So beginnen die meisten Artikel über Ransomware: mit einer erschreckenden Statistik, einer kurzen Definition, einer Liste typischer Opfer und Best Practices, die davon ausgehen, dass ein vollständiges Sicherheitsteam und unbegrenztes Budget zur Verfügung stehen.

Dies ist kein solcher Artikel...

Wir führen zwar Statistiken zur Veranschaulichung an, doch im Mittelpunkt dieses Artikels stehen praktische Tipps, die sich für Ihr Team und die Ihnen tatsächlich zur Verfügung stehenden Ressourcen eignen. Wenn Sie für die IT in einem KMU verantwortlich sind, müssen Sie sich nicht durch Angstmacherei zu Maßnahmen drängen lassen: Sie wissen bereits, dass die Bedrohung real ist und sich ständig weiterentwickelt.

Nachfolgend finden Sie einige schnelle und einfache Ansätze für den Einstieg, bevor wir uns mit dem vollständigen Framework mit verschiedenen Maßnahmen für Ihr Team befassen.

Erinnerungen:

5 Maßnahmen, mit denen Sie in dieser Woche Ihr Ransomware-Risiko spürbar senken:

• MFA für alle Konten aktivieren – E-Mail, VPN, Cloud-Apps, Remotezugriffstools
• Admin-Zugriff überprüfen und alles entfernen, was nicht erforderlich ist
• Testen, ob eine Wiederherstellung auf der Grundlage Ihrer Backups tatsächlich möglich ist (nicht nur, ob sie existieren)
• Ihre 10 kritischsten Systeme patchen
• Phishing-Simulation mit Ihrem Team durchführen

Im weiteren Verlauf dieses Artikels wird das zugrunde liegende Framework dieser Maßnahmen und ihr langfristiger Ausbau erläutert.

Was ist Ransomware?

Die Cybersecurity and Infrastructure Security Agency (CISA) definiert Ransomware als „eine Form von Malware, die darauf ausgelegt ist, Dateien auf einem Gerät zu verschlüsseln und damit die Dateien sowie die zugehörigen Systeme unbrauchbar zu machen. Hacker fordern dann als Gegenleistung für die Entschlüsselung Lösegeld.“

Moderne Ransomware-Angriffe belassen es selten bei der Verschlüsselung. Die meisten Hacker verfolgen heute das Modell der doppelten Erpressung: Erst werden Daten entwendet, dann verschlüsselt – und es wird damit gedroht, sie im Fall einer Nichtzahlung zu veröffentlichen. Das bedeutet, dass Sie selbst dann unter Druck stehen, wenn Sie über Backups verfügen.

Ransomware-as-a-Service (RaaS) hat den explosionsartigen Anstieg der Angriffe weiter angeheizt. Kriminelle Organisationen stellen ihre Tools mittlerweile quasi als Franchise-Modell Partnern zur Verfügung, die sich die Gewinne teilen. Dies senkt die technischen Hürden für Angriffe und führt zu einem drastischen Anstieg von Angriffen. Allein im Juni 2025 hat die Ransomware-Gruppe Qilin 81 Angriffe durchgeführt – ein Anstieg von 47,3 % gegenüber dem vorangegangenen Zeitraum.

Angreifer nehmen gezielt kleinere Unternehmen ins Visier, gerade weil sie meist über weniger Sicherheitsressourcen, schwächere Backup-Strategien und weniger Funktionen zur Reaktion auf Vorfälle als Großunternehmen verfügen.

Warum KMUs ins Visier geraten

„47 % der kleinen Unternehmen mit weniger als 10 Millionen US-Dollar Umsatz wurden im letzten Jahr Opfer eines Ransomware-Angriffs.“

– ConnectWise-Statusbericht zu Cybersicherheit in KMU, 2025

Die Annahme, dass Angreifer sich nur auf große Ziele konzentrieren, ist gefährlich veraltet. KMU werden aus folgenden Gründen gezielt angegriffen:

• Kleinere IT-Teams mit weniger Kapazität für Überwachung, Patchen und Reaktion
• Remote- und Hybridbelegschaften, die von privaten Geräten und Heimnetzwerken aus auf Systeme zugreifen
• Cloudumgebungen, die häufig fehlerhaft konfiguriert sind und unzureichend überwacht werden
• Weniger ausgereifte Reaktionsmaßnahmen auf Vorfälle. Dadurch richten Angriffe mehr Schaden an, bevor sie eingedämmt werden.

Auch finanziell hat sich die Lage drastisch verschärft. Die durchschnittliche Lösegeldzahlung sprang im Jahr 2024 um 500 % auf 2 Millionen US-Dollar. Die Wiederherstellung nach einem Malware-Angriff kostet mittlerweile durchschnittlich 2,73 Millionen US-Dollar – und dabei sind Ausfallzeiten, Kundenverluste und Imageschäden noch nicht berücksichtigt. (ConnectWise, 2025)

Ein weiterer Faktor, der alles verändert: KI. 83 % der KMU bestätigen, dass KI das Risiko von Cybersicherheitsbedrohungen für ihr Unternehmen erhöht hat. (ConnectWise, 2025) Angreifer nutzen KI, um täuschend echte Phishing-E-Mails zu generieren, den Diebstahl von Zugangsdaten zu automatisieren und Malware-Nutzdaten in Echtzeit anzupassen. Die Angriffe nehmen schneller zu, als die meisten herkömmlichen Abwehrmaßnahmen damit Schritt halten können.

Was ist „Zero Trust“?

Zero Trust hat sich als gebräuchlicher Begriff im IT-Sicherheitsbereich etabliert. Das Kernprinzip von Zero Trust lautet jedoch: Keinem vertrauen, immer alle überprüfen. Das betrifft grundsätzlich alle Benutzer, alle Geräte und alle Verbindungen, selbst wenn sie sich bereits im Netzwerk befinden.

Dies ist ein grundlegender Unterschied zur herkömmlichen Cybersicherheit, bei der das Netzwerk durch eine Firewall gesichert und alles darin als sicher angesehen wurde. Das Problem bei diesem Modell: Gelingt einem Angreifer der Durchbruch – beispielsweise durch eine Phishing-E-Mail, kompromittierte Zugangsdaten oder ein anfälliges Remotetool – kann er sich frei bewegen. Zero Trust setzt dem ein Ende.

Das Framework basiert auf drei Prinzipien:

Explizit verifizieren – Jede Zugriffsanfrage sollte basierend darauf authentifiziert werden, wer die Anfrage stellt und von welchem Gerät und von welchem Standort aus. Und zwar unabhängig davon, ob das Verhalten als normal erscheint. Dieser Vorgang muss jedes Mal und nicht nur einmalig bei der Anmeldung erfolgen.

Least-Privilege-Prinzip verwenden – Jede Person darf ausschließlich auf die Ressourcen zugreifen, die für die jeweilige Tätigkeit erforderlich sind – und auf nichts darüber hinaus. Wird ein Konto kompromittiert, bleibt der Schaden auf den Bereich begrenzt, auf den der Angreifer Zugriff hat.

Von einer Sicherheitsverletzung ausgehen – Dies ist der Perspektivwechsel, auf den es für KMU am meisten ankommt. Stellen Sie sich stets die Frage: „Was passiert, wenn ein Angreifer bereits im System ist?“ So können die Systeme gezielt so gestaltet werden, dass ein Angreifer sich nur begrenzt bewegen und Schaden anrichten kann.

Wesentliche Erkenntnis für KMU: Zero Trust ist keine einzelne Schutzebene. Es handelt sich um einen ganzheitlichen Infrastrukturansatz, der schrittweise auf allen Ebenen der bestehenden Umgebung umgesetzt wird.

Zero Trust: Best Practices für KMU

Was in Sicherheitsartikeln meist nicht erwähnt wird: Die meisten KMU können all das nicht gleichzeitig umsetzen. Es steht kein großes Sicherheitsteam zur Verfügung und das Budget muss auf verschiedene Prioritäten verteilt werden. Jedes neue Tool bedeutet zusätzlichen Verwaltungsaufwand.

Das ist jedoch kein Grund, untätig zu bleiben. Es ist vielmehr Anlass, gezielt und priorisiert nach größter Wirksamkeit vorzugehen. Die folgenden Maßnahmen sind nach ihrer Wirksamkeit sortiert – fangen Sie ganz oben an und bauen Sie darauf auf.

Tipp 1 Überall Multifaktor-Authentifizierung (MFA) aktivieren

Dies ist die wirksamste Maßnahme, die Sie heute ergreifen können.

Wenn Zugangsdaten durch Phishing gestohlen werden, verhindert die MFA, dass ein Angreifer ungehindert Zugriff erhält. Aktivieren Sie MFA für E-Mail, VPN, Cloudanwendungen, Remote-Desktop-Tools und alle Systeme mit vertraulichen Daten.

Bevorzugen Sie App-basierte Authentifikatoren (wie Microsoft Authenticator oder Google Authenticator) gegenüber SMS-Codes, da diese abgefangen werden können. Dies ist ein Projekt von einem halben Tag, das eine katastrophale Sicherheitsverletzung verhindern kann.

Tipp 2 Zugriff nach dem Least-Privilege-Prinzip umsetzen

Beginnen Sie mit folgender Frage: Benötigt diese Person tatsächlich Admin-Rechte?

Für die meisten KMU lautet die ehrliche Antwort bei der Mehrheit der Konten: nein. Überprüfen Sie Ihre Liste mit Admin-Zugriff. Entfernen Sie dauerhafte Berechtigungen, wenn sie nicht täglich benötigt werden. Nutzen Sie nach Möglichkeit zeitlich begrenzten oder bedarfsgesteuerten Zugriff für erweiterte Berechtigungen.

Allein diese Maßnahme schränkt erheblich ein, was ein Angreifer mit einem kompromittierten Konto tun kann. Wenn ein Angreifer als Standardbenutzer ins System gelangt, kann er weder Ransomware installieren noch Automatisierungen verändern noch sich lateral im Netzwerk bewegen. Automatische Sicherheit.

Nr. 3 Netzwerk segmentieren

Gelangt Ransomware in Ihr System, entscheidet die Mikrosegmentierung darüber, wie weit sie sich ausbreitet.

Stellen Sie sich Ihr Netzwerk wie ein Schiff mit mehreren Abteilungen vor. Ein Leck in einem Bereich muss nicht gleich das ganze Schiff zum Sinken bringen. Für KMU ist hierfür keine Komplexität auf Unternehmensniveau erforderlich – praktische Ansatzpunkte sind unter anderem:

• Mitarbeiterarbeitsplätze von Servern trennen
• Das Gäste-WLAN von internen Systemen isolieren
• Sicherstellen, dass Kassen- oder Finanzsysteme nicht mit Personal- oder Betriebsdaten kommunizieren können

Praxisbeispiel: Ein Fertigungsunternehmen mit 35 Angestellten war Opfer eines Ransomware-Angriffs über den Laptop eines Vertragspartners. Da das Netzwerk bereits im Vorjahr segmentiert wurde, konnte der Angriff auf eine Zone beschränkt werden. Die Wiederherstellung dauerte nur wenige Stunden. Ohne Segmentierung hätte es Wochen gedauert – und das Unternehmen deutlich mehr gekostet als die Wiederherstellung.

Tipp 4 Immer konsequent patchen

Nicht gepatchte Software ist wie eine offene Tür. Angreifer kennen Ihren Patch-Zyklus besser als Sie denken.

Ausgenutzte Schwachstellen gehören zu den häufigsten Ursachen für Ransomware-Angriffe – sie machen 32 % der Vorfälle allein im Finanzdienstleistungssektor aus. (Sophos, 2025) Die größte Herausforderung für KMU besteht nicht darin zu wissen, dass Patchen wichtig ist. Es geht darum, Patches über alle Betriebssysteme, Anwendungen, Firmwareversionen und Clouddienste hinweg konsequent anzuwenden, während gleichzeitig alles andere erledigt werden muss.

Automatisieren Sie das Patchen überall dort, wo es Ihre Tools ermöglichen. Für Bereiche, in denen keine Automatisierung möglich ist, legen Sie einen festen Zeitplan fest und halten Sie diesen konsequent ein. Tools, die Ihnen in Echtzeit einen Überblick über veraltete Endgeräte verschaffen, verwandeln diesen manuellen Aufwand in einen kontrollierten Prozess.

Nr. 5 Die Kultur „Niemals vertrauen, immer prüfen“ etablieren

Technologie hat ihre Grenzen. Der menschliche Faktor ist entscheidend.

Das FBI erhielt im Jahr 2024 193.407 Phishing- und Spoofing-Meldungen, die zu Verlusten von mehr 70 Millionen US-Dollar führten. Da inzwischen 82,6 % der Phishing-Inhalte KI-generiert sind, sind diese E-Mails selbst von geschulten Personen immer schwerer zu erkennen.

Regelmäßige, kurze Schulungen zum Sicherheitsbewusstsein – selbst wenn sie nur 15 Minuten pro Quartal dauern – können dazu beitragen, das Risiko erfolgreicher Phishing-Angriffe deutlich zu senken. Kombinieren Sie dies mit gelegentlichen simulierten Phishing-Tests, damit Angestellte ihre Erkennungsfähigkeit durch Übung und nicht nur durch Unterweisung verbessern.

Zero Trust als Kultur bedeutet, dass Ihr Team versteht, warum diese Richtlinien bestehen, und nicht nur, dass sie umzusetzen sind.

Tipp 6 Kontinuierlich überwachen und nicht einfach nur auf die Lösegeldforderung warten

Angreifer verbringen oft Wochen unentdeckt im Netzwerk, bevor sie Ransomware auslösen. Durch Überwachung werden Angreifer frühzeitig erkannt.

Verhaltensanalysetools können auffällige Aktivitäten eines Kontos erkennen – etwa wenn Dateien aufgerufen werden, die sonst nie genutzt werden, Anmeldungen zu ungewöhnlichen Zeiten erfolgen oder laterale Bewegungen stattfinden. Dieses frühe Warnsignal macht den Unterschied zwischen einem begrenzten Vorfall und einer großflächigen Kompromittierung.

Stellen Sie zumindest sicher, dass die Protokollierung auf allen kritischen Systemen aktiviert ist und Warnmeldungen regelmäßig überprüft werden. Wenn Ihr Team nicht rund um die Uhr Monitoring gewährleisten kann, ist dies eines der stärksten Argumente für verwaltete Erkennungs- und Reaktionsunterstützung.

Cloud- und Remotezugriff absichern: Die wichtigsten Angriffspunkte

Remotezugriffstools und Cloudumgebungen sind heute die Haupteinfallstore für Ransomware und verdienen daher besondere Beachtung in Ihrer Zero-Trust-Strategie.

Remotezugriff ist vor allem deshalb ein bevorzugtes Ziel, weil die eingesetzten Tools über erhöhte Zugriffsrechte für Ihre Endgeräte verfügen. Angreifer nutzen schlecht abgesicherte VPNs, Schwachstellen bei RDP (Remote Desktop Protocol) und Sicherheitslücken in IT-Verwaltungssoftware, um Zugriff auf mehrere Systeme gleichzeitig zu erhalten.

Zero Trust für Remotezugriff bedeutet Folgendes:

• Jede Remotesitzung erfordert eine erneute Authentifizierung – nicht nur bei der ersten Anmeldung.
• Der Zugriff ist auf bestimmte Systeme begrenzt und gilt nicht für das gesamte Netzwerk.
• Jede Sitzung wird protokolliert und kann überwacht werden.
• Für vertrauliche automatisierte Aufgaben ist vor der Ausführung eine verifizierte Signatur erforderlich. So können selbst bei einem kompromittierten Back-End keine neuen Automatisierungen ohne die richtigen Zugangsdaten ausgelöst werden

Cloudumgebungen bergen vergleichbare Risiken. Fehlkonfigurationen – offene Speicherbereiche, überhöhte Berechtigungen, ungenutzte Servicekonten – werden konsequent ausgenutzt. Wenden Sie die gleichen Least-Privilege- und Verifizierungsprinzipien sowohl auf Ihre Cloudressourcen als auch auf Ihre On-Premise-Umgebung an.

Fazit zu Remotetools: Die Plattform, mit der Sie Ihre Endgeräte verwalten, ist der Schlüssel zu Ihrer Infrastruktur. Stellen Sie sicher, dass von Anfang an Zero-Trust-Prinzipien integriert und nicht erst nachträglich ergänzt werden.

Wenn Prävention nicht ausreicht: Resilienz gegenüber Ransomware entwickeln

Selbst mit strengen Zero-Trust-Sicherheitsmaßnahmen planen widerstandsfähige Unternehmen dafür, dass es zu einem Vorfall kommen kann. Das ist der Kern einer praxistauglichen Resilienzstrategie für KMU:

Schwachstellen kennen

Bevor Sie sich verteidigen können, müssen Sie sich ein ehrliches Bild Ihrer aktuellen Situation machen. Eine Schwachstellenanalyse identifiziert kritische Lücken in Ihren Systemen, bevor Angreifer sie entdecken. Eine Risikoanalyse erfasst Ihre wichtigsten Assets und hilft Ihnen dabei, Prioritäten für Ihre ersten Investitionen zu setzen. Beides muss keine Mammutaufgabe sein: Viele Tools bieten automatisierte Scans mit priorisierten Ergebnissen, auf die Ihr Team direkt reagieren kann.

Daten sichern – und die Wiederherstellung testen

Das klingt banal. Dennoch wird es oft nicht richtig umgesetzt. Wirksame Backups:

• Automatisiert und regelmäßig, keine manuelle Aufgabe, die nur gelegentlich erledigt wird
• Mehrfach gesichert, einschließlich einer Offline- oder Air-Gap-Kopie, auf die Ransomware keinen Zugriff hat
• Regelmäßig getestet: Sie müssen sicher sein, dass die Wiederherstellung funktioniert und nicht nur, dass das Backup existiert.

Ransomware-Gruppen nehmen zunehmend gezielt Backup-Systeme ins Visier, da die Eliminierung von Wiederherstellungsmöglichkeiten die Wahrscheinlichkeit einer Zahlung erhöht. Schützen Sie Ihre Backups mit derselben Sorgfalt wie Ihre Produktionssysteme.

Einen schriftlichen Plan zur Reaktion auf Vorfälle verfassen

Im Falle eines Angriffs vergrößern Verwirrung und Verzögerungen den Schaden. Ein einfacher, schriftlicher Plan, u. a. dazu, wer den Vorfall meldet, wer betroffene Systeme isoliert, wer Strafverfolgungsbehörden informiert und wer die Kommunikation übernimmt, kann den Unterschied zwischen einem eingegrenzten Vorfall und einem existenzbedrohenden Ereignis ausmachen. Sie benötigen kein 50-seitiges Playbook. Sie brauchen eine einseitige Anleitung, die Ihr Team tatsächlich liest.

DLP zum Schutz vor Datenexfiltration einsetzen

Da moderne Ransomware Daten bereits vor der Verschlüsselung stiehlt, bieten DLP-Tools (Data Loss Prevention, Verhinderung von Datenverlust) einen wichtigen Schutz: Sie überwachen die Bewegung vertraulicher Daten und blockieren unerlaubte Exfiltrationsversuche. Dies ist besonders relevant, wenn Sie personenbezogene Kundendaten, Finanzdaten oder Gesundheitsdaten verarbeiten, bei deren Verlust gesetzliche Konsequenzen drohen.

Zero-Trust-Architektur aufbauen: Ein praxisnaher Einstieg

Zero Trust ist kein Projekt mit einer Ziellinie. Zero Trust ist eine Richtung – und das Ziel ist kontinuierlicher Fortschritt, nicht Perfektion.

Hier ist eine praktische Abfolge für KMU auf dem Weg zu Zero Trust:

• Schritt 1 → Alle Assets, Konten und Zugriffsrechte erfassen (nur was sichtbar ist, kann geschützt werden)
• Schritt 2 → Überall MFA aktivieren
• Schritt 3 → Admin-Zugriff und privilegierten Zugriff prüfen und einschränken
• Schritt 4 → Netzwerk segmentieren
• Schritt 5 → Automatisiertes Patchen und regelmäßige Schwachstellenscans etablieren
• Schritt 6 → Kontinuierliches Monitoring und Warnmeldungen einrichten
• Schritt 7 → Backups testen und den Plan zur Reaktion auf Vorfälle dokumentieren
• Schritt 8 → Team schulen (und dies regelmäßig wiederholen)

Die Unternehmen, die Ransomware-Angriffe überstehen, sind nicht zwangsläufig jene mit den größten Budgets. Es sind diejenigen, die bewusste und konsequente Entscheidungen für eine mehrschichtige Absicherung getroffen haben und nicht erst nach einem Sicherheitsvorfall aktiv wurden.

Sie müssen diese Schritte nicht allein und auch nicht alle auf einmal ausführen. Wichtig ist, dass Sie den ersten Schritt tun und dass die Tools, mit denen Sie Ihre Umgebung verwalten, Sicherheit bereits in ihre Funktionsweise integriert haben und diese nicht erst nachträglich hinzugefügt wurde.

So unterstützt LogMeIn Resolve Ihre Zero-Trust-Strategie

Die Zero-Trust-Sicherheitsarchitektur von LogMeIn Resolve setzt ein strenges Sicherheitsprotokoll um, das einen Ansatz nach dem Prinzip „Keinem vertrauen, alle überprüfen“ innerhalb von Software oder einer IT-Umgebung verfolgt. Es geht weit über herkömmliche Sicherheitsmaßnahmen hinaus, bei denen es für gewöhnlich innerhalb einer Vertrauenszone keine Zugriffsbeschränkungen gibt. Dringt dort ein Hacker ein, kann er großen Schaden anrichten.

Die Sicherheitsstrategie von LogMeIn basiert auf der Annahme, dass es mehrere Zugangspunkte zu einer Software oder IT-Infrastruktur gibt – nicht nur die klassische Benutzeranmeldung, sondern auch potenzielle Hintertüren in Software, APIs (Application Programming Interfaces) und mehr. Von daher sollte bei allen sensiblen Aktionen oder Zugriffen auf vertrauliche Informationen eine zusätzliche Verifizierung erfolgen.

Das Ergebnis: Schutz für das Endgerät, da jede einzelne automatisierte Aufgabe eine erneute Authentifizierung erfordert. Konkret verfolgt der Sicherheitsprozess von LogMeIn Resolve folgende Schritte:

• Das Applet auf Remotegeräten akzeptiert nur Befehle von autorisierten Technikern.
• Die Techniker müssen einen eindeutigen Signaturschlüssel erstellen und sich damit vor sensiblen Aktionen ein weiteres Mal authentisieren.
• Dieser Schlüssel ist nur dem:der Techniker:in bekannt, nicht aber LogMeIn, und kann online nicht kompromittiert werden.
• Selbst wenn sich Cyberkriminelle in das Backend hacken oder Anmeldeinformationen per Phishing abgreifen, haben sie ohne den Signaturschlüssel keine Möglichkeit, Automatisierungen für Endgeräte zu modifizieren oder neue zu erstellen.
• Auf den Endgeräten können nur die entsprechend signierten Befehle ausgeführt werden.

Stellen Sie sich das so vor, als würde jemand versuchen, eine Bank zu überfallen: Er bricht in den Tresorraum ein, stößt dort aber auf Hunderte von Schließfächern, die alle mit individuellen Schlüsseln verschlossen sind, über die nur die Besitzer verfügen.

Erfahren Sie mehr über den Zero-Trust-Sicherheitsansatz von LogMeIn Resolve in unserem Kamingespräch mit unserem Chief Information Security Officer Attila Torok und dem VP of Engineering David Bisztrai. Entdecken Sie, wie die Umsetzung dieser Prinzipien dazu beitragen kann, Ihr Unternehmen vor Ransomware, Angriffen auf die Lieferkette und anderen Sicherheitslücken zu schützen, von denen große und kleine Unternehmen gleichermaßen betroffen sind.