden?

Teilweise. Viele Policen decken Wiederherstellungskosten und Betriebsunterbrechung ab. Lösegeld zahlen viele Versicherungen nicht mehr oder nur unter engen Voraussetzungen. Wichtig: Versicherungspflichten nicht erfüllt zu haben (fehlende Updates, kein Backup) kann zum Leistungsausschluss führen.

Ransomware-Notfallplan für KMU: Vorbereitung statt Lösegeld

Aktualisiert am 29.01.2026Lesezeit 7 Min.

Ransomware-Angriffe auf KMU haben in den letzten Jahren deutlich zugenommen. Nicht weil Handwerksbetriebe, Kanzleien oder mittelständische Händler für Kriminelle interessanter geworden wären als Konzerne, sondern weil sie angreifbarer sind. Weniger Sicherheitssoftware, keine dedizierte IT-Abteilung, oft veraltete Systeme. Für automatisierte Angriffe, die tausende Ziele gleichzeitig scannen, sind das ideale Voraussetzungen.

Was in vielen KMU fehlt, ist nicht die Erkenntnis, dass Ransomware gefährlich ist. Es fehlt der Plan für den Fall, dass es passiert. Dieser Artikel beschreibt, wie ein Angriff abläuft, was in den ersten 60 Minuten zu tun ist und was ein funktionierender Notfallplan enthält.

Wie ein Ransomware-Angriff abläuft

Das Bild vom Hacker, der gezielt in ein Unternehmen einbricht, stimmt für die meisten KMU nicht. Typische Angriffe auf kleine und mittlere Betriebe sind weitgehend automatisiert.

Der häufigste Einstiegspunkt ist eine Phishing-Mail. Ein Mitarbeiter öffnet einen Anhang oder klickt auf einen Link, der eine Schadsoftware nachlädt. Alternativ nutzen Angreifer bekannte Sicherheitslücken in ungepatchten Systemen, offene RDP-Ports oder gestohlene Zugangsdaten aus früheren Datenlecks.

Nach der ersten Infektion beginnt die eigentliche Arbeit der Schadsoftware: Sie versucht sich im Netzwerk auszubreiten, Berechtigungen zu eskalieren und Backups zu löschen oder zu verschlüsseln, bevor die eigentliche Ransomware aktiviert wird. Diese Phase dauert manchmal Stunden, manchmal Tage. Wer kein Monitoring betreibt, bemerkt nichts davon.

Dann läuft die Verschlüsselung. Dateien werden mit einem Schlüssel chiffriert, den nur die Angreifer kennen. Auf dem Bildschirm erscheint eine Lösegeldforderung mit einer Bitcoin-Adresse und oft einer Deadline.

Moderne Ransomware-Gruppen drohen zusätzlich damit, Daten zu veröffentlichen, sogenanntes Double Extortion. Wer sensible Kundendaten, Verträge oder Finanzdaten hat, ist damit gleich doppelt unter Druck.

Die ersten 60 Minuten

Wer in den ersten 60 Minuten richtig handelt, begrenzt den Schaden erheblich. Wer diese Zeit mit Versuchen, Rückfragen und Panik verbringt, verliert sie.

Systeme sofort vom Netz trennen
Das betroffene Gerät sofort vom Netzwerk trennen, Netzwerkkabel ziehen, WLAN deaktivieren. Wenn unklar ist, welche Geräte betroffen sind: alle Geräte trennen. Jede Minute, die ein infiziertes Gerät online ist, kann weitere Systeme infizieren.
Andere Geräte sichern
Alle anderen Computer, Server und NAS-Geräte ebenfalls vom Netz nehmen, auch wenn sie noch nicht befallen wirken. Ransomware breitet sich oft verzögert aus. Im Zweifel lieber zu viel isolieren als zu wenig.
IT-Dienstleister anrufen
Nicht per Mail, nicht per Chat, sondern anrufen. Die Telefonnummer muss auf der ausgedruckten Notfallliste stehen, nicht nur im E-Mail-Postfach, das gerade möglicherweise auch kompromittiert ist.
Backup-Status prüfen
Wann wurde zuletzt gesichert? Ist das Backup offline, also nicht mit dem infizierten Netz verbunden? Das Backup ist die entscheidende Variable für die Frage, wie lange die Wiederherstellung dauert.
Keine Systeme neu starten
Finger weg vom Neustart. Manche Verschlüsselungsprozesse laufen erst nach einem Neustart vollständig durch. Außerdem gehen bei einem Neustart forensische Spuren verloren, die für die Ursachenanalyse wichtig sind.
Dokumentieren, was passiert ist
Zeitpunkt der Entdeckung, sichtbare Symptome, welche Geräte betroffen scheinen, wer was getan hat. Diese Aufzeichnung brauchen Sie später für die Versicherung, die Datenschutzbehörde und die Strafverfolgung.

Was ein Notfallplan enthalten muss

Ein Notfallplan ist kein Sicherheitskonzept-Dokument in 40-Seiten-PDF-Form. Er ist eine ausgedruckte Seite, die jeder Mitarbeiter findet, auch wenn alle IT-Systeme ausgefallen sind.

Kontaktliste

IT-Dienstleister, Mobilnummer, nicht nur Büronummer
Datenschutzbeauftragter oder externe Datenschutzstelle
Anwalt mit IT-Recht-Erfahrung
Cyber-Versicherung, Schadensnummer und 24/7-Hotline
BSI-Notruf: 0800 274 1000 (kostenlos, rund um die Uhr)
Bundeskriminalamt oder zuständige Landesbehörde

Sofortmaßnahmen (Kurzform)

Die erste Seite des Plans enthält die Sofortmaßnahmen in maximal 6 Schritten, jeder Schritt in einem Satz. Kein Prosa, keine Erklärungen. Nur: was tun.

Backup-Informationen

Wo ist das Backup? Wer hat Zugriff darauf? Wer darf die Wiederherstellung anstoßen? Diese Informationen müssen im Plan stehen, nicht nur im Kopf der IT-verantwortlichen Person.

Kommunikationsvorlage

Wenn ein Angriff Kundendaten betrifft, brauchen Sie eine Vorlage für die Erstinformation. Nicht ausformuliert bis ins Detail, aber eine Grundstruktur, damit Sie nicht im Ausnahmezustand bei null anfangen.

Wiederanlauf-Reihenfolge

Nicht alle Systeme sind gleich wichtig. Welches System muss zuerst wieder laufen? Was ist das absolute Minimum für den nächsten Arbeitstag? Diese Reihenfolge gehört in den Plan.

Sofortmaßnahmen auf einen Blick

Maßnahme	Zeitfenster	Zuständig
Netzwerkkabel ziehen, WLAN aus	Sofort, erste Minute	Mitarbeiter vor Ort
Weitere Geräte isolieren	Erste 5 Minuten	Alle
IT-Dienstleister anrufen	Erste 10 Minuten	Geschäftsführer oder IT-Beauftragter
Backup-Status prüfen	Erste 15 Minuten	IT-Dienstleister
Keine Neustarts durchführen	Dauerhaft bis Freigabe	Alle
Dokumentation beginnen	Erste 30 Minuten	Geschäftsführer
BSI und Datenschutzbehörde informieren	Innerhalb 24h (DSGVO: 72h)	Geschäftsführer mit Rechtsbeistand

Lösegeld zahlen: ja oder nein

Die kurze Antwort: fast immer nein.

Die etwas längere: Rund 40 Prozent der Unternehmen, die Lösegeld zahlen, erhalten keinen funktionierenden Entschlüsselungsschlüssel oder erhalten Daten nur teilweise zurück. Wer zahlt, landet außerdem auf Listen, die unter Kriminellen kursieren. Ein Betrieb, der gezahlt hat, ist ein bekannter Zahler. Folgeattacken sind keine Seltenheit.

Hinzu kommt: Lösegeld-Zahlungen können gegen Sanktionsvorschriften verstoßen, wenn die Gruppe auf einer Sanktionsliste steht. Das passiert häufiger als man denkt, weil viele Ransomware-Gruppen aus sanktioniertem Staatsgebiet operieren.

Die einzige Situation, in der Zahlen überhaupt diskutiert werden sollte: wenn es kein funktionierendes Backup gibt, die Daten für die Existenz des Unternehmens unverzichtbar sind und kein anderer Weg erkennbar ist. Auch dann zuerst: IT-Dienstleister, Anwalt, BSI, Versicherung. Nicht zuerst zahlen.

Meldepflichten nach einem Angriff

Ein Ransomware-Angriff ist fast immer auch ein Datenschutzvorfall, weil personenbezogene Daten durch den Angriff unzugänglich werden. Das reicht für die DSGVO-Meldepflicht.

Datenschutzbehörde: Meldung innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Die Meldung muss Art, Umfang und wahrscheinliche Folgen des Vorfalls beschreiben. Zu diesem Zeitpunkt müssen noch nicht alle Details feststehen, das wird in der Meldung entsprechend vermerkt.

Betroffene Personen: Wenn der Vorfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bedeutet, müssen diese ebenfalls informiert werden. Das betrifft besonders sensible Daten wie Gesundheitsdaten, Finanzdaten oder Daten von Kindern.

Strafverfolgungsbehörden: Eine Anzeige bei der Polizei ist sinnvoll und oft Voraussetzung für Versicherungsleistungen. Cybercrime-Abteilungen der Landeskriminalämter haben sich in den letzten Jahren professionalisiert.

Branchenspezifische Meldepflichten: In regulierten Branchen (Finanzen, Energie, Gesundheit, Telekommunikation) kommen weitere Meldepflichten nach IT-Sicherheitsgesetz, KRITIS-Verordnung oder branchenspezifischen Regelwerken hinzu. Wer hier tätig ist, sollte die Meldepflichten vorab kennen, nicht erst im Schadensfall nachschlagen.

Prävention: Was wirklich hilft

Der Notfallplan ist der letzte Sicherheitsgurt. Was davor kommt, verhindert, dass er gebraucht wird.

Offline-Backup. Das ist die wichtigste Einzelmaßnahme. Ein Backup, das vom laufenden Netz getrennt ist, kann nicht verschlüsselt werden. Externe Festplatten, die regelmäßig aus dem Netz genommen werden, oder Cloud-Backups mit unveränderlichen Speicher-Snapshots (Immutable Storage) erfüllen diesen Zweck. Ein Backup, das per Netzwerkfreigabe immer erreichbar ist, wird von Ransomware mitgelöscht.

Multi-Faktor-Authentifizierung. MFA für alle Zugänge, besonders für E-Mail, VPN und Remote-Desktop. Der größte Teil der Ransomware-Angriffe beginnt mit gestohlenen Zugangsdaten. MFA macht gestohlene Passwörter nutzlos.

Patch-Management. Betriebssysteme, Browser und Office-Anwendungen zeitnah aktualisieren. Die meisten automatisierten Angriffe nutzen bekannte Schwachstellen, für die es längst Updates gibt.

Schulung der Mitarbeiter. Phishing-Mails erkennen. Keine Anhänge aus unbekannten Quellen öffnen. Verdächtige Aktivitäten sofort melden, nicht erst am nächsten Tag erwähnen. Einmal im Jahr eine Übung mit einer Simulations-Phishing-Mail macht mehr als jede Richtlinie.

Endpoint-Schutz und Monitoring. Moderne Endpoint-Security-Lösungen erkennen verdächtiges Verhalten, auch wenn die Schadsoftware selbst unbekannt ist. Monitoring, das ungewöhnliche Aktivitäten in der Nacht oder Massenverschlüsselungsvorgänge erkennt, kann einen Angriff stoppen, bevor er vollständig ist.

Was ITCC für Sie übernimmt

Die wenigsten KMU haben Zeit, einen Notfallplan zu schreiben, regelmäßig Backup-Tests durchzuführen und Monitoring aufzubauen. Das ist keine Kritik, sondern eine Realität: Das Kerngeschäft hat Vorrang.

ITCC betreut KMU in Speyer und Wiesbaden mit Managed IT, die Prävention einschließt: Offline-Backup mit regelmäßigen Wiederherstellungstests, Monitoring, Endpoint-Schutz und einen dokumentierten Notfallplan, der in Ihrem Betrieb liegt. Wenn es trotzdem passiert, sind wir der erste Anruf.

Wenn Sie wissen wollen, wie gut Ihr Betrieb aktuell auf einen Ransomware-Angriff vorbereitet ist, können wir das in einem Erstgespräch einschätzen. Kein Aufwand Ihrerseits vorab, kein Verkaufsgespräch.

Erstgespräch vereinbaren