Cyber-Erpressung +91 % - warum Backups allein nicht mehr reichen
Fälle von Cyber-Erpressung haben massiv zugenommen, und besonders kleine Unternehmen sind betroffen. Angreifer verschlüsseln heute gezielt auch die Backups, sodass eine Sicherung allein nicht mehr ausreicht. Dieser Beitrag zeigt an einem realen Fall, warum es auf isolierte, getestete Backups und ein durchdachtes Notfallkonzept ankommt.

Das Wichtigste in Kürze
Die Zahl der bekannten Opfer von Cyber-Erpressung ist gegenüber dem Vorjahr um rund 91 % gestiegen. Besonders im Visier: kleine und mittlere Unternehmen mit bis zu 250 Mitarbeitenden - weil bei ihnen oft Ressourcen - Fachwissen und klare Zuständigkeiten für IT-Sicherheit fehlen. Wie ernst die Lage ist - zeigte zuletzt der Angriff auf das Stadttheater Gießen am 18. Juni 2026: Eine professionelle Angreifergruppe verschlüsselte nicht nur die Daten - sondern auch die Backups - und machte damit die übliche Rettungsleine unbrauchbar.
Viele Betriebe sitzen demselben Missverständnis auf: „Wir haben doch ein Backup" reicht nicht. Wenn das Backup im selben Netz hängt und mitverschlüsselt werden kann - ist es im Ernstfall wertlos. Entscheidend ist ein Backup - das Angreifer nicht verändern können.
Was ist Cyber-Erpressung - kurz erklärt
Bei Cyber-Erpressung (Ransomware) dringen Angreifer in euer Netzwerk ein - verschlüsseln eure Daten und fordern Lösegeld für die Freigabe. Häufig drohen sie zusätzlich - gestohlene Daten zu veröffentlichen (doppelte Erpressung). Der Schaden ist selten nur das Lösegeld - es sind vor allem die Tage oder Wochen Stillstand.
Warum gerade kleine Firmen getroffen werden
Angreifer wählen den Weg des geringsten Widerstands. KMU sind attraktiv - weil sie oft:
- keine eigene IT-Sicherheitsabteilung haben,
- veraltete Systeme ohne aktuelle Updates betreiben,
- Backups nicht testen - und im Ernstfall feststellen - dass sie nicht funktionieren,
- Mitarbeitende nicht schulen - sodass eine einzige Phishing-Mail genügt.
Was der Fall Gießen zeigt
Beim Angriff auf das Stadttheater Gießen wurden Daten und Backups gemeinsam unzugänglich. Das ist kein Pech - sondern Methode: Moderne Angreifergruppen suchen gezielt nach den Backups und löschen oder verschlüsseln sie zuerst. Ein Backup - das im selben Netzwerk erreichbar ist - schützt deshalb nicht zuverlässig.
Das richtige Backup-Konzept - verständlich erklärt
Zwei Begriffe lösen das Problem:
- 3-2-1-Regel: drei Kopien eurer Daten - auf zwei verschiedenen Medien - davon eine außer Haus. So überlebt ihr auch Brand - Diebstahl oder einen kompletten Standort-Ausfall.
- Unveränderliche Backups (immutable): Kopien - die für einen festgelegten Zeitraum technisch nicht verändert oder gelöscht werden können - auch nicht von einem Angreifer mit Administratorrechten. Das ist der entscheidende Schutz gegen den Fall Gießen.
Dazu kommt der oft vergessene dritte Baustein: der Wiederherstellungstest. Ein Backup - das noch nie zurückgespielt wurde - ist nur eine Hoffnung - kein Plan.
Checkliste: Ist euer Backup wirklich sicher?
- ☐ Mindestens drei Kopien - zwei Medien - eine außer Haus (3-2-1)
- ☐ Mindestens eine unveränderliche (immutable) Kopie
- ☐ Backup vom Produktivnetz getrennt erreichbar
- ☐ Letzter erfolgreicher Wiederherstellungstest dokumentiert
- ☐ Endpoint-Schutz (EDR/XDR) - der Verschlüsselung früh stoppt
- ☐ Mitarbeitende für Phishing sensibilisiert
Häufige Fragen zu Ransomware (FAQ)
Sollen wir im Ernstfall Lösegeld zahlen?
Das BSI rät davon ab. Es gibt keine Garantie auf funktionierende Daten - und ihr finanziert weitere Angriffe. Mit unveränderlichen Backups braucht ihr gar nicht erst zu zahlen.
Reicht eine externe Festplatte als Backup?
Nur - wenn sie nach der Sicherung physisch getrennt wird. Eine dauerhaft angeschlossene Platte wird bei einem Angriff mitverschlüsselt.
Wie lange dauert die Wiederherstellung typischerweise?
Ohne getestetes Konzept oft Wochen - das BSI nennt Ausfallzeiten von über drei Wochen als realistisch. Mit geprüftem Recovery sind es Stunden bis wenige Tage.
Sind kleine Firmen wirklich Ziel - oder nur Konzerne?
Gerade kleine Firmen. Angriffe laufen heute weitgehend automatisiert und treffen jeden - der eine Lücke offen lässt.
Fazit
Cyber-Erpressung trifft 2026 vor allem den Mittelstand - und ein einfaches Backup schützt nicht mehr. Wer die 3-2-1-Regel mit unveränderlichen Backups kombiniert und die Wiederherstellung regelmäßig testet - nimmt Angreifern ihr stärkstes Druckmittel.
Wir prüfen euer Backup auf Erpressungs-Sicherheit und richten unveränderliche - getestete Sicherungen ein - mehr dazu auf Backup & Recovery.
Quellen
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
22 Cyberangriffe in Deutschland: Was Unternehmen aus realen Fällen lernen können
Von Rostock bis Stuttgart, von Kliniken bis Industriekonzernen, wir analysieren 22 dokumentierte Cyberangriffe in Deutschland und zeigen, welche Lehren KMU daraus ziehen sollten.
NIS2-Richtlinie: Was ändert sich 2026 für KMU?
Die NIS2-Richtlinie stellt neue Anforderungen an die Cybersicherheit von Unternehmen. Wir erklären, was auf KMU zukommt und wie du dich vorbereiten kannst.
Was kostet ein Managed IT Service Provider?
Transparente Preise sind in der IT-Branche selten. Wir zeigen dir, mit welchen Kosten du rechnen kannst und worauf du bei der Auswahl achten solltest.