• Start
V-Hub by Vodafone BusinessSecuritySicherheitRansomware erkennen: So schützen Sie sich vor digitaler Erpressung
Security

Was ist Ransomware?

Ablauf, Schutz und Soforthilfe

Jetzt Daten schützen
Portrait von Clemens Förster Clemens Förster
19.02.2026
10 Min.

    Es ist der Albtraum für Unternehmen: Mitarbeitende starten ihre PCs – und statt des Desktops erscheint eine Lösegeldforderung. Alle Daten sind durch Ransomware verschlüsselt. Erst nach Zahlung einer hohen Geldsumme soll die Entschlüsselung erfolgen. Laut dem BSI zählen solche Angriffe zu den größten Cyberrisiken, besonders für kleine und mittlere Unternehmen (KMU). Was Ransomware ist und wie Sie Ihr Unternehmen schützen, erfahren Sie hier.

    Inhaltsverzeichnis

    Ransomware: Das Wichtigste in KürzeWas ist Ransomware?So funktioniert ein Ransomware-AngriffDiese Arten von Ransomware gibt es

    Ransomware: Das Wichtigste in Kürze

    • Sensibilisierte Mitarbeitende melden verdächtige E-Mails oder Dateien frühzeitig an die IT.
    • Schutz bieten unter anderem Antiviren-Software, Condition Monitoring und Schulungen.
    • Crypto-Ransomware verschlüsselt Unternehmensdaten und fordert Lösegeld.
    • Locker-Ransomware blockiert Funktionen, verschlüsselt jedoch keine Daten.
    • Phishing-Angriffe sind ein häufiger Einfallsweg für Ransomware.
    • Ransomware kapert Endgeräte und IT-Systeme, verschlüsselt Dateien oder Betriebssysteme und fordert Lösegeld – aber eine Entschlüsselung erfolgt trotz geleisteter Zahlung meist nicht.
    Unkenntlicher Computerhacker tippt auf einem Smartphone

    Lookout for Small Business

    Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

    Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    Lookout: Wirksamer Geräteschutz

    Was ist Ransomware?

    Die Erpressung mittels Ransomware erreichte 2025 laut dem Wirtschaftsschutz-Report von Bitkom mit rund 34 % weltweit einen Höchststand bei den Cyberangriffen, die Schäden in Unternehmen angerichtet haben – Tendenz steigend.
    Das Wort „Ransomware“ besteht aus den englischen Begriffen „Ransom“ (übersetzt: „Lösegeld“) und „Ware“ (für „Software“). Deutschsprachige IT-Expert:innen bezeichnen diese Form der Schadsoftware auch als Erpresser-Software. Ransomware verschlüsselt entweder Ihre Dateien und/oder Ihr Betriebssystem, sodass Ihr Computer, Smartphone oder Tablet nicht mehr korrekt startet.
    Die kriminellen Autor:innen der Schadsoftware haben dann die Kontrolle über Ihr Endgerät und fordern ein Lösegeld. Solange Sie den Betrag nicht bezahlt haben, bleiben Ihre Daten verschlüsselt. Ob die Kriminellen Ihre Dateien im Fall einer Lösegeldzahlung allerdings tatsächlich freischalten, ist mehr als fraglich. Das Bundeskriminalamt rät: „Gehen Sie nicht auf Lösegeldforderungen ein.“

    So funktioniert ein Ransomware-Angriff

    Ransomware-Angriffe beginnen häufig mit einer Phishing-Attacke. Damit schleusen Kriminelle Malware in Ihre Firmen-IT ein. Dies kann über verschiedene Wege geschehen:
    Phishing
    E-Mail mit infiziertem Anhang
    Erstinfektion unbemerkt
    Software-Schwachstellen
    Ungepatchte Systeme
    Automatisierte Angriffe
    Unsichere Zugänge
    Fehlende Multi-Faktor-Authentifizierung
    Zugriff auf interne Netze
    Typisches Beispiel
    Unternehmensrisiko
    In der Regel merken Sie nicht, wie die Schadsoftware Ihr Endgerät kapert. Kriminelle machen hierbei übrigens auch vor Smartphones nicht halt: Beim sogenannten Smishing verstecken sie Links zu manipulierten Webseiten in SMS.
    Darüber hinaus verbirgt sich Ransomware oft hinter Werbeanzeigen, die beim Surfen plötzlich erscheinen. Wenn Sie auf die Anzeige tippen oder klicken, installiert sich im schlimmsten Fall die Ransomware auf Ihrem Gerät. Dies geschieht zunächst unbemerkt, da Sie die Ransomware meist nicht als solche erkennen, falls Ihr Echtzeit-Antivirenschutz Sie nicht vor der Gefahr warnt. Beim nächsten turnusmäßigen Laufwerksscan kann es schon zu spät sein, denn diese Art von Schadsoftware aktiviert sich meistens sofort.
    Grafische Darstellung des typischen Ablaufs eines Ransomware-Angriffs
    Es sind nur fünf Schritte vom Eindringen ins IT-System bis zur Lösegeldforderung.
    Nachdem die Ransomware Ihren Computer übernommen hat, erscheint meist ein Textfeld, das Sie zur Zahlung eines bestimmten Geldbetrags auffordert. Andere Eingaben sind häufig gesperrt. Meist stellen die Kriminellen auch ein Ultimatum: Wenn Sie innerhalb eines bestimmten Zeitraums kein Geld überwiesen haben, löscht die Schadsoftware alle zuvor verschlüsselten Dateien unwiederbringlich.
    Wichtig: Ransomware nutzt häufig Schwachstellen in Rechnern und IT-Netzwerken, um sich dort einzunisten. Stets aktuelle Software und Betriebssysteme sowie eine leistungsfähige Cyber-Security-Lösung gehören daher zu den effektivsten Schutzmaßnahmen gegen diese kriminellen Angriffe.
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Jetzt wirksam schützen

    Diese Arten von Ransomware gibt es

    In den vergangenen Jahren nutzten Kriminelle hauptsächlich drei Arten von Ransomware, um von ihren Opfern Geldsummen zu erpressen:

    Locker-Ransomware

    Dieser Erpresser-Trojaner blockiert wesentliche Funktionen Ihres Endgeräts und macht eine Bedienung unmöglich. Er sperrt beispielsweise Ihren Zugriff auf den Desktop und lässt Sie lediglich mit der Maus zum Textfeld mit der Lösegeldforderung scrollen – daher auch die alternative Bezeichnung Screenlocker. Meist beschädigen Locker-Angriffe keine Dateien und verschlüsseln sie auch nicht.

    Crypto-Ransomware

    Ziel solcher Krypto-Angriffe sind häufig wichtige Unternehmensdaten – von Kund:innen, aus der Produktion, der Logistik oder der Personalabteilung. Crypto-Ransomware sperrt den Zugang zu Ihren Computern nicht komplett, sondern gestattet weiterhin grundlegende Funktionen der Endgeräte – wichtige Dateien sind jedoch gesperrt. Ein Textfeld fordert Sie zur Lösegeldzahlung (meist in einer Kryptowährung) auf.

    Leakware

    Hierbei drohen Kriminelle mit der Veröffentlichung sensibler Daten, die sie von den Computern ihrer Opfer gestohlen haben – falls sie kein Lösegeld erhalten. Häufig verschlüsseln sie die Daten zusätzlich. Diese doppelte Erpressung wird auch als Double Extortion bezeichnet.
    Neben Geschäftsdaten können auch kompromittierende Inhalte betroffen sein, etwa Videoaufnahmen, die angeblich über eine gehackte Webcam des Opfers entstanden sind. Da heute viele Nutzer:innen ein Notebook mit eingebauter Webcam haben oder ihre Webcam nach Videokonferenzen eingeschaltet lassen, wirkt diese Drohung auf viele Betroffene sehr überzeugend.
    Teilweise behaupten die Angreifer:innen zudem, strafrechtlich relevantes Material auf den Systemen gefunden zu haben und dieses an Behörden weiterzugeben. In vielen Fällen handelt es sich dabei jedoch um eine reine Drohkulisse – ein tatsächlicher Zugriff auf Kamera oder Dateien lässt sich nicht immer nachweisen.
    Die folgende Übersicht zeigt die wichtigsten Ransomware-Varianten und ihre Auswirkungen auf Unternehmen.
    Locker-Ransomware
    Blockiert Funktionen oder Zugriffe
    Eingeschränkte Endgerätenutzung, Daten meist intakt
    Crypto-Ransomware
    Verschlüsselt Dateien und Systeme
    Betriebsstillstand, Datenverlust
    Leakware (Double Extortion)
    Verschlüsselt Daten und droht mit Veröffentlichung
    Zusätzliche Reputations- und Rechtsrisiken
    Wirkung
    Typische Folge für Unternehmen
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Verschlüsselungstrojaner erkennen und sich davor schützen

    Wie bei nahezu jeder Malware gibt es auch bei Ransomware einige Hinweise, die auf einen Befall hindeuten können. Diese Anzeichen sollten Sie auf jeden Fall ernst nehmen und umgehend Ihre IT-Sicherheitsbeauftragten hinzuziehen, um einer möglichen Erpressung durch Ransomware zu entgehen.
    Mögliche Hinweise auf einen Ransomware-Angriff
    • Ungewöhnliche Dateinamen:
      Umbenannte Dateien oder merkwürdige Erweiterungen deuten auf eine Infizierung hin. Dateien mit sehr ungewöhnlichen Namen sowie mit Dateiendungen wie .encrypt oder .locked können ein Hinweis auf eine gerade stattfindende Verschlüsselung sein.
    • Erhöhte Prozessor- oder Netzwerkaktivität:
      Weist Ihr Computer eine ungewöhnliche hohe Prozessor- oder Netzwerkauslastung auf, könnte dies auf einen Trojaner hindeuten, der im Hintergrund aktiv ist. In der Regel können Sie dies unter Windows mit dem Task-Manager überprüfen. Hier sehen Sie neben der Auslastung von Prozessor und Arbeitsspeicher auch, ob es ungewöhnliche Prozesse gibt, die Sie nicht kennen und die viele Ressourcen verbrauchen.
    • Probleme beim Dateizugriff:
      Gibt es Fehlermeldungen, weil Sie auf bestimmte Dateien oder Ordner nicht mehr zugreifen können: Das könnte ebenfalls ein Hinweis auf eine bereits laufende Verschlüsselung durch Ransomware sein.
    • Nachrichten:
      Erhalten Sie Nachrichten oder gar Lösegeldforderungen, hat der Verschlüsselungstrojaner seine Arbeit bereits abgeschlossen. Trennen Sie das Gerät umgehend vom Netz, schalten Sie es aus (zur Not durch langes Drücken auf den Aus-Schalter oder Ziehen des Netzsteckers) und verständigen Sie Ihre IT-Administration.

    So schützen Sie Ihr Unternehmen vor Ransomware

    Hundertprozentige Sicherheit gegen Ransomware-Angriffe gibt es leider nicht. Aber mit einigen Maßnahmen können Sie es Kriminellen schwerer machen, Ihr Unternehmen anzugreifen.
    Antiviren-Software: Schützen Sie Endgeräte mit einem aktuellen und leistungsfähigen Antivirenprogramm, das auch Echtzeitschutz bietet.
    Back-ups: Erstellen Sie regelmäßig Sicherungskopien von wichtigen Unternehmensdaten und speichern Sie diese in einer geschützten Cloud oder offline. Damit verhindern Sie eine zeitgleiche Infektion der Sicherheitskopien mit Ransomware.
    Regelmäßige Updates: Jegliche Software im Unternehmen sollte immer auf dem neuesten Stand sein – z.B. Ihre IoT-Plattformen, Ihre Condition-Monitoring-Plattformen und Ihre Betriebssysteme.
    Security-Awareness-Trainings: Schulen Sie Ihre Mitarbeiter:innen regelmäßig, damit sie cyberkriminelle Bedrohungen rechtzeitig erkennen und richtig darauf reagieren. Ihr Team sollte verdächtige E-Mails, Nachrichten oder SMS sofort Ihren IT-Fachleuten melden.
    Zero Trust: Mit einem Least-Privilege-Prinzip und Zero Trust geben Sie Ihrem Personal eingeschränkte Nutzungs- und Zugangsrechte für sensible Firmensoft- und Hardware. Dadurch reduzieren Sie die Möglichkeiten für Cyberattacken und blockieren zugleich interne Übertragungswege für Schadsoftware.
    Wirksamer Schutz vor Ransomware erfordert also mehrere Ebenen:
    Technische Maßnahmen
    Angriffe erkennen & stoppen
    Endpoint- & Mobile Security
    Organisatorische Maßnahmen
    Schäden begrenzen
    Back-ups, Notfallpläne
    Schulungen
    Fehler vermeiden
    Phishing-Awareness
    Ziel
    Beispiel
    Jetzt IT schützen

    Was tun, wenn ein Gerät infiziert ist?

    Bleiben Sie bei Lösegeldforderungen standhaft

    Hat Ransomware Ihr System befallen, und Sie haben keinen Zugriff mehr auf Ihre Dateien, gilt:
    • Trennen Sie Ihr Firmennetzwerk vom Internet.
    • Nehmen Sie alle befallenen Computer aus dem Firmennetz.
    • Gehen Sie nicht auf die Forderungen der Cyberkriminellen ein.
    Es gibt ohnehin keine Garantie dafür, dass die Erpresser:innen nach Zahlung des Lösegelds Ihre Dateien wieder zugänglich machen. Außerdem macht jede Zahlung das kriminelle Geschäftsmodell Erpressung lukrativer und fördert somit weitere Attacken.

    Entfernen Sie die Schadsoftware

    In Firmennetzen mit vielen Endgeräten und unterschiedlichen Betriebssystemen ist die Wiederherstellung von Rechnern oder ganzen Netzwerken und deren Daten mitunter kompliziert. Hier geht es oft um große Werte, die in den Daten liegen, und Unternehmen müssen schnell wieder arbeitsfähig werden. Sie sollten aus diesem Grund von vornherein auf spezialisierte Dienstleister zurückgreifen, die Ransomware professionell entfernen. Andernfalls drohen Ihnen größere Datenverluste und längere Betriebsausfälle.
    Für Einzelunternehmer:innen und private Nutzer:innen hingegen gibt es im Internet kostenlose oder preisgünstige Tools, um Ransomware loszuwerden. Sie funktionieren in der Regel folgendermaßen:
    1. Vor der Installation starten Sie Ihren Windows-Computer im abgesicherten Modus, damit der Ransomware-Trojaner Ihre Rettungsarbeiten nicht behindern kann.
    2. Sie ermitteln mit einem Ransomware-Analyseprogramm Namen und Typ der Ransomware.
    3. Sie laden das passende Datenrettungsprogramm herunter, entfernen damit die Ransomware und knacken deren Verschlüsselung.
    Besonders bei Locker-Ransomware haben Sie mit diesen Tools gute Chancen. Denn die Schadsoftware verschlüsselt Ihre privaten Daten nicht wirklich, sondern versperrt Ihnen nur den Zugriff darauf.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    Bekannte Ransomware-Attacken

    Eine der bekanntesten und größten Ransomware-Attacken aller Zeiten ist wohl die Wannacry-Erpressung aus dem Jahr 2017. In über 150 Ländern hatte sich eine neue Version der WannaCry-Erpresser-Software auf IT-Systemen verbreitet. Sie nutzte eine Schwachstelle im Betriebssystem Windows aus. Microsoft hatte zwar im April 2017 ein Update für Windows veröffentlicht, doch zu einer flächendeckenden Beseitigung der Sicherheitslücke kam es nicht. Die unzureichenden Update-Routinen vieler Unternehmen öffneten dem WannaCry-Trojaner Tür und Tor.
    Als die Ransomware zuschlug, verschlüsselte sie unzählige Datensätze und legte zahlreiche Unternehmen und Einrichtungen für Tage lahm. Die Angreifer:innen forderten jeweils 600 US-Dollar in Bitcoin von ihren Opfern. Wie viele Opfer gezahlt haben, ist nicht belegt. Weltweit betraf der WannaCry-Angriff etwa 230.000 Computer.
    Trotz dieser bekannten Attacke und besseren Schutzmaßnahmen gelingt es Cyberkriminellen auch in jüngster Zeit immer wieder, Computer von Unternehmen und anderen Einrichtungen erfolgreich zu infizieren:
    • Im Oktober 2023 waren rund 70 Gemeindeverwaltungen in Nordrhein-Westfalen mehrere Monate lang Opfer eines Ransomware-Angriffs des Cybercrime-Kollektivs Akira. Alle Kommunen hatten denselben IT-Dienstleister. Die Angreifer:innen machten sich unter anderem Schwachstellen in VPN-Zugängen zunutze.
    • Anfang 2024 wurden mehrere Krankenhäuser in Bayern, Berlin und Nordrhein-Westfalen Opfer einer Ransomware-Attacke. Dies ist kein Einzelfall: Immer wieder greifen Kriminelle gezielt Einrichtungen im Gesundheitswesen an. Dabei nehmen sie sogar in Kauf, dass Patient:innen gefährdet werden.
    • Anfang 2024 machte eine weltweite Ransomware-Attacke speziell auf Rechenzentren Schlagzeilen. Die Malware befiel ein komplexes Kundendatenbank-System. Ein dabei betroffenes Rechenzentrum in Chile sollte 2 Bitcoin Lösegeld pro Kund:in zahlen – umgerechnet insgesamt rund 140 Millionen Euro.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Unser Fazit: Ransomware wirksam vorbeugen statt teuer bezahlen

    Ransomware ist kein Randphänomen, sondern eine reale Bedrohung für Unternehmen jeder Größe. Entscheidend ist nicht nur, Angriffe technisch abzuwehren, sondern Risiken frühzeitig zu erkennen und menschliche Fehler zu minimieren. Moderne Security-Lösungen, die Endgeräte, Apps und Daten ganzheitlich schützen, spielen dabei eine zentrale Rolle. Angebote wie die Mobile-Security-Lösungen von Vodafone – etwa mit Lookout – helfen Unternehmen, Bedrohungen früh zu stoppen und ihre IT nachhaltig abzusichern.

    Ransomware: Häufig gestellte Fragen (FAQ)

    Portrait von Clemens Förster Clemens Förster
    19.02.2026
      # Tags:SicherheitBusiness BasicsDigitalServiceCybersecurity
      Das könnte Sie auch interessieren:
      Security

      Windows-Verschlüsselung

      Mit einer Verschlüsselung schützen Sie Ihre Daten unter Windows gegen Cyberattacken und Manipulation. Neben den Windows-Bordwerkzeugen gibt es einige weitere Verschlüsselungsmöglichkeiten. Erfahren Sie hier mehr darüber und finden Sie die optimale Lösung für Ihre Zwecke.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren