Stellen Sie sich vor, es ist Montagmorgen. Sie kommen ins Büro, starten Ihren Rechner und statt Ihrer Warenwirtschaft sehen Sie eine Nachricht: „Ihre Dateien wurden verschlüsselt. Zahlen Sie 50.000 Euro in Bitcoin." Was wie ein schlechter Film klingt, ist für tausende deutsche Unternehmen jedes Jahr Realität.

Ransomware: Das Geschäftsmodell der Cyberkriminellen

Ransomware ist Schadsoftware, die Dateien auf Ihrem Computer oder Server verschlüsselt und sie so unbrauchbar macht. Die Angreifer fordern anschließend ein Lösegeld für die Entschlüsselung. Ransomware in seinen unterschiedlichen Varianten zielt in der Regel auf die Verschlüsselung von Nutzerdaten ab. Nachdem Daten verschlüsselt wurden, wird ein Lösegeld erpresst. Die Daten werden erst nach Zahlung des meist digitalen Lösegelds wieder freigegeben, jedoch gibt es trotz Zahlung keine Garantie, einen passenden Schlüssel zu erhalten.

Was viele unterschätzen: Doppel-Erpressung ist inzwischen Standard. Daten werden gestohlen, bevor Systeme gesperrt werden. Die Angreifer drohen also zusätzlich mit der Veröffentlichung Ihrer Geschäftsdaten, Kundenlisten oder Verträge.

Die Zahlen sind ernüchternd. Die größten Schäden in deutschen Unternehmen entstanden 2025 durch Ransomware, so das Ergebnis einer Umfrage unter Unternehmen zu Erfahrungen mit Cyberangriffen in Deutschland im Jahr 2025. Laut der Bitkom-Studie „Wirtschaftsschutz 2025" ist der Anteil, den Cyberattacken am Gesamtschaden der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage haben, von 67 Prozent auf 70 Prozent gestiegen. Das entspricht einer Summe von 202,4 Milliarden Euro.

Und es trifft nicht nur die Großen: Das BSI stellt fest, dass zunehmend kleine und mittlere Unternehmen von Ransomware-Attacken betroffen sind. Vier von fünf der angezeigten Angriffe waren im Berichtszeitraum gegen kleinere Unternehmen gerichtet. Die Logik dahinter ist einfach: Kleinere Unternehmen haben in der Regel weniger Schutzmaßnahmen als Großkonzerne, sind aber genauso zahlungswillig, wenn das Tagesgeschäft stillsteht.

Warum Ihr Virenscanner Sie nicht zuverlässig schützen kann

Hier liegt ein weit verbreiteter Irrglaube: „Wir haben einen Virenscanner, wir sind sicher." Die Realität sieht anders aus. Allein im Dezember 2025 wurden 8,91 Millionen neue Schadprogramm-Varianten bekannt, durchschnittlich 287.000 neue Malware-Varianten pro Tag. Neue Malware-Varianten werden oft automatisch erzeugt, um signaturbasierter Detektion zu entgehen.

Auch das BSI stellt klar: „Auf klassische AV-Lösungen und Firewalls allein sollten sich IT-Administratoren daher nicht verlassen, sondern IT-Sicherheit als Gesamtkonzept unter Einbeziehung aller Nutzenden umsetzen."

Aber es gibt noch ein viel grundlegenderes Problem, das kaum jemand offen anspricht: Ransomware braucht keine Sicherheitslücke im klassischen Sinne. Sie nutzt genau die Berechtigungen, die Ihre Mitarbeiter für ihre tägliche Arbeit benötigen. Wenn ein Mitarbeiter eine Excel-Datei öffnen, bearbeiten und speichern darf, dann darf das auch jedes Programm, das im Kontext dieses Mitarbeiters läuft. Genau das macht Ransomware.

Stellen Sie sich vor, Ihr Mitarbeiter hat Zugriff auf das Laufwerk S: mit der Warenwirtschaftsdatenbank, auf das Laufwerk P: mit den Projektdaten und auf seine lokalen Dokumente. Die Ransomware verschlüsselt alle Dateien, auf die der Benutzer Schreibrechte hat. Der Virenscanner steht vor einem Dilemma: Aus technischer Sicht ist das, was passiert, ein legitimer Schreibvorgang. Ein Programm öffnet eine Datei, verändert den Inhalt und speichert sie. Das ist technisch betrachtet exakt derselbe Vorgang, den Ihre Branchensoftware, Ihr ERP-System oder Ihre Office-Anwendung täglich ausführt.

Moderne Virenscanner mit verhaltensbasierter Erkennung versuchen zwar, auffällige Muster zu identifizieren (etwa wenn hunderte Dateien in kürzester Zeit verändert werden), aber KI-gestütztes Phishing macht betrügerische Nachrichten deutlich schwerer erkennbar. Ransomware-as-a-Service senkt die Einstiegshürden für Cyberkriminelle, da fertige Angriffstools gemietet werden können. Schnellere Verschlüsselung verkürzt die Reaktionszeit auf wenige Minuten, bevor Systeme vollständig blockiert sind.

Was wirklich hilft: Backup und Versionierung

Wenn Prävention allein nicht ausreicht, braucht es einen Plan B, der im Ernstfall funktioniert. Die gute Nachricht: Es gibt bewährte Strategien, die den Schaden eines Ransomware-Angriffs auf ein Minimum reduzieren können.

Ein funktionierendes Backup ist Ihre Lebensversicherung. Das klingt selbstverständlich, ist es aber nicht. Viele Unternehmen sichern zwar ihre Daten, testen die Wiederherstellung aber nie. Ein Backup ohne Test ist wertlos. Entscheidend ist, dass Ihr Backup offline oder in einem getrennten Bereich liegt, auf den die Ransomware keinen Zugriff hat. Denn die Verschlüsselung erfolgt oftmals gezielt und kann dabei auch vorhandene Backups umfassen. Wenn Ihre Sicherung auf einem Netzlaufwerk liegt, auf das der befallene Benutzer Zugriff hat, verschlüsselt die Ransomware auch Ihr Backup. Mehr zum Thema Backup-Strategie lesen Sie in unserem Artikel Warum lokale Backups nicht mehr reichen.

OneDrive und SharePoint als Schutzschild. SharePoint- und OneDrive-Schutz enthalten Features, die zum Schutz vor Ransomware-Angriffen beitragen. Die Versionsverwaltung behält standardmäßig mindestens 500 Versionen einer Datei bei. Wenn Ransomware eine Datei bearbeitet und verschlüsselt, können Sie eine frühere Version der Datei wiederherstellen. Wenn Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei löscht, haben Sie 93 Tage Zeit, um die gelöschte Datei aus dem Papierkorb wiederherzustellen.

Dazu kommt eine eingebaute Ransomware-Erkennung: Microsoft 365 benachrichtigt Sie, wenn Ihre OneDrive-Dateien angegriffen wurden, und führt Sie durch den Prozess der Dateiwiederherstellung. Wenn Microsoft 365 einen Ransomware-Angriff erkennt, erhalten Sie eine Benachrichtigung auf Ihrem Gerät und eine E-Mail.

Das bedeutet: Selbst wenn ein Mitarbeiter eine infizierte Datei öffnet und die Ransomware beginnt, Dateien zu verschlüsseln, können die vorherigen Versionen über OneDrive oder SharePoint wiederhergestellt werden. Allerdings muss auch das richtig konfiguriert sein. Unternehmen sollten sich nicht blind auf die Standardeinstellungen verlassen, denn auch hier gibt es Angriffsszenarien. Übernehmen Angreifer ein Konto eines Benutzers, der Zugriff auf SharePoint Online hat, können sie Ransomware in SharePoint einschleusen. Dabei helfen auch Versionierungen nicht, denn die Ransomware kann problemlos alle Versionen auf 1 reduzieren und diese anschließend verschlüsseln. Dennoch ist die Versionierung in SharePoint ein wichtiger Punkt, um die Daten vor Ransomware zu schützen. Die Kombination aus Versionierung, korrekt konfigurierter Multi-Faktor-Authentifizierung und einem separaten Backup ergibt ein solides Sicherheitsnetz.

Wie der Remote-Arbeitsplatz Ihre Angriffsfläche reduziert

Ein Aspekt, der in der Ransomware-Diskussion oft zu kurz kommt: Die Architektur Ihrer IT-Infrastruktur entscheidet maßgeblich darüber, wie verwundbar Ihr Unternehmen ist.

Beim klassischen Szenario mit einem lokalen Server im Büro gibt es viele Angriffspunkte: veraltete Firmware im Router, nicht gepatchte Server-Software, fehlende Netzwerksegmentierung, USB-Sticks, die unkontrolliert eingesteckt werden. All das müssen Sie selbst im Blick behalten. In kleinen Unternehmen übernimmt das oft ein Mitarbeiter „nebenbei", wie wir in unserem Artikel über versteckte Kosten beim Eigenhosting ausführlich beschrieben haben. Dass dabei Sicherheitslücken entstehen, ist keine Frage des Ob, sondern des Wann.

Ein Remote-Arbeitsplatz verlagert Ihre gesamte Arbeitsumgebung in die Microsoft Cloud. Der Remote-Arbeitsplatz ist ein vollständiger Windows-Desktop in der Cloud, auf den Ihre Mitarbeiter von jedem Gerät aus zugreifen können. Die Server stehen nicht mehr in Ihrem Büro, sondern in hochsicheren Microsoft-Rechenzentren in Deutschland. Ihre Remote-Arbeitsplätze laufen auf der gleichen Infrastruktur wie die von Eurowings oder BMW. Profitieren Sie von Microsofts globaler Sicherheitsarchitektur: Milliardeninvestitionen in Sicherheit und Verfügbarkeit.

Was das konkret für den Ransomware-Schutz bedeutet: Ihre Daten liegen nicht mehr auf einem lokalen Server, der über eine einzige kompromittierte Verbindung erreichbar ist. Die Infrastruktur wird professionell gewartet, Sicherheitsupdates werden zeitnah eingespielt, und Backup-Strategien sind bereits im Betrieb integriert. Ein befallenes Endgerät kann im schlimmsten Fall neu aufgesetzt werden, ohne dass die Daten auf dem Cloud-PC betroffen sind.

Dazu kommt: Ein professionell gemanagter Cloud-PC arbeitet mit Richtlinien, die den Zugriff auf Betriebssystemebene kontrollieren. Lokale USB-Laufwerke können deaktiviert, Downloads eingeschränkt und Anwendungen gezielt freigegeben werden. All das reduziert die Angriffsfläche massiv.

Natürlich ist kein System zu 100 Prozent sicher. Aber es gibt einen erheblichen Unterschied zwischen einem selbst administrierten Server in einem Nebenraum und einer professionell betriebenen Cloud-Infrastruktur. Die Cyberresilienz verbessert sich laut BSI-Lagebericht 2025 unterschiedlich stark: Während Betreiber kritischer Infrastrukturen zunehmend robuste Managementsysteme etablieren, bleibt der Mittelstand deutlich anfälliger. Kleine und mittlere Unternehmen würden im Schnitt nur etwa 56 Prozent der Basisanforderungen an IT-Sicherheit erfüllen.

Nicht ob, sondern wann

„Die Frage ist nicht, ob Unternehmen angegriffen werden, sondern wann – und ob sie diese Angriffe erfolgreich abwehren können", sagt Bitkom-Präsident Dr. Ralf Wintergerst. Diese Aussage fasst die Lage präzise zusammen.

Der Schlüssel liegt in der Vorbereitung: Ein aktuelles, getestetes Backup. OneDrive und SharePoint mit aktivierter Versionierung und Multi-Faktor-Authentifizierung. Sensibilisierte Mitarbeiter, die Phishing-Mails erkennen. Und eine Infrastruktur, die Angriffsflächen minimiert, statt sie zu vergrößern.

Wenn Sie sich fragen, wie gut Ihr Unternehmen heute aufgestellt ist, oder ob ein Remote-Arbeitsplatz in der Microsoft Cloud für Sie der richtige Schritt wäre, sprechen Sie mit uns. Wir schauen uns Ihre Situation gemeinsam an und zeigen Ihnen ehrlich, wo die größten Risiken liegen und was Sie konkret tun können. Ohne Verkaufsdruck, auf Augenhöhe.

Jetzt Kontakt aufnehmen und gemeinsam Ihre IT-Sicherheit bewerten.