Früher galt: „Ein sauberes Backup schützt vor Ransomware.“ Doch 2025 ist diese Sichtweise gefährlich veraltet.
Moderne Ransomware-Gruppen haben ihre Taktiken massiv weiterentwickelt. Es reicht längst nicht mehr, einfach Daten zu verschlüsseln und Lösegeld zu fordern. Heute kombinieren Cyberkriminelle mehrere Angriffsstrategien in sogenannten Double oder sogar Triple Extortion-Modellen:
Gerade für mittelständische Unternehmen in der Schweiz, die oft über begrenzte IT-Sicherheitsressourcen verfügen, ist jetzt die Zeit, den Fokus neu auszurichten. Dieser Artikel zeigt, warum klassische Backup-Strategien versagen – und was Sie stattdessen tun können.
Backups sind wichtig – aber sie müssen Teil eines umfassenden Schutzkonzepts sein. Erst die Kombination aus Monitoring, Reaktionsplanung, Offline-Sicherung und Awareness kann Ihre Daten und Ihr Unternehmen effektiv schützen.
Gerade in der Schweiz, wo viele KMUs mit begrenztem IT-Budget arbeiten, ist eine klare Priorisierung notwendig. Beginnen Sie mit einer Bestandsaufnahme Ihrer Schutzmassnahmen – und investieren Sie gezielt in die Schwachstellen, die moderne Angreifer ausnutzen.
Nutzen Sie diesen Blog als Anlass, um Ihre Strategie zu hinterfragen – bevor ein echter Angriff Sie dazu zwingt.
Nein, aber sie allein reichen nicht mehr aus. Moderne Angreifer zerstören oder umgehen Backups.
Was ist ein „immutable Backup“?
Ein Backup, das nicht verändert oder gelöscht werden kann – auch nicht von Administratoren.
Was bedeutet „Double Extortion“?
Daten werden nicht nur verschlüsselt, sondern auch gestohlen und zur Erpressung genutzt.
Was ist eine gute Backup-Strategie?
Mindestens 3 Kopien auf 2 unterschiedlichen Medien, 1 davon offline. Dazu: regelmäßige Wiederherstellungstests.
Welche Lösungen gibt es für kleine Unternehmen in der Schweiz?
Auch mit geringem Budget können MFA, Awareness-Trainings und Offline-Backups umgesetzt werden. Beratungen durch externe IT-Security-Partner können helfen.
Moderne Ransomware-Gruppen haben ihre Taktiken massiv weiterentwickelt. Es reicht längst nicht mehr, einfach Daten zu verschlüsseln und Lösegeld zu fordern. Heute kombinieren Cyberkriminelle mehrere Angriffsstrategien in sogenannten Double oder sogar Triple Extortion-Modellen:
- Datenexfiltration: Vertrauliche Daten werden vor der Verschlüsselung kopiert – mit der Drohung, diese zu veröffentlichen.
- Erpressung über DSGVO-Verstösse: Die Veröffentlichung sensibler Daten kann rechtliche Folgen haben – insbesondere in der Schweiz und der EU.
- Sabotage von Backups: Immer häufiger werden Backup-Systeme gezielt angegriffen und unbrauchbar gemacht.
Gerade für mittelständische Unternehmen in der Schweiz, die oft über begrenzte IT-Sicherheitsressourcen verfügen, ist jetzt die Zeit, den Fokus neu auszurichten. Dieser Artikel zeigt, warum klassische Backup-Strategien versagen – und was Sie stattdessen tun können.
Vorteile eines umfassenden Sicherheitskonzepts
Ein ganzheitliches Sicherheitskonzept – bestehend aus Backup, Detection, Incident Response und Schulung – bietet klare Vorteile:- Frühzeitige Erkennung von Angriffen vor der Verschlüsselung
- Minimierung von Schäden, auch wenn Backups kompromittiert wurden
- Vermeidung rechtlicher Konsequenzen durch bessere Datenkontrolle
- Besseres Krisenmanagement durch vorbereitete Reaktionspläne
Nachteile von reinen Backup-Strategien
Viele Unternehmen vertrauen zu sehr auf ihre Backup-Infrastruktur. Doch diese Strategie hat 2025 gravierende Schwächen:- Gezielte Zerstörung von Backups durch Ransomware
- Lange Wiederherstellungszeiten (RTO/RPO werden nicht eingehalten)
- Kein Schutz vor Datenexfiltration und Reputationsverlust
- Veraltete Backup-Konzepte (z. B. ungetrennte Netzwerke, keine Offline-Kopien)
Aktuelle Ransomware-Taktiken im Überblick
1. Double / Triple Extortion
- Double Extortion: Neben der Verschlüsselung wird mit der Veröffentlichung von Daten gedroht.
- Triple Extortion: Zusätzlich wird Druck auf Kunden oder Partner ausgeübt, um weiteres Lösegeld zu erpressen.
2. Living off the Land
Angreifer nutzen vorhandene System-Tools wie:- PowerShell
- WMI
- RDP
- PsExec
3. Active Directory (AD) Missbrauch
Viele Ransomware-Angriffe beginnen mit der Kompromittierung eines Benutzerkontos. Danach wird das AD ausgelesen, um gezielt Berechtigungen zu eskalieren. Angreifer übernehmen privilegierte Konten und verteilen Ransomware im gesamten Netzwerk.4. Zerstörung von Backups
Sobald Angreifer Administratorrechte haben, suchen sie gezielt nach Backup-Servern, z. B.:- Veeam
- Windows Server Backup
- NAS-Systeme
Was Unternehmen in der Schweiz konkret tun müssen
1. Incident Response Plan (IR-Plan)
Erstellen Sie einen Reaktionsplan für Cyberangriffe, der folgende Punkte enthält:- Notfallkontakte (intern & extern)
- Entscheidungswege (z. B. ob Lösegeld gezahlt wird)
- Kommunikation (Presse, Kunden, Partner)
- Wiederherstellungsstrategien
- Rechtliche Schritte (Meldepflicht nach DSG)
2. Detection & Monitoring
Ein gutes Backup erkennt keinen Angriff – aber EDR/XDR-Lösungen können das:- EDR (Endpoint Detection and Response): Erkennt verdächtige Aktivitäten auf Endgeräten
- XDR (Extended Detection and Response): Analysiert Daten über mehrere Quellen hinweg (z. B. Mailserver, Cloud, Endpoints)
3. Offline- und Immutable-Backups
Ein sicheres Backup benötigt:- Trennung vom Netzwerk (Air Gap)
- Nicht veränderbare Snapshots (Immutable Backups)
- Regelmässige Tests der Wiederherstellung
4. Mitarbeiterschulung und Awareness
Viele Angriffe beginnen mit einem Phishing-Mail. Schulen Sie Ihre Mitarbeitenden regelmässig in:- Erkennen von verdächtigen E-Mails
- Umgang mit Dateianhängen und Links
- Meldung von Sicherheitsvorfällen
Alternativen und Ergänzungen zur Backup-Strategie
Ein Backup allein ist keine Sicherheitsstrategie. Ergänzen Sie Ihre Infrastruktur mit:- Zero Trust Architecture
- Jeder Zugriff muss authentifiziert und autorisiert werden – unabhängig vom Standort.
- Keine pauschalen Vertrauensstellungen innerhalb des Netzwerks.
- Micro-Segmentierung
- Trennung von Systemen und Diensten in abgeschottete Netzwerksegmente.
- Ein infiziertes System kann sich nicht beliebig im Netz verbreiten.
- Patch-Management
- Halten Sie Betriebssysteme, Anwendungen und Firmware aktuell.
- Verwenden Sie automatisierte Tools zur Schwachstellenanalyse.
- Multi-Faktor-Authentifizierung (MFA)
- Erschwert den Missbrauch kompromittierter Konten.
- Besonders wichtig für VPN-Zugänge und administrative Accounts.
- Logging & SIEM
- Sammeln und analysieren Sie Sicherheitsereignisse zentral.
- Frühzeitige Erkennung durch Korrelation von Anomalien.
Fazit: Backup ist Pflicht – aber nicht genug
Ransomware wird nicht verschwinden – sie wird intelligenter, gezielter und zerstörerischer. Unternehmen, die 2025 noch auf Backup als alleinige Schutzmassnahme setzen, spielen mit dem Feuer.Backups sind wichtig – aber sie müssen Teil eines umfassenden Schutzkonzepts sein. Erst die Kombination aus Monitoring, Reaktionsplanung, Offline-Sicherung und Awareness kann Ihre Daten und Ihr Unternehmen effektiv schützen.
Gerade in der Schweiz, wo viele KMUs mit begrenztem IT-Budget arbeiten, ist eine klare Priorisierung notwendig. Beginnen Sie mit einer Bestandsaufnahme Ihrer Schutzmassnahmen – und investieren Sie gezielt in die Schwachstellen, die moderne Angreifer ausnutzen.
Nutzen Sie diesen Blog als Anlass, um Ihre Strategie zu hinterfragen – bevor ein echter Angriff Sie dazu zwingt.
FAQ – Häufige Fragen zu Ransomware 2025
Sind Backups nutzlos geworden?Nein, aber sie allein reichen nicht mehr aus. Moderne Angreifer zerstören oder umgehen Backups.
Was ist ein „immutable Backup“?
Ein Backup, das nicht verändert oder gelöscht werden kann – auch nicht von Administratoren.
Was bedeutet „Double Extortion“?
Daten werden nicht nur verschlüsselt, sondern auch gestohlen und zur Erpressung genutzt.
Was ist eine gute Backup-Strategie?
Mindestens 3 Kopien auf 2 unterschiedlichen Medien, 1 davon offline. Dazu: regelmäßige Wiederherstellungstests.
Welche Lösungen gibt es für kleine Unternehmen in der Schweiz?
Auch mit geringem Budget können MFA, Awareness-Trainings und Offline-Backups umgesetzt werden. Beratungen durch externe IT-Security-Partner können helfen.
