Ransomware ist Schadsoftware, die Daten auf Servern, PCs und verbundenen Backups verschlüsselt und für die Entschlüsselung Lösegeld in Kryptowährung verlangt. Moderne Varianten (Double Extortion) stehlen die Daten zusätzlich und drohen mit Veröffentlichung.

Soll ein KMU Lösegeld bezahlen?

Das NCSC/BACS und die Kantonspolizeien raten klar davon ab. Eine Zahlung garantiert keine Entschlüsselung, finanziert weitere Angriffe und macht das KMU zum Wiederholungsziel. Sinnvoller ist eine geprüfte Backup-Strategie und ein Incident-Response-Plan, der die Wiederherstellung in Stunden statt Wochen ermöglicht.

Was kostet ein Ransomware-Vorfall ein Schweizer KMU?

Der durchschnittliche Schaden liegt laut Sophos State of Ransomware Report 2025 bei rund USD 1.5 Mio. – inkl. Wiederherstellung, Produktionsausfall, Anwalts- und PR-Kosten. Selbst kleinere KMU mit 10–30 Mitarbeitenden berichten typischerweise von CHF 80’000 bis CHF 350’000 Folgekosten.

Welche Massnahmen verhindern Ransomware am wirksamsten?

EDR/XDR auf allen Endgeräten, MFA mit Phishing-resistenten Methoden, immutable Offsite-Backups (3-2-1-1-0), zeitnahes Patching, Netzwerk-Segmentierung und ein getesteter Incident-Response-Plan. Diese fünf Bausteine verhindern oder minimieren über 90% aller Vorfälle.

Ransomware-Schutz KMU Schweiz: Verhindern & Überleben 2026

Kurz vorweg: Über 70% der Schweizer Ransomware-Opfer sind KMU mit weniger als 250 Mitarbeitenden – nicht Banken oder Konzerne. Der durchschnittliche Stillstand beträgt 21 Tage, der Schaden geht typischerweise in die sechsstelligen Beträge. Die gute Nachricht: Mit einem 5-Bausteine-Schutz lässt sich das Risiko drastisch reduzieren – ohne ein Vermögen auszugeben.

Wie ein Ransomware-Angriff 2026 wirklich abläuft

Vergessen Sie das Bild eines einsamen Hackers im Hoodie. Hinter modernen Angriffen stehen organisierte Banden, die ein RaaS-Modell (Ransomware-as-a-Service) betreiben. Ein typischer Angriff auf ein Schweizer KMU verläuft so:

Initialer Zugang (Tag 0)

Eine Phishing-Mail an die Buchhaltung, eine ungepatchte VPN-Lücke (Fortinet, SonicWall, Citrix), ein gestohlenes Passwort aus einem Datenleck oder ein RDP-Port am Internet. Über 80% aller Vorfälle starten so.

Häufigster Einstiegspunkt 2025/26: kompromittierte Zugangsdaten ohne MFA.

Lateral Movement (Tag 1–14)

Die Angreifer bewegen sich unauffällig durchs Netz, deaktivieren Antivirus, übernehmen Domain-Admin-Konten, identifizieren Backups, exfiltrieren Daten in die Cloud. In dieser Phase ist erfahrenes EDR der entscheidende Schutz.

Durchschnittliche Verweildauer (Dwell Time) im KMU: 9 Tage.

Data Exfiltration (Double Extortion)

Bevor verschlüsselt wird, werden mehrere Hundert GB sensitive Daten gestohlen – Verträge, HR-Akten, Kundendaten. So entsteht ein zweiter Hebel: Auch wer Backups hat, riskiert die Veröffentlichung im Darknet.

Etwa 70% der Vorfälle 2025 hatten eine Datenleck-Komponente.

Encryption & Erpressung (Tag X)

In wenigen Stunden werden Server, Fileshares und – falls erreichbar – auch die Backup-Server verschlüsselt. Im Posteingang liegt die Lösegeldforderung, oft mit Frist von 72 Stunden und einem TOR-Onion-Link für die Verhandlung.

Forderungshöhe für KMU: 3–8% des geschätzten Jahresumsatzes.

Die 5 Bausteine: Wirksamer Ransomware-Schutz für KMU

Ransomware-Schutz ist kein Produkt, das man kauft – sondern eine Kombination aus Prävention, Erkennung und Wiederherstellung. Diese fünf Bausteine wirken zusammen und sind für Schweizer KMU bezahlbar.

EDR/XDR statt klassischem Antivirus

Microsoft Defender for Endpoint (P1/P2), SentinelOne, CrowdStrike Falcon Go oder Sophos Intercept X erkennen verdächtiges Verhalten (z.B. Massenverschlüsselung) in Echtzeit, isolieren das Gerät automatisch und liefern eine forensische Spur. Klassischer Signatur-Antivirus reicht 2026 nicht mehr.

Ab CHF 4–9 pro Endgerät/Monat.

Identitäts-Härtung: MFA, Conditional Access, Passkeys

Der häufigste Einstieg sind kompromittierte Konten. Microsoft 365 Business Premium liefert Conditional Access, Risk-based MFA und Passwortverbote. Ergänzend: FIDO2-Hardware-Tokens (YubiKey) für Admins und Finanz-Personal.

Microsoft 365 Business Premium: CHF 22.60 pro Nutzer/Monat (ersetzt teils Drittanbieter).

Immutable Offsite-Backups (3-2-1-1-0)

3 Kopien, 2 Medientypen, 1 offsite, 1 immutable (unveränderbar), 0 Fehler bei der Wiederherstellung. Lösungen wie Veeam mit Hardened Linux Repository, Wasabi Object Lock oder Azure Backup mit Soft Delete sind ransomware-resistent. Zentral: Die Backups dürfen nicht mit Domain-Credentials erreichbar sein.

CHF 150–400 pro Monat für 1 TB inkl. Cloud-Replikation.

Patching & Angriffsfläche reduzieren

Externe Dienste (RDP, alte VPN-Gateways, ungepatchte Exchange-Server) sind die häufigsten Einfallstore. Zwingend: monatliches Patching von OS, Browser, Drittanwendungen sowie ein externes Schwachstellen-Scanning (z.B. Qualys, Tenable, Greenbone) mindestens quartalsweise.

Patch-Management ab CHF 3 pro Gerät/Monat, Schwachstellen-Scan ab CHF 80/Monat für ein KMU.

Incident-Response-Plan (vor dem Ernstfall)

Ein Dokument, jährlich getestet: Wer entscheidet? Welche Telefonnummern (IT-Dienstleister, Cyberversicherung, NCSC, Anwalt, PR)? Welche Systeme zuerst hochfahren? Eine getestete Wiederherstellung dauert 1–3 Tage – eine ungetestete oft Wochen.

Initialaufwand 1–2 Beratertage (CHF 1’500–3’000), danach Routine.

Frühe Warnzeichen: Wenn etwas im Netz nicht stimmt

Plötzliche Performance-Einbrüche, ungewöhnlich viele Schreibvorgänge auf Fileshares oder unbekannte Prozesse mit hoher CPU-Last.
Antivirus oder EDR meldet sich kurz – und ist dann auf einmal deaktiviert. Sofort untersuchen.
Neue Konten im Active Directory, neue Postfach-Weiterleitungen oder unerwartete Anmeldungen aus dem Ausland.
Geplante Aufgaben (Scheduled Tasks) oder neue Dienste, die niemand erstellt hat.
Backups schlagen plötzlich fehl oder die Backup-Reports kommen nicht mehr an.
Unerwartete Verbindungen zu Cloud-Speichern (MEGA, Anonfiles, Backblaze) – häufig die Datenexfiltration vor der Verschlüsselung.

Im Ernstfall: Die ersten 60 Minuten

Betroffene Systeme isolieren – LAN-Kabel ziehen, WLAN aus, betroffene VLANs trennen. NICHT herunterfahren – Hauptspeicher kann forensisch wertvoll sein.
Geschäftsleitung & IT-Dienstleister informieren. Falls vorhanden: Cyberversicherung sofort kontaktieren – viele verlangen Anruf binnen 24h.
Backups physisch trennen (USB raus, Tape ejecten, Cloud-Tokens widerrufen) bevor die Angreifer dort ankommen.
Vorfall ans NCSC/BACS melden (report.ncsc.admin.ch). Bei Datenleck mit hohem Risiko zusätzlich an EDÖB nach revDSG Art. 24.
Strafanzeige bei Kantonspolizei (Cybercrime-Stelle). Wichtig für Versicherung und mögliche internationale Verfolgung.
KEINE Verhandlung mit den Angreifern und KEINE Lösegeldzahlung ohne Forensik & Rechtsberatung – das ist in vielen Fällen kontraproduktiv und potenziell sanktionsrechtlich relevant.

Schweizer Spezifika 2026

Meldepflicht nach ISG: Betreiber kritischer Infrastrukturen müssen Cyberangriffe seit 1. April 2025 innerhalb von 24h ans NCSC melden. Für andere KMU empfohlen.
Sanktionen: Lösegeldzahlungen an gelistete Gruppen (z.B. LockBit, BlackCat) können gegen SECO-Sanktionsrecht verstossen – immer juristisch prüfen lassen.
Cyberversicherung: Helvetia, AXA, Mobiliar, Generali, Zurich verlangen MFA, EDR und getestete Backups als Voraussetzung. Ohne diese Massnahmen wird im Schadenfall oft gekürzt oder abgelehnt.
NCSC-Kostenlos-Hotline: 058 463 13 13 für Akutfälle – professionelle Erstberatung, anonym wenn gewünscht.
Lieferketten: Wenn Sie EU-Kunden beliefern und unter NIS2 fallende Auftraggeber haben, gelten ab 2025 verschärfte Sicherheitsanforderungen auch für Schweizer Zulieferer.

Was kostet realistischer Schutz – Beispiel KMU mit 20 Mitarbeitenden

Komponente	Tool / Dienst	Kosten / Monat
EDR / XDR	Defender P2 oder SentinelOne	CHF 100–180
Identität & MFA	M365 Business Premium	CHF 450
Backup mit Immutability	Veeam + Wasabi Object Lock	CHF 220
DNS-Schutz	Cisco Umbrella / Cloudflare Gateway	CHF 80
Awareness-Training	KnowBe4 / SoSafe	CHF 100
Patching & Monitoring	NinjaOne / N-able	CHF 90
Total		≈ CHF 950–1’100

Fazit: Schutz ist günstiger als der Vorfall

Für rund CHF 1’000 pro Monat erhält ein 20-Personen-KMU einen wirksamen Ransomware-Schutz – das sind etwa 0.5–1% des typischen IT-Budgets. Ein einziger erfolgreicher Vorfall kostet das 50- bis 200-fache. Die Investition zahlt sich also bereits aus, wenn sie nur einen einzigen Angriff in zehn Jahren verhindert.

Wichtig: Verlassen Sie sich nicht auf «das hat uns noch nie getroffen». Die Bandbreite der Angreifer hat sich vervielfacht – Schweizer KMU sind heute Standardziele, nicht Ausnahmen. Wer drei Dinge richtig macht (MFA, EDR, immutable Backups), reduziert das Risiko um über 90%.

Ransomware-Readiness-Check

Wir prüfen in 4 Stunden Ihre Endpoints, Identitäten, Backups und Patches – und liefern eine priorisierte Massnahmenliste. Erstgespräch kostenlos.

Check anfragen