Wenn in unserer Abteilung für Digitale Forensik und Incident Response aktuell das Telefon klingelt und wir um Unterstützung bei einem IT-Sicherheitsvorfall mit Ransomware angefragt werden, sind inzwischen sehr häufig kleine Unternehmen und Kleinstbetriebe am Telefon. Betroffen von Ransomware-Angriffen sind immer häufiger Unternehmen mit weniger als 30 Mitarbeitenden wie Handwerksbetriebe, Anwaltskanzleien, Zahnarztpraxen usw.
Und das ergibt aus der Perspektive der Angreifenden durchaus Sinn: Ransomware-Gruppen sind ebenfalls Unternehmer. Sie wollen ihren Gewinn bei minimalem Aufwand erzielen. Wieso also aufwendig wenige große Konzerne angreifen, wenn man mit gleichem Aufwand 100 kleine Betriebe treffen kann? Zudem sind kleine Unternehmen erfolgsversprechende Ziele. Sie haben bislang oft nicht die nötigen Ressourcen in IT Security investiert nach dem Motto: „Was können Cyberkriminelle schon von uns wollen?“
Aus der mangelnden Investition in IT Security ergeben sich dann auch die häufigsten Gründe, warum Ransomware-Attacken unserer Erfahrung nach Erfolg haben.
Fehlendes IT-Personal, Abhängigkeit von Dienstleistern
Immer wieder beobachten wir, dass viele kleinere Firmen kein spezifisches Team für die IT haben. Manchmal übernimmt eine Person im Quereinstieg die nötigsten Aufgaben nebenher, es gibt aber keine Ausbildung, keine Weiterbildung, keinen Wissenstransfer, keine neuen Ideen und keine neuen Mitarbeitenden.
Oder die Unternehmen sind von mehreren externen Dienstleistern abhängig. Das hat nicht selten zur Folge, dass der Überblick über Aufgaben und Zuständigkeiten verloren geht. Besonders gefährlich wird das, wenn (mehrere) Dienstleister unkontrolliert diverse Remote-Zugänge oder auch teilweise mehrere VPN-Lösungen installieren, die dann von niemandem mehr gepflegt und abgesichert werden.
Keine Netzwerkseparierung
Ein weiteres Problem ist oft der Aufbau des Netzwerks. In kleineren Unternehmen ist das Netzwerk meist nur ein einziger Block ohne jede Separierung. Konkret: Dort werden so lange Kabel an den Switch geklemmt, bis nur noch ein Port frei ist. Da wird ein weiterer Switch eingesteckt – und so geht es weiter. Wenn ein einziges System übernommen wird, haben die Angreifenden sofort Zugriff auf alles: Domänencontroller, Produktionsanlagen, Fileserver, Hypervisor, andere Clients, Drucker, Telefonanlagen etc.
Kein Patch- und Schwachstellenmanagement
In kleinen Firmen wird unserer Erfahrung nach in der Regel außerdem überhaupt kein Patch- und Schwachstellenmanagement betrieben. Teilweise funktionieren Exploits noch nach Jahren. Große Ransomware-Akteure wie Akira haben nutzen inzwischen ausschließlich ungepatchte VPN-Systeme, damit sie ganz einfach ihr eigenes Angriffssystem ins Netz bringen können.
Schwache Passwörter, Passwortwiederverwendung
Der Umgang mit Passwörtern ist schon lange ein großes Problem. Der Wunsch nach einem einfachen Handling führt leider sehr oft zu gravierenden Sicherheitsmängeln.
Die gängigsten Fehler, die oft sogar in Kombination auftreten, sind unserer Erfahrung nach diese:
- Seit Jahren wird das gleiche Passwort für den Admin verwendet und alle in der Firma kennen es.
- Das „Firmenpasswort“ wird für sämtliche Dienste und Accounts verwendet, vom Domänenadministrator bis zum Infopostfach.
- Es gibt kein Enterprise Admin-Konzept.
- Eine Multi-Faktor-Authentifizierung ist nicht im Einsatz.
- Das Prinzip der geringsten erforderlichen Rechte (Principle of Least Privilege) wird nicht angewendet.
Falscher Umgang mit Virenscannern
Die Erkenntnis, dass Menschen der Haupteintrittspunkt für Angreifende sind, wird teilweise dahingehend missverstanden, dass Virenscanner nur auf den Endgeräten installiert sind. Server sind häufig überhaupt nicht geschützt, nicht einmal rudimentär mit einem Virenscanner. Endpoint Detection and Response (EDR)- bzw. Extended Detection and Response (XDR)-Lösungen oder Ähnliches werden erst recht nicht eingesetzt. In den seltenen Fällen, in denen eine solche – finanziell aufwändige – Lösung in kleinen Unternehmen im Einsatz ist, kommt es dann aber regelmäßig vor, dass Alarme ignoriert werden.
Mangelnde Prävention, Awareness und Notfallvorbereitung
Unternehmen aller Größen geben Ransomware-Attacken als größte Bedrohung an. Warum beschäftigen sich dann aber so wenige mit einem solchen Szenario? Die Fälle von erfolgreichen Ransomware-Angriffen, die wir betreuen, zeichnen sich überwiegend dadurch aus, dass
- zuvor kein Penetrationstest oder eine andere präventive Maßnahme durchgeführt worden ist,
- keine Awareness-Maßnahmen für IT Security existieren und
- das Backup kein einziges Mal getestet worden ist.
Fazit und Empfehlung
Ransomware ist 2025 immer noch die Hauptbedrohung, insbesondere für kleine Unternehmen. Allerdings: Das Thema ist nicht neu, wirksame Schutzmaßnahmen erarbeitet und verfügbar. Es ist auch nicht das Versagen eines einzelnen IT-Administrators, einen Patch ein paar Tage zu spät zu installieren. Wenn der Zustand der IT wie oben beschrieben ist, war dies eine strategische Entscheidung. Das Risiko, irgendwann ein Erpresserschreiben auf allen Systemen zu finden, wurde in Kauf genommen.
In solchen Fällen empfehlen wir als SySS, die noch verbleibenden Ressourcen lieber in den vollständigen Neuaufbau und eine Härtung zu investieren, statt in eine forensische Untersuchung. Jetzt ist der Moment da, ein so umfangreiches Wartungsfenster wird es selten geben. Gerne beraten wir, wie so ein Projekt am besten umzusetzen ist, und überprüfen die neue Infrastruktur dann in einem Penetrationstest.