Ransomware: Was tun in den ersten 60 Minuten? Ein Leitfaden für KMU

Veröffentlicht von Mario Härdi am

Stell dir vor: Du kommst morgens ins Büro, startest den Computer — und statt deiner Arbeitsoberfläche erscheint eine rote Meldung. „All your files have been encrypted.“ Darunter eine Bitcoin-Adresse und ein Countdown. Genau das ist vielen Schweizer KMU in den letzten Jahren passiert. Und die entscheidende Frage in diesem Moment ist nicht „Warum ist das passiert?“ — sondern:
Was tue ich jetzt, sofort, in den nächsten 60 Minuten?

Dieser Leitfaden gibt dir eine klare Antwort, ohne IT-Fachjargon, direkt umsetzbar, auch wenn du kein IT-Profi bist.

Was ist Ransomware – und warum trifft es KMU?

Ransomware ist eine Art Schadsoftware, die alle Dateien auf deinem Computer oder Netzwerk verschlüsselt. Danach fordert der Angreifer ein Lösegeld (englisch: ransom) – meist in Kryptowährung – um die Dateien wieder freizugeben.

Das Trügerische daran: Du merkst es oft erst, wenn es zu spät ist. Die Schadsoftware schleicht sich meist unbemerkt über eine gewöhnliche E-Mail, einen falschen Link oder ein unsicheres Passwort ins System ein und wartet. Dann schlägt sie zu, oft nachts oder am Wochenende.

KMU sind besonders betroffen, weil sie oft weniger IT-Ressourcen haben als Grossunternehmen, aber genauso wertvolle Daten: Kundendaten, Auftragsdaten, Buchhaltung, Bauplaner, Schülerakten.

📊 Zahlen die wachrütteln:
– Laut NCSC (Nationales Zentrum für Cybersicherheit) sind KMU die am häufigsten gemeldete Opfergruppe bei Ransomware-Angriffen in der Schweiz.
– Durchschnittliche Ausfallzeit nach einem Angriff: 16–21 Tage.
– Viele Unternehmen zahlen das Lösegeld und erhalten ihre Daten trotzdem nicht zurück.

Typische Anzeichen eines Ransomware-Angriffs

Manchmal gibt es Warnsignale, bevor der Angriff vollständig zugeschlagen hat. Diese Zeichen solltest du kennen:

  • 🔴 Dateien lassen sich plötzlich nicht mehr öffnen oder haben seltsame Dateiendungen (z.B. .locked, .encrypted)
  • 🔴 Eine Meldung erscheint auf dem Bildschirm mit Zahlungsaufforderung
  • 🔴 Der Computer läuft unerklärlich langsam -> viele Hintergrundprozesse
  • 🔴 Antivirenprogramm wurde deaktiviert oder zeigt Warnungen
  • 🔴 Kollegen berichten plötzlich von Zugangsproblemen
  • 🔴 Netzwerklaufwerke sind nicht mehr erreichbar

Wichtig: Auch wenn du nur einen dieser Punkte erkennst -> sofort handeln.
Jede Minute, in der das System weiterläuft, kann weiteren Schaden verursachen.

Die ersten 60 Minuten — Schritt für Schritt

Hier ist dein Aktionsplan. Er ist absichtlich einfach gehalten — weil du in diesem Moment keinen Kopf für Technikerklärungen hast.

Schritt 1: Netzwerk trennen (Minuten 0–5)
Das ist dein wichtigster erster Schritt. Je schneller du das Gerät vom Netz nimmst, desto weniger kann sich die Ransomware auf andere Computer ausbreiten.
– Netzwerkkabel sofort abziehen
– WLAN deaktivieren (Windows-Taste + Flugzeugmodus)
– Bei mehreren betroffenen Geräten: Router / Switch vorerst ausschalten
– Keine USB-Sticks einstecken, die könnten ebenfalls infiziert werden  

⚠️ Gerät NICHT ausschalten: Viele forensische Beweise gehen verloren wenn du den Stecker ziehst. Netz trennen reicht.
Schritt 2: IT-Profi anrufen (Minuten 5–10)
Das ist kein Moment für Google. Ruf jetzt deinen IT-Dienstleister an — direkt, nicht per Mail (die könnte ebenfalls kompromittiert sein).
– Schildere was du siehst — Fehlermeldung, betroffene Systeme, seit wann
– Nenne wie viele Geräte betroffen sind
– Erwähne ob ihr ein Backup habt und wo es liegt  

simplify IT Notfall-Hotline: +41 41 449 49 49
Schritt 3: Beweise sichern (Minuten 10–20)
Noch bevor dein IT-Profi eintrifft, kannst du wichtige Informationen sichern -> mit deinem Smartphone: – Foto der Fehlermeldung / Lösegeld-Seite machen
– Uhrzeit und Datum notieren, wann du es bemerkt hast
– Welche Programme du zuletzt geöffnet oder Links angeklickt hast-
Wer als letztes an den betroffenen Geräten gearbeitet hat  

Diese Informationen sind für Forensik, Versicherung und NCSC-Meldung wichtig.
Schritt 4: Mitarbeiter informieren (Minuten 20–30)
Schnelle interne Kommunikation verhindert, dass weitere Geräte infiziert werden.
– Alle Mitarbeiter sofort informieren, mündlich oder per Telefon (nicht per Mail!)
– Niemand soll im Moment neue Mails öffnen oder Links anklicken
– Alle Geräte vom WLAN nehmen die noch nicht betroffen sind
– Keine Passwörter ändern, erst nach Rücksprache mit dem IT-Profi
Schritt 5: Lösegeld nicht zahlen (dauerhaft)
Ich weiss, der Druck ist enorm. Der Countdown läuft, die Daten sind weg, der Betrieb steht.
Trotzdem: Zahle das Lösegeld nicht.  
– Kein Angreifer ist zur Herausgabe der Daten verpflichtet, viele zahlen und bekommen trotzdem nichts
– Du machst dich als zahlungsbereit bekannt, das führt zu weiteren Angriffen
– Es gibt oft andere Möglichkeiten: Backups, Entschlüsselungstools, forensische Wiederherstellung  

Zuerst mit IT-Profi und Versicherung sprechen! Dann entscheiden.

Was danach kommt — und wer hilft

Nach der Akutphase beginnt die Wiederherstellung. Das ist ein strukturierter Prozess der Zeit braucht — aber mit dem richtigen Partner beherrschbar ist:

  1. Forensische Analyse — Wie kam die Ransomware rein? Was ist betroffen?
  2. Backup-Wiederherstellung — Wenn ein sauberes Backup vorhanden ist, kann der Betrieb schnell wiederaufgenommen werden.
  3. Systembereinigung — Alle infizierten Systeme werden neu aufgesetzt.
  4. NCSC-Meldung — Cybervorfälle müssen in der Schweiz gemeldet werden (ncsc.admin.ch).
  5. Versicherungsmeldung — Cyberversicherung informieren, Schadensprotokoll einreichen.
  6. Nachsorge — Sicherheitslücken schliessen, damit es nicht nochmal passiert.
💡 Der wichtigste Schutz ist das Backup, das du heute einrichtest.
Unternehmen mit einem funktionierenden, aktuellen Backup sind nach einem Ransomware-Angriff in Tagen wieder betriebsbereit, nicht in Wochen.
Und sie zahlen kein Lösegeld.

Wie du dich jetzt schützen kannst — bevor es passiert

Die gute Nachricht: Die meisten erfolgreichen Ransomware-Angriffe hätten verhindert werden können. Mit diesen Massnahmen reduzierst du dein Risiko massiv:

  • ✅ Regelmässige, automatisierte Backups nach der 3-2-1-Regel (3 Kopien, 2 Medien, 1 ausgelagert)
  • ✅ MFA (Mehr-Faktor-Authentifizierung) auf allen Konten, besonders Microsoft 365 und E-Mail
  • ✅ Aktuelle Software und Betriebssysteme, Windows 10 Support endete Oktober 2025, Windows 11 ist Pflicht
  • ✅ Mitarbeiter sensibilisieren: Phishing-Mails erkennen, keine unbekannten Links anklicken
  • ✅ Endpoint Security (EDR): moderner Virenschutz der Bedrohungen in Echtzeit erkennt
  • ✅ Proaktives Monitoring: auffälliges Verhalten im Netzwerk früh erkennen

Du weisst nicht ob deine IT diese Anforderungen erfüllt?
Ein kostenloser IT-Check schafft Klarheit. In unter einer Stunde.

Jetzt handeln, bevor es brennt!

Ein Anruf bei simplify IT kostet nichts. Ein Ransomware-Angriff ohne Vorbereitung kostet sehr viel. Zeit, Geld und Vertrauen.

📞 Kostenlose IST-Analyse: Wir schauen gemeinsam wo deine IT steht
🔒 Backup-Check: Sind deine Daten wirklich gesichert?
🛡️ Security-Beratung: Was wäre nötig um euch besser zu schützen?
 
+41 41 449 49 49  ·  notfall@simplify-it.ch
Cybersecurity Response

Akuter Angriff — jetzt gerade? Dieser Leitfaden hilft dir vorbereitet zu sein. Wenn es bei dir gerade brennt, ist hier der direkte Weg zur Sofort-Hilfe: 👉 Zur Cybersecurity Notfall-Seite von simplify IT

Kategorien: Security

Ähnliche Beiträge

Security

Backups, die wirklich funktionieren

Wenn Datenverlust teuer wird – warum einfache Backup-Strategien oft nicht reichen Der Moment, den niemand erleben will Stell dir vor, es ist Montagmorgen. Kaffee in der Hand, erster Login – und plötzlich ist alles weg. Weiterlesen

Infrastructure

Windows 10 EOL – was bedeutet das für dich und warum jetzt der Moment für Windows 11 gekommen ist

Aktualisiert Mai 2026: Windows 10 ist seit Oktober 2025 offiziell End of Life. Viele KMU in der Schweiz nutzen es noch! Hier ist was du wissen und tun musst. Es fühlt sich ein bisschen so Weiterlesen

simplify IT Blog - IT-Sicherheit beginnt nicht bei der Firewall – sondern beim Mindset
Security

IT-Sicherheit beginnt nicht bei der Firewall – sondern beim Mindset

🔓 Sicherheit fängt im Kopf an Was war dein erster Gedanke, als du „IT-Sicherheit“ gelesen hast? Eine Firewall? Antivirus-Software? Vielleicht sogar ein komplexes System aus Richtlinien und Verschlüsselungstechnologien? Klar – all das gehoert dazu. Aber Weiterlesen