• About
  • Advertise
  • Careers
  • Contact
Freitag, Juni 12, 2026
  • Login
No Result
View All Result
NEWSLETTER
Berlin Morgen-News Zeitschrift
  • Home
  • die Politik
  • Digital
    Cyber-Attacken legen Produktionen lahm

    Cyber-Attacken legen Produktionen lahm

    Neue Siri AI auf einem iPhone Display

    Apple startet die neuen Siri Funktionen wegen des DMA nicht in der gesamten EU

    Nach langem Rechtsstreit feiert Fortnite ein globales Comeback im App Store

    Nach langem Rechtsstreit feiert Fortnite ein globales Comeback im App Store

    Rechenzentrum während der Behebung beim Ausfall der .de-Domain

    Ausfall der .de-Domain führt zu massiven Problemen für Millionen deutsche Webseiten

    Cyberangriffe durch Ransomware auf deutsche Firmen

    Google Bericht: Cyberangriffe treffen Deutschland europaweit am allerwertesten sowie öfter

    Verbot sozialer Medien Kinder unter 14 Smartphone Nutzung

    Verbot sozialer Medien: Österreich plant Einschränkungen für Kinder unter 14 Jahren Wien 2026

    Plattformen für Erwachsene vor EU-Strafen

    Plattformen für Erwachsene: Große Webseiten wegen EU-Verstößen angeklagt Brüssel 2026

    Italienische Kartellbehörde untersucht Quantencomputing Markt

    Quantencomputing Markt: Italienische Behörden verschärfen Aufsicht über Hyperscalers Mailand 2026

    Außenansicht für geplante Deutschland KI-Rechenzentren in der Hauptstadt

    Deutschland KI-Rechenzentren: Regierung stellt Pläne für massive Erweiterung vor Berlin 2026

  • Gesellschaft
    Rückmietverkauf Haus Immobiliengeschäft

    Rückmietverkauf Haus

    Enkelkinder das Dessert des Lebens

    Enkelkinder das Dessert des Lebens

    Recht auf Teilzeit

    Recht auf Teilzeit

    Fotografische Aufnahme der Javier Tarazona Freilassung Venezuela, die Aufmerksamkeit der globalen Medien auf sich zieht

    Javier Tarazona Freilassung Venezuela sorgt für internationales Echo

    Öffentlicher Dienst Warnstreiks

    Öffentlicher Dienst Warnstreiks

    Terror Anschlag auf Berlins Stromnetz

    Terror Anschlag auf Berlins Stromnetz

    Neujahr 2026

    Neujahr 2026

    Silvester 2025 - 2026

    Silvester 2025 – 2026

    Weihnachten 2025

    Weihnachten 2025

    Millennials müssen doppelt so lange sparen für ein Eigenheim

    Millennials müssen doppelt so lange sparen für ein Eigenheim

    Trending Tags

    • Golden Globes
    • Mr. Robot
    • MotoGP 2017
    • Climate Change
    • Flat Earth
  • Kultur
  • Weltnachrichten
    US-Politik nach großem Iran-Abkommen

    Trump kündigt großen Iran-Deal mit geplanter Unterzeichnung in Europa an

    US-Abkommen mit dem Iran

    Iran gibt an dass noch keine finale Entscheidung zu einem US Abkommen besteht

    Donald Trump zur Straße von Hormus

    Trump sieht baldige Öffnung der Straße von Hormus durch großes Iran-Abkommen

    Karte der Region Donezk Ukraine

    Russland gibt die Einnahme zweier weiterer ostukrainischer Dörfer bekannt

    Donald Trump zur Insel Kharg

    Trump entscheidet sich gegen die geplante Militäroperation gegen die iranische Insel Charg

    Protest gegen Taliban Einladung der EU

    Das Volkstribunal fordert die Europäische Union auf, die Einladung der Taliban zurückzuziehen

    Trending Tags

    • Sillicon Valley
    • Climate Change
    • Election Results
    • Flat Earth
    • Golden Globes
    • MotoGP 2017
    • Mr. Robot
  • Wirtschaft
  • Wissen
  • Sports
  • Magazin
  • Videos
  • Home
  • die Politik
  • Digital
    Cyber-Attacken legen Produktionen lahm

    Cyber-Attacken legen Produktionen lahm

    Neue Siri AI auf einem iPhone Display

    Apple startet die neuen Siri Funktionen wegen des DMA nicht in der gesamten EU

    Nach langem Rechtsstreit feiert Fortnite ein globales Comeback im App Store

    Nach langem Rechtsstreit feiert Fortnite ein globales Comeback im App Store

    Rechenzentrum während der Behebung beim Ausfall der .de-Domain

    Ausfall der .de-Domain führt zu massiven Problemen für Millionen deutsche Webseiten

    Cyberangriffe durch Ransomware auf deutsche Firmen

    Google Bericht: Cyberangriffe treffen Deutschland europaweit am allerwertesten sowie öfter

    Verbot sozialer Medien Kinder unter 14 Smartphone Nutzung

    Verbot sozialer Medien: Österreich plant Einschränkungen für Kinder unter 14 Jahren Wien 2026

    Plattformen für Erwachsene vor EU-Strafen

    Plattformen für Erwachsene: Große Webseiten wegen EU-Verstößen angeklagt Brüssel 2026

    Italienische Kartellbehörde untersucht Quantencomputing Markt

    Quantencomputing Markt: Italienische Behörden verschärfen Aufsicht über Hyperscalers Mailand 2026

    Außenansicht für geplante Deutschland KI-Rechenzentren in der Hauptstadt

    Deutschland KI-Rechenzentren: Regierung stellt Pläne für massive Erweiterung vor Berlin 2026

  • Gesellschaft
    Rückmietverkauf Haus Immobiliengeschäft

    Rückmietverkauf Haus

    Enkelkinder das Dessert des Lebens

    Enkelkinder das Dessert des Lebens

    Recht auf Teilzeit

    Recht auf Teilzeit

    Fotografische Aufnahme der Javier Tarazona Freilassung Venezuela, die Aufmerksamkeit der globalen Medien auf sich zieht

    Javier Tarazona Freilassung Venezuela sorgt für internationales Echo

    Öffentlicher Dienst Warnstreiks

    Öffentlicher Dienst Warnstreiks

    Terror Anschlag auf Berlins Stromnetz

    Terror Anschlag auf Berlins Stromnetz

    Neujahr 2026

    Neujahr 2026

    Silvester 2025 - 2026

    Silvester 2025 – 2026

    Weihnachten 2025

    Weihnachten 2025

    Millennials müssen doppelt so lange sparen für ein Eigenheim

    Millennials müssen doppelt so lange sparen für ein Eigenheim

    Trending Tags

    • Golden Globes
    • Mr. Robot
    • MotoGP 2017
    • Climate Change
    • Flat Earth
  • Kultur
  • Weltnachrichten
    US-Politik nach großem Iran-Abkommen

    Trump kündigt großen Iran-Deal mit geplanter Unterzeichnung in Europa an

    US-Abkommen mit dem Iran

    Iran gibt an dass noch keine finale Entscheidung zu einem US Abkommen besteht

    Donald Trump zur Straße von Hormus

    Trump sieht baldige Öffnung der Straße von Hormus durch großes Iran-Abkommen

    Karte der Region Donezk Ukraine

    Russland gibt die Einnahme zweier weiterer ostukrainischer Dörfer bekannt

    Donald Trump zur Insel Kharg

    Trump entscheidet sich gegen die geplante Militäroperation gegen die iranische Insel Charg

    Protest gegen Taliban Einladung der EU

    Das Volkstribunal fordert die Europäische Union auf, die Einladung der Taliban zurückzuziehen

    Trending Tags

    • Sillicon Valley
    • Climate Change
    • Election Results
    • Flat Earth
    • Golden Globes
    • MotoGP 2017
    • Mr. Robot
  • Wirtschaft
  • Wissen
  • Sports
  • Magazin
  • Videos
No Result
View All Result
Berlin Morgen-News Zeitschrift
No Result
View All Result
Home Digital

Cyber-Attacken legen Produktionen lahm

Ransomware wird zum Risiko für Unternehmer

by Ingo Noack
2026-06-12
in Digital
0
Cyber-Attacken legen Produktionen lahm

Cyber-Attacken legen Produktionen lahm

0
SHARES
0
VIEWS
Share on FacebookShare on Twitter

Ransomware wird zum Risiko für die Werkbank: Warum Cyber-Erpressung den Mittelstand besonders hart trifft

Cyber-Attacken legen Produktionen lahm, blockieren Verwaltungen und bringen Lieferketten ins Wanken. Das Bundeslagebild Cybercrime 2025 zeigt: Deutschland bleibt ein zentrales Ziel krimineller Hackergruppen. Besonders Ransomware entwickelt sich zum strategischen Geschäftsrisiko.

Berlin – Der Angriff beginnt oft unscheinbar. Eine E-Mail im Postfach der Buchhaltung. Ein angeblicher Hinweis eines Paketdienstes. Eine Rechnung, die dringend geprüft werden soll. Ein Link, der auf den ersten Blick plausibel wirkt. Wenige Minuten später hat ein Mitarbeiter seine Zugangsdaten preisgegeben oder eine manipulierte Datei geöffnet. Was zunächst wie ein gewöhnlicher IT-Zwischenfall aussieht, kann sich innerhalb kurzer Zeit zu einer Krise entwickeln, die ein ganzes Unternehmen lahmlegt.

Bei Ransomware-Attacken verschlüsseln Cyberkriminelle zentrale IT-Systeme. Produktionsanlagen können nicht mehr gesteuert, Aufträge nicht mehr bearbeitet, Rechnungen nicht mehr geschrieben und Kundendaten nicht mehr abgerufen werden. Häufig stehlen die Täter zuvor sensible Informationen und drohen anschließend damit, diese im Internet zu veröffentlichen. Das Lösegeld fordern sie meist in Kryptowährungen wie Bitcoin. Für die Betroffenen geht es nicht nur um Geld, sondern um Handlungsfähigkeit, Vertrauen, Reputation und manchmal um die Existenz.

Das Bundeslagebild Cybercrime 2025 macht deutlich, wie ernst die Lage inzwischen ist. Nach Angaben des Bundesinnenministeriums wurden im Jahr 2025 insgesamt 1041 Ransomware-Angriffe angezeigt. Das entspricht einem Anstieg von zehn Prozent gegenüber dem Vorjahr. Besonders betroffen sind Unternehmen und öffentliche Einrichtungen. Die Zahlen zeigen allerdings nur einen Teil der Wirklichkeit. Viele Angriffe werden nicht gemeldet, weil Firmen Imageschäden fürchten, weil sie unsicher sind, welche Behörden zuständig sind, oder weil sie den Vorfall zunächst intern lösen wollen. Das Dunkelfeld dürfte erheblich sein.

Ransomware gilt deshalb längst nicht mehr als technisches Spezialproblem für IT-Abteilungen. Sie ist zu einem zentralen Risiko für Geschäftsleitungen geworden. Wer heute ein Unternehmen führt, muss sich mit Cyber-Erpressung ähnlich ernsthaft beschäftigen wie mit Energiepreisen, Lieferketten, Finanzierung, Arbeitsschutz oder Compliance. Die Frage lautet nicht mehr, ob ein Angriff möglich ist. Die entscheidende Frage lautet, ob ein Unternehmen vorbereitet ist, wenn er passiert.

Deutschland steht im Fokus internationaler Cyberkrimineller

Deutschland bleibt als eine der größten Volkswirtschaften der Welt ein besonders attraktives Ziel für Cyberkriminelle. Das liegt an der industriellen Stärke, an der dichten mittelständischen Unternehmenslandschaft, an wertvollen Forschungsdaten, an komplexen Lieferketten und an einer öffentlichen Verwaltung, die in vielen Bereichen noch immer stark von historisch gewachsenen IT-Strukturen abhängig ist. Für Tätergruppen bedeutet das: Es gibt viele potenzielle Ziele, viele verwundbare Schnittstellen und oft erheblichen Druck auf die Opfer, schnell wieder arbeitsfähig zu werden.

Im Bundeslagebild Cybercrime 2025 werden rund 334.000 Fälle von Cybercrime im engeren Sinne registriert. Zwei Drittel dieser Taten, konkret 207.888 Fälle, wurden aus dem Ausland oder von unbekannten Tatorten aus begangen. Das unterstreicht eine zentrale Schwierigkeit der Strafverfolgung: Die Täter sitzen häufig nicht in derselben Stadt, nicht im selben Bundesland und oft nicht einmal in Europa. Sie arbeiten über Ländergrenzen hinweg, nutzen verschleierte Serverstrukturen, Kryptowährungen, gefälschte Identitäten und gestohlene Zugangsdaten.

Das geschätzte Schadensvolumen für die deutsche Wirtschaft liegt bei 202,4 Milliarden Euro. Das entspricht rund 4,5 Prozent des Bruttoinlandsprodukts. In dieser Summe stecken nicht nur Lösegeldzahlungen. Dazu gehören Produktionsausfälle, Kosten für IT-Forensik, Wiederherstellung, Rechtsberatung, Krisenkommunikation, mögliche Bußgelder, Vertragsstrafen, Verzögerungen in Lieferketten und langfristige Vertrauensverluste bei Kunden und Partnern.

Die Bundesregierung sieht den digitalen Raum deshalb zunehmend als sicherheitspolitisches Handlungsfeld. Der Staat will nicht nur auf Angriffe reagieren, sondern Sicherheitsbehörden technisch und rechtlich stärker befähigen, Täterstrukturen aufzudecken, Infrastrukturen zu stören und internationale Ermittlungen voranzutreiben. Bundesinnenminister Alexander Dobrindt hat die Bedrohungslage als täglichen Angriff auf Unternehmen, Behörden und Infrastruktur beschrieben und deutlich gemacht, dass Ermittlungsbehörden im Cyberraum mehr Befugnisse und bessere technische Möglichkeiten benötigen, um mit den Tätern Schritt zu halten.

Auch das Bundeskriminalamt verweist auf die hohe Dynamik. Aus Sicht der Behörde zeigen internationale Operationen zwar Wirkung, doch Cyberkriminelle passen ihre Methoden laufend an. BKA-Vizepräsidentin Martina Link hat betont, dass erfolgreiche Ermittlungsmaßnahmen nicht darüber hinwegtäuschen dürfen, dass der Druck auf Staat, Wirtschaft und Gesellschaft weiter wächst. Entscheidend sei, dass sich auch die Sicherheitsbehörden permanent weiterentwickeln und ihre Fähigkeiten nicht nur in der Strafverfolgung, sondern auch bei der Gefahrenabwehr einbringen.

Warum der Mittelstand besonders verwundbar ist

Große Konzerne verfügen häufig über eigene Sicherheitsteams, Notfallpläne, redundante Rechenzentren, spezialisierte Dienstleister und regelmäßige Übungen. Der Mittelstand steht dagegen oft vor einem strukturellen Problem. Viele Unternehmen sind hoch digitalisiert, aber nicht im gleichen Maße abgesichert. Maschinen, Lagerverwaltung, Buchhaltung, Personalwesen, Kundenportale und Lieferantenanbindungen hängen an IT-Systemen, die über Jahre gewachsen sind. Gleichzeitig fehlt es an Personal, Budget und manchmal auch an klaren Zuständigkeiten.

Gerade in Produktionsbetrieben ist die Trennung zwischen klassischer Büro-IT und industrieller Steuerungstechnik häufig nicht konsequent genug. Wird ein Verwaltungsnetz kompromittiert, kann sich Schadsoftware unter ungünstigen Umständen bis in produktionsnahe Bereiche ausbreiten. Dann bleiben nicht nur E-Mails aus. Dann stehen Fräsen, Roboter, Verpackungslinien oder Logistiksysteme still. Für Zulieferer kann das besonders teuer werden, weil sie vertraglich an feste Liefertermine gebunden sind. Wenn ein Bauteil fehlt, kann eine ganze Kette ins Stocken geraten.

Hinzu kommt: Mittelständische Unternehmen besitzen oft Daten, die für Kriminelle wertvoll sind. Dazu zählen Konstruktionszeichnungen, Patente, Kundendaten, Preislisten, Personaldaten, Lieferantenverträge, Produktionspläne und Zugangsdaten zu Partnernetzwerken. Für Tätergruppen ist nicht immer die absolute Größe eines Unternehmens entscheidend, sondern die Frage, wie hoch der Druck im Ernstfall wird. Ein Betrieb mit 250 Beschäftigten, der nur wenige Tage nicht produzieren kann, steht möglicherweise schneller mit dem Rücken zur Wand als ein internationaler Konzern mit weltweiten Ausweichstrukturen.

Ransomware-Gruppen nutzen diesen Druck gezielt aus. Sie kalkulieren, wie lange ein Unternehmen ohne IT arbeiten kann, welche Daten besonders sensibel sind und wie groß der Reputationsschaden bei einer Veröffentlichung wäre. Viele Angriffe laufen inzwischen nach professionellen Mustern ab. Die Täter analysieren ihre Opfer, bewegen sich über Tage oder Wochen unbemerkt im Netzwerk, suchen nach Backups, kopieren Daten und verschlüsseln erst dann die Systeme. Die eigentliche Erpressung beginnt oft erst, wenn das Opfer bereits kaum noch reagieren kann.

Ransomware ist ein Geschäftsmodell geworden – Cyber-Attacken legen Produktionen lahm

Ransomware-Angriffe sind nicht mehr nur das Werk einzelner Hacker, die zufällig Schadsoftware verschicken. Dahinter stehen oft arbeitsteilige kriminelle Ökosysteme. Einige Gruppen entwickeln Schadsoftware. Andere verkaufen Zugänge zu kompromittierten Netzwerken. Wieder andere übernehmen Verhandlungen mit Opfern, betreiben Datenleck-Seiten oder waschen Kryptowährungen. Dieses Modell senkt die Einstiegshürden für Täter erheblich.

Besonders gefährlich ist das Prinzip Ransomware-as-a-Service. Dabei stellen Entwickler ihre Erpressungssoftware anderen Kriminellen gegen Beteiligung am Gewinn zur Verfügung. Die Angreifer benötigen dann nicht zwingend tiefes technisches Wissen, sondern können auf fertige Werkzeuge, Anleitungen und Unterstützungsstrukturen zurückgreifen. Für Unternehmen bedeutet das: Die Zahl potenzieller Angreifer steigt, und die Methoden werden schneller verbreitet.

Die Angriffe selbst haben sich weiterentwickelt. Früher stand vor allem die Verschlüsselung von Daten im Mittelpunkt. Heute setzen viele Gruppen auf doppelte Erpressung. Sie blockieren Systeme und drohen zusätzlich mit der Veröffentlichung gestohlener Informationen. Manche Täter gehen noch weiter und kontaktieren Kunden, Geschäftspartner oder Medien, um den Druck auf das Opfer zu erhöhen. In besonders aggressiven Fällen werden auch Beschäftigte direkt angeschrieben.

Das Bundeslagebild Cybercrime 2025 zeigt, dass die durchschnittlichen Lösegeldzahlungen deutlich gestiegen sind. Die Gesamtsumme der bekannt gewordenen Zahlungen lag bei rund 15,5 Millionen US-Dollar. Gleichzeitig zahlen offenbar immer weniger Betroffene. Das kann auf eine gestiegene Widerstandsfähigkeit vieler Unternehmen hindeuten. Wer funktionierende Backups, Notfallpläne und klare Entscheidungswege hat, ist weniger erpressbar. Dennoch bleibt jede Attacke ein massiver Einschnitt.

Denn selbst wenn kein Lösegeld gezahlt wird, entstehen hohe Kosten. Systeme müssen untersucht, bereinigt und neu aufgebaut werden. Passwörter müssen zurückgesetzt, Zugänge gesperrt, Sicherheitslücken geschlossen und Daten aus Sicherungen wiederhergestellt werden. Kunden, Behörden, Versicherer und Geschäftspartner müssen informiert werden. Der normale Betrieb läuft oft nur eingeschränkt weiter. In manchen Fällen dauert es Wochen oder Monate, bis ein Unternehmen wieder vollständig arbeitsfähig ist.

Cyber-Attacken legen Produktionen lahm
Cyber-Attacken legen Produktionen lahm

Die ersten Stunden entscheiden über den Schaden

Bei einem Ransomware-Angriff zählt jede Stunde. Viele Unternehmen verlieren in der Anfangsphase wertvolle Zeit, weil sie nicht wissen, wer entscheidet, wer informiert werden muss und welche Systeme sofort isoliert werden sollen. In dieser Phase entstehen häufig die teuersten Fehler.

Ein häufiger Fehler ist Aktionismus. Wenn Beschäftigte in Panik Geräte ausschalten, Server neu starten oder Systeme eigenmächtig bereinigen, können wichtige Spuren verloren gehen. Für IT-Forensiker wird es dann schwieriger, den Angriffsweg zu rekonstruieren. Gleichzeitig kann ein unkoordinierter Neustart dazu führen, dass Schadsoftware erneut aktiv wird oder Verschlüsselungsprozesse wieder beginnen.

Ein zweiter Fehler ist zu langes Abwarten. Manche Unternehmen hoffen zunächst, es handele sich nur um eine technische Störung. Sie versuchen, einzelne Systeme wieder ans Laufen zu bringen, ohne das Netzwerk konsequent zu isolieren. Dadurch können sich Angreifer weiter ausbreiten. Sobald der Verdacht auf Ransomware besteht, müssen betroffene Systeme vom Netz getrennt, Zugänge gesperrt und Krisenprozesse aktiviert werden.

Ein dritter Fehler ist eine überhastete Kommunikation mit den Tätern. Die Zahlung von Lösegeld wirkt auf den ersten Blick wie der schnellste Weg zurück zur Normalität. Doch es gibt keine Garantie, dass Kriminelle nach Zahlung tatsächlich funktionierende Entschlüsselungswerkzeuge liefern oder gestohlene Daten löschen. Zudem kann eine Zahlung weitere Angriffe finanzieren. Unternehmen sollten deshalb frühzeitig Strafverfolgungsbehörden, IT-Forensiker, Rechtsberater und gegebenenfalls Cyberversicherer einbeziehen, bevor sie Entscheidungen treffen.

Besonders problematisch ist auch der Versuch, Backups vorschnell einzuspielen. Wenn nicht klar ist, ob Sicherungen selbst kompromittiert wurden, kann die Wiederherstellung scheitern oder Schadsoftware erneut ins System bringen. Backups müssen geprüft werden. Erst wenn der Angriffsweg verstanden und die Umgebung bereinigt ist, sollte der geordnete Wiederaufbau beginnen.

Entscheidend ist ein vorbereiteter Krisenstab. Darin sollten Geschäftsführung, IT, Recht, Datenschutz, Kommunikation, Personal und operative Bereiche vertreten sein. Der Krisenstab muss auch dann arbeitsfähig sein, wenn E-Mail, Telefonanlage oder interne Chats ausfallen. Unternehmen benötigen deshalb analoge Notfallkontakte, alternative Kommunikationswege und klare Entscheidungsbefugnisse.

Was Unternehmen vor einem Angriff tun müssen

Die wichtigste Erkenntnis aus zahlreichen Ransomware-Fällen lautet: Resilienz entsteht vor dem Angriff. Wer erst während einer laufenden Erpressung über Zuständigkeiten, Backups oder Meldepflichten nachdenkt, verliert kostbare Zeit. Der Schutz beginnt mit grundlegender IT-Hygiene, die oft weniger spektakulär ist als moderne Sicherheitssoftware, aber in der Praxis entscheidend bleibt.

Dazu gehört zunächst ein vollständiger Überblick über die eigene IT-Landschaft. Viele Unternehmen wissen nicht genau, welche Server, Anwendungen, Cloud-Dienste, Schnittstellen, Maschinensteuerungen und externen Zugänge sie betreiben. Ohne diese Übersicht lassen sich Schwachstellen kaum kontrollieren. Besonders gefährdet sind veraltete Systeme, vergessene Fernwartungszugänge und ungepatchte Anwendungen.

Ein zentrales Element ist das Patch-Management. Sicherheitsupdates müssen zeitnah eingespielt werden, insbesondere bei Systemen, die aus dem Internet erreichbar sind. Viele erfolgreiche Angriffe nutzen bekannte Schwachstellen aus, für die bereits Updates bereitstehen. Das Problem ist selten mangelnde Information, sondern fehlende Umsetzung. Gerade im Mittelstand werden Updates manchmal verschoben, weil Produktionsprozesse nicht unterbrochen werden sollen. Dieses Zögern kann später deutlich teurer werden.

Ebenso wichtig ist die Mehr-Faktor-Authentifizierung. Gestohlene Passwörter gehören zu den häufigsten Einfallstoren. Wenn ein zweiter Faktor erforderlich ist, reicht ein erbeutetes Passwort allein nicht aus. Besonders geschützt werden sollten Administratorenkonten, Fernzugriffe, E-Mail-Konten, Cloud-Dienste und Zugänge von Dienstleistern.

Auch die Segmentierung von Netzwerken ist entscheidend. Nicht jedes System sollte mit jedem anderen kommunizieren können. Wird ein Arbeitsplatzrechner infiziert, darf sich Schadsoftware nicht ungehindert bis zu Servern, Backups oder Produktionsanlagen ausbreiten. Eine klare Trennung zwischen Büro-IT, Produktionsnetzen, Gastzugängen und externen Dienstleistern reduziert den Schaden erheblich.

Backups bleiben die Lebensversicherung gegen Ransomware. Sie müssen regelmäßig erstellt, offline oder unveränderbar gespeichert und regelmäßig getestet werden. Ein Backup, das nie zurückgespielt wurde, ist im Ernstfall nur eine Hoffnung. Wichtig ist auch, dass Sicherungen nicht mit denselben Zugangsdaten erreichbar sind wie das Produktivsystem. Viele Täter suchen gezielt nach Backups und löschen oder verschlüsseln sie, bevor sie den Angriff sichtbar machen.

Cyber-Sicherheit ist Chefsache

Viele Sicherheitsprobleme entstehen nicht durch fehlendes Wissen in der IT-Abteilung, sondern durch fehlende Priorität in der Unternehmensführung. IT-Sicherheit kostet Geld, bindet Personal und kann Prozesse verlangsamen. Ohne Rückendeckung der Geschäftsführung werden notwendige Maßnahmen oft verschoben.

Dabei ist Cyber-Sicherheit längst Teil ordnungsgemäßer Unternehmensführung. Geschäftsleitungen müssen wissen, welche Risiken bestehen, welche Schutzmaßnahmen umgesetzt wurden und wie das Unternehmen im Ernstfall reagiert. Es reicht nicht, die Verantwortung an einen IT-Dienstleister auszulagern. Dienstleister können unterstützen, aber die Verantwortung für Risikomanagement, Krisenentscheidungen und Kommunikation bleibt im Unternehmen.

Besonders im Mittelstand ist eine realistische Risikoanalyse nötig. Nicht jedes Unternehmen benötigt dieselben Maßnahmen. Ein Industriezulieferer mit internationaler Lieferkette hat andere Anforderungen als ein Handwerksbetrieb, eine Klinik, ein Energieversorger oder eine kommunale Verwaltung. Entscheidend ist, kritische Prozesse zu identifizieren: Welche Systeme müssen funktionieren, damit das Unternehmen liefern kann? Welche Daten sind unverzichtbar? Wie lange kann der Betrieb ohne bestimmte Anwendungen weiterarbeiten? Welche manuellen Ersatzverfahren gibt es?

Solche Fragen wirken trocken, werden aber im Ernstfall existenziell. Ein Unternehmen, das seine wichtigsten Prozesse kennt, kann Prioritäten setzen. Es weiß, welche Systeme zuerst wiederhergestellt werden müssen. Es kann Kunden realistisch informieren. Es kann entscheiden, welche Aufträge noch manuell bearbeitet werden können und wo sofort Unterstützung nötig ist.

Regelmäßige Übungen sind dabei unverzichtbar. Ein Notfallplan, der nur in einem Ordner liegt, hilft wenig. Führungskräfte und Beschäftigte müssen wissen, was im Ernstfall zu tun ist. Dazu gehören Planspiele, technische Wiederherstellungstests und klare Eskalationswege. Auch die Kommunikation sollte geübt werden. Wer spricht mit Kunden? Wer informiert Beschäftigte? Wer kontaktiert Behörden? Wer entscheidet über externe Unterstützung?

Warum der Mensch weiterhin im Zentrum steht

Technische Schutzmaßnahmen sind wichtig, aber sie ersetzen nicht den Faktor Mensch. Viele Angriffe beginnen mit Phishing. Cyberkriminelle versuchen, Beschäftigte zu täuschen, unter Zeitdruck zu setzen oder Vertrauen auszunutzen. Künstliche Intelligenz verschärft diese Entwicklung. Phishing-Mails werden sprachlich besser, persönlicher und schwerer zu erkennen. Gefälschte Nachrichten können sich auf reale Geschäftsbeziehungen beziehen, Namen korrekt verwenden und den Ton interner Kommunikation nachahmen.

Schulungen müssen deshalb über allgemeine Warnhinweise hinausgehen. Beschäftigte sollten konkrete Beispiele aus ihrem Arbeitsalltag sehen. Eine Buchhaltung braucht andere Szenarien als eine Personalabteilung, ein Vertriebsteam oder die Produktionsplanung. Wichtig ist auch eine Kultur, in der Verdachtsmeldungen ernst genommen und nicht sanktioniert werden. Wenn Mitarbeitende Angst haben, für einen Fehler bestraft zu werden, melden sie Vorfälle später oder gar nicht. Genau das nutzen Angreifer aus.

Ein guter Sicherheitsprozess macht richtiges Verhalten einfach. Verdächtige E-Mails sollten mit wenigen Klicks gemeldet werden können. Beschäftigte sollten wissen, an wen sie sich wenden können. Sicherheitsregeln müssen verständlich sein. Wenn Passwortrichtlinien, Zugriffsprozesse oder Freigaben zu kompliziert sind, suchen Menschen Umwege. Diese Umwege werden dann selbst zum Risiko.

Auch Führungskräfte müssen geschult werden. Gerade sie sind attraktive Ziele, weil ihre Konten oft weitreichende Rechte besitzen und ihre Namen für Betrugsversuche genutzt werden können. Angriffe auf Geschäftsführung, Assistenz und Finanzabteilungen können besonders gefährlich sein. Wer hohe Zahlungsfreigaben erteilt oder vertrauliche Informationen verarbeitet, braucht zusätzliche Schutzmechanismen.

Künstliche Intelligenz verändert beide Seiten

Das Bundeslagebild Cybercrime 2025 weist darauf hin, dass KI-basierte Werkzeuge im Bereich Cybercrime an Bedeutung gewinnen. Kriminelle nutzen Künstliche Intelligenz, um Angriffe schneller, gezielter und professioneller durchzuführen. Das betrifft unter anderem Phishing, Übersetzungen, die Automatisierung von Angriffen, die Analyse gestohlener Daten und möglicherweise auch die Suche nach Schwachstellen.

Für Unternehmen bedeutet das eine wachsende Belastung. Früher waren viele betrügerische E-Mails an sprachlichen Fehlern, holprigen Formulierungen oder untypischen Absendern zu erkennen. Diese Merkmale verschwinden zunehmend. KI kann überzeugende Texte in mehreren Sprachen erzeugen, den Stil einer Organisation imitieren und große Datenmengen auswerten. Dadurch werden auch kleinere Tätergruppen leistungsfähiger.

Gleichzeitig eröffnet KI neue Möglichkeiten für die Verteidigung. Sicherheitslösungen können ungewöhnliches Verhalten schneller erkennen, große Protokolldatenmengen analysieren und Hinweise auf Angriffe priorisieren. Systeme können Alarm schlagen, wenn sich ein Benutzer plötzlich aus einem ungewöhnlichen Land anmeldet, ungewöhnlich viele Dateien verschiebt oder auf Daten zugreift, die nicht zu seinem üblichen Arbeitsprofil passen.

KI ist damit weder nur Bedrohung noch nur Lösung. Sie verstärkt bestehende Entwicklungen. Wer bereits gut organisiert ist, kann KI nutzen, um schneller zu reagieren. Wer keine Grundlagen geschaffen hat, wird durch KI nicht automatisch sicherer. Auch moderne Erkennungssysteme benötigen saubere Daten, klare Prozesse und Menschen, die Alarme bewerten können.

DDoS-Angriffe und Hacktivismus erhöhen den Druck

Neben Ransomware verzeichnet das Bundeslagebild Cybercrime 2025 einen deutlichen Anstieg von DDoS-Angriffen. Die Zahl der Überlastungsangriffe stieg um 25 Prozent auf 36.706 Fälle. Bei solchen Attacken werden Webseiten, Portale oder Dienste mit massenhaften Anfragen überflutet, bis sie nicht mehr erreichbar sind. Für Unternehmen kann das erhebliche Folgen haben, etwa wenn Online-Shops, Kundenportale, Buchungssysteme oder Logistikplattformen ausfallen.

DDoS-Angriffe sind außerdem ein bevorzugtes Mittel hacktivistischer Gruppen. Dabei stehen nicht immer finanzielle Interessen im Vordergrund, sondern politische Botschaften, Einschüchterung oder Störung öffentlicher Aufmerksamkeit. Eine zentrale Rolle spielte 2025 die Gruppierung NoName057(16), die im Zusammenhang mit der deutschen Unterstützung für die Ukraine Angriffe auf deutsche Einrichtungen ausführte. Besonders betroffen waren Behörden, Verwaltungen sowie Verkehrs- und Logistikunternehmen.

Solche Angriffe zeigen, dass Cyberbedrohungen nicht isoliert betrachtet werden können. Wirtschaft, Verwaltung, Politik und internationale Konflikte greifen ineinander. Ein kommunaler Dienstleister, ein Verkehrsbetrieb oder ein Logistikunternehmen kann zur Zielscheibe werden, obwohl es selbst keine politische Rolle spielt. Die digitale Angriffsfläche moderner Gesellschaften macht viele Organisationen verwundbar.

Internationale Sicherheitsoperationen zeigen jedoch, dass Täterstrukturen nicht unangreifbar sind. Mit Operation Eastwood konnten Teile der Infrastruktur der hacktivistischen Gruppierung zerschlagen und internationale Haftbefehle erwirkt werden. Mit Operation PowerOFF gingen Behörden gegen sogenannte Stresserdienste vor, die für Überlastungsangriffe genutzt werden. Solche Erfolge stören kriminelle Geschäftsmodelle, ersetzen aber nicht die eigene Vorsorge der Unternehmen.

Internationale Ermittlungen zeigen Wirkung

Auch im Bereich Ransomware gab es wichtige Maßnahmen. Mit der internationalen Operation Endgame wurden erneut wesentliche Malware-Familien unschädlich gemacht, die als Einfallstor für Ransomware-Angriffe genutzt werden. Zudem wurden Tatverdächtige identifiziert. Solche Aktionen sind bedeutsam, weil Ransomware-Angriffe oft nicht mit der eigentlichen Verschlüsselungssoftware beginnen. Häufig verschaffen sich Täter zunächst über Schadprogramme Zugang, sammeln Informationen, weiten ihre Rechte aus und verkaufen oder nutzen den Zugriff später weiter.

Wenn Ermittlungsbehörden solche Vorstufen stören, treffen sie die Infrastruktur der Angreifer. Dennoch bleibt der Erfolg oft temporär. Kriminelle Netzwerke bauen neue Server auf, wechseln Namen, verändern Schadsoftware oder schließen sich anderen Gruppen an. Cybercrime ist anpassungsfähig. Genau deshalb betonen Sicherheitsbehörden, dass sie ihre Fähigkeiten kontinuierlich ausbauen müssen.

Für Unternehmen ist das eine wichtige, aber unbequeme Erkenntnis. Sie können sich nicht darauf verlassen, dass der Staat alle Angriffe verhindert. Strafverfolgung, internationale Kooperation und technische Gegenmaßnahmen der Behörden sind notwendig, aber sie greifen oft erst, wenn Angriffe bereits laufen oder vorbereitet wurden. Die erste Verteidigungslinie bleibt im eigenen Betrieb.

Das gilt auch für Meldewege. Wer einen Angriff meldet, hilft nicht nur sich selbst, sondern trägt zur Lageaufklärung bei. Jede Meldung kann Hinweise auf Tätergruppen, Angriffsmuster, genutzte Schwachstellen oder kompromittierte Infrastruktur liefern. Gerade weil viele Angriffe aus dem Ausland erfolgen, sind gesammelte Informationen entscheidend, um Zusammenhänge zu erkennen.

Zahlen allein zeigen nicht die ganze Realität

Die registrierten 1041 Ransomware-Angriffe im Jahr 2025 sind alarmierend, aber sie erzählen nicht die ganze Geschichte. Hinter jedem Fall steht eine Organisation, die plötzlich nicht mehr normal arbeiten kann. In einem Industriebetrieb können Maschinen stillstehen. In einer Verwaltung können Bürgerdienste ausfallen. In einer Klinik können Abläufe gestört werden. In einem Handelsunternehmen können Bestellungen, Lagerbestände und Lieferungen durcheinandergeraten.

Die Folgen reichen weit über die IT hinaus. Beschäftigte können nicht arbeiten, obwohl sie vor Ort sind. Kunden warten auf Antworten. Lieferanten erhalten keine Abrufe. Rechnungen bleiben liegen. Die Geschäftsführung muss Entscheidungen unter Unsicherheit treffen. Gleichzeitig wächst der Druck von außen: Medien fragen nach, Kunden wollen wissen, ob ihre Daten betroffen sind, Behörden prüfen Meldepflichten, Versicherer verlangen Informationen.

Besonders heikel ist der Umgang mit gestohlenen Daten. Wenn personenbezogene Informationen betroffen sind, greifen Datenschutzpflichten. Unternehmen müssen prüfen, ob eine Meldung an Aufsichtsbehörden erforderlich ist und ob Betroffene informiert werden müssen. Auch Geschäftsgeheimnisse können betroffen sein. Werden Konstruktionsdaten, Preislisten oder Vertragsunterlagen veröffentlicht, kann der Schaden langfristig sein.

Ransomware ist deshalb nicht nur ein Angriff auf Computer, sondern auf Vertrauen. Kunden und Partner fragen sich nach einem Vorfall, ob ihre Daten sicher sind, ob Lieferzusagen eingehalten werden können und ob das Unternehmen seine Risiken im Griff hat. Wer transparent, strukturiert und professionell reagiert, kann Vertrauen erhalten. Wer widersprüchlich kommuniziert oder den Vorfall herunterspielt, riskiert zusätzlichen Schaden.

Kommunikation entscheidet über Vertrauen

In Krisen ist Kommunikation kein Nebenschauplatz. Sie gehört zum Kern der Bewältigung. Unternehmen müssen schnell klären, was sie sicher wissen, was noch geprüft wird und welche Auswirkungen zu erwarten sind. Dabei sollten sie weder spekulieren noch beschönigen. Zu frühe Entwarnungen können später teuer werden, wenn sich herausstellt, dass doch Daten abgeflossen sind oder Systeme länger ausfallen.

Gute Krisenkommunikation beginnt intern. Beschäftigte müssen wissen, welche Systeme nicht genutzt werden dürfen, welche Ersatzprozesse gelten und an wen sie Fragen richten können. Sie sollten auch erfahren, wie sie mit Kundenanfragen umgehen sollen. Wenn jeder Bereich eigene Aussagen macht, entsteht Chaos.

Extern sollten Kunden und Partner möglichst früh informiert werden, wenn Leistungen betroffen sind oder Datenrisiken bestehen. Eine klare, sachliche Information ist besser als Schweigen. Gerade im Mittelstand beruhen Geschäftsbeziehungen oft auf persönlichem Vertrauen. Dieses Vertrauen lässt sich in einer Krise schützen, wenn Verantwortliche erreichbar bleiben und nachvollziehbar erklären, was getan wird.

Auch der Kontakt zu Behörden sollte vorbereitet sein. Je nach Art des Vorfalls können Strafverfolgungsbehörden, Datenschutzaufsicht, branchenspezifische Aufsichtsstellen oder das Bundesamt für Sicherheit in der Informationstechnik relevant sein. Wer Zuständigkeiten erst während des Angriffs recherchiert, verliert Zeit.

Cyberversicherung ist kein Ersatz für Sicherheit

Viele Unternehmen setzen inzwischen auf Cyberversicherungen. Diese können im Ernstfall helfen, Kosten für Forensik, Rechtsberatung, Wiederherstellung oder Betriebsunterbrechungen abzufedern. Doch eine Versicherung ersetzt keine Sicherheitsstrategie. Versicherer prüfen zunehmend genau, welche Schutzmaßnahmen ein Unternehmen umgesetzt hat. Fehlende Mehr-Faktor-Authentifizierung, mangelhafte Backups oder veraltete Systeme können im Schadensfall problematisch werden.

Außerdem lösen Versicherungen nicht alle Folgen. Ein verlorener Auftrag, beschädigtes Kundenvertrauen oder veröffentlichte Geschäftsgeheimnisse lassen sich nur begrenzt kompensieren. Der beste Schaden ist weiterhin der verhinderte oder begrenzte Schaden.

Cyberversicherungen können dennoch ein sinnvoller Baustein sein, wenn sie in ein umfassendes Risikomanagement eingebettet sind. Unternehmen sollten genau prüfen, welche Leistungen abgedeckt sind, welche Meldepflichten gelten und welche Dienstleister im Ernstfall eingebunden werden. Wichtig ist, dass Versicherungsprozesse mit dem internen Notfallplan zusammenpassen.

Lieferketten als Einfallstor

Ein wachsendes Risiko liegt in der Vernetzung mit Dienstleistern und Lieferanten. Unternehmen nutzen externe IT-Dienstleister, Cloud-Anbieter, Wartungsfirmen, Softwarehersteller und Logistikpartner. Jeder externe Zugang kann zum Einfallstor werden, wenn er nicht abgesichert ist. Angreifer suchen gezielt nach solchen Verbindungen, weil sie über einen schwächeren Partner möglicherweise Zugang zu mehreren Kunden erhalten.

Der Mittelstand ist hier doppelt betroffen. Einerseits ist er selbst Ziel. Andererseits ist er Teil größerer Lieferketten. Ein Angriff auf einen Zulieferer kann auch große Hersteller treffen. Umgekehrt können Sicherheitsanforderungen großer Kunden an kleinere Betriebe steigen. Wer künftig Teil kritischer Lieferketten bleiben will, muss nachweisen können, dass grundlegende Schutzmaßnahmen vorhanden sind.

Das betrifft auch Verträge. Unternehmen sollten regeln, welche Sicherheitsstandards Dienstleister erfüllen müssen, wie Zugänge verwaltet werden, wie Vorfälle gemeldet werden und welche Rechte zur Prüfung bestehen. Besonders Fernwartungszugänge sollten streng kontrolliert, protokolliert und mit Mehr-Faktor-Authentifizierung geschützt werden.

Der Weg zurück zur Kontrolle

Nach einem erfolgreichen Angriff geht es zunächst um Stabilisierung. Betroffene Systeme müssen isoliert, der Umfang des Vorfalls ermittelt und die weitere Ausbreitung gestoppt werden. Parallel muss das Unternehmen entscheiden, welche Geschäftsprozesse mit Notverfahren weiterlaufen können. Manchmal bedeutet das Papierlisten, Ersatztelefone, manuelle Freigaben oder temporäre Arbeitsplätze.

Danach folgt die forensische Analyse. Sie soll klären, wie die Täter eingedrungen sind, welche Systeme betroffen sind, ob Daten abgeflossen sind und ob die Angreifer noch Zugriff haben. Ohne diese Erkenntnisse besteht die Gefahr, dass ein wiederhergestelltes System erneut kompromittiert wird.

Erst dann beginnt der Wiederaufbau. Dabei sollten Unternehmen nicht einfach den alten Zustand wiederherstellen, sondern erkannte Schwachstellen schließen. Neue Zugangsdaten, gehärtete Systeme, aktualisierte Software, bessere Segmentierung und überprüfte Backups sind zentrale Schritte. Ein Angriff ist immer auch eine schmerzhafte Bestandsaufnahme.

Langfristig muss aus dem Vorfall gelernt werden. Welche Warnsignale wurden übersehen? Warum konnte sich der Angriff ausbreiten? Welche Entscheidungen dauerten zu lange? Welche Kommunikationswege funktionierten nicht? Eine ehrliche Nachbereitung ist entscheidend, um beim nächsten Mal besser vorbereitet zu sein.

Was jetzt für Unternehmen zählt

Die Bedrohung durch Ransomware wird nicht verschwinden. Solange Täter mit Erpressung Geld verdienen können, werden sie neue Wege suchen. Künstliche Intelligenz wird Angriffe professioneller machen. Internationale Konflikte werden den digitalen Raum weiter belasten. Vernetzte Produktions- und Lieferketten erhöhen die Angriffsfläche.

Unternehmen können diese Entwicklung nicht vollständig kontrollieren. Aber sie können ihre Verwundbarkeit deutlich reduzieren. Dazu gehören ein realistischer Überblick über die eigene IT, regelmäßige Updates, starke Zugangskontrollen, Mehr-Faktor-Authentifizierung, segmentierte Netzwerke, getestete Backups, geschulte Beschäftigte und geübte Notfallpläne. Entscheidend ist nicht die perfekte Sicherheit, sondern die Fähigkeit, einen Angriff zu erkennen, einzudämmen und den Betrieb geordnet wieder aufzunehmen.

Für den deutschen Mittelstand ist das eine strategische Aufgabe. Cyber-Sicherheit darf nicht erst dann Priorität bekommen, wenn Bildschirme schwarz bleiben und Erpresserforderungen eingehen. Sie muss Teil der normalen Unternehmensplanung werden. Wer heute investiert, schützt nicht nur Server und Daten, sondern seine Produktion, seine Kundenbeziehungen und seine Zukunftsfähigkeit.

Das Bundeslagebild Cybercrime 2025 zeigt, dass Deutschland im Fokus professioneller Cyberkrimineller steht. Die Zahl der Ransomware-Angriffe steigt, die Schäden sind enorm, und die Methoden werden raffinierter. Gleichzeitig zeigen weniger Lösegeldzahlungen und erfolgreiche internationale Operationen, dass Widerstand möglich ist. Unternehmen, die vorbereitet sind, geraten weniger schnell in die Defensive.

Am Ende entscheidet nicht allein die Frage, ob ein Angriff gelingt. Entscheidend ist, wie tief er trifft. Ein unvorbereitetes Unternehmen verliert Kontrolle, Zeit und Vertrauen. Ein vorbereitetes Unternehmen kann isolieren, kommunizieren, wiederherstellen und weiterarbeiten. In einer Wirtschaft, die immer stärker digital vernetzt ist, wird genau diese Fähigkeit zum Wettbewerbsvorteil.

Wir bleiben am Ball für Sie. BerlinMorgen.

Tags: Cyber-Attacken legen Produktionen lahm
Ingo Noack

Ingo Noack

Unternehmensberater, Gründer, und Autor; Wirtschaft & Politik, Neue Medien, Digitalisierung.

Ampel Koalition Haushalt 2025

https://www.youtube.com/watch?v=YgyuvG9bCb0
https://www.youtube.com/watch?v=QbyPkTBHsIM
https://www.youtube.com/watch?v=3mmmG43cSyI
Booking

Recommended

Deutschland und Israel diplomatische Beziehungen

Deutschland und Israel Beziehungen

1 Jahr ago
Deutsche Exportwirtschaft optimistisch

Deutsche Exportwirtschaft optimistisch

2 Jahren ago

Newsletter Abonnieren

Abonnieren

Category

  • Deutschland
  • die Politik
  • Digital
  • Europa
  • Europäische Union
  • Gesellschaft
  • Kultur
  • Magazin
  • Meinung
  • Sports
  • Uncategorized
  • Weltnachrichten
  • Wirtschaft
  • Wissen

Archiv

Site Links

  • Datenschutz
  • Impressum
  • Bildnachweise
  • Politiker Lexikon

über uns

Das Magazin Berlin Morgen ist ein Online-Nachrichtenportal in Deutschland mit Online- und Printausgabe. Sie deckt ein breites Themenspektrum von Politik bis Soziales und von Lokalnachrichten bis hin zu Wirtschaft und Digital ab. Unsere Journalisten und Redakteure bieten einzigartige Einblicke mit tiefer Analyse.

Unsere Autoren
Meinungen

  • About
  • Advertise
  • Careers
  • Contact

© 2025 Berlin Morgen

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
No Result
View All Result
  • Home
  • die Politik
  • Wirtschaft
  • Wissen
  • Kultur
  • Digital
  • Sports
  • Gesellschaft
  • Weltnachrichten
  • Magazin

© 2025 Berlin Morgen