Inhalt in Kürze
- Malware ist der Oberbegriff für jede Schadsoftware — Viren, Trojaner, Spyware und Ransomware sind Unterkategorien
- Laut BSI-Lagebericht 2025 entstehen täglich rund 309.000 neue Schadprogramm-Varianten — manuell ist das nicht mehr abwehrbar
- 80 Prozent aller in Deutschland angezeigten Cyberangriffe treffen kleine und mittlere Unternehmen, oft ohne eigene IT-Sicherheitsabteilung
- Ein klassisches Antivirus reicht 2026 nicht mehr — Pflicht ist EDR, Multi-Faktor-Authentifizierung, Patch-Management und Awareness-Schulungen
- Festpreis-Schutz ab ca. 50 Euro pro Arbeitsplatz im Monat — günstiger als ein einziger Tag Stillstand nach einem Ransomware-Angriff
Eine zentrale Aufgabe jeder IT-Sicherheitslösung lautet: Geräte frei von Schadsoftware halten. Klingt einfach. Ist es nicht. Allein im Berichtszeitraum 2024/25 hat das BSI 119 neue Schwachstellen pro Tag registriert — ein Plus von 24 Prozent gegenüber dem Vorjahr. Wer hier den Anschluss verliert, wird zum leichten Ziel.
Wir sehen das in Hamburg jede Woche: Ein Klick auf eine vermeintliche Rechnung, drei Tage später steht der Betrieb still. Dieser Artikel sortiert die Begriffe Spyware, Viren und Malware — und zeigt, was Unternehmen heute konkret tun müssen.
Was ist Malware? Die saubere Definition
Malware (kurz für „malicious software”, deutsch: Schadsoftware) ist der Oberbegriff für jede Software, die unautorisiert auf einem Gerät läuft und Schaden anrichtet — Daten stiehlt, verschlüsselt, manipuliert oder Systeme lahmlegt. Viren, Trojaner, Spyware, Ransomware, Würmer, Adware und Rootkits sind alle Unterkategorien.
Im Sprachgebrauch werden die Begriffe oft vermischt. „Wir haben uns einen Virus eingefangen” — gemeint ist meist irgendeine Schadsoftware, oft ein Trojaner oder Ransomware. Für die Abwehr macht der Unterschied trotzdem etwas aus: Verbreitungswege und Schutzmaßnahmen unterscheiden sich.
Computerviren: Der Klassiker mit Selbstvermehrung
Computerviren sind kleine Programme, die sich selbst reproduzieren. Ein Virus hängt sich an eine andere Datei oder ein Programm an und wird aktiv, sobald Sie diese Datei öffnen. Verbreitet werden Viren heute überwiegend per E-Mail-Anhang, infizierten Office-Makros, USB-Sticks oder Downloads.
Ein klassischer Virus zielt auf maximale Verbreitung. Er löscht Daten, verändert Konfigurationen, deaktiviert Schutzprogramme oder öffnet die Tür für weitere Schadsoftware. Reine Datei-Viren sind heute seltener geworden — die Angreifer setzen längst auf wirtschaftlich profitablere Modelle wie Ransomware. Trotzdem: Wer Office-Makros aktiviert oder unbekannte Anhänge öffnet, ist die Hauptzielgruppe.
Trojaner: Die Tarnkappe der Cyberkriminellen
Ein Trojaner (genauer: Trojanisches Pferd) tarnt sich als seriöses Programm. Sie installieren scheinbar einen kostenlosen PDF-Reader, ein Update oder ein Spiel — im Hintergrund öffnet das Programm eine Hintertür ins Netzwerk. Anders als ein Virus vermehrt sich ein Trojaner nicht selbst. Er braucht den Klick des Nutzers.
Typische Trojaner-Funktionen:
- Banking-Trojaner manipulieren Online-Banking-Sessions, fangen TANs ab oder leiten Überweisungen um.
- Remote-Access-Trojaner (RAT) geben dem Angreifer Vollzugriff auf den infizierten Rechner — Tastatureingaben, Webcam, Mikrofon.
- Downloader-Trojaner laden weitere Schadsoftware nach (klassisch: Ransomware oder Spyware).
- Backdoor-Trojaner öffnen langfristige Hintertüren — manche schlummern monatelang, bevor sie aktiv werden.
In unserer Praxis sind Trojaner oft der Auftakt zu größeren Angriffen. Ein Mitarbeiter klickt auf einen Bewerbungsanhang, der Trojaner platziert sich, wartet ein paar Wochen — und dann zieht der Angreifer den Stecker. Mehr dazu, wie Phishing 2.0 mit KI gefährlicher wird und welche Malware-Typen 2026 besonders aktiv sind.
Spyware: Der unsichtbare Datendieb
Spyware spioniert. Sie installiert sich oft heimlich mit, sammelt Daten und überträgt sie an den Angreifer. Was wird ausspioniert? Tastatureingaben (Keylogger), Browserverläufe, Passwörter, Dokumente, Webcam-Bilder, Mikrofon-Aufnahmen. Manche Spyware aktiviert sich nur bei bestimmten Triggern — etwa wenn Sie sich beim Online-Banking einloggen.
Der Übergang zu Stalkerware ist fließend: Software, die explizit zur Überwachung von Personen vermarktet wird. Im Unternehmenskontext sehen wir Spyware oft eingeschleust über manipulierte Browser-Erweiterungen, kostenlose Tools oder gecrackte Software. Genau deshalb gilt bei uns die Regel: keine Software-Installation ohne Freigabe der IT.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Ransomware: Die Königsklasse der Erpressung
Ransomware verschlüsselt alle erreichbaren Dateien — auf dem Rechner, auf Netzlaufwerken, oft auch in Cloud-Synchronisationen wie OneDrive oder SharePoint. Auf dem Bildschirm erscheint eine Erpressungsnachricht: Lösegeld zahlen, sonst bleiben die Daten verloren. Moderne Ransomware-Gruppen kombinieren Verschlüsselung mit Datendiebstahl: Auch wer ein gutes Backup hat, wird mit der Veröffentlichung sensibler Daten erpresst (Double Extortion).
Ein Sanitärbetrieb mit 20-25 Mitarbeitern war drei Monate nicht arbeitsfähig nach einem Ransomware-Angriff. Schaden: mehrere hunderttausend Euro plus Vertrauensverlust bei Kunden. Auslöser: ein einziger Klick auf einen manipulierten Rechnungsanhang. Wer wissen will, was nach einem Ransomware-Angriff zu tun ist — wir haben die wichtigsten Schritte zusammengefasst.
Weitere Malware-Arten in Kurzform
Neben den drei großen Kategorien gibt es weitere Typen, die in der Praxis vorkommen:
| Typ | Was es tut | Typischer Verbreitungsweg |
|---|---|---|
| Wurm | Vermehrt sich eigenständig im Netzwerk, ohne Datei als Träger | Schwachstellen, offene Ports, schwache Passwörter |
| Adware | Zeigt unerwünschte Werbung, leitet auf Webseiten um | Mit kostenloser Software gebündelt |
| Rootkit | Versteckt sich tief im System, übernimmt die Kontrolle | Trojaner-Installer, manipulierte Treiber |
| Botnet-Client | Macht Ihren Rechner zum Teil eines Angriffs-Netzes | Trojaner, Schwachstellen-Scans |
| Cryptominer | Nutzt Ihre CPU heimlich für Kryptowährungs-Mining | Browser-Skripte, gecrackte Software |
| Zero-Click-Malware | Infiziert ohne Benutzeraktion über Schwachstellen | Manipulierte Nachrichten, Apps, Bilder |
Mehr dazu: Was ist Zero-Click-Malware und wie schützen Sie sich.
Die wahren Einfallstore: Warum Antivirus allein nicht reicht
Über 80 Prozent aller erfolgreichen Cyberangriffe beginnen laut BSI-Lagebericht 2025 mit Phishing oder Social Engineering. Der Mensch klickt — die Software führt aus. Klassisches Antivirus mit Signatur-Erkennung kommt da nicht hinterher: Bei 309.000 neuen Varianten täglich sind die Signatur-Datenbanken immer einen Schritt zu spät.
Was 2026 wirklich schützt:
- Endpoint Detection and Response (EDR). Erkennt nicht Signaturen, sondern verdächtiges Verhalten — z.B. wenn ein Word-Dokument plötzlich PowerShell startet. Microsoft Defender for Endpoint, SentinelOne, CrowdStrike sind die üblichen Verdächtigen.
- Multi-Faktor-Authentifizierung (MFA) überall. Macht laut BSI rund 99 % der Ransomware-Angriffe wirkungslos. Pflicht für Mail, VPN, Admin-Zugänge, Cloud-Apps.
- Patch-Management mit Reaktion in 72 Stunden. Kritische Schwachstellen müssen schnell geschlossen werden — automatisiert, dokumentiert, überwacht.
- E-Mail-Schutz mit Sandbox. Anhänge werden in einer isolierten Umgebung ausgeführt, bevor sie beim Nutzer ankommen. Microsoft Defender for Office 365 oder vergleichbare Lösungen.
- Backup nach 3-2-1-Regel. Drei Kopien, zwei verschiedene Medien, eine offline (immutable). Regelmäßig testen — nicht hoffen, dass es funktioniert.
- Awareness-Schulungen mit Phishing-Simulationen. Vier Mal im Jahr, nicht einmalig zur Einarbeitung. Mitarbeitende sind die letzte Verteidigungslinie.
- Netzwerksegmentierung. Server, Clients, Gäste-WLAN getrennt. Wenn ein Bereich befallen wird, springt die Malware nicht durchs ganze Haus.
Was Hamburger KMU jetzt konkret tun sollten
Cyberkriminelle scannen das Internet automatisiert nach offenen Türen. Ob Sie 5 oder 500 Mitarbeiter haben, ist dabei egal — angegriffen wird, wer angreifbar ist. Die meisten Hamburger KMU, die wir betreuen, hatten bei der Übernahme ein gutes Antivirus, einen Router und Hoffnung. Reicht 2026 nicht mehr. Für eine schnelle Vor-Ort-Reaktion ist unser Standort Hamburg in unter einer Stunde erreichbar.
Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.
Ein pragmatischer Einstieg in 4 Wochen:
- Woche 1: Ist-Aufnahme. Welche Geräte sind im Netz? Welche Software? Wer hat welche Rechte? Wie alt sind die Systeme? Eine IT-Bestandsaufnahme nach Soll-Ist-Konzept liefert die Basis.
- Woche 2: Sofortmaßnahmen. MFA aktivieren, EDR ausrollen, kritische Patches einspielen, Admin-Konten trennen.
- Woche 3: Backup-Konzept prüfen und testen. Restore-Test mit echten Daten — nicht nur „läuft das Backup-Programm”.
- Woche 4: Awareness-Schulung für alle Mitarbeitenden, Phishing-Simulation, dokumentierte Notfall-Kontakte.
Schutz als Festpreis: Managed Endpoint Protection
Sie können das alles intern aufbauen — wenn Sie die Mitarbeitenden, das Know-how und die 24/7-Bereitschaft haben. Die meisten KMU bündeln den Aufwand bei einem Dienstleister. Bei hagel IT bekommen Sie Managed IT-Services aus Hamburg zum Festpreis ab ca. 50 Euro pro Arbeitsplatz im Monat: EDR, Patch-Management, Backup-Monitoring, Awareness-Schulungen und ein Ansprechpartner. Wenn die Cybersecurity-Beratung für den Hamburger Mittelstand als eigener Strang läuft, gibt es das auch projektbasiert. Eine eigene NIS-2-Beratung gibt es ergänzend, wenn NIS-2 für Sie relevant ist.
Unsicher, wie gut Ihre IT geschützt ist?
15 Minuten. Kostenlos. Ehrliche Einschätzung statt Vertriebs-Pitch.
Erstgespräch buchen →Ihr nächster Schritt
Kein Schaum, kein Vertriebsdruck. Wir schauen uns mit Ihnen 15 Minuten lang an, wo Sie stehen — und ob es überhaupt Handlungsbedarf gibt. Manchmal ist die Antwort: passt schon. Manchmal: dringend. Beide Antworten sind ehrlich gemeint.
