Ransomware und KMU: 5 konkrete Maßnahmen, um nicht unvorbereitet getroffen zu werden

Die Frage ist nicht „ob", sondern „wann"

Im Jahr 2025 verzeichnete Italien 507 schwere Cyberangriffe – ein Anstieg von +42 % gegenüber dem Vorjahr. Das belegt der Clusit-Bericht 2026. Italien ist damit für 9,6 % aller weltweiten Sicherheitsvorfälle verantwortlich.

Die Verteilung der Opfer ist eindeutig: 67 % sind kleine und mittlere Unternehmen – zehn Prozentpunkte mehr als der globale Durchschnitt.

Der Grund ist einfach. KMU sind IT-technisch fast so abhängig wie Großunternehmen – sie nutzen ERP-Systeme, E-Mail, VPN, speichern Kundendaten – investieren aber deutlich weniger in Sicherheit und reagieren langsamer. Für kriminelle Gruppen sind sie ein effizienter Angriffspunkt.

Die durchschnittlichen Kosten eines Ransomware-Vorfalls für ein italienisches KMU liegen zwischen 150.000 und 200.000 Euro – durch Betriebsausfall, Datenwiederherstellung, Reputationsschäden und in manchen Fällen Lösegeldzahlung. Für viele Unternehmen bedeutet das Monate ohne Gewinn – oder die Schließung.

Wie ein Ransomware-Angriff heute funktioniert

Ransomware im Jahr 2026 ist nicht mehr die von vor zehn Jahren. Sie kommt nicht mehr nur über verdächtige E-Mail-Anhänge. Heute gibt es regelrechte Marktplätze im Dark Web, auf denen jeder ausgefeilte Angriffssoftware „mieten" kann – gegen eine Beteiligung am Lösegeld. Das nennt sich Ransomware-as-a-Service.

Die verbreitetsten Varianten nutzen die sogenannte doppelte Erpressung: Zuerst werden sensible Daten gestohlen, dann werden die Systeme verschlüsselt. Wer nicht zahlt, dessen Daten werden veröffentlicht. Es geht nicht nur um den Zugriffsverlust auf Dateien – es droht eine Datenschutzverletzung mit allen DSGVO-Konsequenzen.

Ein häufig unterschätzter Aspekt: Angreifer dringen ins Netzwerk ein und bleiben dort im Durchschnitt 5 bis 15 Tage, bevor sie die Verschlüsselung auslösen. In dieser Zeit kartieren sie die Systeme, identifizieren Backups, stehlen Zugangsdaten und kopieren Daten. Erst am Ende aktivieren sie die Sperre. Wer keine geeigneten Monitoring-Tools einsetzt, merkt nichts davon – bis es zu spät ist.

Zu den aktivsten Gruppen gegen italienische KMU in den Jahren 2025–2026 gehört Akira. Sie nutzen bevorzugt VPN-Zugänge ohne Zwei-Faktor-Authentifizierung auf Cisco- und Fortinet-Geräten. Wenn Ihr Unternehmens-VPN kein aktives MFA hat, sind Sie ein konkretes Ziel.

Die Angreifer kommen rein, warten und beobachten. Dann schlagen sie zu. Das Problem ist nicht der Angriff selbst – sondern dass man ihn nicht rechtzeitig bemerkt.

Die drei häufigsten Angriffsvektoren in Italien

Bevor wir über Schutzmaßnahmen sprechen, lohnt es sich zu verstehen, wie die Angreifer reinkommen. In den dokumentierten italienischen Fällen sind die drei häufigsten Vektoren:

Phishing per E-Mail — ein Mitarbeiter klickt auf einen Link oder öffnet einen schädlichen Anhang in einer scheinbar legitimen Nachricht. Das ist der mit Abstand häufigste Vektor.
Nicht gepatchte Schwachstellen — Betriebssysteme, Firewalls, VPNs oder im Internet exponierte Software mit bekannten Sicherheitslücken, für die es bereits Korrekturen gibt, die aber nicht eingespielt wurden.
Gestohlene und wiederverwendete Zugangsdaten — Passwörter aus früheren Datenpannen, die genutzt werden, um auf Unternehmenssysteme ohne Zwei-Faktor-Authentifizierung zuzugreifen.

Drei technische Probleme – alle drei behebbar mit Maßnahmen, die auch ein KMU ohne eigene IT-Abteilung umsetzen kann.

Die 5 wesentlichen Maßnahmen (mit überschaubarem Aufwand)

1. Unveränderliches Backup nach der 3-2-1-1-Regel

Ein Backup, das vom Angreifer verschlüsselt oder gelöscht werden kann, nützt nichts. Moderne Ransomware-Gruppen suchen gezielt nach Backups, bevor sie zuschlagen – das ist eine der ersten Aktionen während der stillen Verweildauer im Netzwerk.

Der Mindeststandard 2026 ist die 3-2-1-1-Regel: drei Kopien der Daten, auf zwei verschiedenen Medien, eine Kopie außerhalb des Standorts, eine air-gapped Kopie (physisch vom Netzwerk getrennt). Backups müssen unveränderlich sein – also auch für Nutzer mit Administratorrechten nicht veränderbar.

Backups zu haben reicht aber nicht: Sie müssen regelmäßig getestet werden. Ein Backup, das Sie noch nie wiederhergestellt haben, funktioniert im Ernstfall möglicherweise nicht. Planen Sie mindestens einmal pro Quartal einen Wiederherstellungstest ein.

2. Zwei-Faktor-Authentifizierung überall

MFA (Multi-Faktor-Authentifizierung) ist wahrscheinlich die Maßnahme mit dem besten Kosten-Nutzen-Verhältnis, die heute verfügbar ist. Microsoft berichtet, dass sie 99,9 % der automatisierten Angriffe zur Kontoübernahme blockiert.

Sie sollte auf allem aktiviert werden, was zählt: Unternehmens-E-Mail, VPN, ERP, CRM, Administrations-Portale, Cloud-Dienste. Viele dieser Systeme bieten MFA bereits inklusive an – oft ist es nur eine Frage, sie zu aktivieren.

Wenn Sie ein VPN ohne MFA haben, aktivieren Sie es diese Woche. Nicht nächsten Monat.

3. Systematische Aktualisierungen (Patch-Management)

Die meisten Angriffe, die technische Schwachstellen ausnutzen, nutzen bereits bekannte und bereits korrigierte Lücken. Das Problem: Die Patches werden nicht rechtzeitig eingespielt.

Dazu braucht es kein kompliziertes System. Es braucht eine Gewohnheit: Legen Sie ein monatliches Wartungsfenster fest – auch nur zwei Stunden im Monat –, in dem Sie Betriebssysteme, Antivirensoftware, Firewalls, Router und kritische Anwendungen aktualisieren. Überprüfen Sie auch, ob Ihre Cloud-Anbieter regelmäßige Updates einspielen.

Systeme, die direkt im Internet erreichbar sind (VPN, Firewall, Webserver), haben absolute Priorität bei Updates.

4. Schulung der Mitarbeitenden

Ein Mitarbeiter, der auf den falschen Link klickt, kann jede technische Investition zunichte machen. Phishing ist der häufigste Angriffsvektor, weil er funktioniert – und er funktioniert bei Menschen aller Erfahrungsstufen, nicht nur bei den weniger technikaffinen.

Schulung muss kein jährlicher Drei-Stunden-Kurs sein, den niemand im Gedächtnis behält. Es reichen kurze, regelmäßige Einheiten – auch 15 Minuten pro Monat –, ergänzt durch regelmäßige Phishing-Simulationen: gefälschte E-Mails, die an Mitarbeitende geschickt werden, um zu sehen, wer klickt, und um anschließend zu erklären, woran man sie erkennt.

Die Mindestthemen, die abgedeckt werden sollten:

Wie man eine Phishing-E-Mail erkennt (Absender, Links, Dringlichkeitston)
Sicherer Umgang mit Passwörtern (und warum man sie nicht wiederverwenden sollte)
Was zu tun ist, wenn man einen Vorfall vermutet (an wen wenden, was nicht tun)

5. Ein Notfallplan für Sicherheitsvorfälle

Auch mit guten Schutzmaßnahmen kann ein Vorfall eintreten. Der Unterschied zwischen einem Unternehmen, das in wenigen Stunden wieder läuft, und einem, das wochenlang stillsteht, ist oft nicht technischer, sondern organisatorischer Natur.

Ein Notfallplan muss kein 50-seitiges Dokument sein. Er muss praktische Fragen beantworten:

Wen rufe ich zuerst an, wenn ich ein Problem entdecke? (interne Ansprechperson, IT-Dienstleister, Versicherung)
Wie isoliere ich die betroffenen Systeme, ohne alles andere lahmzulegen?
Von welchem Backup stelle ich wieder her, und in welcher Zeit?
Wie kommuniziere ich mit Kunden und Lieferanten während des Ausfalls?
Habe ich eine Meldepflicht gegenüber dem Datenschutzbeauftragten? (Ja, wenn personenbezogene Daten betroffen sind: innerhalb von 72 Stunden.)

Schreiben Sie die Antworten auf, teilen Sie sie mit den richtigen Personen, halten Sie sie aktuell. Ein ausgedrucktes Blatt in einer Schublade ist mehr wert als ein theoretischer Plan, den niemand kennt.

Wo anfangen, wenn Sie bei null stehen

Wenn Ihr Unternehmen heute keine dieser Maßnahmen umgesetzt hat, müssen Sie nicht alles auf einmal angehen. Beginnen Sie mit dem Dringlichsten für Ihre Situation:

Aktivieren Sie MFA für VPN und Unternehmens-E-Mail – heute, nicht aufschieben.
Prüfen Sie, ob Backups vorhanden, vom Netzwerk getrennt und getestet sind.
Planen Sie monatliche Updates für kritische Systeme ein.
Machen Sie ein 30-minütiges Briefing mit dem Team zum Erkennen von Phishing.
Schreiben Sie drei Telefonnummern auf, die Sie anrufen, wenn etwas schiefgeht.

Das ist keine perfekte Sicherheit. Aber es ist der Unterschied zwischen einem leichten Ziel und einem, das zu viel Aufwand erfordert, um sich zu lohnen.

Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen auf Basis öffentlicher Quellen erstellt und von unserem Team überprüft. Er stellt keine professionelle Beratung dar: Für die konkrete Bewertung Ihres Unternehmens sprechen Sie mit uns.