Start
ÜbersichtOnline-KurseLive-Trainings & BootcampsISO 27001Penetration TestingSecurity AwarenessIT-Audit & Compliance
ÜbersichtSecurity-AuditsISO 27001Penetration TestingTeam-SchulungenBeratungReferenzen
ÜbersichtBlogGuidesGlossarRessourcenWebinare
ÜbersichtTeam & ExpertiseAkkreditierung & PartnerZertifizierungKarriere
Bedrohungslage

Ransomware — Prävention, Erkennung, Wiederherstellung

09.04.2026 · 11 Min. Lesezeit · Cyberphant Security-Team

Ransomware gehört zu den existenzbedrohenden Risiken für Unternehmen. Wir gliedern die Verteidigung in drei Phasen und zeigen, worauf es bei jeder ankommt.

Wie Ransomware-Angriffe heute ablaufen

Ransomware verschlüsselt Daten und macht sie unbrauchbar, bis ein Lösegeld gezahlt wird. Doch das Bild des einzelnen Erpressungstrojaners ist veraltet. Moderne Angriffe sind arbeitsteilige, mehrstufige Operationen. Angreifer verschaffen sich zunächst Zugang, bewegen sich oft über Tage oder Wochen unbemerkt durch das Netzwerk, erweitern ihre Rechte und stehlen Daten, bevor sie verschlüsseln.

Verbreitet ist die doppelte Erpressung: Zusätzlich zur Verschlüsselung drohen die Täter mit der Veröffentlichung gestohlener Daten. Selbst eine funktionierende Datensicherung schützt dann nicht mehr vollständig, weil der Vertraulichkeitsverlust bereits eingetreten ist.

Prävention: die Angriffsfläche verkleinern

Der wirksamste Schutz setzt an, bevor ein Angriff beginnt. Die meisten erfolgreichen Ransomware-Vorfälle nutzen bekannte Schwächen aus, die sich mit grundlegender Sicherheitshygiene hätten schliessen lassen. Prävention ist deshalb selten spektakulär, aber hochwirksam.

  • Konsequentes und zeitnahes Einspielen von Sicherheitsupdates, besonders bei aus dem Internet erreichbaren Systemen.
  • Phishing-resistente Mehr-Faktor-Authentisierung für alle Zugänge, vor allem für Fernzugriffe.
  • Strikte Begrenzung von Berechtigungen nach dem Prinzip der minimalen Rechte.
  • Netzwerksegmentierung, die eine Ausbreitung erschwert und Kernsysteme isoliert.
  • Deaktivierung nicht benötigter Dienste und Makros sowie Absicherung von Fernwartungszugängen.

Die Datensicherung als letzte Rettung

Wenn alle anderen Massnahmen versagen, entscheidet die Qualität der Datensicherung über das Überleben der Organisation. Doch viele Sicherungskonzepte halten einem gezielten Angriff nicht stand, weil die Backups erreichbar und damit mitverschlüsselbar sind. Eine widerstandsfähige Sicherung folgt bewährten Grundsätzen.

  • Mehrere Kopien auf unterschiedlichen Medien, davon mindestens eine ausserhalb des Standorts.
  • Eine Kopie offline oder unveränderbar, sodass Angreifer sie nicht löschen können.
  • Regelmässige, dokumentierte Wiederherstellungstests statt blossem Vertrauen auf die Existenz von Backups.
  • Schutz der Backup-Infrastruktur mit eigenen, getrennten Zugangsdaten.

Erkennung: Angreifer frühzeitig stoppen

Zwischen dem ersten Eindringen und der Verschlüsselung liegt oft ein Zeitfenster, in dem ein Angriff noch gestoppt werden kann. Wer dieses Fenster nutzen will, braucht Sichtbarkeit. Auffällige Anmeldungen, ungewöhnliche Datenbewegungen oder der Einsatz bekannter Angreiferwerkzeuge sind Warnsignale, die nicht übersehen werden dürfen.

Moderne Erkennungslösungen auf Endgeräten und im Netzwerk sowie eine zentrale Auswertung von Protokollen erhöhen die Chance, einen Angriff zu bemerken, bevor er sein Ziel erreicht. Entscheidend ist, dass jemand die Warnungen auch tatsächlich auswertet und reagieren kann.

Der Ernstfall: kontrolliert reagieren

Im Ernstfall entscheidet die Vorbereitung über das Ausmass des Schadens. Ein vorab geübter Notfallplan verhindert hektische Fehlentscheidungen. Betroffene Systeme müssen isoliert, der Vorfall dokumentiert und die richtigen Personen informiert werden. Voreilige Reaktionen, etwa das unüberlegte Neustarten von Systemen, können wertvolle Spuren vernichten.

Von der Zahlung des Lösegelds raten Fachleute und Behörden grundsätzlich ab. Eine Zahlung garantiert weder die Wiederherstellung der Daten noch die Löschung gestohlener Informationen und finanziert künftige Angriffe. Beziehen Sie frühzeitig spezialisierte Unterstützung und gegebenenfalls die zuständigen Behörden ein.

Wiederherstellung und Lehren

Die Wiederherstellung nach einem Ransomware-Angriff ist mehr als das blosse Zurückspielen von Daten. Bevor Systeme wieder in Betrieb gehen, muss sichergestellt sein, dass die Angreifer keinen Zugang mehr haben, denn sonst wiederholt sich der Vorfall. Das bedeutet, kompromittierte Zugangsdaten zu erneuern, die ursprüngliche Schwachstelle zu schliessen und betroffene Systeme sauber neu aufzusetzen.

Nach der Bewältigung folgt die wichtigste Phase: das Lernen. Eine ehrliche Nachbetrachtung deckt auf, wie der Angriff gelingen konnte und welche Massnahmen künftig schützen. So wird aus einer Krise eine nachhaltige Verbesserung der Widerstandsfähigkeit.

Vertiefen Sie dieses Thema

Unsere Kurse machen aus Wissen nachweisbare Kompetenz — mit verifizierbarem Zertifikat.

Zu den KursenWeitere Artikel