Ransomware Schutz in Hannover: Wie Angriffe wirklich ablaufen – und wie KMU sie stoppen

Wer verstehen will, wie man sich vor Ransomware schützt, sollte zunächst verstehen, wie ein Angriff wirklich funktioniert. Viele Schutzmaßnahmen scheitern nicht an fehlenden Werkzeugen, sondern daran, dass die Angriffskette nicht bekannt ist – und Investitionen deshalb am falschen Ort landen. Dieser Praxisleitfaden für KMU in Hannover zeigt, wie moderne Ransomware vorgeht und welche vier Maßnahmen tatsächlich wirken.

Wie ein typischer Ransomware-Angriff auf ein KMU abläuft

Der Ablauf ist überraschend standardisiert. In den meisten Fällen beginnt es mit einer Phishing-Mail – ein Anhang im Format .docm oder ein Link zu einer kompromittierten Website. Öffnet ein Mitarbeitender die Datei, wird im Hintergrund ein PowerShell-Befehl ausgeführt, der eine Verbindung zu einem Command-and-Control-Server aufbaut.

Von dort lädt der Angreifer weitere Werkzeuge nach: Zunächst wird das Netzwerk erkundet, anschließend werden Backups identifiziert und gezielt deaktiviert, bevor der Verschlüsselungs-Payload ausgerollt wird. In gut gesicherten Umgebungen dauert dieser Prozess Stunden bis Tage. In schlecht segmentierten Netzwerken reichen teils 20 bis 30 Minuten.

1. Phishing-Mail mit präpariertem Anhang ( .docm ) wird geöffnet.
2. PowerShell-Payload wird ausgeführt und verbindet sich mit dem C2-Server.
3. Angreifer erkundet intern das Netzwerk (Lateral Movement via SMB).
4. Backup-Systeme werden deaktiviert oder überschrieben.
5. Verschlüsselungs-Payload wird auf alle erreichbaren Systeme verteilt.
6. Lösegeldforderung wird hinterlassen.

Zwei PowerShell-Abfragen können erste Hinweise auf eine laufende Kompromittierung liefern:

            
                # Prozesse aus temporären Verzeichnissen prüfen

                Get-Process | Where-Object {$_.Path -like 
                "*Temp*"
                } | Select-Object Id, ProcessName, Path

                # Fehlgeschlagene Anmeldeversuche analysieren

                Get-WinEvent -LogName Security -FilterXPath 
                "*[System[EventID=4625]]"
                 | Select-Object TimeCreated, @{Name=
                'User'
                ;Expression={$_.Properties[5].Value}}, @{Name=
                'IP'
                ;Expression={$_.Properties[18].Value}}
            
        

Der erste Befehl prüft, ob Prozesse aus temporären Verzeichnissen gestartet werden – ein klassisches Zeichen für Malware. Der zweite zeigt fehlgeschlagene Anmeldeversuche, die auf einen Brute-Force-Angriff hindeuten können.

Vier Maßnahmen für wirksamen Ransomware Schutz in Hannover

1. Endpoint Detection & Response statt klassischem Antivirus

Signaturbasierte Antiviren-Software erkennt bekannte Malware. Ransomware-Akteure umgehen das durch leicht modifizierten Code oder den Missbrauch legitimer Windows-Werkzeuge – sogenannte „Living off the Land"-Techniken. EDR-Lösungen wie Microsoft Defender for Endpoint oder CrowdStrike Falcon arbeiten verhaltensbasiert und erkennen verdächtige Aktivitäten unabhängig davon, ob die Schadsoftware bereits bekannt ist. Für KMU ohne eigenes Security-Team ist ein Managed-EDR-Dienst oft die wirtschaftlichere Wahl.

2. Netzwerksegmentierung mit definierten Kommunikationsregeln

Ohne Segmentierung kann sich Ransomware ungehindert im Netzwerk ausbreiten. Die Umsetzung mit VLANs und ACLs ist auch in kleineren Umgebungen mit modernen Managed-Switches realisierbar. Ein Beispiel für eine restriktive ACL:

            
                access-list
                 VLAN10_IN 
                permit
                 tcp any host 
                10.0.20.10
                 eq 
                445
                access-list
                 VLAN10_IN 
                deny
                   ip  any any
            
        

Damit darf ausschließlich der notwendige SMB-Verkehr zum Dateiserver passieren – alle anderen Verbindungen werden verworfen.

3. Application Whitelisting

Wenn nur explizit freigegebene, signierte Anwendungen ausgeführt werden dürfen, entfällt ein Großteil der Angriffsfläche. Windows bietet dafür AppLocker und Windows Defender Application Control. Besonders in Umgebungen, in denen Mitarbeitende keine wechselnden Anwendungen benötigen, ist das eine wirksame Maßnahme mit überschaubarem Verwaltungsaufwand.

4. Backup mit nachgewiesener Wiederherstellbarkeit

Das 3-2-1-Prinzip ist bekannt – drei Kopien, zwei Medien, eine davon off-site. Was weniger beachtet wird: Backups, die nie auf Wiederherstellbarkeit geprüft wurden, versagen im Ernstfall häufig. Quartalsweise Restore-Tests, dokumentiert und mit definierten Recovery Time Objectives (RTO), sind kein optionaler Zusatz, sondern integraler Bestandteil jeder ernsthaften Sicherheitsstrategie.

Wo viele KMU in Hannover ihren Schutz unterschätzen

Ein häufiges Muster: Technische Maßnahmen werden eingeführt, aber nicht dauerhaft überwacht. Eine EDR-Lösung, die nach einem Update fehlerhafte Konfigurationen aufweist, bietet keinen Schutz – solange niemand es bemerkt. Dasselbe gilt für Backup-Jobs, die still scheitern, und Firewall-Regeln, die schrittweise durch Ausnahmen ausgehöhlt wurden. Kontinuierliches IT-Monitoring ist die Klammer, die alle anderen Maßnahmen zusammenhält.

Selbstcheck: Vier Fragen, die Sie sofort beantworten sollten

• Erhalten Sie einen Alert, wenn ein Backup-Job fehlschlägt?
• Ist RDP ausschließlich über VPN mit MFA erreichbar?
• Wurde der letzte vollständige Restore-Test dokumentiert?
• Sind Produktions- und Büronetzwerk logisch getrennt?

Häufige Fragen zu Ransomware Schutz in Hannover

Reicht es, RDP mit einem starken Passwort zu sichern?

Nein. Starke Passwörter schützen vor Brute-Force-Angriffen, nicht vor gestohlenen Credentials, die im Darknet gehandelt werden. MFA ist in diesem Kontext keine optionale Ergänzung, sondern eine notwendige Grundlage.

Ist Antivirus-Software noch zeitgemäß?

Als alleinige Schutzmaßnahme nicht mehr ausreichend. Als Teil einer mehrschichtigen Verteidigung ist sie nach wie vor sinnvoll, weil sie bekannte Bedrohungen mit geringem Aufwand herausfiltert und die Last für tiefergehende Analysen reduziert.

Was kostet ein Managed-EDR-Dienst für ein KMU?

Die Kosten variieren je nach Anbieter und Unternehmensgröße. Als grobe Orientierung: Für 25 Endgeräte liegen die monatlichen Kosten je nach Leistungsumfang zwischen 300 und 600 Euro – deutlich weniger als die Kosten eines einzigen erfolgreichen Angriffs.

Fazit

Wer versteht, wie Ransomware-Angriffe in der Praxis ablaufen, kann gezielter schützen. EDR, Netzwerksegmentierung, getestete Backups und konsequente Überwachung sind keine neuartigen Technologien – sie sind Grundprinzipien, die in vielen KMU noch nicht durchgängig umgesetzt sind. Wenn Sie wissen möchten, wo Ihr Unternehmen konkret steht: Wir führen ein kostenloses Erstgespräch durch.

Unser Partner: SOPHOS