22 Nov 2025
22 Nov 2025
Lennox, Inhaber eines kleinen Maschinenbauunternehmens mit 15 Mitarbeitern, wird nie den Tag im vergangenen Juli vergessen, an dem er beinahe seinen Betrieb verloren hätte. Hacker hatten sich in sein Netzwerk eingeschleust und zentrale Produktionsdaten verschlüsselt. Für die Freigabe forderten sie ein Lösegeld von 300.000 CHF - eine klassische Ransomware-Attacke. Besonders problematisch: Cyberkriminalität wird immer mehr zum Geschäftsmodell, bei dem professionelle Entwickler von Malware diese zur Vermietung anbieten. Dadurch können Hacker ohne viel Aufwand und ohne vertiefte Kenntnisse höchst effiziente Erpressersoftware mieten. Die Folge: RaaS-Angriffe sind in Deutschland im Vergleich zum Jahr 2022 um 188 Prozent gestiegen, wie der aktuelle Cybersicher-Lagebericht vom deutschen Bundesministerium für Wirtschaft und Energie aufdeckt. Gerade für KMU ist das besonders gefährlich. Warum das so ist? Lass es mich dir erklären.
Als sich Lennox an einem Montagmorgen auf seinem Firmen-PC anmelden wollte, kam er nicht weit. Gleich nach der Passworteingabe wechselte der Bildschirm zu einem Standbild. Darauf war zu lesen: Ihre Daten wurden verschlüsselt. Zahlen Sie das Lösegeld, oder wir veröffentlichen sensible Firmeninformationen. Mit einem Link wurde Lennox zu einem Zahlungsanbieter weitergeleitet, über den er die geforderten 300.000 CHF zahlen sollte. Zuerst hielt er die Nachricht für einen schlechten Scherz, für eine Betrugsmasche, die ihn dazu verleiten sollte, vorschnell viel Geld zu bezahlen. Doch je länger er erfolglos versuchte, in sein Netzwerk zu gelangen, desto mehr begriff er: Das hier ist ernst.
Das, was Lennox erlebt hat, entspricht einem klassischen Cyberangriff mit Ransomware auf KMU. Dabei verschaffen sich Hacker zunächst unbemerkt Zugriff auf ein System und kundschaften es aus. Wenn sie genug herausgefunden haben, erfolgt der eigentliche Angriff: Sensible Daten werden verschlüsselt, sodass das Unternehmen nicht mehr darauf zugreifen kann. Gleichzeitig erscheint eine Erpressernachricht, die zur Lösegeldzahlung auffordert. Häufig wird für die Zahlung noch ein Ultimatum gestellt - wenn nicht innerhalb von ein paar Stunden bezahlt wird, gehen die Erpresser mit den Daten an die Öffentlichkeit. Dadurch setzen sie die KMU noch mehr unter Druck, weil ein Image- und Reputationsschaden droht. Und um Cybersecurity ganz besonders herausfordernd zu machen, nutzen Hacker seit einiger Zeit eine weitere Taktik: Ransomware as a Service.
Ransomware as a Service ist im Grunde ein herkömmlicher Ransomware-Angriff - nur die Organisation ist effizienter. Dabei ist nicht mehr eine Hackergruppe für den kompletten Angriff zuständig, sondern die Aufgaben werden verteilt: Entwickler konzentrieren sich auf die Schadsoftware und bieten sie zur Vermietung an. Affiliates nutzen das Angebot, erhalten eine hochgradig professionelle Ransomware und müssen sich selbst nur noch um den Zugriff zum Netzwerk kümmern. Dadurch braucht es deutlich weniger IT-Kenntnisse als bisher, um Ransomware-Attacken zu starten. Ein weiterer Bonus für die Affiliates ist das Support-Netzwerk, das sie häufig nutzen dürfen, wenn sie Erpressersoftware mieten. Dabei handelt es sich zum Beispiel um Foren, in denen man sich wertvolle Tipps holen kann, wenn der Hackerangriff nicht so läuft wie gewünscht.
Für die Bezahlung dieser Leistung kommen verschiedene Modelle infrage. Manche Entwickler stellen ihre Ransomware kostenlos zur Verfügung, verlangen dafür aber Provisionen vom Lösegeld. Andere sind mit einer einmaligen Gebühr zufrieden, wieder andere fordern einen monatlichen Pauschalbetrag über eine gewisse Laufzeit. Cyberkriminalität wird damit immer mehr zum skalierbaren und effizienten Geschäftsmodell.
Neben RaaS gibt es übrigens auch noch weitere solcher Geschäftsmodelle. Eines davon ist Malware as a Service. Das Prinzip ist sehr ähnlich, Ransomware as a Service vs Malware as a Service unterscheidet sich eigentlich nur hinsichtlich der Schadsoftware, die eingesetzt wird. RaaS scheint derzeit etwas beliebter unter den Hackern zu sein. Dafür sprechen die vielen neuen Ransomware RaaS Gruppen 2025, unter anderem Worldleaks. Diese Gruppe legt keinen Wert mehr auf Datenverschlüsselung, sondern nutzt stattdessen gleich die Angst vor der Datenveröffentlichung. Das betrifft dich als KMU-Inhaber nur indirekt? Leider nicht.
Noch immer denken viele KMU, dass Hacker eher Grosskonzerne angreifen, weil dort mehr zu holen ist. In der Realität ist genau das Gegenteil der Fall: Cyberkriminelle wissen, dass kleine Unternehmen oft schlechter geschützt sind, und greifen diese deshalb gezielt an. Auch Lennox muss rückblickend zugeben, dass er die IT-Sicherheit in seinem Unternehmen unterschätzt hat. Dabei sind es immer wieder dieselben Schwachstellen, die Hacker ausnutzen: -schwache Passwortpolitik: Unsichere Passwörter lassen sich mithilfe von KI oft binnen kürzester Zeit knacken. Dann haben Hacker Zugriff auf die interne Kommunikation und können sich weitere Zugriffsdaten erschleichen. -fehlende Backups: Im Falle einer Verschlüsselung müssen sämtliche Daten wiederhergestellt werden. Wer dann kein Backup hat, ist in einer noch schlechteren Verhandlungsposition als sowieso schon. -mangelnde Sichtbarkeit: Oft fehlen Tools und Programme, mit denen ungewöhnliche Netzwerkaktivitäten sichtbar werden. Das ist allerdings zwingend Voraussetzung, um eine Ransomware Attacke zu erkennen und zu stoppen. -veraltete Software: Ältere Programme, die nicht mehr aktualisiert werden, machen Hackern den Zugriff besonders leicht. -exponierte Dienste: Durch die Nutzung von beispielsweise cloudbasierten Diensten entstehen zusätzliche Zugriffsmöglichkeiten, die meist nicht ausreichend gesichert werden. Häufig ist es einer dieser Wege, der einen Angriff mit Ransomware auf KMU einleitet - und dann geht es Schlag auf Schlag.
Der erste Schritt einer Ransomware-Attacke ist immer der initiale Zugang. Das bedeutet, die Angreifer verschaffen sich Zugriff auf das KMU-Netzwerk. Auch hier gibt es mittlerweile Hacker, die sich auf genau diese Tätigkeit spezialisiert haben und die Zugriffe dann an andere Hacker weiterverkaufen. Der nächste Schritt ist das Lateral Movement. Darunter versteht man das Auskundschaften des Netzwerks, um herauszufinden, wo sich die interessanten Daten befinden und wie diese geschützt werden.
Sobald das Angriffsziel genau definiert wurde, geht es schnell: Mithilfe einer Software werden Daten verschlüsselt, damit die Mitarbeiter keinen Zugriff mehr haben. Gleichzeitig werden sensible Daten herausgefiltert, beispielsweise Kontoinformationen von Kunden. Mithilfe dieser Daten findet dann eine doppelte Erpressung statt: Die Hacker fordern Lösegeld, damit die Verschlüsselung aufgehoben wird. Sobald diese Summe bezahlt wurde, kommt die nächste Forderung, sonst drohen die Angreifer mit einer Veröffentlichung der geleakten Daten.
Das ist übrigens auch einer der Gründe, warum Experten davon abraten, Lösegeldforderungen nachzukommen. Ein weiterer ist, dass Hackergruppen nicht finanziell unterstützt werden sollten, um weitere Angriffe mit Ransomware as a Service zu verhindern. Je nach Kontext kann es sogar strafbar sein, wenn Lösegeld bezahlt wird, weil dies als Unterstützung einer kriminellen Vereinigung gelten kann. Deshalb ist unbedingt die Zusammenarbeit mit Experten empfehlenswert, wenn es tatsächlich zu einem Cyberangriff kommt. Noch besser: Massnahmen ergreifen, um Verschluesselungsangriffe auf KMU zu verhindern!
Es gibt verschiedene Strategien, wie du dein KMU vor Ransomware-Attacken schützen kannst. Die wichtigsten stelle ich dir kurz vor: -Netzwerkhärtung: Damit sind alle Massnahmen gemeint, die Sicherheitslücken im Netzwerk schliessen, bevor sie von Angreifern genutzt werden können. -2FA/Passkeys: Mithilfe dieser Massnahmen werden Zugriffspunkte doppelt geschützt, um den Netzwerkzugang zu erschweren. -Patch-Management: Dabei geht es um regelmässige Updates aller genutzten Tools und Anwendungen, damit sie stets mit Sicherheitsaktualisierungen versorgt werden. -Backup-Strategien mit immutablen Snapshots: Diese Backups können weder gelöscht noch überschrieben werden und sind dadurch gegen Manipulation geschützt. -E-Mail-Security: Damit sind einerseits Tools gemeint, die eingehende E-Mails prüfen, aber andererseits auch Schulungen der Mitarbeiter, um deren Sicherheitsbewusstsein zu schärfen. -Endpoint-Protection: Hier geht es um Geräte, die an das Netzwerk angeschlossen sind und deren Schutz nicht übersehen werden darf.
Alle Massnahmen können übrigens mit Open-Source-Tools umgesetzt werden. Ein geringes Budget ist deshalb keine Ausrede, um Cybersicherheit zu ignorieren!
Wenn Cybersicherheit in deinem Unternehmen noch keine grosse Rolle spielt, weisst du vermutlich gar nicht, wo du zuerst anfangen sollst. In diesem Fall empfehle ich 30-, 60- und 90-Tage-Pläne, um die Aufgaben zu strukturieren und zu verteilen.
-30-Tage-Plan: Verschaffe dir einen Überblick über die Anwendungen in deinem Unternehmen. Prüfe, wann sie das letzte Update erhalten haben. Richte 2FA oder Passkeys für alle Logins ein. -60-Tage-Plan: Führe Mitarbeiterschulungen zu typischen Angriffsszenarien durch. Installiere ein Sicherheitsscan-Tool, das dein Netzwerk nach Schwachstellen absucht, und behebe diese. Lege ein immutables Backup an und aktualisiere dieses regelmässig. -90-Tage-Plan: Erstelle einen Notfallplan, damit dein Unternehmen für den Ernstfall vorbereitet ist. Plane mindestens einmal pro Jahr einen Penetrationstest ein, bei dem ein Profi dein Netzwerk auf Herz und Nieren prüft.
Durch Ransomware as a Service hat sich die Bedrohungslage für KMU weiter zugespitzt. Angriffe werden in Zukunft noch häufiger, noch effizienter und noch raffinierter ausfallen, weil sich Hacker immer besser organisieren. Für dich als KMU-Inhaber bedeutet das, dass Cybersecurity noch wichtiger wird als bisher schon. Willst du wissen, wie widerstandsfähig dein Unternehmen aktuell ist? Dann lass uns gemeinsam die IT-Sicherheit deines Betriebs testen und Sicherheitslücken schliessen, bevor sie zu einem echten Problem werden!
Jetzt für mehr Sicherheit im Unternehmen sorgen
Quellenangaben:
Und keine Neuigkeiten mehr verpassen
Beantworte einfach ein paar Fragen und finde direkt heraus, wie sicher dein Unternehmen wirklich ist.
RaaS bezeichnet die professionelle Entwicklung und Vermietung von Erpressersoftware. Erfahre hier, warum das für dein KMU so gefährlich ist.
Penetrationstests und Sicherheitsscans sind für KMU unverzichtbar zur Überprüfung der IT-Sicherheit. Erfahre hier die Unterschiede!
Immer mehr Hacker nutzen Künstliche Intelligenz. Erfahre hier, warum das so gefährlich ist und wie du dein KMU schützen kannst!
