Ransomware gehört zu den verheerendsten Cyberbedrohungen für Schweizer KMU. Laut dem NCSC wurden in der Schweiz 2024 rund 63’000 Cyber-Vorfälle gemeldet — wobei Betrug mit rund zwei Dritteln die häufigste Kategorie darstellte und Ransomware einen kleineren, aber besonders schadenintensiven Anteil ausmachte. Der Schweizerische Versicherungsverband (SVV) schätzt die jährlichen Kosten durch Cyberangriffe auf die Schweizer Wirtschaft auf rund CHF 9.5 Milliarden. Für ein einzelnes KMU bedeutet ein erfolgreicher Ransomware-Angriff durchschnittlich Kosten von CHF 84’000 — durch Betriebsausfälle, Wiederherstellung und Reputationsschäden. Gemäss dem Sophos State of Ransomware Report 2024 stieg die durchschnittliche Lösegeldzahlung weltweit auf USD 2 Millionen — ein Anstieg von 500 % gegenüber dem Vorjahr.

«Ransomware ist die grösste Bedrohung für KMU in der Schweiz. Die Angreifer agieren zunehmend professionell und setzen gezielt auf Unternehmen, die nicht über die Ressourcen für wirksame Sicherheitsmassnahmen verfügen.» — Nationales Zentrum für Cybersicherheit (NCSC), Jahresrückblick 2024

Nachfolgend: Ransomware funktioniert, welche konkreten Schutzmassnahmen Sie sofort umsetzen können und warum Red Teaming der wirksamste Weg ist, Ihre Abwehrbereitschaft zu testen.

Was ist Ransomware und wie funktioniert ein Angriff?

Ransomware ist Schadsoftware, die Dateien und Systeme eines Unternehmens verschlüsselt und für die Freigabe ein Lösegeld fordert — typischerweise in Kryptowährungen wie Bitcoin. Moderne Ransomware-Gruppen betreiben ein «Double Extortion»-Modell: Sie verschlüsseln nicht nur die Daten, sondern stehlen sie vorher und drohen mit der Veröffentlichung, wenn das Lösegeld nicht bezahlt wird.

Der typische Ablauf eines Ransomware-Angriffs auf ein KMU

  1. Initialer Zugang (Tag 1): Ein Mitarbeitender klickt auf einen Phishing-Link oder öffnet einen infizierten E-Mail-Anhang. Alternativ nutzen Angreifer eine ungepatchte Schwachstelle in einem öffentlich erreichbaren System (VPN, E-Mail-Server, Webapplikation) aus.

  2. Erkundung und Ausbreitung (Tag 2-14): Die Angreifer bewegen sich unbemerkt im Netzwerk (Lateral Movement). Sie identifizieren wertvolle Daten, Backup-Systeme und Administratorenkonten. In dieser Phase installieren sie häufig zusätzliche Hintertüren, um auch nach einer Entdeckung Zugang zu behalten.

  3. Datenexfiltration (Tag 10-20): Vor der Verschlüsselung kopieren die Angreifer sensible Daten — Kundendaten, Verträge, Finanzdokumente — auf externe Server. Diese Daten dienen als zusätzliches Druckmittel.

  4. Verschlüsselung (Tag 15-30): Die Ransomware wird aktiviert, typischerweise nachts oder am Wochenende. Innert Minuten werden alle erreichbaren Dateien verschlüsselt — einschliesslich Backups, die im selben Netzwerk erreichbar sind.

  5. Erpressung: Am nächsten Arbeitstag finden die Mitarbeitenden Lösegeldforderungen auf ihren Bildschirmen. Die Forderungen für Schweizer KMU liegen typischerweise zwischen CHF 50’000 und CHF 500’000.

Dieser Ablauf zeigt: Ein Ransomware-Angriff ist kein spontanes Ereignis, sondern eine geplante Operation, die sich über Wochen erstreckt. Genau deshalb reicht es nicht, nur den initialen Eintritt zu verhindern — Sie müssen den gesamten Angriffspfad absichern.

Welche Schweizer Unternehmen wurden bereits Opfer von Ransomware?

Kein Schweizer Unternehmen ist vor Ransomware sicher — unabhängig von Grösse oder Branche. Die folgenden dokumentierten Fälle belegen die Reichweite der Bedrohung:

Xplain AG (2023)

Der Berner IT-Dienstleister Xplain, der Software für Schweizer Behörden entwickelt, wurde von der Ransomware-Gruppe Play angegriffen. Die Angreifer stahlen sensible Daten von Bundesbehörden — darunter das Bundesamt für Polizei (fedpol) und das Bundesamt für Zoll und Grenzsicherheit (BAZG). Der Vorfall führte zu einer parlamentarischen Untersuchung und zeigte, wie Angriffe auf KMU die gesamte Lieferkette gefährden.

Comparis (2021)

Die Vergleichsplattform Comparis wurde von der Ransomware-Gruppe Grief angegriffen. Die Website und zentrale Systeme waren tagelang nicht erreichbar. Gemäss Medienberichten wurde ein Lösegeld in Millionenhöhe gefordert. Der Fall demonstrierte, wie ein Ransomware-Angriff die Geschäftstätigkeit eines etablierten Schweizer Unternehmens vollständig lahmlegen kann.

NZZ-Gruppe (2023)

Auch die NZZ-Mediengruppe wurde Opfer eines Ransomware-Angriffs. Die Produktion der gedruckten Zeitung war zeitweise eingeschränkt, und interne Systeme mussten aufwändig wiederhergestellt werden. Die Angreifer nutzten eine Kombination aus Phishing und der Ausnutzung bekannter Schwachstellen.

Spital Wetzikon (2024)

Das GZO Spital Wetzikon wurde Ziel eines Ransomware-Angriffs, der den Spitalbetrieb massiv beeinträchtigte. Klinische Systeme mussten vorübergehend auf Papier umgestellt werden. Der Fall unterstreicht, wie Ransomware nicht nur wirtschaftlichen Schaden verursacht, sondern im Gesundheitswesen auch Menschenleben gefährden kann.

Die Dunkelziffer ist hoch

Diese öffentlich bekannten Fälle sind nur die Spitze des Eisbergs. Viele KMU melden Ransomware-Angriffe nicht öffentlich — aus Angst vor Reputationsschäden oder weil sie das Lösegeld still bezahlen. Laut Schätzungen des NCSC wird nur etwa jeder fünfte Ransomware-Vorfall bei KMU überhaupt gemeldet.

Wie gelangt Ransomware in Schweizer KMU?

Vier Haupteinfallstore ermöglichen Ransomware-Angreifern den Zugang zu Schweizer KMU. Das Verständnis dieser Angriffsvektoren ist die Grundlage für eine wirksame Prävention:

Phishing-E-Mails (Nr. 1 Einfallstor)

Phishing gehört laut Verizon DBIR 2024 mit rund 16 % zu den häufigsten initialen Angriffsvektoren bei Datenpannen und ist auch bei Ransomware-Angriffen ein zentrales Einfallstor. Phishing-Schutz ist daher ein Kernbestandteil jeder Ransomware-Prävention. Ein Mitarbeitender öffnet einen Anhang oder klickt auf einen Link, der Schadsoftware installiert. Besonders gefährlich: Spear-Phishing-E-Mails, die gezielt auf einzelne Mitarbeitende zugeschnitten sind.

Ungepatchte Schwachstellen

Öffentlich erreichbare Systeme mit bekannten, aber nicht behobenen Sicherheitslücken sind ein häufiges Einfallstor. VPN-Gateways, E-Mail-Server und Webapplikationen werden von Angreifern systematisch nach Schwachstellen gescannt. Ein einziger vergessener Patch kann ausreichen.

Kompromittierte Remote-Zugänge

Seit der Zunahme von Remote-Arbeit sind RDP-Zugänge (Remote Desktop Protocol) und VPN-Verbindungen ein beliebtes Angriffsziel. Schwache Passwörter ohne MFA werden durch Brute-Force-Angriffe geknackt.

Lieferketten-Angriffe

Wie der Fall Xplain zeigt, können Angreifer über kompromittierte Lieferanten oder IT-Dienstleister ins Netzwerk gelangen. Wenn Ihr Managed-Service-Provider kompromittiert wird, sind alle seine Kunden gefährdet.

Wie schützt die 3-2-1-Backup-Strategie vor Ransomware?

Die 3-2-1-Backup-Strategie ist der Goldstandard für den Schutz vor Datenverlust durch Ransomware. Sie stellt sicher, dass mindestens eine Datenkopie für Angreifer unerreichbar bleibt. Laut dem Veeam Data Protection Trends Report 2024 konnten 93 % der Ransomware-Angriffe Backup-Repositories als Ziel identifizieren — eine funktionierende Offline-Kopie ist daher unverzichtbar:

  • 3 Kopien Ihrer Daten (Original plus zwei Backups)
  • 2 verschiedene Speichermedien (z. B. lokaler Server und Cloud)
  • 1 Kopie offline oder offsite (physisch getrennt vom Netzwerk)

Warum Standard-Backups oft versagen

Viele KMU sichern ihre Daten zwar regelmässig, doch die Backups liegen im selben Netzwerk wie die Produktionssysteme. Moderne Ransomware sucht gezielt nach Backup-Verzeichnissen und verschlüsselt diese zuerst. Auch Cloud-Backups, die über synchronisierte Laufwerke funktionieren (z. B. OneDrive, Dropbox), werden mitverschlüsselt.

Empfehlungen für KMU

  • Implementieren Sie mindestens ein Offline-Backup (z. B. wöchentliches Backup auf externe Festplatte, die danach physisch vom Netzwerk getrennt wird).
  • Nutzen Sie Immutable Storage: Cloud-Backups, die für einen definierten Zeitraum nicht gelöscht oder verändert werden können.
  • Testen Sie die Wiederherstellung regelmässig — mindestens quartalsweise. Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos.
  • Dokumentieren Sie Recovery Time Objectives (RTO): Wie schnell müssen welche Systeme wieder verfügbar sein?

Welche 10 Massnahmen schützen Ihr KMU konkret vor Ransomware?

Diese zehn Massnahmen bilden eine praxiserprobte Grundlage für den Ransomware-Schutz in Schweizer KMU — priorisiert nach Wirksamkeit und Umsetzbarkeit. Eine vollständige Übersicht aller Schutzmassnahmen finden Sie in unserer Cybersecurity-Checkliste für KMU:

1. MFA überall aktivieren

Multi-Faktor-Authentifizierung für alle Remote-Zugänge, E-Mail-Konten, Admin-Konten und Cloud-Dienste. MFA verhindert, dass gestohlene Passwörter allein ausreichen.

2. Patch-Management konsequent umsetzen

Sicherheitsupdates innerhalb von 72 Stunden nach Veröffentlichung einspielen — insbesondere für öffentlich erreichbare Systeme. Automatisieren Sie den Prozess, wo möglich.

3. Netzwerksegmentierung implementieren

Trennen Sie Ihr Netzwerk in Zonen: Produktionssysteme, Office-Netzwerk, Gäste-WLAN, Server-Netzwerk. Wenn ein Segment kompromittiert wird, bleibt der Schaden begrenzt.

4. Endpoint Detection and Response (EDR) einsetzen

Ersetzen Sie herkömmliche Antivirensoftware durch eine EDR-Lösung, die verdächtiges Verhalten erkennt — nicht nur bekannte Signaturen. Lösungen wie CrowdStrike, SentinelOne oder Microsoft Defender for Endpoint sind auch für KMU verfügbar.

5. E-Mail-Sicherheit verschärfen

Implementieren Sie SPF, DKIM und DMARC. Blockieren Sie gefährliche Anhänge (z. B. .exe, .ps1, .bat, .js). Deaktivieren Sie Makros in Office-Dokumenten aus externen Quellen.

6. Prinzip der minimalen Berechtigung umsetzen

Jeder Mitarbeitende erhält nur die Zugriffsrechte, die für seine Arbeit notwendig sind. Admin-Konten werden nur für administrative Tätigkeiten verwendet — nicht für den täglichen Gebrauch.

7. Sichere Backup-Strategie implementieren

Setzen Sie die 3-2-1-Strategie um (siehe oben). Stellen Sie sicher, dass mindestens ein Backup für Angreifer nicht erreichbar ist.

8. Incident-Response-Plan erstellen

Erstellen Sie einen dokumentierten Notfallplan: Wer macht was, wenn Ransomware erkannt wird? Definieren Sie Eskalationswege, Kommunikationskanäle (die nicht vom befallenen Netzwerk abhängen) und Kontaktdaten externer Spezialisten.

9. Mitarbeitende schulen

Regelmässige Security-Awareness-Trainings reduzieren das Risiko, dass der initiale Phishing-Angriff erfolgreich ist. Integrieren Sie Phishing-Simulationen in das Schulungsprogramm.

10. Regelmässige Sicherheitsüberprüfungen durchführen

Lassen Sie Ihre IT-Infrastruktur jährlich durch einen Penetrationstest prüfen — und ergänzen Sie diesen durch ein Red Team Assessment, das die gesamte Angriffskette simuliert.

Warum reicht ein Penetrationstest allein nicht gegen Ransomware?

Ein Penetrationstest allein bietet keinen ausreichenden Schutz gegen Ransomware, da er die menschlichen und prozessualen Schwachstellen nicht testet. Er identifiziert technische Schwachstellen in Ihren Systemen, aber ein Pentest hat klare Grenzen beim Ransomware-Schutz:

AspektPenetrationstestRed Teaming
ScopeDefinierte SystemeGesamtes Unternehmen
Phishing-TestNicht enthaltenRealistische Phishing-Kampagne
Social EngineeringNicht enthaltenTelefonanrufe, physische Zugänge
Lateral MovementBegrenztVollständige Simulation
Backup-TestNicht enthaltenPrüfung der Wiederherstellbarkeit
Prozess-TestNicht enthaltenIncident-Response-Evaluation

Ein Penetrationstest prüft, ob Ihr Türschloss sicher ist. Red Teaming prüft, ob ein erfahrener Einbrecher trotzdem ins Haus kommt — über das Fenster, den Kamin oder indem er sich als Handwerker ausgibt. Im Kontext von Ransomware bedeutet das: Red Teaming simuliert den gesamten Angriffspfad, von der ersten Phishing-E-Mail über die Ausbreitung im Netzwerk bis zur simulierten Verschlüsselung.

Mehr dazu in unserem Vergleich: Red Teaming vs. Penetrationstest — der entscheidende Unterschied.

Was tun im Notfall? Der Ransomware-Incident-Response-Plan

Ein vorbereiteter Notfallplan ist der entscheidende Faktor, der eine kontrollierte Krise von einem Totalausfall unterscheidet. Laut dem IBM Cost of a Data Breach Report 2024 hatten Unternehmen mit einem IR-Team und getesteten Incident-Response-Plan durchschnittlich USD 3,26 Mio. Kosten gegenüber USD 5,29 Mio. ohne — eine Ersparnis von rund USD 2,03 Millionen. Wenn Ransomware zuschlägt, zählt jede Minute.

Sofortmassnahmen (erste 30 Minuten)

  1. Betroffene Systeme sofort vom Netzwerk trennen — Netzwerkkabel ziehen, WLAN deaktivieren. Nicht herunterfahren (Forensik-Daten bleiben im RAM).
  2. Krisenstab aktivieren — Geschäftsleitung, IT-Verantwortliche, ggf. externe Cybersecurity-Spezialisten informieren.
  3. Ausmass feststellen — Welche Systeme sind betroffen? Sind die Backups intakt? Sind Daten abgeflossen?
  4. Kommunikationskanal sicherstellen — Nutzen Sie einen Kanal, der nicht vom kompromittierten Netzwerk abhängt (z. B. private Mobiltelefone, Signal).

In den ersten 24 Stunden

  1. NCSC informieren — Das Nationale Zentrum für Cybersicherheit bietet Unterstützung und koordiniert bei Bedarf mit den Strafverfolgungsbehörden.
  2. Strafanzeige bei der Kantonspolizei erstatten — Dies ist wichtig für die Dokumentation und mögliche spätere Versicherungsansprüche.
  3. Datenschutzmeldung prüfen — Falls Personendaten betroffen sind, besteht gemäss nDSG eine Meldepflicht an den EDÖB.
  4. Lösegeldforderung dokumentieren, aber nicht sofort zahlen — Das NCSC und die Strafverfolgungsbehörden raten grundsätzlich von Lösegeldzahlungen ab.

Wiederherstellung (Tage bis Wochen)

  1. Systeme aus sauberen Backups wiederherstellen — Erst nachdem die Eintrittspforte identifiziert und geschlossen wurde.
  2. Schrittweiser Wiederaufbau — Beginnen Sie mit den geschäftskritischsten Systemen.
  3. Post-Incident-Analyse — Wie konnte der Angriff erfolgreich sein? Welche Massnahmen verhindern eine Wiederholung?
  4. Massnahmen umsetzen — Die Erkenntnisse aus der Analyse in konkrete Verbesserungen überführen.

Red Teaming: Der beste Schutz gegen Ransomware — jetzt auch für KMU

Die effektivste Methode, Ihre Ransomware-Abwehr zu testen, ist ein professionelles Red Team Assessment. Ein Red Team simuliert einen realistischen Ransomware-Angriff auf Ihr Unternehmen — von der initialen Phishing-E-Mail über die Netzwerkausbreitung bis zur simulierten Verschlüsselung — ohne dabei tatsächlich Schaden anzurichten.

Bisher war Red Teaming für KMU nicht finanzierbar. Typische Kosten bei Schweizer Anbietern: CHF 40’000 bis 80’000 pro Assessment.

RedTeam Partners (CREST-zertifiziert, Zürich) ändert das: Red Teaming ab CHF 11’900 — zum Preis eines Penetrationstests, nur für Schweizer KMU.

Was ein Red Team Assessment für Ihren Ransomware-Schutz leistet:

  • Realitätscheck: Können Ihre Mitarbeitenden die initiale Phishing-E-Mail erkennen?
  • Netzwerk-Resilienz: Wie weit kommt ein Angreifer nach dem initialen Zugang? Funktioniert Ihre Netzwerksegmentierung?
  • Backup-Validierung: Sind Ihre Backups wirklich vor einem Angreifer geschützt?
  • Incident Detection: Erkennen Ihre Systeme und Ihr Team den laufenden Angriff?
  • Response-Fähigkeit: Reagiert Ihr Team korrekt und schnell genug?
  • Priorisierte Massnahmen: Ein detaillierter Bericht zeigt, welche Schwachstellen Sie zuerst beheben sollten.

Jetzt Red Teaming anfragen — ab CHF 11’900 für Schweizer KMU

Fazit: Ransomware-Schutz erfordert einen Gesamtansatz

Ransomware-Schutz ist keine einzelne Massnahme, sondern ein systematischer Ansatz, der Prävention, Erkennung, Reaktion und Wiederherstellung umfasst. Technische Massnahmen wie MFA, Patch-Management und Netzwerksegmentierung bilden die Grundlage. Doch nur durch regelmässiges Testen — idealerweise durch ein professionelles Red Team Assessment — wissen Sie, ob Ihre Abwehr einem realistischen Angriff standhält.

Die Erfahrung zeigt: Es ist nicht die Frage, ob Ihr KMU angegriffen wird, sondern wann. Die entscheidende Frage ist, ob Sie dann vorbereitet sind.

Beginnen Sie heute mit den Sofortmassnahmen aus unserer Cybersecurity-Checkliste für KMU und lassen Sie Ihre Abwehr durch professionelles Red Teaming validieren. Denn CHF 11’900 für ein Red Team Assessment sind eine Investition — CHF 84’000 für einen erfolgreichen Ransomware-Angriff sind ein Verlust.

Weiterführende Ressourcen

Quellen

  1. NCSC Wochenrückblick 52/2024 – Rund 63’000 Cybervorfälle in der Schweiz 2024
  2. SVV Cyber-Risiken – CHF 9,5 Mrd. jährliche Cyberangriff-Kosten Schweiz
  3. Sophos State of Ransomware 2024 – USD 2 Mio. durchschnittliche Lösegeldzahlung; 500% Anstieg; 65% Datenrückgabe
  4. IBM Cost of a Data Breach Report 2024 – USD 4,88 Mio. globaler Durchschnitt; IR-Team-Ersparnis: USD 2,03 Mio.
  5. Verizon DBIR 2024 – 16% Phishing als initialer Angriffsvektor