Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Kritisch

    Ransomware-Angriffe

    Ransomware ist Schadsoftware, die Daten und Systeme eines Unternehmens verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigibt. Moderne Ransomware-Gruppen betreiben dabei eine doppelte Erpressung: Neben der Verschlüsselung drohen sie damit, gestohlene Daten zu veröffentlichen, falls kein Lösegeld gezahlt wird. Ransomware ist für viele KMU, Arztpraxen und Kanzleien die existenzbedrohendste Cyberbedrohung überhaupt.

    148 Mrd. €Schaden durch Ransomware in Deutschland pro Jahr (Bitkom 2024)

    Wie funktioniert Ransomware-Angriffe?

    Ransomware-Angriffe beginnen typischerweise mit einer initialen Kompromittierung: Am häufigsten gelangt Ransomware über Phishing-E-Mails, Remote-Desktop-Protokoll (RDP)-Zugänge mit schwachen Passwörtern oder ungepatchte Software-Schwachstellen ins Netzwerk. In vielen Fällen verkaufen Kriminelle den initialen Netzwerkzugang auf dem Darknet an spezialisierte Ransomware-Gruppen weiter.

    Nach dem Erstzugang verhalten sich die Angreifer oft wochenlang ruhig. In dieser Erkundungsphase (Reconnaissance) kartografieren sie das Netzwerk, identifizieren Backup-Systeme, stehlen vertrauliche Daten und erweitern ihre Rechte bis hin zum Domain-Administrator. Erst wenn sie vollständige Kontrolle haben, zünden sie die eigentliche Ransomware-Verschlüsselung.

    Die Verschlüsselung läuft oft innerhalb von Minuten ab und betrifft alle erreichbaren Dateisysteme – inklusive Netzlaufwerke und angeschlossene Backup-Systeme, die nicht offline gesichert wurden. Gleichzeitig werden alle Schattenkopien (Volume Shadow Copies) gelöscht, um eine einfache Wiederherstellung zu verhindern.

    Nach der Verschlüsselung hinterlassen Angreifer eine Lösegeldforderung. Moderne Ransomware-Gruppen wie LockBit, BlackCat/ALPHV oder Cl0p betreiben professionelle Support-Strukturen mit Verhandlungsportalen im Darknet. Die Forderungen liegen für KMU typischerweise zwischen 50.000 und 500.000 Euro, für größere Unternehmen auch im Millionenbereich.

    Die doppelte Erpressung – Double Extortion – ist zum Standard geworden: Auch wenn ein Unternehmen aus Backups wiederherstellen kann, droht die Veröffentlichung sensibler Kunden- oder Patientendaten. Dies erzeugt zusätzlichen Druck zur Zahlung und kann DSGVO-Meldepflichten und Bußgelder auslösen.

    Ransomware-Angriffe in Zahlen

    148 Mrd. €
    Gesamtschaden durch Cyberangriffe inklusive Ransomware in Deutschland (Bitkom 2024)
    22 Tage
    durchschnittliche Betriebsunterbrechung nach einem Ransomware-Angriff (Coveware 2024)
    76 %
    der von Ransomware betroffenen Unternehmen zahlten Lösegeld (Sophos State of Ransomware 2024)
    1,9 Mio. €
    durchschnittliche Wiederherstellungskosten nach einem Ransomware-Angriff (Sophos 2024)
    Echte Schadensfälle

    So trifft Ransomware-Angriffe Unternehmen

    Maschinenbau

    Ransomware legt Maschinenbaubetrieb in Baden-Württemberg lahm

    2,4 Mio. €
    18 Tage Produktionsstillstand

    Ein Zulieferer mit 85 Mitarbeitern wurde über einen ungesicherten RDP-Zugang kompromittiert. Die Angreifer verbrachten zwei Wochen im Netzwerk, bevor sie alle Systeme verschlüsselten – darunter die CAD-Server und das ERP-System. Die Produktion stand 18 Tage still. Das Lösegeld von 300.000 Euro wurde auf Anraten der Cyberversicherung nicht gezahlt; stattdessen wurden alle Systeme aus Backups wiederhergestellt. Die Gesamtkosten beliefen sich dennoch auf 2,4 Mio. Euro.

    Gesundheitswesen

    Krankenhaus-IT durch Ransomware verschlüsselt

    3,8 Mio. €
    3 Wochen eingeschränkter Betrieb

    Eine regionale Klinik wurde Opfer einer Ransomware-Attacke, die über eine Phishing-E-Mail eines Mitarbeiters eingeleitet wurde. Innerhalb von Stunden waren alle Server verschlüsselt, Patientenakten unzugänglich. Operationen mussten verschoben, Notaufnahme-Patienten umgeleitet werden. Neben den IT-Wiederherstellungskosten entstanden massive DSGVO-Bußgeldrisiken, da Patientendaten kompromittiert wurden. Die Cyberversicherung übernahm die Kosten für IT-Forensik und Betriebsunterbrechung.

    Steuerberatung / Rechtsdienstleistung

    Steuerberatungskanzlei nach Lösegeld-Zahlung weiter erpresst

    180.000 €
    8 Tage

    Eine mittelgroße Steuerberatungskanzlei zahlte auf Druck der Erpresser 40.000 Euro Lösegeld. Trotz Zahlung wurden Teile der gestohlenen Mandantendaten im Darknet veröffentlicht. Die Kanzlei musste alle Mandanten informieren, eine Meldung an die Datenschutzbehörde erstatten und einen erheblichen Vertrauensverlust hinnehmen. Der Fall illustriert, warum Lösegeld-Zahlung keine Garantie für die Nichtweitergabe von Daten bietet.

    Schutzmaßnahmen gegen Ransomware-Angriffe

    Technische Maßnahmen

    • Offline-Backups nach der 3-2-1-Regel implementieren (3 Kopien, 2 Medien, 1 offline)
    • RDP-Zugänge absichern oder deaktivieren, VPN mit MFA nutzen
    • Regelmäßiges Patchen aller Systeme, insbesondere öffentlich erreichbarer Dienste
    • Endpoint Detection and Response (EDR) mit Anti-Ransomware-Schutz einsetzen
    • Netzwerksegmentierung, um die Ausbreitung von Ransomware zu begrenzen
    • Privileged Access Management (PAM) zur Einschränkung von Adminrechten
    • E-Mail-Filter mit Sandbox für Anhänge und Links aktivieren
    • Regelmäßige Backup-Wiederherstellungstests durchführen

    Organisatorische Maßnahmen

    • Incident-Response-Plan speziell für Ransomware erstellen und testen
    • Mitarbeiter für Phishing-Angriffe als Einstiegsvektor schulen
    • Kontakte zu IT-Forensik-Dienstleister und Cyberversicherung vorab herstellen
    • Krisenteam und Entscheidungsstruktur für den Ernstfall festlegen
    • Keine Lösegeld-Zahlung ohne vorherige Abstimmung mit Versicherer und Behörden
    Versicherungsschutz

    Was die Cyberversicherung bei Ransomware-Angriffe abdeckt

    Abgedeckte Leistungen

    • Betriebsunterbrechungsschäden während der Wiederherstellung
    • Kosten für IT-Forensik und Incident Response
    • Kosten für Datenwiederherstellung und Systemreinigung
    • Lösegeld-Zahlungen (falls versicherungsvertraglich vereinbart und behördlich genehmigt)
    • Benachrichtigungskosten nach DSGVO bei Datenleck
    • Haftpflichtansprüche betroffener Kunden oder Patienten
    • Rechts- und Krisenberatungskosten
    • Kosten für temporäre IT-Infrastruktur während der Wiederherstellung

    Typische Ausschlüsse

    • Schäden durch vorsätzliches Handeln oder grobe Fahrlässigkeit (z. B. keine Backups trotz Anforderung)
    • Lösegeld-Zahlungen an sanktionierte Gruppen oder Länder
    • Bereits bekannte und ungepatchte Sicherheitslücken bei Vertragsschluss
    • Bußgelder durch Datenschutzbehörden (je nach Tarif)
    • Schäden an Dritten durch Weiterverbreitung der Ransomware über eigene Systeme

    Schützen Sie Ihr Unternehmen vor Ransomware-Angriffe

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Ransomware-Angriffe

    Experten und Behörden raten grundsätzlich von Lösegeldzahlungen ab, da sie kriminelle Strukturen finanzieren und keine Garantie für die Entschlüsselung bieten. Vor einer Zahlung sollten immer der Cyberversicherer und ggf. das BSI oder die Polizei einbezogen werden. Einige Versicherungsverträge enthalten spezifische Regelungen zur Lösegeld-Kostenübernahme.
    Ja, Ransomware ist einer der häufigsten Leistungsfälle in der Cyberversicherung. Abgedeckt werden typischerweise Betriebsunterbrechung, IT-Forensik, Datenwiederherstellung und ggf. Lösegeldzahlungen. Voraussetzung sind grundlegende Sicherheitsmaßnahmen wie regelmäßige Backups und Patch-Management.
    Im Durchschnitt dauert die vollständige Wiederherstellung 22 Tage (Coveware 2024). Ohne aktuelle, getestete Offline-Backups kann die Wiederherstellung erheblich länger dauern. Unternehmen mit guten Backup-Prozessen können innerhalb weniger Tage wieder produktiv sein.
    Neben der Datenverschlüsselung stehlen moderne Ransomware-Gruppen auch Daten und drohen mit deren Veröffentlichung. So entsteht ein zweifacher Erpressungsdruck: Selbst wer aus Backups wiederherstellen kann, steht vor dem Risiko, dass sensible Kunden- oder Patientendaten öffentlich werden. Dies löst DSGVO-Meldepflichten aus.
    Für einige ältere oder schlecht implementierte Ransomware-Varianten existieren kostenlose Entschlüsselungstools – die Initiative No More Ransom (nomoreransom.org) stellt diese bereit. Für aktuelle, professionelle Ransomware-Gruppen ist eine Entschlüsselung ohne Schlüssel jedoch praktisch unmöglich. Der beste Schutz sind aktuelle, offline gesicherte Backups.

    Verwandte Bedrohungen

    Phishing-AngriffeMalware-AngriffeSupply-Chain-Angriffe

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.