Ransomware und Phishing sind die teuersten Bedrohungen für Schweizer KMU – und eine der vermeidbarsten. Dieser Artikel erklärt, wie Angreifer vorgehen, welche Cybersecurity-Massnahmen wirklich wirken und warum ein gutes Backup allein nicht ausreicht. Für KMU in Zürich, Wallisellen, Glattal.
Ein Montagmorgen, 7:43 Uhr. Die Mitarbeitenden kommen ins Büro, schalten ihre Rechner ein – und sehen nur eine Meldung auf schwarzem Hintergrund: «Ihre Dateien wurden verschlüsselt. Zahlen Sie 15.000 USD in Bitcoin innerhalb von 72 Stunden.» Kein Zugriff auf Kundendaten. Kein Zugriff auf E-Mails. Kein Zugriff auf die Buchhaltung. Das Unternehmen steht still.
Dieses Szenario ist kein Einzelfall. Es passiert täglich – auch in der Schweiz, auch in kleinen Unternehmen mit 10 oder 20 Mitarbeitenden im Raum Zürich, Glattal oder Winterthur. Ransomware ist heute die teuerste und häufigste Form von Cyberkriminalität gegen KMU. Und trotzdem ist sie eine der am besten beherrschbaren Bedrohungen – wenn man weiss, was wirklich schützt.
Wie Ransomware-Angriffe wirklich ablaufen
Die meisten Menschen stellen sich einen Ransomware-Angriff als plötzliches Ereignis vor – ein Klick auf einen falschen Link, und sofort ist alles verschlüsselt. Die Realität ist langsamer und beunruhigender.
Moderne Ransomware-Angriffe laufen in mehreren Phasen ab. Zuerst verschaffen sich die Angreifer Zugang – meistens über eine Phishing-E-Mail, eine ungepatchte Sicherheitslücke oder schwache Zugangsdaten. Phishing ist dabei der mit Abstand häufigste Einstiegsweg: Täuschend echte E-Mails verleiten Mitarbeitende dazu, Zugangsdaten einzugeben oder Schadsoftware zu installieren. Dann bewegen sie sich still durch das Netzwerk, sammeln Informationen und erhöhen ihre Berechtigungen. Diese Phase dauert im Durchschnitt über 200 Tage – ohne dass das Unternehmen etwas bemerkt.
Erst wenn die Angreifer alles vorbereitet haben – alle wichtigen Systeme identifiziert, Backups lokalisiert und oft ebenfalls kompromittiert – schlagen sie zu. Die Verschlüsselung läuft innerhalb von Minuten ab. Zu diesem Zeitpunkt ist es zu spät für Prävention.
Wichtig zu verstehen: Angreifer zielen heute gezielt auf Backups. Wer nur ein lokales Backup hat, das am Netzwerk hängt, verliert es im Ernstfall mit. Nur physisch oder logisch getrennte, unveränderliche Backups bieten echten Schutz.
Die fünf wirksamsten Schutzmassnahmen
Es gibt keine einzelne Massnahme, die vollständigen Schutz bietet. Ransomware-Schutz ist ein Schichtenmodell – je mehr Schichten, desto kleiner die Angriffsfläche und desto grösser die Chance, einen Angriff früh zu erkennen oder zu stoppen.
1. Immutable Backups – die letzte Verteidigungslinie
Ein Backup ist nur dann wertlos, wenn es im Ernstfall nicht wiederhergestellt werden kann – oder wenn es selbst verschlüsselt wurde. Immutable Backups (unveränderliche Sicherungen) lösen dieses Problem: Einmal geschrieben, können sie von niemandem mehr verändert oder gelöscht werden – nicht von einem Administrator, nicht von einem Skript, nicht von Ransomware.
Für KMU ist das die wichtigste Einzelmassnahme. Ein funktionierendes, getestetes Immutable Backup bedeutet: Selbst wenn alles andere versagt, können Sie Ihre Daten wiederherstellen. Ohne Lösegeld. Ohne Datenverlust. Voraussetzung ist, dass das Backup regelmässig getestet wird – ein Backup, dessen Wiederherstellung nie geprobt wurde, ist kein Backup.
2. EDR statt klassischem Antivirus
Klassische Antivirensoftware erkennt bekannte Schadsoftware anhand von Signaturen. Ransomware-Gruppen wissen das und passen ihre Werkzeuge regelmässig an, um Signaturen zu umgehen. Endpoint Detection & Response (EDR) geht einen anderen Weg: Es beobachtet das Verhalten von Prozessen und schlägt Alarm, wenn etwas Ungewöhnliches passiert – unabhängig davon, ob die Schadsoftware bekannt ist oder nicht.
EDR erkennt typische Ransomware-Verhalten wie das massenhafte Verschlüsseln von Dateien, das Löschen von Shadow Copies oder das Aufbauen von Verbindungen zu unbekannten Command-and-Control-Servern. In vielen Fällen kann EDR einen Angriff stoppen, bevor er sich ausbreitet – oder zumindest den betroffenen Endpunkt isolieren, um den Schaden zu begrenzen.
3. Netzwerksegmentierung – Schaden begrenzen
Wenn Ransomware in ein Netzwerk eindringt, verbreitet sie sich lateral – von System zu System, von Abteilung zu Abteilung. Ein flaches Netzwerk ohne Segmentierung bedeutet: Wer einen Rechner kompromittiert, hat Zugriff auf alles.
<a href='/it-wissen/netzwerksegmentierung-flaches-netz' class='kpx-inline-link'>Netzwerksegmentierung</a> teilt das Netzwerk in logische Zonen auf. Server, Clients, Drucker und IoT-Geräte kommunizieren nur noch mit dem, was sie wirklich brauchen. Wenn ein Angreifer in die Client-Zone eindringt, kommt er nicht automatisch an die Server. Das begrenzt den Schaden erheblich und gibt dem Sicherheitsteam Zeit zu reagieren.
4. Multi-Faktor-Authentifizierung (MFA) für alle externen Zugänge
Der häufigste Einstiegspunkt für Ransomware-Angriffe sind kompromittierte Zugangsdaten – gestohlene Passwörter, die über Phishing oder Datenlecks erbeutet wurden. MFA macht gestohlene Passwörter allein wertlos: Ohne den zweiten Faktor (z. B. eine Authenticator-App) kommt kein Angreifer rein.
MFA sollte für alle externen Zugänge Pflicht sein: VPN, Remote Desktop, Microsoft 365, Cloud-Dienste. Für interne Systeme mit privilegierten Zugängen (Server-Administration, Backup-Systeme) ist MFA ebenfalls dringend empfohlen. Die Implementierung ist in den meisten Fällen unkompliziert und kostet wenig – der Schutzeffekt ist dagegen erheblich.
5. Incident Response Plan – was tun, wenn es passiert?
Kein Schutz ist hundertprozentig. Die Frage ist nicht ob, sondern wann ein Vorfall passiert – und ob Ihr Unternehmen dann weiss, was zu tun ist. Ein Incident Response Plan legt im Voraus fest: Wer wird informiert? Wer entscheidet über die Abschaltung von Systemen? Wer kommuniziert mit Kunden und Behörden? Wann wird die Polizei eingeschaltet?
Ohne Plan herrscht im Ernstfall Chaos. Mit Plan gibt es klare Verantwortlichkeiten und Abläufe. Das reduziert die Ausfallzeit und den Schaden erheblich. Der Plan muss regelmässig geübt werden – ein Dokument, das niemand kennt, hilft im Ernstfall nicht.
Das <a href='/it-wissen/datenschutz-dsg-kmu-schweiz' class='kpx-inline-link'>Schweizer Datenschutzgesetz (DSG)</a> verpflichtet Unternehmen, Datenschutzverletzungen zu melden. Bei einem Ransomware-Angriff, bei dem personenbezogene Daten betroffen sind, besteht unter Umständen eine Meldepflicht gegenüber dem EDÖB. Ein Incident Response Plan sollte diesen Aspekt explizit berücksichtigen.
Phishing-Schutz: Die unterschätzte Einstiegspforte
Da Phishing der häufigste Angriffsvektor für Ransomware ist, verdient er besondere Aufmerksamkeit. Phishing-Schutz für Unternehmen in der Schweiz umfasst heute mehrere Ebenen: technische Massnahmen (E-Mail-Filterung, Anti-Spoofing, sichere Links), organisatorische Massnahmen (regelmässige Schulungen, simulierte Phishing-Tests) und prozessuale Massnahmen (klare Meldewege für verdächtige E-Mails). Kein einzelner Ansatz reicht allein – erst die Kombination macht den Unterschied.
Cyber Security Check für KMU: Wissen Sie, wie gut Ihr Unternehmen aktuell gegen Phishing und Ransomware geschützt ist? Ein strukturierter Security Check analysiert Ihre Angriffsfläche, prüft bestehende Schutzmassnahmen und zeigt konkrete Lücken auf. KPX AG bietet diesen Check als kostenloses Erstgespräch an – für KMU in Zürich, Wallisellen, Glattal.
Was nicht ausreicht – häufige Missverständnisse
In der Praxis begegnen wir regelmässig Unternehmen, die glauben, ausreichend geschützt zu sein – und es nicht sind. Hier sind die häufigsten Missverständnisse:
- 1
«Wir haben Antivirus, also sind wir sicher.» – Klassischer Antivirus erkennt keine unbekannten Bedrohungen. Ohne EDR und Verhaltensüberwachung bleiben viele Angriffe unsichtbar.
- 2
«Wir sind zu klein für Angreifer.» – Automatisierte Angriffswerkzeuge suchen nach Schwachstellen, nicht nach Unternehmensgrösse. KMU sind oft leichtere Ziele als grosse Unternehmen.
- 3
«Wir haben ein Backup.» – Ein Backup, das am Netzwerk hängt und nicht getestet wurde, ist kein verlässlicher Schutz. Immutable Backups und regelmässige Wiederherstellungstests sind entscheidend.
- 4
«Unsere Mitarbeitenden wissen, wie man Phishing erkennt.» – Phishing-E-Mails werden immer überzeugender. Ohne regelmässige Schulungen und technische Schutzmassnahmen ist menschliches Urteilsvermögen allein nicht ausreichend.
- 5
«Wir haben eine Firewall.» – Eine Firewall schützt den Perimeter, nicht das Innere des Netzwerks. Wenn ein Angreifer erst drin ist, hilft die Firewall nicht mehr.
Wie viel kostet ein Ransomware-Angriff wirklich?
Die direkten Kosten eines Ransomware-Angriffs sind erheblich – aber oft unterschätzt. Neben dem möglichen Lösegeld (das wir grundsätzlich nicht empfehlen zu zahlen, da es keine Garantie für die Datenwiederherstellung gibt) fallen an:
- 1
Ausfallkosten: Jeder Tag, an dem das Unternehmen nicht produktiv arbeiten kann, kostet Geld. Bei KMU sind das schnell 5.000 bis 50.000 Franken pro Tag.
- 2
Forensik und Incident Response: Die Untersuchung des Angriffs und die Wiederherstellung der Systeme durch externe Spezialisten kostet zwischen 10.000 und 100.000 Franken.
- 3
Datenverlust: Wenn Daten nicht vollständig wiederhergestellt werden können, entstehen langfristige Schäden – verlorene Kundenhistorie, fehlende Buchhaltungsunterlagen, rechtliche Risiken.
- 4
Reputationsschäden: Kunden und Geschäftspartner, die von einem Sicherheitsvorfall erfahren, verlieren das Vertrauen. Dieser Schaden ist schwer zu quantifizieren, aber real.
- 5
Bussen und Haftung: Bei Verletzung des Datenschutzgesetzes (DSG) oder der DSGVO können empfindliche Bussen anfallen.
Laut aktuellen Studien liegt der durchschnittliche Gesamtschaden eines Ransomware-Angriffs auf ein KMU zwischen 50.000 und 500.000 Franken. Prävention kostet einen Bruchteil davon.
Unser Fazit: Ransomware-Schutz ist kein Produkt, sondern ein Prozess
Es gibt keine einmalige Lösung, die dauerhaft schützt. Ransomware-Schutz erfordert ein mehrschichtiges Konzept, das regelmässig überprüft und angepasst wird. Die gute Nachricht: Für KMU ist ein solides Schutzniveau erreichbar – ohne riesige IT-Budgets und ohne eigene Sicherheitsabteilung.
Als Managed Service Provider begleiten wir Schweizer KMU bei der Umsetzung dieser Massnahmen: von der Einführung von Immutable Backups über die Implementierung von EDR bis zur Erstellung eines Incident Response Plans. Wir erklären, was wirklich nötig ist – ohne Überdimensionierung, ohne unnötige Komplexität.
Diese KPX-Services schützen Sie vor Ransomware
Die beschriebenen Schutzmassnahmen sind bei KPX AG als Managed Services verfügbar – laufend betreut, dokumentiert und auf Ihre Infrastruktur abgestimmt:
Managed Backup
Immutable Backups mit automatischen Wiederherstellungstests. Ihre Daten sind auch dann sicher, wenn Ransomware zuschlägt.
Managed Security (SOC)
24/7 SOC-Monitoring mit EDR-Integration. Bedrohungen werden erkannt und gestoppt, bevor sie sich ausbreiten – auch ausserhalb der Bürozeiten.
Managed Firewall
Next-Generation Firewall mit Netzwerksegmentierung und Intrusion Prevention. Angreifer kommen gar nicht erst rein.
Managed Client
EDR auf jedem Endpunkt, automatisches Patch-Management und Geräteverwaltung. Keine ungepatchten Sicherheitslücken, kein blinder Fleck.
Möchten Sie wissen, wie gut Ihr Unternehmen aktuell gegen Ransomware geschützt ist? In einem kostenlosen Erstgespräch analysieren wir Ihre Situation und zeigen Ihnen konkrete nächste Schritte.
Jetzt Ihr Kostenloses ErstgesprächThemen