Ransomware ist nicht das schlimmste Cyber-Risiko für KMU und Mittelstand — sie ist nur das teuerste. Ein gezielter Datenverlust ohne Lösegeldforderung kann ebenso existenzgefährdend sein. Aber Ransomware-Vorfälle haben eine Eigenschaft, die sie für unsere Branche besonders sichtbar macht: Sie zwingen das Opfer in der Regel innerhalb weniger Stunden zu einer Krisenentscheidung, deren Konsequenzen monatelang nachwirken.
Dieser Artikel ordnet die Lage 2026 ein, beschreibt die drei dominierenden Angriffsmuster und führt durch ein 7-Schichten-Schutzmodell, das wir bei DATAZONE im Mittelstand pragmatisch durchsetzbar finden — ohne dass jede Schicht ein separates Sicherheitsbudget verschlingt.
Wichtige Vorbemerkung: Wir vermeiden in diesem Artikel erfundene Statistiken. Wo wir auf Bedrohungslagen verweisen, beziehen wir uns auf die jährlichen Reports des BSI (BSI-Lagebericht IT-Sicherheit) und auf öffentlich nachlesbare Hersteller-Reports von CrowdStrike, Mandiant, Microsoft und Sophos. Konkrete Prozentzahlen oder Schadenhöhen finden sich dort — wir verzichten hier bewusst auf Marketing-Zahlen ohne nachprüfbare Quelle.
Drei Angriffsmuster, die 2026 dominieren
1. Big Game Hunting
Angriffe richten sich gezielt gegen größere, zahlungsfähige Organisationen — meist Mittelstand bis Großunternehmen — bei denen ein hohes Lösegeld realistisch ist. Die Auswahl der Opfer erfolgt nicht zufällig: Angreifer recherchieren Umsatzgrößen, Versicherungsstatus, vorhandene IT-Reife. Initial Access kommt häufig über kompromittierte VPN-Zugänge, ungepatchte Edge-Devices (Firewalls, VPN-Gateways), Phishing mit MFA-Fatigue oder über Initial-Access-Broker, die bereits eingedrungene Zugänge weiterverkaufen.
Für KMU bedeutet das: Auch wer sich für “zu klein” hält, kann Ziel sein — vor allem dann, wenn er Teil einer Lieferkette zu einem größeren Unternehmen ist (Supply-Chain-Angriff).
2. Double Extortion
Die “klassische” Variante hat das reine Verschlüsseln längst überholt: Angreifer stehlen Daten, bevor sie verschlüsseln. Die Doppel-Erpressung lautet: “Zahl, sonst entschlüsseln wir nicht — und veröffentlichen außerdem die gestohlenen Daten.”
Praktische Konsequenz: Ein perfekt funktionierendes Backup verhindert zwar den Datenverlust, nicht aber das Daten-Leak. Wer 2026 noch glaubt, ein guter Backup-Plan reiche aus, übersieht diesen Teil. Die Schadenfrage verschiebt sich von “Können wir die Daten zurückbekommen?” zu “Welche Daten dürfen wo veröffentlicht werden?”. DSGVO-Meldepflichten, Kunden-Information, Reputationsschaden — all das fällt selbst dann an, wenn der technische Betrieb am nächsten Tag wieder läuft.
3. Data-Theft-Only
Eine wachsende Variante: Angreifer verzichten ganz auf die Verschlüsselung und drohen ausschließlich mit der Veröffentlichung gestohlener Daten. Vorteil aus Angreifer-Sicht: weniger Detection-Auslöser (kein Verschlüsselungs-IO, das EDR-Systeme triggert), kein Wiederherstellungs-Druck beim Opfer — aber die Erpressungs-Drohung bleibt.
Für die Verteidigung heißt das: Detection der Exfiltration wird mindestens so wichtig wie die Detection der Verschlüsselung. Egress-Anomalien (ungewöhnliche Datenmengen, die nach außen gehen), DNS-Tunneling und ausgehende TLS-Verbindungen zu unbekannten Hosts gehören ins Monitoring.
Das 7-Schichten-Schutzmodell
Keiner der folgenden Punkte ist neu. Was zählt, ist die kombinierte Wirkung: Wer fünf von sieben Schichten gut umsetzt, ist deutlich härter zu kompromittieren als ein Ziel mit zwei perfekten und fünf vergessenen Schichten.
Schicht 1: Patch-Management
Initial Access kommt oft über ungepatchte Edge-Geräte und über Microsoft-Exchange/Outlook-CVEs. Konkret heißt “gutes Patch-Management” für uns:
- Internet-exposed-Systeme zuerst (Firewalls, VPN-Gateways, Reverse Proxies): Patch-Fenster ≤ 7 Tage nach Veröffentlichung kritischer CVEs
- Server und Hypervisoren: monatlicher Wartungsturnus mit Test-Stage
- Workstations: automatisches Patching via WSUS, Intune oder vergleichbarem RMM
- Drittsoftware (Acrobat, Java, Browser): bei jedem Login geprüft, nicht jährlich
Ein RMM-Tool wie Tactical-RMM, ConnectWise oder N-able liefert das Reporting; ohne Reporting ist Patch-Management nicht beweisbar — und bei einer Versicherungsprüfung wertlos.
Schicht 2: Multi-Factor-Authentication (MFA)
MFA für alle privilegierten Zugänge ist 2026 nicht mehr verhandelbar:
- VPN-Login und Remote-Desktop-Gateways: MFA zwingend
- Microsoft-365- und Azure-Admin-Konten: FIDO2-Hardware-Keys, nicht SMS
- TrueNAS-, Proxmox-, OPNsense-Admin-Zugänge: MFA aktivieren (auf allen drei Systemen ohne Plugin verfügbar)
- Lokale Domain-Admin-Konten: per Just-in-Time-Aktivierung, nicht 365 Tage im Jahr aktiv
Wichtig: MFA-Fatigue (also das ständige Push-Bombing eines Nutzers, bis er müde “Akzeptieren” tippt) ist eine reale Bedrohung. Number-Matching in Microsoft Authenticator und passkey-basierte Verfahren reduzieren das.
Schicht 3: Endpoint Detection & Response (EDR)
Antivirus reicht 2026 nicht mehr. Was wir empfehlen:
- EDR auf jedem Endpoint und Server — Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne oder vergleichbar
- Zentrales Monitoring mit 24/7-Bereitschaft (intern oder Managed Detection & Response)
- Behavioural Rules statt rein signaturbasierter Erkennung — Ransomware-Verschlüsselungsverhalten ist seit Jahren gut beschrieben und kann verhaltensbasiert geblockt werden
Ohne Monitoring auf der EDR-Konsole ist EDR ein teurer Logger. Wer kein 24/7-SOC stellen kann, sollte einen MDR-Service einkaufen — die Stundenkosten eines Incidents übersteigen die Jahres-Lizenzkosten eines MDR fast immer.
Schicht 4: Netzwerk-Segmentierung
Flache Netzwerke sind das Geschenk für jeden Angreifer, der den ersten Host übernommen hat. Konkrete Segmentierung:
| Zone | Inhalt | Erreichbarkeit von außen |
|---|---|---|
| Server-VLAN | Hypervisoren, DCs, File-Services | Keine direkte |
| Client-VLAN | Workstations, Drucker | Keine direkte |
| OT/IoT-VLAN | Maschinen, Drucker, IP-Kameras | Keine direkte |
| DMZ | Webserver, Mailserver | Eingehend, gefiltert |
| Gast-WLAN | Externe Endgeräte | Nur Internet |
| Admin-Netz | Management-Interfaces | VPN + MFA + Jumphost |
OPNsense oder eine vergleichbare Firewall mit Inter-VLAN-Routing-Regeln macht das umsetzbar. Wichtig: Server-VLAN darf das Admin-Netz nicht erreichen können — sonst bringt der Tier-0-Schutz nichts.
Schicht 5: Air-Gap- oder Offline-Backups
Die “3-2-1-1-0”-Regel ist 2026 der Mindeststandard:
- 3 Kopien der Daten
- 2 unterschiedliche Medien (Disk + Tape, oder Disk + Object Storage)
- 1 Kopie offsite
- 1 Kopie offline / immutable / air-gapped
- 0 Fehler beim letzten getesteten Restore
Konkret heißt air-gapped: Das Backup-Medium ist zum Zeitpunkt eines Angriffs für den Angreifer nicht erreichbar — sei es per Tape-Library mit Auto-Eject, per logisch separiertem Backup-VLAN mit eigenen Credentials, oder per Cloud-Backup mit Object-Lock.
Schicht 6: Immutable Snapshots (ZFS-Snapshots)
Diese Schicht löst ein spezifisches Problem: Auch wenn der Angreifer das Backup-System kompromittiert, kann er die Snapshots nicht überschreiben. ZFS-Snapshots sind im Default read-only — nach Erstellung können sie nicht verändert werden, nur gelöscht. Wenn das Löschrecht administrativ beschränkt ist, bleiben die Snapshots auch unter einem kompromittierten Backup-Admin stehen.
Auf TrueNAS heißt das:
- Snapshot-Tasks mit langen Retention-Plänen (z.B. täglich 30, wöchentlich 12, monatlich 12)
- Snapshot-Hold auf besonders wichtige Snapshots — verhindert Löschung auch durch Admin
- Replikation in ein zweites Dataset auf einem zweiten TrueNAS-System, das kein Schreibrecht zurück hat
- Audit-Logging aller Snapshot-Operationen — Lösch-Events fallen auf
In Kombination mit Proxmox Backup Server, der ebenfalls Pruning-Schutz und Verify-Jobs kennt, entsteht ein Storage-Layer, der einen kompromittierten Hypervisor überlebt.
Schicht 7: Incident-Response-Plan
Die ersten zwei Stunden eines Ransomware-Vorfalls entscheiden über Wochen an Folgekosten. Ein IR-Plan beantwortet die Fragen, die unter Druck nicht mehr klar zu denken sind:
- Wer entscheidet? (Krisenstab benannt, Vertretung geregelt)
- Wer ruft an? (Versicherung, Polizei/BSI/LZD, externer IR-Dienstleister)
- Welche Systeme isolieren wir zuerst? (Domain-Controller, Backup-Server, OT-Netze)
- Wann ziehen wir den Stecker? (Kriterien für “kompletter Netzwerk-Disconnect”)
- Wie kommunizieren wir, wenn die E-Mail tot ist? (Out-of-Band-Kanal — Signal-Gruppe, Telefonliste)
- Welche Daten dürfen wir nicht zerstören? (Forensik-relevante Logs, Speicherauszüge)
Wir empfehlen, den Plan mindestens jährlich in einer Tabletop-Übung durchzuspielen — 90 Minuten mit Geschäftsführung, IT-Leitung, Datenschutz und externem Dienstleister.
Zusammenspiel der Schichten
Ein typischer Angriffsverlauf 2026 sieht so aus:
- Phishing-Mail mit MFA-Fatigue oder Initial-Access über ungepatchten VPN-Gateway (Schicht 1, 2)
- Lateral Movement im Server-VLAN, oft via Active-Directory-Schwachstellen (Schicht 3, 4)
- Datenexfiltration über mehrere Tage oder Wochen, oft unauffällig (Schicht 3)
- Verschlüsselung großer Mengen, häufig nachts oder am Wochenende (Schicht 3, 5, 6)
- Lösegeldforderung mit Double-Extortion-Drohung (Schicht 7)
Wer Schicht 1 und 2 sauber hat, vermeidet Schritt 1. Wer Schicht 3 und 4 hat, erkennt und unterbricht Schritt 2 und 3. Wer Schicht 5 und 6 hat, kann Schritt 4 mit überschaubarem Datenverlust überstehen. Wer Schicht 7 hat, vermeidet den 6-Wochen-Stillstand.
Niemand schafft alle sieben Schichten in Perfektion. Aber jede ergänzte Schicht reduziert das Risiko spürbar.
Was wir bei DATAZONE empfehlen
Für eine typische Mittelstands-Umgebung (50–500 Mitarbeitende, ein bis drei Standorte) ergibt sich ein konkreter Maßnahmenkatalog:
- Patch-Reporting per RMM — sichtbare Compliance-Quote, monatliches Review
- MFA flächendeckend — FIDO2 für Admins, Authenticator für Endanwender
- EDR + MDR-Service — wenn kein eigenes SOC vorhanden ist
- OPNsense mit VLAN-Trennung und protokollierten Cross-Zone-Regeln
- TrueNAS mit Snapshot-Plänen + Replikation in ein zweites System mit eigenem Admin
- Proxmox Backup Server mit Air-Gap-Tape oder Object-Lock-Cloud
- IR-Plan mit jährlicher Tabletop-Übung — nicht in der Schublade, sondern dokumentiert geübt
Verwandte DATAZONE-Artikel:
- Backup-Test-Tag: Restores in 30 Minuten beweisen
- Restic: Verschlüsselte Backups, einfach erklärt
- TrueNAS Datensicherheit gegen Ransomware
Fazit
Ransomware ist 2026 kein technisches Einzelproblem, sondern ein Prozess-Problem mit technischen Komponenten. Die Schutzmaßnahmen sind seit Jahren bekannt — was sich ändert, ist die Geschwindigkeit, mit der einzelne Schwachstellen ausgenutzt werden, und die Tatsache, dass Daten gestohlen werden, bevor sie verschlüsselt werden. Wer die sieben Schichten ernst nimmt, kommt nicht auf “absolute Sicherheit” — aber er kommt deutlich näher an die “kein lohnendes Ziel”-Kategorie heran. Und genau das ist im Big-Game-Hunting-Modell die wirksamste Verteidigung.
Quellen
Mehr zu diesen Themen:
Weitere Artikel
Home-Office-IT: Mitarbeiter sicher anbinden
Sicheres Home-Office im KMU: VPN mit OPNsense, MDM, RDP-Gateway, Vaultwarden, MFA mit Yubikey. Konfigurations-Blueprint vom Notebook über VPN bis zur Terminal-Session.
TrueNAS Cloud Sync zu Backblaze B2: Offsite-Backup günstig
TrueNAS Cloud Sync mit Backblaze B2 als Offsite-Backup-Ziel: B2-Application-Key, Bucket-Setup, Push-Mode, Verschlüsselung und Bandbreitenmanagement. Mit Best Practices für KMU.
Authentik: Single Sign-On für Self-Hosted-Dienste
Authentik als selbstgehosteter SSO- und Identity-Provider: OIDC, SAML2, LDAP, MFA. Beispiel-Setup mit Nextcloud, GitLab und Vaultwarden — plus Vergleich zu Authelia.