Zum Inhalt springen
Zurück zum Blog
Ransomware
·Rouwen Behncke
7 Min.

Cyber-Erpressung +91 % - warum Backups allein nicht mehr reichen

Fälle von Cyber-Erpressung haben massiv zugenommen, und besonders kleine Unternehmen sind betroffen. Angreifer verschlüsseln heute gezielt auch die Backups, sodass eine Sicherung allein nicht mehr ausreicht. Dieser Beitrag zeigt an einem realen Fall, warum es auf isolierte, getestete Backups und ein durchdachtes Notfallkonzept ankommt.

Cyber-Erpressung +91 % - warum Backups allein nicht mehr reichen

Das Wichtigste in Kürze

Die Zahl der bekannten Opfer von Cyber-Erpressung ist gegenüber dem Vorjahr um rund 91 % gestiegen. Besonders im Visier: kleine und mittlere Unternehmen mit bis zu 250 Mitarbeitenden - weil bei ihnen oft Ressourcen - Fachwissen und klare Zuständigkeiten für IT-Sicherheit fehlen. Wie ernst die Lage ist - zeigte zuletzt der Angriff auf das Stadttheater Gießen am 18. Juni 2026: Eine professionelle Angreifergruppe verschlüsselte nicht nur die Daten - sondern auch die Backups - und machte damit die übliche Rettungsleine unbrauchbar.

Viele Betriebe sitzen demselben Missverständnis auf: „Wir haben doch ein Backup" reicht nicht. Wenn das Backup im selben Netz hängt und mitverschlüsselt werden kann - ist es im Ernstfall wertlos. Entscheidend ist ein Backup - das Angreifer nicht verändern können.

Was ist Cyber-Erpressung - kurz erklärt

Bei Cyber-Erpressung (Ransomware) dringen Angreifer in euer Netzwerk ein - verschlüsseln eure Daten und fordern Lösegeld für die Freigabe. Häufig drohen sie zusätzlich - gestohlene Daten zu veröffentlichen (doppelte Erpressung). Der Schaden ist selten nur das Lösegeld - es sind vor allem die Tage oder Wochen Stillstand.

Warum gerade kleine Firmen getroffen werden

Angreifer wählen den Weg des geringsten Widerstands. KMU sind attraktiv - weil sie oft:

  • keine eigene IT-Sicherheitsabteilung haben,
  • veraltete Systeme ohne aktuelle Updates betreiben,
  • Backups nicht testen - und im Ernstfall feststellen - dass sie nicht funktionieren,
  • Mitarbeitende nicht schulen - sodass eine einzige Phishing-Mail genügt.

Was der Fall Gießen zeigt

Beim Angriff auf das Stadttheater Gießen wurden Daten und Backups gemeinsam unzugänglich. Das ist kein Pech - sondern Methode: Moderne Angreifergruppen suchen gezielt nach den Backups und löschen oder verschlüsseln sie zuerst. Ein Backup - das im selben Netzwerk erreichbar ist - schützt deshalb nicht zuverlässig.

Das richtige Backup-Konzept - verständlich erklärt

Zwei Begriffe lösen das Problem:

  • 3-2-1-Regel: drei Kopien eurer Daten - auf zwei verschiedenen Medien - davon eine außer Haus. So überlebt ihr auch Brand - Diebstahl oder einen kompletten Standort-Ausfall.
  • Unveränderliche Backups (immutable): Kopien - die für einen festgelegten Zeitraum technisch nicht verändert oder gelöscht werden können - auch nicht von einem Angreifer mit Administratorrechten. Das ist der entscheidende Schutz gegen den Fall Gießen.

Dazu kommt der oft vergessene dritte Baustein: der Wiederherstellungstest. Ein Backup - das noch nie zurückgespielt wurde - ist nur eine Hoffnung - kein Plan.

Checkliste: Ist euer Backup wirklich sicher?

  • ☐ Mindestens drei Kopien - zwei Medien - eine außer Haus (3-2-1)
  • ☐ Mindestens eine unveränderliche (immutable) Kopie
  • ☐ Backup vom Produktivnetz getrennt erreichbar
  • ☐ Letzter erfolgreicher Wiederherstellungstest dokumentiert
  • ☐ Endpoint-Schutz (EDR/XDR) - der Verschlüsselung früh stoppt
  • ☐ Mitarbeitende für Phishing sensibilisiert

Häufige Fragen zu Ransomware (FAQ)

Sollen wir im Ernstfall Lösegeld zahlen?

Das BSI rät davon ab. Es gibt keine Garantie auf funktionierende Daten - und ihr finanziert weitere Angriffe. Mit unveränderlichen Backups braucht ihr gar nicht erst zu zahlen.

Reicht eine externe Festplatte als Backup?

Nur - wenn sie nach der Sicherung physisch getrennt wird. Eine dauerhaft angeschlossene Platte wird bei einem Angriff mitverschlüsselt.

Wie lange dauert die Wiederherstellung typischerweise?

Ohne getestetes Konzept oft Wochen - das BSI nennt Ausfallzeiten von über drei Wochen als realistisch. Mit geprüftem Recovery sind es Stunden bis wenige Tage.

Sind kleine Firmen wirklich Ziel - oder nur Konzerne?

Gerade kleine Firmen. Angriffe laufen heute weitgehend automatisiert und treffen jeden - der eine Lücke offen lässt.

Fazit

Cyber-Erpressung trifft 2026 vor allem den Mittelstand - und ein einfaches Backup schützt nicht mehr. Wer die 3-2-1-Regel mit unveränderlichen Backups kombiniert und die Wiederherstellung regelmäßig testet - nimmt Angreifern ihr stärkstes Druckmittel.

Wir prüfen euer Backup auf Erpressungs-Sicherheit und richten unveränderliche - getestete Sicherungen ein - mehr dazu auf Backup & Recovery.

Quellen

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil