Incident-Responder.com
Notfall?
← Zurück Verschlüsselte Dateien auf einem Desktop mit offener Ransom-Note
30.05.2026 · 7 min #Data-Recovery #Backup

Data Recovery für KMUs: Ransomware & Backup

Alexander Schlingmann Alexander Schlingmann

Ransomware und Wiper-Angriffe: Wenn der Zugriff auf Daten verloren geht

Deine Daten sind noch da, du hast nur keinen Zugriff mehr. Cybercrime ist der häufigste Grund, dass Unternehmen Data Recovery in Anspruch nehmen müssen. Insbesondere die Verbreitung von Ransomware, sogenannten Erpressungstrojanern, nimmt kontinuierlich zu. Hierbei stehen auch immer mehr kleine und mittlere Unternehmen, sogenannte KMUs, im Fokus. Bei diesen Angriffen werden die vorhandenen Daten verschlüsselt und nur nach Zahlung häufig fünfstelliger Beträge wieder freigegeben.

Wiper-Angriffe können sich als Ransomware tarnen, hier liegt der Fokus allerdings auf der Vernichtung von Daten. Dies kann durch Verschlüsselung ohne Speicherung des Schlüssels oder durch einfaches Löschen erfolgen. Da hier nicht der finanzielle Aspekt im Vordergrund steht, sind eher Unternehmen aus Schlüsselindustrien im Fokus.

Woran erkennst du einen Ransomware-Befall?

Oft fällt zuerst auf, dass Dateien nicht mehr das übliche Vorschaubild haben. Das liegt daran, dass Ransomware aus einer PDF zum Beispiel eine .pdf.akira macht. Diese Dateien lassen sich dann nicht mehr öffnen, da der Inhalt verschlüsselt wurde.

Ein weiteres Indiz ist, dass Erpresserschreiben auf dem Desktop abgelegt werden. Diese Ransomware-Notes haben oft eindeutige Namen wie Readme.txt, Restore_your_files.txt oder ähnliches.

Die Verschlüsselung erfolgt oft im Hintergrund und wird erst bemerkt, wenn es zu spät ist.

Wiper-Angriffe: Wenn Daten absichtlich vernichtet werden

Noch destruktiver als Ransomware sind Wiper-Angriffe. Während Ransomware Daten verschlüsselt und Lösegeld fordert, verfolgen Wiper ein anderes Ziel: die vollständige und unwiederbringliche Zerstörung von Daten. Kein Lösegeld, keine Verhandlung, keine Data Recovery ohne Backup.

Ein aktuelles Beispiel ist der Angriff auf den Medizintechnikkonzern Stryker im März 2026. Ein Wiper-Angriff legte die IT des Unternehmens weltweit lahm und traf die Geräte von 56.000 Mitarbeitern. Die Angreifer nutzten dabei die cloudbasierte Geräteverwaltungsplattform Microsoft Intune, um remote Löschbefehle auf verbundenen Geräten auszuführen. Systeme mussten von Grund auf neu aufgebaut und aus Offline-Backups wiederhergestellt werden, ein monatelanger Prozess.

Der Stryker-Fall zeigt ein wichtiges Muster: Die Angreifer nutzten keine fremde Software, sie missbrauchten ein legitimes Admin-Tool, das bereits im Unternehmen vorhanden war.

Meine persönliche Empfehlung: Erarbeite ein Löschkonzept. In größeren Unternehmen sollte es technisch erzwungen werden, dass kritische Aktionen wie das Remote-Löschen von Geräten oder das vollständige Löschen von Fileservern nur durch zwei Administratoren gemeinsam ausgeführt werden können. Das Vier-Augen-Prinzip verhindert, dass ein kompromittierter Account alleine maximalen Schaden anrichten kann.

Was jetzt zu tun ist

Warning

Du bist gerade betroffen? Lies nicht weiter. Meinen Leitfaden für die ersten 60 Minuten findest du hier. Jede Minute zählt!

Bei Ransomware und Wiper-Angriffen geht es in den ersten Stunden um Containment und Root Cause Analyse.

Warum gehen Daten in Unternehmen noch verloren?

Neben Cyberangriffen gibt es weitere häufige Ursachen für Datenverlust: physische Defekte und versehentliches Löschen. Alle lassen sich mit den richtigen Maßnahmen weitgehend abfedern.

Physische Defekte: Wenn Hardware versagt

Festplatten haben eine begrenzte Lebensdauer. Auch unvorsichtiger Umgang, zum Beispiel beim Transport, kann zu Datenverlust führen. Ein Sturz reicht manchmal aus, um eine Festplatte dauerhaft zu beschädigen.

Wenn eine Festplatte physisch defekt ist und kein Backup existiert, bleibt nur ein spezialisierter Data Recovery Dienstleister.

Meine persönliche Empfehlung:

Achte bei der Auswahl darauf, dass der Anbieter nach dem Prinzip "Keine Wiederherstellung, keine Kosten" arbeitet. Klärt das vor der Beauftragung! Wer pauschal Vorabkosten verlangt, ohne eine Erfolgsgarantie zu geben, sollte kritisch hinterfragt werden.

Was ist RAID und was schützt es?

RAID steht für "Redundant Array of Independent Disks". Statt Daten auf eine einzelne Festplatte zu schreiben, verteilt RAID die Daten durch verschiedene Algorithmen auf mehrere Festplatten gleichzeitig. Fällt eine Festplatte aus, kann eine neue hinzugefügt werden und das RAID repariert sich in der Regel selbst. Wikipedia hat einen guten Überblick über die verschiedenen RAID-Level.

RAID schützt vor dem Ausfall einzelner Festplatten und erhöht die Verfügbarkeit deines Systems.

Ein RAID ist kein Backup

Das ist einer der häufigsten und gefährlichsten Irrtümer in der IT. RAID schützt vor Hardwareausfall, aber nicht vor versehentlichem Löschen, Ransomware oder Feuer. Wenn eine Datei auf dem RAID gelöscht oder verschlüsselt wird, ist sie auf allen Festplatten gleichzeitig weg oder eben verschlüsselt.

Ein RAID ersetzt kein Backup. Es ergänzt es.

Daten wurden versehentlich gelöscht

Nichts ist ärgerlicher als versehentlich gelöschte Daten. Zum Glück ist das in vielen Fällen lösbar.

Erste Hilfe bei versehentlicher Löschung

So einfach es klingt: Ein Blick in den Papierkorb hilft oft bereits. Viele gelöschte Dateien landen zunächst dort und können mit einem Klick wiederhergestellt werden.

Wenn die Datei den Papierkorb bereits verlassen hat, gibt es spezialisierte Tools, die gelöschte Dateien wiederherstellen können. Das bekannteste und günstigste Tool für Windows ist Recuva von Piriform. Dieses ist kostenfrei. Wichtig dabei: Das Tool so schnell wie möglich ausführen und auf einem anderen Datenträger installieren als auf dem, auf dem die Daten verloren gegangen sind. Jede neue Schreiboperation auf dem betroffenen Datenträger kann die gelöschten Daten unwiederbringlich überschreiben.

Wiederherstellung mit solchen Tools ist nicht garantiert. Je nach Dateisystem, Datenträgertyp und vergangener Zeit kann die Erfolgsquote stark variieren. Bei SSDs ist die Wiederherstellung deutlich schwieriger als bei klassischen Festplatten, da SSDs gelöschte Daten oft sofort durch den sogenannten TRIM-Befehl bereinigen.

Bei Dateien, die auf diesem Weg nicht wiederhergestellt werden können, hilft nur ein aktuelles Backup.

Was kostet professionelle Data Recovery?

Professionelle Datenwiederherstellung im Cyber-Notfall ist kostspielig. Je nach Schweregrad und Art des Datenverlustes können die Kosten schnell in den vierstelligen, bei komplexen Fällen auch fünfstelligen Bereich gehen. Hinzu kommt die Zeit: Eine Wiederherstellung dauert oft mehrere Tage, in denen der Betrieb stillsteht.

Die gute Nachricht: Die meisten Fälle von Datenverlust sind vermeidbar. Eine durchdachte Backup-Strategie kostet einen Bruchteil einer einzigen Wiederherstellung.

Die richtige Backup-Strategie für KMUs

Die 3-2-1-1-0 Regel

Die 3-2-1-1-0 Regel ist der Standard für eine solide Backup-Strategie:

  • 3 Kopien der Daten
  • 2 verschiedene Speichermedien
  • 1 Kopie an einem externen Standort
  • 1 Kopie offline, also air-gapped ohne Netzwerkverbindung. Das ist deine Versicherung gegen Ransomware.
  • 0 Fehler bei der Wiederherstellung, das bedeutet: regelmäßig testen.

Die offline Kopie ist dabei der entscheidende Faktor. Ein Angreifer, der dein Netzwerk kompromittiert hat, kann nur das verschlüsseln, was er erreichen kann. Eine physisch getrennte Kopie ohne Netzwerkverbindung bleibt unangetastet.

Georedundanz: Warum der Standort deines Backups wichtig ist

Ein Backup am selben Standort schützt nicht vor Feuer, Überschwemmung oder Einbruch. Das BSI empfiehlt für hochverfügbare Systeme einen Mindestabstand von 200km zwischen Standorten.

Diese Empfehlung teile ich. Praktisch lässt sich das zum Beispiel durch ein Backup bei Hetzner in Falkenstein in Sachsen und einem zweiten Standort in Frankfurt am Main realisieren, das sind 286km Abstand.

Backups verschlüsseln und mit Hashes absichern

Ein Backup, das unverschlüsselt gespeichert wird, ist ein Sicherheitsrisiko. Wer Zugriff auf den Backup-Speicher bekommt, hat Zugriff auf alle Daten.

Genauso wichtig sind kryptografische Hashes. Ein Hash ist eine mathematische Prüfsumme, die eindeutig zu einer Datei gehört. Wird die Datei auch nur minimal verändert, ändert sich der Hash komplett. Damit lässt sich bei der Wiederherstellung prüfen, ob das Backup integer ist, also ob die Daten seit der Sicherung unverändert geblieben sind. Das schützt vor stiller Dateikorruption und gibt Sicherheit, dass das Backup im Ernstfall tatsächlich nutzbar ist.

Viele moderne Backup-Lösungen übernehmen Verschlüsselung und Hash-Prüfung automatisch. Prüfe, ob diese Funktionen bei deiner Lösung aktiv sind.

Backup testen: Der unterschätzte Schritt

Danger

Ein Backup, das nie getestet wurde, ist kein Backup. Es ist eine Hoffnung.

Teste mindestens einmal im Jahr, ob deine Backups tatsächlich wiederherstellbar sind. Nicht nur, ob die Sicherung läuft, sondern ob du eine konkrete Datei oder ein komplettes System erfolgreich wiederherstellen kannst. Dieser Test kostet ein paar Stunden und kann im Ernstfall das Unternehmen retten.

Backup as a Service für KMUs

Für viele KMUs ist Backup as a Service die praktischste Lösung. Das Systemhaus des Vertrauens kann hier geeignete Produkte empfehlen und die Einrichtung übernehmen.

Bei der Auswahl würde ich auf folgende Punkte achten:

  • Immutable Backups, also Backups, die nachträglich nicht verändert oder gelöscht werden können, auch nicht durch Ransomware.
  • Klare Wiederherstellungszeiten und Wiederherstellungspunkte sowie die vertragliche Verankerung dieser.
  • Georedundante Speicherung.
  • Regelmäßige automatische Testwiederherstellungen.

Und noch einmal der wichtigste Hinweis: Auch Daten in der Cloud und in BaaS-Lösungen müssen regelmäßig gesichert und getestet werden. Eine Cloud-Lösung schützt nicht automatisch vor versehentlichem Löschen oder Ransomware.