Cyberattacken: Resilienter Schutz für Unternehmen

Attacken aus dem Internet nutzen gezielt Schwachstellen der IT aus. So schützen Sie sich vor Angriffen der Cyberkriminellen.

Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe

Auf dieser Internetseite möchte kein Unternehmen erscheinen: ransomware.live listet seit ihrer Gründung durch den IT-Sicherheitsexperten Julien Mousqueton vor fünf Jahren Opfer von Ransomware auf. Hinter Ransomware stecken Cyberkriminelle, die den Rechner kapern und die Daten verschlüsseln, um anschließend ein Lösegeld zu erpressen. Knapp 25.000 Unternehmen, aber auch Institutionen, sind seitdem Opfer geworden, 646 davon aus Deutschland (Stand: 15. Dezember 2025). Auch aktuell sind deutsche Unternehmen betroffen – aus dem Mittelstand.

Die Unternehmen auf der ransomware.live-Seite gehören zu den wenigen, deren Namen öffentlich werden. Denn die meisten decken über ihre Rolle als Opfer eines Cyberverbrechens den Mantel des Schweigens. Tatsache ist, dass Betroffene durch Ransomware, aber auch Malware, Phishing und DDoS-Angriffe einen hohen finanziellen Schaden erleiden. Für das Jahr 2025 kommt das Statistische Bundesamt nach einer Bitkom-Umfrage auf eine Höhe von 289,2 Milliarden Euro. Und mittlerweile gibt es kaum ein Unternehmen, das nicht schon einmal Opfer einer gezielten Attacke geworden ist. So kommt die aktuelle Studie "Digital Trust Insights 2026" auf eine Quote von 89 Prozent der deutschen Unternehmen, die in den letzten drei Jahren von Datendiebstahl oder Datenmissbrauch betroffen waren.

Mittel im Darknet erhältlich

"Täter passen sich flexibel an technische und gesellschaftliche Entwicklungen an, agieren global und greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt", sagt das Bundeskriminalamt (BKA) über Cyberverbrechen, die längst zu einem professionellen Dienstleistungsgeschäft geworden sind. Die Verbrechensbekämpfer sprechen von "Cybercrime-As-a-Service", weil sich sämtliche Mittel von der Software über Daten bis hin zu Identitäten im Darknet erstehen lassen.

Was einst eher singuläre Ausnahmen waren, ist längst zu einem strukturellen Risiko geworden. Und es hat bereits zu einem Umdenken geführt: Jetzt geht es nicht mehr darum, sich vor Attacken aus dem virtuellen Raum zu schützen, sondern sich auf die Fähigkeiten zu besinnen, Attacken zu verkraften, Schäden zu begrenzen und möglichst schnell wieder in den Betriebsalltag zurückzukehren. Cyber-Resilienz ist das Zauberwort, mit dem auch die Assekuranzen auf die Unternehmen zugehen. Es geht dabei zum einen um eine Police, e­twaige Schäden aus Cyber-Attacken finanziell abzusichern, aber auch, eine erhöhte Resilienz in den Betrieben zu schaffen.

Mangelnde Cyber-Resilienz gefährdet Sicherheit

Allerdings haben die Unternehmen hierzulande noch einen weiten Weg zu gehen. Gerade einmal 15 Prozent aller Unternehmen hierzulande investieren gezielt in proaktive Sicherheits- und Resilienzmaßnahmen, so die Studie. Der Rest bleibt, so vermeldet die Wirtschaftsprüfungsgesellschaft PwC Germany, reaktiv: "Investitionen erfolgen nur nach Vorfällen oder im Rahmen regulärer Updates – ohne systematisches Transformationskonzept für Prävention und Recovery."

Cyber-Resilienz heißt aber, sich so aufzustellen, dass keine Cyberattacke das Geschäft dauerhaft in die Knie zwingt. Dafür sind folgende Schritte notwendig:

• Sämtliche Geschäftsprozesse mit ihren Systemen, Daten und Schnittstellen erfassen, bewerten und potenzielle Schwachstellen und Bedrohungen identifizieren
• Konkrete Pläne für ein Krisenmanagement, die Fortführung der IT und des Geschäfts sowie Recovery-Maßnahmen entwickeln
• Schulung von Mitarbeitern mit Tests und Übungen sowie die technische Umsetzung von Transparenz- und Erkennungsmechanismen
• Automatisiertes Monitoring von Systemen, Datenflüssen und Zugriffen sowie regelmäßige Updates
• Kontinuierliche Überprüfungen und Optimierung der Prozesse auch an neue Gefahren

Dahinter steht vor allem die Erkenntnis, dass eine Prävention alleine nicht mehr ausreicht – zu vielfältig ist die Zahl der Attacken, die zudem immer raffinierter und ausgeklügelter werden. "Unternehmen, die Cyber-Resilienz als systematischen, strategischen Ansatz begreifen, sind deutlich besser aufgestellt", sagt daher Dominik Bredel, Director Cyber Resilience PwC Germany: "Sie erkennen Bedrohungen frühzeitig, reagieren schnell und können den Geschäftsbetrieb stabil halten – selbst im Ernstfall."

Zwölf Topmaßnahmen bei ­CyberattackenDie Allianz für Cyber-Sicherheit listet die Top-12-Maßnahmen auf, wenn Unternehmen von Hackern ­attackiert werden. Folgende Fragen sollten sich die Betroffenen stellen:

1. Wurden erste Bewertungen des Vorfalls durch­geführt, um festzustellen, ob es sich um einen Cyber-Angriff oder lediglich um einen technischen Defekt handelt?
2. Haben Sie kontinuierlich Ihre Maßnahmen­ ­ab­gestimmt, dokumentiert und an alle relevanten ­Personen und Verantwortlichen kommuniziert?
3. Wurden System-Protokolle, Log-Dateien, Notizen, Foto von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?
4. Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt?
5. Wurden betroffene Systeme vom Netzwerk ­getrennt? Wurden Internetverbindungen zu den ­betroffenen Systemen getrennt? Wurden alle ­un­autorisierten Zugriffe unterbunden?
6. Wurden Backups gestoppt und vor möglichen ­weiteren Einwirkungen geschützt?
7. Wurden Maßnahmen unternommen, um das ­gesamte Maß der Ausbreitung festzustellen? Wurden alle angegriffenen Systeme identifiziert?
8. Wurden die beim Cyber-Angriff ausgenutzten Schwachstellen in Systemen oder (Geschäfts-) ­Prozessen durch relevante Maßnahmen adressiert und behoben?
9. Wurden, nach Abstimmung, die Polizei oder ­relevante Behörden (Datenschutz, Meldepflichten, et cetera) benachrichtigt?
10. Wurden die Zugangsberechtigungen und ­Authentisierungsmethoden für betroffene (­geschäftliche und gegebenenfalls private) Accounts überprüft (zum ­Beispiel neue Passwörter, 2FA)?
11. Wird das Netzwerk nach dem Vorfall weiter ­überwacht, um mögliche erneute Anomalien ­festzustellen?
12. Wurden die betroffenen Daten und Systeme ­wiederhergestellt oder neu aufgebaut?
Quelle: Allianz für Cyber-Sicherheit
Hilfe für BetroffeneQuelle: BSI
↘ Service-Center des BSI für Fragen rund um die IT-­Sicherheit, T 0800 274 1000 oder E-Mail: service-center@bsi-bund.de 
↘ Bundesnetzagentur (BNetzA) für Beschwerden zu unerwünschten Spam- oder Phishing-Nachrichten über SMS oder Messenger
↘ Polizeien der Länder für Strafanzeigen bei den Onlinewachen der Länder oder der örtlichen ­Polizeidienststelle
↘ Polizeiliche Kriminal­prävention (ProPK) für Informationen und Hilfestellung für Opfer von Cybercrimes
↘ LKA Niedersachsen
für aktuelle Meldungen im Ratgeber Internet­kriminalität polizei-praevention.de
↘ Forschungsgruppe SECUSO für Nophish, Info- und Lehrmaterialien zur ­Erkennung von Phishing-Mails
↘ Verbraucherzentralen für Phishing-Radar – ­Aktuelle Warnungen sowie neuartige Phishing-Mails melden 

Wichtige FachbegriffeMalware (Schadsoftware)
Malicious Software, auf Deutsch bösartige Software, dient dazu, dem ­Computer bewusst Schaden zuzufügen, ­indem sie das System zerstört, beschädigt, Daten stiehlt oder Fremden Zugriff verschafft. Darunter fallen alle Programme wie Viren, Trojaner, ­Spyware, Würmer oder Ransomware.

Ransomware
Sie zählt zur Malware und ist eines der meistgenutzten Tools: Die Software verschlüsselt die eigenen Daten, so dass die Besitzer nicht mehr herankommen, und erpressen zur Entschlüsselung ein Lösegeld. Oft werden die Daten zeitgleich auch ausgespäht, um durch die Drohung, sie zu veröffent­lichen, weitere Zahlungen zu ­erpressen.

Phishing
Mit gefälschten E-Mails versuchen ­Kriminelle, Passwörter, Bankdaten oder E-Mail-Adressen zu erschleichen. Meist findet sich im Anhang eine Schadsoftware zum Anklicken oder ­Herunterladen, die das Einfallstor zu den Daten ist. Die Kriminellen geben als Absender Bekannte oder Firmenmitarbeiter an, um die Opfer zu ­täuschen.

Quishing
Bei dieser Methode versuchen die ­Cyberkriminellen, die Opfer per ­QR-Code auf eine Website zu locken und zur Dateneingabe aufzufordern. Wer den QR-Code abscannt, kann auf eine maliziöse Website gelangen, die das Gerät mit einem Schadcode in­fiziert oder eine Dateneingabe ­erwartet. Meist tarnen sich die Täter mit ­bekannten Firmennamen oder ­Diensten und Behörden.

Smishing
Ist identisch mit Phishing, nur mit dem Unterschied, dass der Betrugs­versuch via SMS auf dem Smartphone und nicht per Mail stattfindet. Zu den häufig ­genutzten Methoden zählen Nach­richten von Paketdiensten, die Pro­bleme bei der Sendungsverfolgung, der ­Paketzustellung oder dem Zoll melden, aber auch von Onlineshopping-Plattformen, die eine Zahlungsaufforderung ­enthalten.

DDoS – Distributed Denial of Service
Das steht für eine Vielzahl von ­Anfragen, die das System überlasten und das im schlimmsten Fall den Dienst versagt, so dass die Kriminellen in die Rechner gelangen können.

DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!