Ransomware 2025: Warum deutsche Unternehmen jetzt handeln muessen
Autor: Faheem Maqbool, IT-Architekt | Veroeffentlicht: April 2025 | Lesezeit: 8 Minuten
Die Bedrohungslage durch Ransomware hat sich in Deutschland dramatisch verschaerft. Laut dem BSI-Lagebericht 2024 wurden taeglich ueber 250.000 neue Schadprogramm-Varianten registriert -- ein Anstieg von 26 Prozent gegenueber dem Vorjahr. Als IT-Architekt, der ueber 170.000 Nutzer bei Unternehmen wie OBI Baumarkt und Senator/Maersk betreut hat, sehe ich taeglich, wie unvorbereitet viele Organisationen auf diese Bedrohung reagieren.
In diesem Artikel erfahren Sie, welche Angriffsvektoren aktuell dominieren, welche Branchen besonders betroffen sind und welche sieben Sofortmassnahmen Ihr Unternehmen jetzt umsetzen sollte.
Die aktuelle Ransomware-Landschaft in Deutschland
Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) stuft die Bedrohung durch Ransomware als die groesste Cyberbedrohung fuer Unternehmen ein. Die Zahlen sprechen eine deutliche Sprache:
| Kennzahl | 2023 | 2024 | Veraenderung |
|---|---|---|---|
| Ransomware-Angriffe auf deutsche Unternehmen | 68.000 | 91.000 | +34% |
| Durchschnittliches Loesegeld | 285.000 EUR | 412.000 EUR | +45% |
| Durchschnittliche Ausfallzeit | 16 Tage | 23 Tage | +44% |
| Anteil KMU unter den Opfern | 52% | 61% | +9 PP |
Wichtig: 61 Prozent der Ransomware-Opfer in Deutschland sind kleine und mittlere Unternehmen. Gerade der Mittelstand unterschaetzt das Risiko systematisch.
Die Top 5 Angriffsvektoren mit Praxisbeispielen
1. Phishing-E-Mails mit manipulierten Anhaengen
Nach wie vor der haeufigste Angriffsvektor. Moderne Phishing-Kampagnen nutzen KI-generierte Texte, die kaum von echten Geschaefts-E-Mails zu unterscheiden sind. Ein mittelstaendisches Fertigungsunternehmen in Baden-Wuerttemberg verlor 2024 durch eine einzige geoeffnete Excel-Datei Zugriff auf saemtliche Produktionssysteme.
2. Schwachstellen in VPN-Gateways
Ungepatchte VPN-Appliances von Fortinet, Cisco und Ivanti sind ein bevorzugtes Einfallstor. Die Angreifer nutzen bekannte CVEs aus, fuer die teilweise seit Monaten Patches verfuegbar sind.
3. Remote Desktop Protocol (RDP) Brute Force
Oeffentlich erreichbare RDP-Zugaenge ohne Multi-Faktor-Authentifizierung werden systematisch gescannt. In einer Analyse fanden wir bei einem Kunden ueber 14.000 Brute-Force-Versuche innerhalb von 24 Stunden.
4. Supply-Chain-Angriffe
Angreifer kompromittieren Softwarelieferanten oder IT-Dienstleister, um ueber deren Update-Mechanismen in die Netzwerke der eigentlichen Ziele einzudringen. Der Angriff auf die Suedwestfalen-IT im Oktober 2023 legte ueber 70 Kommunen lahm.
5. Kompromittierte Zugangsdaten aus dem Darknet
Gestohlene Passwoerter aus frueheren Datenlecks werden systematisch gegen Unternehmenssysteme getestet. Credential-Stuffing-Angriffe sind besonders erfolgreich, wenn Mitarbeiter Passwoerter mehrfach verwenden.
Betroffene Branchen und Kosten
| Branche | Anteil an Angriffen | Durchschnittlicher Schaden | Haeufigster Angriffsvektor |
|---|---|---|---|
| Produzierendes Gewerbe | 24% | 580.000 EUR | VPN-Schwachstellen |
| Gesundheitswesen | 18% | 920.000 EUR | Phishing |
| Oeffentliche Verwaltung | 15% | 340.000 EUR | RDP Brute Force |
| Einzelhandel | 13% | 290.000 EUR | Supply Chain |
| Finanzdienstleistungen | 11% | 1.200.000 EUR | Kompromittierte Zugangsdaten |
| Logistik & Transport | 10% | 470.000 EUR | Phishing |
| Sonstige | 9% | 310.000 EUR | Diverse |
NIS2: Neue Compliance-Anforderungen ab 2025
Die EU-Richtlinie NIS2 betrifft in Deutschland schaetzungsweise 30.000 Unternehmen -- deutlich mehr als die bisherige NIS-Richtlinie. Unternehmen muessen unter anderem:
- Risikomanagement fuer Cybersicherheit nachweisen
- Meldepflichten innerhalb von 24 Stunden nach Erkennung eines Vorfalls erfuellen
- Supply-Chain-Sicherheit gewaehrleisten
- Verschluesselung und Multi-Faktor-Authentifizierung implementieren
- Geschaeftsfuehrer persoenlich haftbar machen bei Versaeumnissen
Achtung: Bei Verstoessen gegen NIS2 drohen Bussgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Incident-Response-Plan: 6 Schritte fuer den Ernstfall
Ein strukturierter Incident-Response-Plan ist entscheidend. Basierend auf unserer Erfahrung aus Projekten mit ueber 170.000 Nutzern empfehlen wir folgenden Ablauf:
Schritt 1: Erkennung und Alarmierung (0-15 Minuten) Automatisierte Erkennungssysteme schlagen Alarm. Der Incident-Response-Leiter wird sofort informiert.
Schritt 2: Eindaemmung (15-60 Minuten) Betroffene Systeme werden isoliert. Netzwerksegmente werden getrennt, um die Ausbreitung zu verhindern.
Schritt 3: Analyse (1-4 Stunden) Forensische Analyse der Angriffskette. Identifikation des Einfallstors und des Umfangs der Kompromittierung.
Schritt 4: Bereinigung (4-48 Stunden) Entfernung der Schadsoftware. Pruefung aller Systeme auf Backdoors und persistente Zugaenge.
Schritt 5: Wiederherstellung (1-5 Tage) Schrittweise Wiederherstellung aus sauberen Backups. Validierung der Systemintegritaet vor Produktivschaltung.
Schritt 6: Nachbereitung (1-2 Wochen) Lessons Learned dokumentieren. Sicherheitsmassnahmen anpassen. Meldepflichten erfuellen.
7 Sofortmassnahmen gegen Ransomware
Diese sieben Massnahmen koennen Sie sofort umsetzen, um Ihr Risiko signifikant zu reduzieren:
-
Multi-Faktor-Authentifizierung (MFA) ueberall aktivieren -- Reduziert das Risiko kompromittierter Zugangsdaten um bis zu 99 Prozent.
-
3-2-1-Backup-Strategie implementieren -- Drei Kopien, zwei verschiedene Medien, eine Kopie offline und ausser Haus.
-
Patch-Management automatisieren -- Kritische Patches innerhalb von 48 Stunden ausrollen. VPN-Gateways und Firewalls priorisieren.
-
Netzwerksegmentierung einfuehren -- Kritische Systeme isolieren. Laterale Bewegungen des Angreifers einschraenken.
-
E-Mail-Sicherheit verstaerken -- Advanced Threat Protection, Sandboxing fuer Anhaenge und DMARC/DKIM/SPF konfigurieren.
-
Mitarbeiter-Awareness schulen -- Regelmaessige Phishing-Simulationen und Security-Awareness-Trainings durchfuehren.
-
Endpoint Detection and Response (EDR) einsetzen -- Moderne EDR-Loesungen erkennen und blockieren Ransomware-Verhalten in Echtzeit.
Praxis-Tipp: Beginnen Sie mit MFA und Backups. Diese beiden Massnahmen haben das beste Kosten-Nutzen-Verhaeltnis und schuetzen Sie vor den schwerwiegendsten Folgen eines Angriffs.
Fazit: Handeln Sie jetzt
Ransomware ist keine Frage des Ob, sondern des Wann. Die Angreifer werden professioneller, die Angriffsoberflaeche waechst und die regulatorischen Anforderungen steigen. Unternehmen, die jetzt nicht handeln, riskieren nicht nur finanzielle Verluste, sondern auch ihren Ruf und im schlimmsten Fall ihre Existenz.
Bei Imlando haben wir in Projekten fuer OBI Baumarkt (50.000 Nutzer) und Senator/Maersk (120.000 Nutzer) gelernt, dass Cybersicherheit kein einmaliges Projekt ist, sondern ein kontinuierlicher Prozess. Wir helfen Ihnen, diesen Prozess aufzusetzen -- praxisnah, kosteneffizient und massgeschneidert fuer Ihr Unternehmen.
Ihr naechster Schritt: Kostenloser Imlando Security Check
Wie gut ist Ihr Unternehmen gegen Ransomware geschuetzt? Unser kostenloser Security Check analysiert Ihre IT-Infrastruktur auf die kritischsten Schwachstellen und gibt Ihnen einen konkreten Massnahmenplan an die Hand.
Jetzt kostenlosen Security Check vereinbaren
Faheem Maqbool ist IT-Architekt und Gruender von Imlando. Mit ueber 15 Jahren Erfahrung in der IT-Sicherheit und Cloud-Architektur beratet er Unternehmen bei der Absicherung ihrer digitalen Infrastruktur.