- BSI rät klar ab: Lösegeld zahlen löst das Problem nicht — nur jedes vierte Opfer bekommt seine Daten vollständig zurück.
- Erste 60 Minuten entscheiden: Systeme vom Netz trennen, NICHT ausschalten, Beweise sichern, Polizei und Cyber-Versicherung informieren.
- Backup ist alles: Nur ein getestetes Offline-Backup nach 3-2-1-Regel rettet Sie ohne Lösegeld. Krypto-Trojaner schlummern oft Wochen — das Backup von letzter Woche kann den Schädling enthalten.
- Hamburg-Praxis: Bei einem Sanitärbetrieb in unserer Region waren drei Monate alles weg — jede Mail, jede Rechnung. Ohne externes Wochen-Backup wäre das Unternehmen pleite gewesen.
Ein Ransomware-Angriff trifft Ihr Unternehmen mitten im Tagesgeschäft. Die Mitarbeiter starren auf verschlüsselte Dateien, der Server zeigt eine Lösegeldforderung in Bitcoin, das Telefon klingelt — Kunden, Lieferanten, eine erste Mail vom Steuerberater. Was Sie jetzt tun, entscheidet darüber, ob Sie nach 48 Stunden wieder arbeiten oder nach 12 Wochen mit Insolvenzantrag dasitzen.
Wir betreuen seit 18 Jahren KMU als IT-Service in Hamburg und haben in den letzten Jahren mehrere Ransomware-Vorfälle aus der Nähe begleitet. Dieser Artikel ist kein theoretischer Leitfaden — er ist die Schritt-für-Schritt-Anleitung, die wir Geschäftsführern in genau dieser Situation am Telefon durchgehen.
Warum Sie das Lösegeld nicht zahlen sollten — die harten Fakten
Die Versuchung ist real. Ein paar Bitcoin überweisen, Schlüssel bekommen, weiterarbeiten. Klingt einfacher als drei Wochen Wiederherstellung. Aber die Zahlen erzählen eine andere Geschichte.
Laut BSI-Lagebericht 2025 erreicht der Anteil der Ransomware-Opfer, die Lösegeld zahlten, ein neues Allzeithoch — und gleichzeitig steigt die Zahl der Mehrfach-Erpressungen. Wer einmal gezahlt hat, gilt als zahlungsbereit. Die zweite Forderung kommt oft Wochen später, sinngemäß so: Wir haben noch eine Kopie Ihrer Daten — 200.000 Euro, sonst Veröffentlichung.
Das BSI rät Unternehmen ausdrücklich, kein Lösegeld zu zahlen. Die Begründung ist nüchtern: Es gibt keine Garantie, dass die Angreifer den Schlüssel liefern. Wenn sie ihn liefern, ist nicht sicher, dass die Entschlüsselung sauber funktioniert. Und selbst wenn alles klappt, finanzieren Sie damit die nächste Angriffswelle gegen den Hamburger Mittelstand.
Die Zahlen stammen aus der Bitkom-Wirtschaftsschutz-Studie 2025. Das ist nicht mehr ein Problem der anderen. Das sind Ihre Branchenkollegen.
Sechs Gründe, die wirklich gegen Zahlung sprechen
- Keine Garantie. Etwa drei Viertel der Zahler bekommen entweder keinen oder nur teilweise funktionierenden Decryptor. Verschlüsselte Datenbanken bleiben oft korrupt.
- Sanktionsrisiko. Viele aktive Ransomware-Gruppen (LockBit, BlackCat/ALPHV, Conti-Nachfolger) operieren aus Russland oder dem Iran. Eine Zahlung kann gegen EU-Sanktionen verstoßen — Bußgelder bis 500.000 Euro plus Strafverfolgung.
- Mehrfach-Erpressung. Doppelte Erpressung ist heute Standard — erst verschlüsseln, dann mit Datenleak drohen. Die dreifache Variante geht weiter: zusätzlich DDoS-Angriff oder direkte Erpressung Ihrer Kunden.
- Wiederholungsangriff. Wer einmal gezahlt hat, kommt auf interne Listen der Angreifer. Mehrere unserer Branchenkollegen berichten von Zweitangriffen innerhalb von 12 Monaten.
- Versicherungsproblem. Cyber-Versicherer prüfen heute genau, ob Sie zumutbare Schutzmaßnahmen ergriffen haben. Eine ungetestete Backup-Strategie kann Leistungsausschluss bedeuten.
- Sie finanzieren die nächste Welle. Jede gezahlte Million fließt in bessere Tools, mehr Mitarbeiter und gezieltere Angriffe — auch auf Sie.
Die Krypto-Trojaner werden nicht sofort aktiv, die schlummern erstmal. Wenn Sie das Backup von letzter Woche zurückspielen, ist der da auch schon drauf. Das ist die fiese Falle: Erst denkt man, man ist gerettet — und dann startet der Trojaner zum zweiten Mal.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Die ersten 60 Minuten: Was Sie als Erstes tun
Diese 60 Minuten entscheiden über den Schaden. Nicht der Tag danach, nicht die Woche danach. Die erste Stunde.
- Bewahren Sie Ruhe — und alarmieren Sie sofort. Geschäftsführung, IT-Verantwortlicher und externer IT-Dienstleister müssen in den ersten 10 Minuten Bescheid wissen. Wenn Sie als Geschäftsführer als Erstes davon erfahren: nicht selbst rumprobieren. Anruf statt Aktionismus.
- Betroffene Geräte vom Netz trennen — physisch. LAN-Kabel ziehen, WLAN am Gerät ausschalten, Bluetooth aus. Nicht: das Gerät ausschalten. Im RAM stecken Hinweise auf den Angreifer, die nach einem Reboot weg sind.
- Netzwerk segmentieren. Wenn mehrere Systeme befallen scheinen, schalten Sie das Netzwerk auf Switch-Ebene ab. Lieber 4 Stunden offline als 4 Wochen Totalausfall, weil sich die Ransomware durchgefressen hat.
- Beweise sichern. Screenshot der Lösegeldforderung, Foto vom Bildschirm, Zeitstempel. Diese Beweise braucht die Polizei und unter Umständen die Cyber-Versicherung.
- Cyber-Versicherung kontaktieren — VOR jeder Forensik. Viele Policen verlangen, dass Sie deren Notfall-Hotline als Erstes anrufen. Wer ohne Absprache Forensiker beauftragt, riskiert seinen Versicherungsschutz.
- Polizei und BSI einschalten. In Hamburg: Zentrale Ansprechstelle Cybercrime (ZAC) der Polizei Hamburg, Tel. 040/4286-75455. Bei BSI-Meldepflicht (KRITIS, NIS2) zusätzlich Meldung über das BSI-Meldeportal.
- Mitarbeiter informieren — kontrolliert. Klare interne Mail: keine USB-Sticks anschließen, keine externen Festplatten anstecken, verdächtige Mails sofort melden. Aber: NICHT nach extern kommunizieren, bevor Forensik einen Stand hat.
Geräte werden vorschnell ausgeschaltet oder neu aufgesetzt. Damit verlieren Sie die Forensik-Chance — und oft auch Hinweise, ob die Angreifer noch aktiv im Netzwerk sind. Im Zweifel: Gerät vom Netz trennen, eingeschaltet lassen, externen Forensiker dazuholen.
Recovery in der Praxis: So läuft die Wiederherstellung ab
Nach den ersten 60 Minuten beginnt die eigentliche Arbeit. Wir gliedern sie in drei Phasen.
Phase 1: Forensik (Tag 1 bis 3)
Bevor irgendetwas wiederhergestellt wird, müssen drei Fragen beantwortet sein:
- Wie kamen die Angreifer rein? Phishing-Mail? Schwacher RDP-Zugang? Ungepatchte VPN-Lücke? Ohne diese Antwort holt sich der gleiche Schädling die nächste Woche das nächste System.
- Wie lange waren sie schon im Netz? Moderne Ransomware-Gruppen sitzen oft 2-8 Wochen im System, bevor sie verschlüsseln. In dieser Zeit haben sie Daten gestohlen, Backups gelöscht und Hintertüren gelegt.
- Welche Daten wurden abgezogen? Wenn Kundendaten oder Personaldaten betroffen sind, läuft eine 72-Stunden-Frist nach DSGVO Art. 33 für die Meldung an die Datenschutzbehörde.
Diese Phase macht ein spezialisiertes Forensik-Team — entweder Ihr externer IT-Dienstleister oder ein dedizierter Incident-Response-Provider. Bei hagel IT machen wir das gemeinsam mit erfahrenen Forensik-Partnern in Hamburg.
Phase 2: Bereinigung & Wiederaufbau (Tag 3 bis 14)
Erst wenn die Forensik weiß, wie der Angreifer reingekommen ist, beginnt der Wiederaufbau. Das ist der häufigste Fehler bei Eigenversuchen: Unternehmen spielen aus Zeitdruck ein altes Backup ein — und wundern sich, warum drei Tage später wieder alles verschlüsselt ist.
- Komplette Neuinstallation der betroffenen Server. Kein bloßes Desinfizieren — Komplett-Image vom letzten sicheren Stand vor dem Einbruch. Hintertüren bleiben sonst.
- Backup auf Sauberkeit prüfen. Backup von vor dem Einbruch (idealerweise mehr als 30 Tage alt) in isolierter Umgebung scannen, bevor es zurückgespielt wird.
- Alle Passwörter ändern. Domain-Admin, Service-Accounts, alle Mitarbeiter-Konten. Inkl. Microsoft 365, VPN, Cloud-Dienste.
- MFA aktivieren — überall. Falls noch nicht passiert: Multi-Faktor-Authentifizierung auf alle Konten, mit Authenticator-App, nicht SMS.
- Endpoint Detection & Response (EDR) ausrollen. Klassischer Virenscanner ist heute zu schwach. EDR sieht Verhalten, nicht nur Signaturen.
- Netzwerk segmentieren. Buchhaltung, Produktion, Gäste-WLAN — getrennt. Damit der nächste Angriff nicht das gesamte Unternehmen lähmt.
Phase 3: Lessons Learned & Härtung (ab Tag 14)
Wenn der Betrieb wieder läuft, kommt der unbeliebteste Teil — und der wichtigste. Die meisten Unternehmen, die wir nach einem Vorfall übernehmen, haben Phase 3 beim ersten Mal komplett ausgelassen. Das Ergebnis: 12 bis 18 Monate später der zweite Angriff.
Phase 3 heißt: ehrliche Bestandsaufnahme, ein neues Sicherheitskonzept und eine strukturierte Cyber-Risikoanalyse. Daraus folgt ein 12-Monats-Plan mit klaren Maßnahmen — vom Backup-Konzept bis zur Mitarbeiter-Schulung.
Aus der Praxis: Drei Monate Stillstand bei einem Hamburger Sanitärbetrieb
Die Geschichte gehört zu den prägendsten Vorfällen, die wir aus der Nähe begleitet haben. Ein Sanitärbetrieb in unserer Region, 22 Mitarbeiter, solide aufgestellt — und dann eines Morgens: alles verschlüsselt. Server, Arbeitsplätze, das NAS. Auch das tägliche Backup auf das verbundene NAS — verschlüsselt.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Was den Betrieb gerettet hat: Ein zweiter Geschäftsführer hatte sich angewöhnt, jeden Freitag eine externe USB-Festplatte mit dem Wochen-Backup mit nach Hause zu nehmen. Diese eine Platte — mit etwa zwei Wochen alten Daten — war das einzige saubere Backup. Damit konnten wir aufbauen.
Der Schaden: drei Monate Teilbetrieb, geschätzte 280.000 Euro direkter Schaden plus Kunden, die zur Konkurrenz abgewandert sind. Versicherungsleistung: weniger als die Hälfte, weil die Backup-Strategie nicht den Mindestanforderungen entsprach.
Lesson Learned für Sie: Ein Backup, das nur am Netz hängt, ist kein Backup. Das ist der erste Datensatz, der mitverschlüsselt wird.
Backup richtig: Die 3-2-1-Regel — und warum 3-2-1-1-0 heute Standard sein sollte
Die klassische 3-2-1-Regel kennt jeder IT-Verantwortliche: drei Kopien der Daten, auf zwei verschiedenen Medien, eine davon offline oder off-site. Sie reicht heute nicht mehr.
Moderne Ransomware sucht aktiv nach Backup-Servern, NAS-Systemen und Cloud-Sync-Ordnern. Die erweiterte 3-2-1-1-0-Regel ist die bessere Antwort:
| Kennzahl | Bedeutung |
|---|---|
| 3 | Drei Kopien der Daten (Original + 2 Backups) |
| 2 | Auf zwei verschiedenen Medientypen (z. B. NAS + Cloud) |
| 1 | Eine Kopie off-site (außerhalb des Standorts) |
| 1 | Eine Kopie offline / immutable / air-gapped |
| 0 | Null Fehler bei der Wiederherstellungs-Prüfung (regelmäßig testen!) |
Die abschließende Null ist der Punkt, an dem die meisten KMU scheitern. Backup wird gemacht — aber nie getestet, ob die Wiederherstellung tatsächlich funktioniert. Wir bauen Backup-Konzepte für KMU nach diesem Modell auf, mit monatlichem Restore-Test ins isolierte Test-Netz.
Wir sehen jede Woche Backups, die seit Monaten nicht geprüft wurden. Bei einem Ransomware-Angriff wären diese Unternehmen komplett aufgeschmissen. Ein Backup ist erst dann wirklich da, wenn Sie nachweislich daraus wiederherstellen können.
Prävention: Was wirklich vor Ransomware schützt
Die ehrliche Wahrheit: Sie können einen gezielten Angriff einer professionellen Gruppe nicht zu 100 % verhindern. Aber Sie können den Aufwand für die Angreifer so hoch machen, dass sie ein leichteres Ziel suchen. Vier Hebel haben den größten Effekt.
1. Multi-Faktor-Authentifizierung (MFA) — überall
Laut BSI verhindert MFA rund 99 % der Ransomware-Angriffe, die mit gestohlenen Zugangsdaten starten. Phishing-Mails, geleakte Passwörter, Brute-Force — alles wirkungslos, wenn der Angreifer nicht auch das zweite Faktor-Gerät hat.
Zwei-Faktor-Authentifizierung. Das ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.
Wichtig: SMS als zweiter Faktor ist 2026 nicht mehr ausreichend. Mehr dazu in unserem Praxis-Artikel zum MFA-Level-Up. Empfehlung: Authenticator-App (Microsoft Authenticator, Authy) oder FIDO2-Hardware-Token.
2. Patches — schnell, automatisiert, verifiziert
Die meisten erfolgreichen Ransomware-Angriffe nutzen Lücken, für die seit Wochen oder Monaten Patches verfügbar sind. Ein gemanagter Patch-Prozess (mit Inventarisierung, automatisierter Verteilung, Reporting) ist Pflicht. Bei Managed IT Services ist das Standard.
3. Endpoint Detection & Response (EDR) statt klassischer Antivirus
Klassische Virenscanner erkennen Schadsoftware anhand von Signaturen — funktioniert bei bekannten Viren, scheitert bei moderner Ransomware mit Polymorphismus. EDR-Lösungen (Microsoft Defender for Endpoint, Bitdefender GravityZone, CrowdStrike) sehen Verhalten: Wer verschlüsselt plötzlich tausend Dateien pro Sekunde? Das fällt auf, auch ohne Signatur.
4. Mitarbeiter-Schulung gegen Phishing
Der häufigste Einfallsweg ist immer noch die Phishing-Mail. Eine PDF-Rechnung, ein Office-Anhang, ein gefälschter Microsoft-Login. Quartalsweise Schulungen mit echten Phishing-Simulationen senken die Klickrate von typischen 30 % auf unter 5 %. Das ist nicht trivial — aber es ist machbar. Mehr Details in unserem Artikel zu aktuellen Phishing-Trends.
Rechtliche Pflichten: Was Sie melden müssen — und an wen
Ein Ransomware-Vorfall ist fast nie nur ein technischer Schaden. Es kommen rechtliche Pflichten dazu, die Sie kennen müssen. Ein guter Überblick zur Compliance-Landschaft inkl. NIS2 hilft bei der Einordnung.
| Pflicht | Frist | An wen | Wann relevant |
|---|---|---|---|
| DSGVO Art. 33 — Meldung Datenschutzverletzung | 72 Stunden | Datenschutzbehörde (Hamburg: HmbBfDI) | Wenn personenbezogene Daten betroffen sind (fast immer) |
| DSGVO Art. 34 — Information der Betroffenen | unverzüglich | Betroffene Personen | Bei hohem Risiko für Rechte/Freiheiten |
| NIS2 — Vorfallmeldung (ab 17.10.2024 Pflicht) | 24h Frühwarnung, 72h Meldung | BSI-Meldeportal | Wenn Ihr Unternehmen unter NIS2 fällt — NIS2-Check |
| Strafanzeige | empfohlen schnellstmöglich | ZAC der Polizei Hamburg | Immer — auch für Versicherung wichtig |
| Cyber-Versicherung | siehe Police (oft binnen 24h) | Versicherer-Hotline | Vor jeder externen Maßnahme |
| IT-Sicherheitsgesetz (KRITIS) | unverzüglich | BSI | Nur KRITIS-Betreiber |
Cyber-Versicherung: Ja oder nein?
Wir empfehlen für KMU ab etwa 15 Mitarbeitern eine Cyber-Versicherung — aber mit klaren Augen. Drei Punkte, die Sie wissen müssen:
- Versicherer prüfen Sicherheitsniveau. Wer keine MFA, kein EDR, kein getestetes Backup hat, bekommt entweder gar keine Police mehr oder zahlt das Doppelte. Die Versicherung ist heute Treiber für gute IT-Sicherheit.
- Leistungen sind begrenzt. Typische Mittelstandspolicen decken 250.000 bis 1 Million Euro Schaden — bei großen Vorfällen reicht das nicht. Lesen Sie das Kleingedruckte zur Lösegeld-Klausel: viele Versicherer schließen Lösegeldzahlungen heute aus.
- Notfall-Hotline ist Gold wert. Die meisten Policen kommen mit 24/7-Incident-Response-Hotline. Diese eine Nummer ersetzt im Ernstfall stundenlange Suche nach Forensikern.
Eine Cyber-Versicherung ersetzt keine gute IT-Sicherheit — sie ist die Restrisikoabsicherung für den Tag, an dem trotzdem etwas durchschlüpft.
Hamburg: Wer hilft im Ernstfall?
Speziell für Unternehmen in Hamburg und Norddeutschland gibt es klare Anlaufstellen:
- ZAC Hamburg (Zentrale Ansprechstelle Cybercrime der Polizei): Tel. 040/4286-75455 — rund um die Uhr für Unternehmen
- HmbBfDI (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit): für DSGVO-Meldungen
- BSI-Meldestelle: über das Meldeportal des Bundesamts für Sicherheit in der Informationstechnik
- No More Ransom: kostenlose Decryptor-Datenbank von Europol/BKA — nomoreransom.org
- hagel IT-Services (Hamburg, Bremen, Kiel, Lübeck): 040 244 222 0 — Soforthilfe bei akuten Vorfällen
Wir betreuen rund 200 KMU in Norddeutschland. Wenn Sie einen Verdacht haben oder mitten im Vorfall sind: rufen Sie an, bevor Sie etwas anderes tun. Die ersten 60 Minuten kosten am meisten oder retten am meisten — je nachdem, was Sie tun.
Recovery-Test: Wie gut sind Sie wirklich vorbereitet?
Als ehrlichen Selbsttest: Wenn morgen früh beim Hochfahren der Server eine Lösegeldforderung steht — können Sie diese Fragen sofort beantworten?
- Kennen Sie Ihre Notfall-Telefonnummern auswendig? IT-Dienstleister, Cyber-Versicherung, Polizei. Wenn die im verschlüsselten Outlook stehen, haben Sie ein Problem.
- Wissen Sie, wo Ihr letztes sauberes Backup liegt? Inkl. Wiederherstellungs-Test in den letzten 30 Tagen?
- Haben Sie einen Incident-Response-Plan auf Papier? Im Verschlüsselungsfall hilft kein PDF auf dem Server.
- Kennen Sie Ihre Meldepflichten? 72 Stunden DSGVO, 24/72 Stunden NIS2 — laufen ab Kenntnis, nicht ab dem Moment, in dem es Ihnen zeitlich passt.
- Hat Ihre Cyber-Versicherung eine 24/7-Hotline? Und wer ruft dort an — Sie selbst, IT-Leiter, Geschäftsführung?
Wenn Sie bei mehr als zwei Punkten zögern, ist das der wichtigste nächste Schritt: ein strukturiertes Erstgespräch und eine ehrliche Bestandsaufnahme. Ohne Verkaufsdruck, ohne PowerPoint — 15 Minuten am Telefon mit jemandem, der das Thema seit 18 Jahren macht.
Verdacht auf Ransomware oder unsicher bei Ihrem Backup-Konzept?
15 Minuten Erstgespräch mit Jens Hagel. Kostenlos. Ohne Vertriebsdruck. Aus Hamburg für Hamburg und Norddeutschland.
Termin buchen →
