Ransomware

Ransomware Awareness Month: Unternehmen müssen Business Continuity stärker in den Fokus rücken

, KnowBe4 | Autor: Herbert Wieler

Ransomware-Schutz 2026: Warum Identitätssicherheit, Backups und Business Continuity entscheidend sind

Ransomware beginnt heute oft nicht mehr mit einem verdächtigen Anhang, sondern mit einem gültigen Login. Genau das macht moderne Angriffe so gefährlich: Sie wirken zunächst wie normale Geschäftsprozesse. Der eigentliche Gamechanger ist deshalb nicht die Malware selbst, sondern die Frage, ob ein Unternehmen auch dann noch handlungsfähig bleibt, wenn Identitäten kompromittiert, Backups angegriffen und kritische Systeme lahmgelegt werden.

Zum Start des „Ransomware Awareness Months“ warnt Erich Kron, CISO-Advisor bei KnowBe4 , vor einem gefährlichen Missverständnis in vielen Unternehmen: Wer Ransomware weiterhin vor allem als Malware-Problem betrachtet, unterschätzt die Realität moderner Cyberangriffe.

Erich Kron, CISO Advisor bei KnowBe4

Die Bedrohung hat sich in den vergangenen zwölf Monaten deutlich verschoben. Cyberkriminelle setzen nicht mehr nur darauf, Mitarbeitende zum Klick auf einen schädlichen Link zu verleiten und anschließend Dateien zu verschlüsseln. Ransomware ist heute Teil einer professionell organisierten kriminellen Wertschöpfungskette. Sie basiert auf gestohlenen Zugangsdaten, Social Engineering, Identitätsmissbrauch, Datendiebstahl und gezielten Attacken auf Wiederherstellungssysteme.

Für Unternehmen bedeutet das: Ransomware ist längst ein Stresstest für die gesamte Organisation. Es geht um Identitätssicherheit, operative Widerstandsfähigkeit, Krisenkommunikation, Wiederanlaufpläne und die Fähigkeit der Unternehmensleitung, unter Druck Entscheidungen zu treffen.

Warum Ransomware heute anders funktioniert

Moderne Angriffe sind häufig weniger spektakulär, aber deutlich effektiver. Angreifer „hacken“ sich nicht immer mit komplexem Code in Systeme ein. Oft melden sie sich schlicht mit gültigen Zugangsdaten an. Diese wurden zuvor gestohlen, gekauft oder durch Social Engineering erschlichen.

Ein besonders kritischer Angriffspunkt sind Helpdesks. Kriminelle nutzen ausgefeilte Methoden wie Voice-Phishing, um Mitarbeitende im Support dazu zu bringen, Passwörter zurückzusetzen oder Multi-Faktor-Authentifizierung neu zu registrieren. Sobald ein Angreifer eine glaubwürdige Identität besitzt, wird aus einem technischen Vorfall schnell eine unternehmensweite Krise.

Auch Künstliche Intelligenz verschärft die Lage. KI macht Cyberkriminelle nicht automatisch zu unbesiegbaren Superangreifern. Sie macht Täuschung aber glaubwürdiger, schneller und skalierbarer. Phishing-E-Mails wirken sprachlich sauberer, Tonalitäten lassen sich nachahmen und synthetische Stimmen können Vertrauen vortäuschen. Damit geraten klassische Warnsignale, auf die Mitarbeitende früher noch achten konnten, zunehmend unter Druck.

Backups sind längst selbst ein Angriffsziel

Viele Unternehmen verlassen sich darauf, im Ernstfall ihre Systeme aus Backups wiederherstellen zu können. Doch genau das wissen auch Angreifer. Deshalb zielen moderne Ransomware-Gruppen zunehmend auf Backup-Systeme, Wiederherstellungskonsolen und administrative Zugänge.

Ein Backup allein ist deshalb kein belastbarer Wiederherstellungsplan. Entscheidend ist, ob die Sicherungen unveränderlich, isoliert und regelmäßig getestet sind. Unternehmen müssen wissen, welche Daten sie in welcher Reihenfolge wiederherstellen müssen – und ob das schnell genug gelingt, um den Geschäftsbetrieb aufrechtzuerhalten. Ein ungetestetes Backup ist im Ernstfall nicht mehr als eine Hoffnung mit Speicherplatz.

Ransomware trifft besonders dort, wo Stillstand teuer wird

Besonders gefährdet sind Branchen, in denen Ausfälle sofort spürbare Folgen haben. Dazu gehören unter anderem Fertigung, Gesundheitswesen, Logistik und andere operative Umgebungen mit eng getakteten Prozessen. Hier erzeugen Angreifer durch Stillstand maximalen Druck.

Der Schaden entsteht nicht nur durch verschlüsselte Daten. Er entsteht durch unterbrochene Lieferketten, stehende Produktionslinien, verzögerte Behandlungen, nicht erreichbare Systeme, rechtliche Risiken und Vertrauensverlust bei Kunden und Partnern.

Damit wird klar: Ransomware-Abwehr darf nicht allein im Serverraum geplant werden. Sie gehört auf die Agenda von Geschäftsführung, Rechtsabteilung, Kommunikation, Betrieb, IT, Security und externen Dienstleistern.

Was Unternehmen jetzt tun sollten

Erich Kron empfiehlt Unternehmen, den Fokus von reiner Malware-Prävention auf umfassende Business Resilience zu verlagern. Im Mittelpunkt steht die Frage: Wie bleibt das Unternehmen handlungsfähig, wenn ein Angriff bereits läuft?

Dazu gehört zunächst eine starke, idealerweise phishing-resistente Multi-Faktor-Authentifizierung. Besonders privilegierte Konten, Remote-Zugänge, VPNs und kritische Administrationsbereiche müssen besser geschützt werden. Schwache MFA-Verfahren, die sich durch Social Engineering umgehen lassen, reichen nicht mehr aus.

Gleichzeitig müssen Helpdesk-Prozesse deutlich robuster werden. Passwort-Zurücksetzungen, MFA-Änderungen und Account-Wiederherstellungen brauchen mehrstufige, klar dokumentierte Verifizierungsverfahren. Support-Teams dürfen nicht allein darauf angewiesen sein, ein „komisches Gefühl“ zu haben. Sie brauchen verbindliche Prozesse, die von der Unternehmensführung getragen werden.

Ebenso wichtig ist eine kontinuierliche Überwachung von Identitäten. Verdächtige Anmeldungen, unmögliche Geo-Locationen, neue Geräte-Registrierungen oder ungewöhnliche Änderungen von Zugriffsrechten müssen früh erkannt werden. Je schneller Identitätsmissbrauch sichtbar wird, desto geringer ist die Chance, dass Angreifer sich unbemerkt im Netzwerk ausbreiten.

Auch beim Patch-Management ist Tempo entscheidend. Kritische Schwachstellen in internetexponierten Systemen wie VPNs, Firewalls oder Remote-Zugängen dürfen nicht auf langsame quartalsweise Wartungsfenster warten. Unternehmen benötigen Notfallprozesse, um bekannte und aktiv ausgenutzte Schwachstellen priorisiert zu schließen.

Darüber hinaus sollten Netzwerke konsequent segmentiert werden. Wenn Angreifer trotz aller Schutzmaßnahmen Zugang erhalten, darf sich der Vorfall nicht unkontrolliert im gesamten Unternehmen ausbreiten. Segmentierung begrenzt laterale Bewegungen und kann verhindern, dass aus einem kompromittierten Konto ein Totalausfall wird.

Business Continuity muss Teil der Cyberabwehr werden

Der wichtigste Perspektivwechsel betrifft jedoch die Business Continuity. Unternehmen müssen nicht nur planen, wie sie Malware entfernen. Sie müssen definieren, wie sie während eines laufenden Angriffs weiterarbeiten können.

Welche Systeme sind wirklich kritisch? Welche Abhängigkeiten bestehen zwischen Anwendungen, Datenbanken, Lieferanten und Kundenprozessen? Welche Services müssen zuerst wiederhergestellt werden? Wie arbeitet das Unternehmen im eingeschränkten Modus weiter? Wer entscheidet über Kommunikation, Rechtsfragen, Lösegeldforderungen, Kundeninformation und operative Prioritäten?

Solche Fragen lassen sich nicht während der Krise zum ersten Mal klären. Sie müssen vorher geübt werden – idealerweise in realistischen Tabletop-Übungen, an denen nicht nur IT und Security teilnehmen, sondern auch Geschäftsführung, Rechtsabteilung, Kommunikation, Betrieb und wichtige externe Partner.

Der Ransomware Awareness Month ist damit mehr als ein Awareness-Anlass. Er ist eine Erinnerung daran, dass Cyberresilienz heute direkt mit Geschäftsfähigkeit verbunden ist. Wer Ransomware nur als technisches Problem behandelt, reagiert zu spät. Wer sie als Business-Continuity-Krise versteht, kann früher, strukturierter und wirksamer handeln.

KnowBe4 stellt Unternehmen zum Ransomware Awareness Month ein kostenloses Ressourcen-Kit zur Verfügung .