• Start
V-Hub by Vodafone BusinessSecuritySicherheitRansomware erkennen: So schützen Sie sich vor digitaler Erpressung
Schmuckbild
Security

Ransomware erkennen: So schützen Sie sich vor digitaler Erpressung

Portrait von Clemens Förster Clemens Förster
26.11.2025
10 Min.

    Es ist der Albtraum für Unternehmen: Mitarbeitende starten ihre PCs – und statt des Desktops erscheint eine Lösegeldforderung. Alle Daten sind durch Ransomware verschlüsselt. Erst nach Zahlung soll die Entschlüsselung erfolgen. Laut dem BSI zählen solche Angriffe zu den größten Cyberrisiken, besonders für KMU. Die Erpressung mittels Ransomware erreicht laut dem Wirtschaftsschutz-Report von Bitkom weltweit 2025 mit rund 34 % einen Höchststand der Cyberangriffe, die Schäden in Unternehmen angerichtet haben – Tendenz steigend. Was Ransomware ist und wie Sie Ihr Unternehmen schützen, erfahren Sie hier.

    Inhaltsverzeichnis

    Was ist Ransomware? Definition und BedeutungSo funktioniert ein Ransomware-AngriffDiese Arten von Ransomware gibt es Verschlüsselungstrojaner erkennen

    Was ist Ransomware? Definition und Bedeutung

    Das Wort Ransomware besteht aus den englischen Begriffen „Ransom” (übersetzt: „Lösegeld“) und „Ware” (für „Software“). Deutschsprachige IT-Expert:innen bezeichnen diese Form der Schadsoftware auch als Erpressersoftware. Ransomware verschlüsselt entweder Ihre Dateien und/oder Ihr Betriebssystem, sodass Ihr Computer, Smartphone oder Tablet nicht mehr korrekt startet.
    Die kriminellen Autor:innen der Schadsoftware haben dann die Kontrolle über Ihr Endgerät und fordern ein Lösegeld. Solange Sie den Betrag nicht bezahlt haben, bleiben Ihre Daten verschlüsselt. Ob die Kriminellen Ihre Dateien im Fall einer Lösegeldzahlung allerdings tatsächlich freischalten, ist mehr als fraglich. Das Bundeskriminalamt rät: „Gehen Sie nicht auf Lösegeldforderungen ein.“
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout for Small Business

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    Mehr zu Lookout

    So funktioniert ein Ransomware-Angriff

    Ransomware-Angriffe beginnen häufig mit einer Phishing-Attacke. Mittels dieser Methode schleusen Kriminelle Malware in Ihre Firmen-IT ein. Dies kann über verschiedene Wege geschehen:
    • Schädliche E-Mail-Anhänge: Klicken Sie zum Beispiel auf einen als seriös getarnten, aber mit Malware infizierten E‑Mail-Anhang, kann sich Schadsoftware auf Ihrem Gerät ausbreiten.
    • Infizierte Browser-Add-Ons: Mit Schadsoftware infiltrierte Add-Ons (kleine Zusatzprogramme für Ihren Webbrowser) können Ransomware auf Ihrem Computer freischalten.
    • Remote-Verbindung: Kriminelle geben sich am Telefon als Mitarbeiter:innen des Betriebssystemherstellers aus und fordern Sie auf, Ihren Computer für eine Fernwartung freizugeben. Dann installieren die Erpresser:innen Schadsoftware darauf.
    In der Regel merken Sie nicht, wie die Schadsoftware Ihr Endgerät „kapert“. Kriminelle machen hierbei übrigens auch vor Smartphones nicht Halt: Beim sogenannten Smishing verstecken sie Links zu manipulierten Webseiten in SMS.
    Darüber hinaus verbirgt sich Ransomware hinter Werbeanzeigen, die beim Surfen plötzlich auf Ihrem Rechner erscheinen. Wenn Sie auf die Anzeige drücken, installiert sich im schlimmsten Fall die Ransomware auf Ihrem Gerät. Dies geschieht zunächst unbemerkt, da Sie die Ransomware meist nicht als solche erkennen, falls Ihr Echtzeitschutz Sie nicht vor der Gefahr warnt. Beim nächsten turnusmäßigen Laufwerksscan kann es dann schon zu spät sein, denn diese Art von Schadsoftware aktiviert sich meistens sofort.
    Nachdem die Ransomware Ihren Computer übernommen hat, erscheint meist ein Textfeld, das Sie zur Zahlung eines bestimmten Geldbetrages auffordert. Häufig stellen die Kriminellen auch ein Ultimatum. Wenn Sie innerhalb eines bestimmten Zeitraums kein Geld überwiesen haben, löscht die Schadsoftware alle zuvor verschlüsselten Dateien unwiederbringlich.
    Wichtig: Ransomware nutzt häufig Schwachstellen in Rechnern und IT-Netzwerken, um sich dort einzunisten. Stets aktuelle Software und Betriebssysteme sowie eine leistungsfähige Cyber-Security-Lösung gehören daher zu den effektivsten Schutzmaßnahmen gegen diese kriminellen Angriffe.

    Diese Arten von Ransomware gibt es

    In den vergangenen Jahren nutzten Kriminelle hauptsächlich drei Arten von Ransomware, um von ihren Opfern Geldsummen zu erpressen:

    Locker-Ransomware

    Dieser Erpresser-Trojaner blockiert wesentliche Funktionen Ihres Endgeräts und macht eine Bedienung unmöglich. Er sperrt zum Beispiel Ihren Zugriff auf den Desktop und lässt Sie lediglich mit der Maus zum Textfeld mit der Lösegeldforderung scrollen, daher auch der Name „Screenlocker”. Meist beschädigen Locker-Angriffe keine Dateien und verschlüsseln sie auch nicht.

    Crypto-Ransomware

    Ziel solcher Krypto-Angriffe sind häufig wichtige Unternehmensdaten – von Kunden, aus der Produktion, der Logistik oder der Personalabteilung. Crypto-Ransomware sperrt den Zugang zu Ihren Computern nicht komplett, sondern gestattet weiterhin grundlegende Funktionen der Endgeräte – wichtige Dateien sind jedoch gesperrt. Ein Textfeld fordert Sie zur Lösegeldzahlung (meist in einer Kryptowährung) auf.

    Leakware

    Kriminelle drohen mit der Veröffentlichung sensibler Daten, die sie von den Computern ihrer Opfer gestohlen haben, falls sie kein Lösegeld erhalten. Neben Geschäftsdaten können dies auch kompromittierende Videoaufnahmen sein, die angeblich über eine gehackte Webcam des Opfers aufgenommen wurden.
    Da heute viele Nutzer:innen ein Notebook mit eingebauter Webcam haben oder ihre Webcam nach Videokonferenzen eingeschaltet lassen, wirkt diese Drohung auf viele Opfer sehr überzeugend. Manchmal drohen die Kriminellen auch damit, dass sie strafrechtlich relevantes Material auf den Computern ihrer Opfer gefunden hätten und dieses den Behörden übergeben wollen. Immerhin: Bei dieser Attacke handelt es sich meist nur um eine leere Drohung und die Erpresser:innen haben den Computer gar nicht wirklich gekapert.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Verschlüsselungstrojaner erkennen

    Wie bei nahezu jeder Malware gibt es auch bei Ransomware einige Hinweise, die auf einen Befall hindeuten können. Diese Anzeichen sollten Sie auf jeden Fall ernst nehmen und umgehend Ihre IT-Sicherheitsbeauftragten hinzuziehen, um einer möglichen Erpressung durch Ransomware zu entgehen:
    • Ungewöhnliche Dateinamen: Umbenannte Dateien oder merkwürdige Erweiterungen deuten auf eine Infizierung hin. Dateien mit sehr ungewöhnlichen Namen sowie mit Dateiendungen wie .encrypt oder .locked können ein Hinweis auf eine gerade stattfindende Verschlüsselung sein.
    • Erhöhte Prozessor- oder Netzwerkaktivität: Weist Ihr Computer eine ungewöhnliche hohe Prozessorauslastung oder Netzwerkrate bei, könnte dies auf einen Trojaner hindeuten, der im Hintergrund aktiv ist. In der Regel können Sie dies unter Windows bereits mit dem Taskmanager überprüfen – hier sehen Sie neben der Auslastung von Prozessor und Arbeitsspeicher auch, ob es ungewöhnliche Prozesse gibt, die Sie nicht kennen.
    • Probleme beim Dateizugriff: Gibt es Fehlermeldungen, weil Sie auf bestimmte Dateien oder Ordner nicht mehr zugreifen können, könnte dies ebenfalls der Hinweis auf eine bereits laufende Verschlüsselung durch Ransomware sein.
    • Nachrichten: Erhalten Sie bereits Nachrichten oder gar Lösegeldforderungen, hat der Verschlüsselungstrojaner seine Arbeit bereits abgeschlossen. Trennen Sie das Gerät umgehend vom Netz, schalten Sie es aus (zur Not durch langes Drücken auf den Aus-Schalter oder Ziehen des Netzsteckers) und verständigen Sie Ihre IT-Administration.

    So schützen Sie Ihr Unternehmen vor Ransomware

    Hundertprozentige Sicherheit gegen Ransomware-Angriffe gibt es leider nicht. Aber mit einigen Maßnahmen können sie es Kriminellen schwerer machen, Ihr Unternehmen anzugreifen.
    • Antiviren-Software: Schützen Sie Endgeräte mit einem aktuellen und leistungsfähigen Antivirenprogramm, das auch Echtzeitschutz bietet.
    • Back-ups: Erstellen Sie regelmäßig Sicherungskopien von wichtigen Unternehmensdaten und speichern Sie diese in einer geschützten Cloud oder offline. Damit verhindern Sie eine zeitgleiche Infektion der Sicherheitskopien mit Ransomware. Bei einem Angriff auf Ihr IT-System können Sie diese vorherige Dateiversion wiederherstellen. Wichtig dabei ist, dass Sie auch ältere Sicherungskopien für einige Zeit verwahren. Denn in der neuesten Sicherungskopie könnte die Ransomware bereits unerkannt schlummern und aktiv werden, sobald Sie die Sicherungskopie zurückspielen.
    • Condition Monitoring: Jegliche Software im Unternehmen sollte immer auf dem neuesten Stand sein – zum Beispiel Ihre IoT-Plattformen, Ihre Condition-Monitoring-Plattformen und Ihre Betriebssysteme.
    • Security-Awareness-Trainings: Schulen Sie Ihre Mitarbeiter:innen regelmäßig, damit sie cyberkriminelle Bedrohungen rechtzeitig erkennen und darauf richtig reagieren. Ihr Team sollte verdächtige E-Mails, Nachrichten oder SMS sofort Ihren IT-Fachleuten melden.
    • Zero Trust: Mit einem Least-Privilege-Prinzip und Zero Trust geben Sie Ihrem Personal eingeschränkte Nutzungs- und Zugangsrechte für sensible Firmensoft- und Hardware. Dadurch reduzieren Sie die Möglichkeiten für Cyberattacken und blockieren zugleich interne Übertragungswege für Schadsoftware.

    Was tun, wenn ein Gerät infiziert ist?

    Bleiben Sie standhaft bei Lösegeldforderungen

    Hat Ransomware Ihr System befallen und Sie haben keinen Zugriff mehr auf Ihre Dateien, gilt:
    • Trennen Sie Ihr Firmennetzwerk vom Internet.
    • Nehmen Sie alle befallenen Computer aus dem Firmennetz.
    • Gehen Sie nicht auf die Forderungen der Cyberkriminellen ein.
    Es gibt ohnehin keine Garantie dafür, dass die Erpresser:innen Ihnen nach Zahlung des Lösegeldes Ihre Dateien wieder zugänglich machen. Daneben macht jede Zahlung das kriminelle Geschäftsmodell Erpressung lukrativer und fördert somit weitere Attacken.

    Entfernen Sie die Schadsoftware

    In Firmennetzen mit vielen Endgeräten und unterschiedlichen Betriebssystemen ist die Wiederherstellung von Rechnern oder ganzen Netzwerken und deren Daten mitunter kompliziert. Hier geht es oft auch um große Werte, die in den Daten liegen, und Unternehmen müssen schnell wieder arbeitsfähig werden. Sie sollten aus diesem Grund von vornherein auf spezialisierte Dienstleister zurückgreifen, die Ransomware professionell entfernen. Andernfalls drohen Ihnen größere Datenverluste und längere Betriebsausfälle.
    Für Einzelunternehmer:innen und private Nutzer:innen hingegen gibt es im Internet eine Anzahl kostenloser oder preisgünstiger Tools, um die Ransomware loszuwerden. Vor der Installation starten Sie zuerst Ihren Windows-Computer im abgesicherten Modus, damit der Ransomware-Trojaner Ihre Rettungsarbeiten nicht behindern kann. Im ersten Schritt ermitteln Sie mit einem Ransomware-Analyseprogramm Namen und Typ der Ransomware.
    Anschließend laden Sie das passende Datenrettungsprogramm herunter, entfernen damit die Ransomware und knacken deren Verschlüsselung – besonders bei Locker-Ransomware haben Sie gute Chancen. Denn diese verschlüsselt Ihre privaten Daten nicht wirklich, sondern versperrt Ihnen nur den Zugriff darauf.

    Bekannte Ransomware-Attacken

    Eine der bekanntesten und größten Ransomware-Attacken aller Zeiten ist wohl die „Wannacry-Erpressung“ aus dem Jahr 2017. In über 150 Ländern hatte sich eine neue Version der WannaCry-Erpressersoftware auf IT-Systemen verbreitet. Sie nutzte eine Schwachstelle im Betriebssystem Windows aus. Microsoft veröffentlichte zwar im April 2017 ein Update für Windows, doch zu einer flächendeckenden Beseitigung der Sicherheitslücke kam es nicht. Die unzureichenden Update-Routinen vieler Unternehmen öffneten dem WannaCry-Trojaner Tür und Tor.
    Als die Ransomware zuschlug, verschlüsselte sie unzählige Datensätze und legte zahlreiche Unternehmen und Einrichtungen für Tage lahm. Die Angreifer:innen forderten jeweils 600 Dollar in Bitcoin von ihren Opfern. Wie viele Opfer gezahlt haben, ist nicht belegt. Weltweit betraf der WannaCry-Angriff etwa 230.000 Computer.
    Trotz dieser bekannten Attacke und besseren Schutzmaßnahmen gelingt es auch in jüngster Zeit immer wieder, Computer von Unternehmen und anderen Einrichtungen erfolgreich zu infizieren:
    • Im Oktober 2023 waren rund 70 Gemeindeverwaltungen in Nordrhein-Westfalen für mehrere Monate Opfer eines Ransomware-Angriffs des Cybercrime-Kollektivs Akira. Alle Kommunen hatten denselben IT-Dienstleister. Die Angreifer machten sich unter anderem Schwachstellen in VPN-Zugängen zunutze.
    • Anfang 2024 wurden mehrere Krankenhäuser in Bayern, Berlin und Nordrhein-Westfalen Opfer einer Ransomware-Attacke. Dies ist kein Einzelfall: Immer wieder greifen Kriminelle gezielt Einrichtungen im Gesundheitswesen an. Dabei nehmen sie sogar in Kauf, dass Patient:innen gefährdet werden.
    • Anfang 2024 machte eine weltweite Ransomware-Attacke speziell auf Rechenzentren Schlagzeilen. Die Malware befiel ESXi-Server, die als Hypervisoren bei der Virtualisierung von Kundennetzen eine große Rolle spielen. Ein betroffenes Rechenzentrum in Chile sollte pro betroffenem Kunden jeweils zwei Bitcoin Lösegeld zahlen – umgerechnet insgesamt rund 140 Millionen Euro.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    Das Wichtigste zum Thema Ransomware in Kürze

    • Ransomware kapert Ihre Endgeräte und IT-Systeme, um Dateien oder das Betriebssystem zu verschlüsseln. Die kriminellen Angreifer:innen fordern daraufhin ein Lösegeld, nach dessen Zahlung sie die Daten angeblich wieder freigeben – dies passiert jedoch in den seltensten Fällen.
    • Mithilfe von Phishing-Attacken schleusen Kriminelle Malware in Ihre Firmen-IT ein.
    • Locker-Ransomware blockiert wichtige Funktionen Ihres Endgeräts, verschlüsselt aber keine Daten.
    • Crypto-Ransomware verschlüsselt alle wichtigen Dateien Ihres Unternehmens. Ein Textfeld fordert Sie auf, ein Lösegeld zu zahlen.
    • Ihr Unternehmen sollte sich unter anderem mit einer leistungsfähigen Antivirensoftware, einem effektiven Condition Monitoring und Schulungen der Belegschaft vor Ransomware-Angriffen schützen.
    • Sensibilisieren Sie Ihre Mitarbeiter:innen. Ihr Team sollte verdächtige E-Mails oder kryptische Dateinamen auf Produktionssystemen sofort Ihren IT-Fachleuten melden, um Schäden von vornherein zu verhindern.
    Portrait von Clemens Förster Clemens Förster
    26.11.2025
      # Tags:SicherheitBusiness BasicsDigitalServiceCybersecurity
      Das könnte Sie auch interessieren:
      Security

      SSL-Verschlüsselung: So trägt sie zur Sicherheit im Web bei

      Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die wohl wichtigsten Verschlüsselungsstandards im Internet. Erfahren Sie hier alles Wichtige über diese Technologie und warum SSL/TLS heute Grundlage für sicheres Surfen und sichere Online-Kommunikation ist.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren