Inhalt in Kürze
- Im Bremer PKS-Berichtsjahr 2024 wurden drei Ransomware-Fälle registriert — die echte Zahl ist um ein Vielfaches höher, weil viele Mittelständler stillschweigend zahlen.
- Die ersten 72 Stunden entscheiden: physische Trennung statt Shutdown, externe Backups sichern, Forensiker holen, Polizei Bremen einbinden.
- Lösegeld ist fast immer der falsche Weg — aber die Versuchung ist real, wenn der Betrieb steht.
- Praxis-Fahrplan: Erstreaktion, Kommunikation, Wiederherstellung, lessons learned. Wer das vorher geübt hat, verliert Tage statt Wochen.
Der Sanitärbetrieb mit 25 Mitarbeitenden, dessen Geschäftsführer wir nach einem Ransomware-Angriff begleitet haben, hat es so gesagt: „Drei Monate komplett alles weg. Alles, was wir geschrieben haben, alles, was wir gemacht haben." Genau das passiert gerade Bremer Unternehmen, die nicht vorbereitet sind.
IT-Notfall Bremen: Wie real die Bedrohung 2026 ist
Die offizielle Statistik beruhigt — und täuscht. In der polizeilichen Kriminalstatistik des Landes Bremen wurden für das Berichtsjahr 2024 insgesamt drei Ransomware-Fälle erfasst, dokumentiert in der Sitzungsvorlage des Bremer Senats. Wer mit Bremer Geschäftsführern spricht, hört eine andere Zahl: deutlich zweistellig. Der Unterschied entsteht, weil viele Vorfälle aus Scham oder aus Reputationssorge nicht angezeigt werden.
Bundesweit hat sich die Lage 2026 weiter zugespitzt. Der Security Navigator 2026 berichtet von einem 91-Prozent-Anstieg bei Erpressungsopfern und 1.345 Angriffen pro Quartal — der deutsche Mittelstand ist Hauptziel. Bremer Logistiker, Werften, Hafenzulieferer und Handelshäuser bekommen das täglich zu spüren.
Die ersten 60 Minuten: Was Sie wirklich tun — und was nicht
Wenn der schwarze Bildschirm da ist und die Lösegeldforderung blinkt, läuft die Uhr. Was Sie in den ersten 60 Minuten tun, entscheidet darüber, ob Sie 5 Tage oder 5 Wochen offline sind.
1. Systeme sauber herunterfahren — vernichtet Speicherinhalt, Forensik wird unmöglich. Stattdessen: Kabel ziehen.
2. Schnellstmöglich „bereinigen" und Server neu aufsetzen — der Trojaner sitzt oft schon Wochen drin und wandert ins Backup mit. Erst Forensik, dann Restore.
3. Lösegeld in Eile zahlen — laut BSI bekommen weniger als 60 Prozent der Zahlenden funktionierende Schlüssel.
- Minute 0-5: Eindämmung. Betroffene Geräte vom Netzwerk trennen — physisch, nicht per Shutdown. WLAN aus. Switch-Ports deaktivieren. Bei Domain-Controllern besonders aufpassen.
- Minute 5-15: Krisenstab aktivieren. Geschäftsführung, IT-Leitung, externer IT-Dienstleister, Datenschutzbeauftragter. Versicherer und Steuerberater später, aber heute noch.
- Minute 15-30: Beweise sichern. Logs, Bildschirmfotos der Lösegeldforderung, betroffene Geräte als Image. Externe Backups physisch trennen — bevor die Schadsoftware sie auch erreicht.
- Minute 30-60: Externe Hilfe holen. Forensiker, Notfall-Hotline Ihres IT-Dienstleisters, Polizei Bremen LKA Cybercrime. Erst informieren, dann handeln.
Aus der Bremer Praxis: Was wir bei Notfall-Mandaten erleben
Die Krypto-Trojaner werden nicht sofort aktiv, die schlummern erstmal. Wenn Sie das Backup von letzter Woche zurückspielen, ist der da auch schon drauf. Genau deshalb ist Forensik vor Restore Pflicht — sonst infizieren Sie sich beim Wiederherstellen selbst.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Ein Bremer Logistik-Mandant rief uns an einem Sonntag an. Verschlüsselt waren Domänencontroller, Fileserver und das ERP. Die Online-Backups: ebenfalls verschlüsselt, weil im selben Netzsegment. Was den Betrieb gerettet hat, war eine externe USB-Festplatte, die der Geschäftsführer freitags mit nach Hause nahm — analog, aus Vorsicht. Eine Woche später lief der Versand wieder. Ohne diese Platte wäre das Unternehmen 2-3 Monate gestanden.
Über Weihnachten alles verschlüsselt. Nur weil ich immer eine externe Festplatte rausgeschleppt habe — auf der letzten war noch eine brauchbare Sicherung. Sehr knapp.
Diese Geschichte ist kein Einzelfall. Bei Neukunden in Norddeutschland finden wir regelmäßig Backup-Setups, die einen Ransomware-Angriff nicht überstehen würden — weil sie online erreichbar bleiben oder seit Monaten nicht getestet wurden.
Wer in Bremen tatsächlich helfen kann
Lokale Anlaufstellen, mit denen wir gut zusammenarbeiten:
| Stelle | Wofür | Erreichbarkeit |
|---|---|---|
| Polizei Bremen LKA Cybercrime | Anzeige, Beweissicherung, Spurensicherung | 24/7 über die 110 |
| Freies Institut für IT-Sicherheit (Ifit), Hochschule Bremen | Kostenlose Erstberatung, regionale Wirtschaft | werktags |
| BSI Bürger-CERT | Lagebild, Empfehlungen, NIS2-Meldekanal | bsi.bund.de |
| hagel IT-Services | Incident Response, Wiederherstellung, NIS2-konforme Forensik-Begleitung | über Notfall-Hotline 24/7 |
Die Handelskammer Bremen weist außerdem auf das Ifit-Sicherheitstelefon hin — eine kostenlose Erstanlaufstelle für Bremer Unternehmen nach einem Vorfall. Für die laufende Begleitung und Wiederherstellung braucht es danach einen IT-Dienstleister mit Forensik-Erfahrung.
Lösegeld zahlen oder nicht? Eine ehrliche Antwort
Die offizielle Linie ist klar: nicht zahlen. Die Realität im Bremer Mittelstand: Wenn der Betrieb seit zehn Tagen steht und die nächste Lohnabrechnung naht, denkt jeder Geschäftsführer ernsthaft darüber nach. Wir haben das oft erlebt.
Was wir empfehlen, ehrlich:
- Erstes Drittel der Verhandlung: Forensik-Status klären. Welche Daten sind weg, welche existieren in Backups, was ist tatsächlich schmerzhaft? In 60 Prozent der Fälle stellt sich heraus, dass die Lage besser ist als am ersten Tag gedacht.
- Zweites Drittel: Versicherer einbeziehen. Cyberpolicen decken oft Forensik, Wiederherstellung, Krisenkommunikation. Manche decken auch Lösegeld — aber unter strengen Bedingungen.
- Drittes Drittel: Wenn nichts hilft, nur über professionelle Verhandler und nach Sanktionsprüfung. Selbst dann mit niedriger Erfolgswahrscheinlichkeit.
Unsere klare Position: Wer ein gepflegtes Offline-Backup hat, zahlt nicht. Wer keines hat, hat das eigentliche Problem nicht beim Angriff erlebt — sondern in den 12 Monaten davor.
Verhindern statt heilen: Was Bremer Mittelständler jetzt aufsetzen sollten
Der Notfallplan ist Pflicht — aber das billigere und wirksamere ist, gar nicht in den Notfall zu kommen. Vier Hebel, die in unserer Praxis 90 Prozent der Vorfälle abfangen:
- Mehrstufiges Backup mit Offline-Kopie. 3-2-1-Regel: drei Kopien, zwei Medien, eine offline. Monatlich getestete Wiederherstellung — nicht nur ein Restore-Lauf, sondern echte Anwendungs-Verifikation.
- Multi-Faktor-Authentifizierung flächendeckend. Laut BSI macht MFA rund 99 Prozent der Ransomware-Angriffe wirkungslos. Kostet nichts, dauert 5 Minuten pro Mitarbeitendem.
- EDR statt klassischem Antivirus. Endpoint Detection and Response erkennt verdächtiges Verhalten, nicht nur bekannte Signaturen. Pflicht-Standard 2026 — ältere AV-Lösungen erkennen moderne Ransomware nicht.
- Mitarbeiter-Awareness. Phishing-Simulationen alle 6 Wochen, kurze Schulungen statt jährlicher 60-Minuten-Pflicht. Klick-Rate sinkt in unserer Erfahrung von 25 auf unter 5 Prozent.
So unterstützen wir Bremer Unternehmen — vor und im Ernstfall
Wir sind in Hamburg ansässig und über den Standort Bremen für die regionale Betreuung erreichbar. Bei akuten Vorfällen sind wir innerhalb von 90 Minuten in Bremen — auch nachts und am Wochenende. Den ganzen Service-Stack — von Backup über EDR bis 24/7-Monitoring — beschreibt unsere Übersicht der Managed IT-Services. Für die laufende Betreuung haben wir vier dedizierte Bremer Service-Pakete:
- IT-Support Bremen für den schnellen Helpdesk
- IT-Beratung Bremen für strategische Themen wie NIS2 und Audit
- IT-Systemhaus Bremen für komplette Übernahmen
- Cloud-Beratung Bremen für Migrationen und M365-Härtung
Mehr zur Strategie hinter dem Stack — von Backup über Awareness bis EDR — finden Sie auf unserer Seite hagel one protect. Wenn Sie wissen wollen, was bei einem Vorfall danach passiert, lesen Sie unseren Praxisbeitrag Beyond the Breach — was nach einem Cyberangriff wirklich passiert. Die Audit-Sicht für betroffene Unternehmen steht in unserem NIS2-Audit-Praxis-Fahrplan für Hamburg.
Akuter Cyberangriff in Bremen?
Wir reagieren binnen 90 Minuten. Wenn Sie noch keinen Vorfall haben — 30 Minuten Erstgespräch genügen, um zu klären, ob Sie überhaupt vorbereitet sind. Kostenlos. Ohne Vertriebsdruck.
Erstgespräch buchen →Quellen für diesen Artikel: BSI — Ich habe einen IT-Sicherheitsvorfall, Bremer Senat — Liquiditätshilfen bei Cyberangriffen 2024, Security Navigator 2026 zur Cyber-Erpressung im Mittelstand.
