90% aller Ransomware-Angriffe beginnen mit einer E-Mail – So schützen KMU ihre Mitarbeiter
Ein Mitarbeiter klickt auf einen Anhang. 48 Stunden später sind alle Dateien verschlüsselt. Der Schaden: durchschnittlich 80.000 bis 300.000 Euro. Das hätte verhindert werden können – mit zwei Maßnahmen, die zusammen 780 Euro kosten.
Ransomware 2024/2025: Die Zahlen hinter der Bedrohung
Ransomware ist keine abstrakte Bedrohung für Konzerne. Sie ist die häufigste Cyberbedrohung für Unternehmen jeder Größe – und österreichische KMU sind keine Ausnahme.
| Quelle | Kerndaten |
|---|---|
| BSI Lagebericht 2024 | Ransomware ist und bleibt die Bedrohung Nr. 1 für die österreichische und deutsche Wirtschaft |
| BKA Cybercrime Report 2024 | Cybercrime-Schäden 2024: geschätzte 266 Mrd. €; KMU am häufigsten betroffen |
| Verizon DBIR 2024 | 90 % aller Ransomware-Infektionen starten mit einer Phishing-E-Mail oder kompromittiertem E-Mail-Account |
| Sophos Ransomware 2024 | Ø Lösegeldforderung für KMU: 812.000 USD; 59 % der Betroffenen zahlten |
| Hiscox 2024 | Ø Gesamtkosten eines Ransomware-Angriffs auf KMU: 80.000–300.000 EUR inkl. Folgekosten |
Quellen: BSI Lagebericht 2024, BKA Cybercrime Report 2024, Verizon DBIR 2024, Sophos 2024, Hiscox 2024
Die Ransomware-Angriffskette: Schritt für Schritt
Was sich in 48 Stunden abspielt, hat meistens eine Vorgeschichte von Tagen bis Wochen. Wer die Kette kennt, kann sie an mehreren Punkten unterbrechen.
Phishing-Mail
Der Angriff beginnt mit einer E-Mail – oft eine gefälschte Rechnung, eine Bewerbung mit Anhang, eine „Wichtige Sicherheitsmeldung" von Microsoft oder der Bank. Die E-Mail kommt scheinbar von einer vertrauten Adresse (gespooft, wenn DMARC fehlt) oder von einer leicht abgewandelten Domain.
Klick oder Download
Ein Mitarbeiter klickt auf den Link oder öffnet den Anhang. Entweder wird sofort Malware (Trojaner, Loader) heruntergeladen, oder der Mitarbeiter landet auf einer gefälschten Login-Seite und gibt seine Zugangsdaten ein. In beiden Fällen hat der Angreifer jetzt einen Fuß in der Tür.
Credential-Theft oder Malware-Etablierung
Die gestohlenen Zugangsdaten werden für den Zugriff auf E-Mail, VPN oder Cloud-Systeme genutzt. Oder der Trojaner nistet sich still im System ein, lädt weitere Schadsoftware nach und kommuniziert mit dem Command-and-Control-Server der Angreifer.
Lateral Movement
Der Angreifer bewegt sich im Netzwerk: sammelt weitere Zugangsdaten, identifiziert kritische Server, Backups und Datenbanken. Dieser Schritt dauert oft Stunden bis Tage. In dieser Phase werden häufig auch Daten exfiltriert – zur späteren Erpressung mit Veröffentlichungsdrohung (Double Extortion).
Verschlüsselung
Wenn der Angreifer bereit ist, wird die Ransomware ausgerollt: Alle erreichbaren Dateien werden verschlüsselt. Backups werden gezielt zerstört, falls sie im selben Netzwerk erreichbar sind. In wenigen Stunden kann ein gesamtes Unternehmen lahmgelegt werden.
Erpressung
Eine Lösegeldforderung erscheint auf den Bildschirmen. Typischer Betrag für KMU: 50.000–500.000 USD, zahlbar in Kryptowährung. Deadline: 72–96 Stunden. Oft mit Androhung, gestohlene Kundendaten zu veröffentlichen.
Warum KMU die bevorzugten Ziele sind
Ein verbreiteter Irrtum: „Wir sind zu klein und unwichtig für professionelle Angreifer." Die Realität sieht anders aus – Angreifer wählen KMU wegen ihrer Größe, nicht trotz ihr.
- Kein dediziertes Security-Team: Während Konzerne Security Operations Center (SOC) rund um die Uhr betreiben, übernimmt der Angriff im KMU-Netzwerk oft Stunden unbemerkt.
- Zahlen schneller unter Druck: KMU können sich wochenlangen Ausfall oder aufwendige forensische Ermittlungen oft nicht leisten. Angreifer wissen das und kalkulieren es ein.
- Schwächere Backup-Strategien: Viele KMU haben Backups, aber keine funktionierenden, offline gespeicherten Backups. Nach einem Angriff stellt sich heraus: die Backups sind mitgespiegelt worden oder ebenfalls verschlüsselt.
- Veraltete Systeme: Ältere Windows-Versionen, ungepatchte Software und fehlende Segmentierung erleichtern Lateral Movement erheblich.
- Trotzdem wertvolle Daten: Auch ein 20-Personen-Unternehmen hat Kundendaten, Bankverbindungen, Vertragsunterlagen und Intellectual Property – wertvoll genug für eine Erpressung.
Technische Abwehr: E-Mail-Sicherheit als Fundament
Da 90 % aller Ransomware-Angriffe über E-Mail starten, ist E-Mail-Sicherheit die wichtigste technische Präventionsmaßnahme. Die drei Prioritäten:
1. DMARC, SPF und DKIM konfigurieren
Wenn Ihre Domain korrekt mit DMARC p=reject konfiguriert ist, können Angreifer keine E-Mails unter Ihrer Domain (oder häufig genutzten Partnerdomains) versenden. Das blockiert einen erheblichen Teil der Phishing-Vektoren, die zur Ransomware-Infektion führen. Eine vollständige Anleitung finden Sie in unserem Artikel DMARC einrichten in Österreich.
2. E-Mail-Filterung und Anti-Malware
Moderne E-Mail-Security-Lösungen (Microsoft Defender for Office 365, Google Workspace Advanced Protection) filtern bekannte Schad-Anhänge und Phishing-URLs automatisch. Für KMU sind diese oft bereits in bestehenden Microsoft 365 oder Google Workspace Business-Plänen enthalten – aber häufig nicht aktiviert.
3. E-Mail Security Audit: Status quo verstehen
Bevor Sie in Maßnahmen investieren, sollten Sie wissen, wo Sie heute stehen. Der E-Mail Security Audit von Mailmeister (290 € Fixpreis) analysiert Ihre gesamte E-Mail-Infrastruktur: SPF, DKIM, DMARC, verwendete Drittanbieter, Mailserver-Konfiguration. Sie erhalten einen priorisierten Maßnahmenplan, den Ihr IT-Dienstleister direkt umsetzen kann.
Menschliche Abwehr: Mitarbeiter als letzte Verteidigungslinie
Technische Maßnahmen reduzieren das Risiko – aber sie eliminieren es nicht. Kein Spam-Filter erkennt 100 % der Phishing-Mails. Kein DMARC-Record schützt vor Look-alike-Domains. Am Ende muss ein Mensch entscheiden: Klicke ich auf diesen Anhang?
Das Problem: Menschen können nur dann richtig entscheiden, wenn sie wissen, wonach sie suchen müssen. Und das wissen sie erst, wenn sie es einmal erlebt haben – in einem sicheren, kontrollierten Umfeld.
Eine Phishing-Simulation ist das Feuerwehrübung für Cyberangriffe. Sie stellt einen realistischen Ransomware-Einstieg nach: eine gut gemachte Phishing-Mail, die auf eine Scheinseite verlinkt oder einen harmlosen „Test-Anhang" enthält. Wer klickt, bekommt sofort eine Erklärung – kein Bloßstellen, aber ein persönliches Lernerlebnis, das sich einprägt.
Mehr zu Benchmarks und zur Wirksamkeit von Simulationen lesen Sie in unserem Artikel: Phishing-Klickrate Benchmark 2025.
Kosten: Prävention vs. Schaden
Die Entscheidung zwischen Investition in Prävention und dem Risiko eines Angriffs lässt sich nüchtern kalkulieren:
| Position | Kosten | Anmerkung |
|---|---|---|
| Schaden bei Ransomware-Angriff | ||
| Lösegeldforderung (typisch KMU) | 50.000–500.000 € | Sophos State of Ransomware 2024 |
| IT-Forensik und Wiederherstellung | 15.000–50.000 € | Selbst ohne Lösegeldzahlung |
| Produktionsausfall (Ø 3–7 Tage) | 10.000–80.000 € | Je nach Branche und Umsatz |
| Reputationsschaden und Kundenverlust | 10.000–100.000 € | Langfristig schwer quantifizierbar |
| DSGVO-Bußgeld bei Datenverlust | bis 20.000.000 € | Selten, aber reales Risiko |
| Ø Gesamtschaden KMU | 80.000–300.000 € | Hiscox Cyber Readiness Report 2024 |
| Prävention mit Mailmeister | ||
| E-Mail Security Audit | 290 € | Fixpreis, einmalig |
| Phishing-Simulation | ab 490 € | Fixpreis, inkl. Auswertung |
| Gesamtinvestition | 780 € | Kein Abo, kein Pro-User-Preis |
Quellen: Sophos State of Ransomware 2024, Hiscox Cyber Readiness 2024, DSGVO Art. 83
Selbst wenn man konservativ rechnet – die Wahrscheinlichkeit eines Angriffs auf 5 % pro Jahr schätzt und nur den untersten Schadenswert (80.000 €) ansetzt – ergibt sich ein erwarteter jährlicher Schaden von 4.000 €. Die Präventionskosten von 780 € sind dagegen mehr als rational.
Häufige Fragen zu Ransomware und KMU-Schutz
Wie schützen sich KMU gegen Ransomware?
Ransomware-Schutz für KMU setzt auf zwei Ebenen an: technisch (DMARC gegen gefälschte Absender, E-Mail-Filterung, regelmäßige offline Backups, MFA für alle privilegierten Zugänge) und menschlich (Phishing-Simulation als Übung für den Ernstfall, regelmäßiges Awareness-Training). Da 90 % aller Ransomware-Angriffe über E-Mail starten, ist E-Mail-Sicherheit die wichtigste Einzelmaßnahme.
Was kostet ein Ransomware-Angriff ein KMU durchschnittlich?
Der durchschnittliche Gesamtschaden für KMU liegt zwischen 80.000 und 300.000 Euro – inklusive Produktionsausfall, IT-Forensik, Wiederherstellungskosten und Reputationsschäden (Hiscox Cyber Readiness Report 2024). Hinzu kommen potenzielle DSGVO-Bußgelder bei Datenverlust. Viele kleine Unternehmen zahlen Lösegeld, weil die Wiederherstellungskosten ohne funktionierendes Backup noch höher wären.
Warum sind KMU häufiger Ziel von Ransomware als Großunternehmen?
KMU sind attraktive Ziele, weil sie kein dediziertes Security-Team haben, oft veraltete Systeme betreiben, unter Druck schneller zahlen, weniger ausgereifte Backup-Strategien haben und trotzdem wertvolle Daten (Kundendaten, Finanzdaten, geistiges Eigentum) besitzen. Angreifer wählen den Weg des geringsten Widerstands – und KMU bieten ihn zu oft an.
Schützt DMARC vor Ransomware?
DMARC schützt nicht direkt vor Ransomware – aber es blockiert eine der häufigsten Einstiegsmethoden: gefälschte E-Mails von scheinbar vertrauenswürdigen Absendern. Wenn ein Angreifer keine E-Mails unter Ihrer Domain oder der Domain Ihrer bekannten Partner versenden kann, wird ein erheblicher Teil der Phishing-Vektoren blockiert, über die Ransomware eingeschleust wird.
Die E-Mail ist der häufigste Einstiegsweg für Ransomware – und er ist mit zwei Maßnahmen absicherbar. Der E-Mail Security Audit (290 €) schließt die technische Lücke. Die Phishing-Simulation (ab 490 €) trainiert Ihre Mitarbeiter für den Ernstfall. Zusammen: 780 €. Gegen einen potenziellen Schaden von 80.000–300.000 €.
Kostenloses Erstgespräch buchen →