Startseite Blog

Ransomware Attacke: Was Mittelständler aus dem Fasana-Cyberangriff lernen

Cyberangriffe sind längst Realität – auch im Mittelstand. Jüngste Fälle zeigen, wie wichtig vorbeugende Sicherheitsmaßnahmen sind. 10 konkrete Empfehlungen für mittlere Unternehmen finden Sie hier.

Ransomware Attacke

Cyberangriffe sind auch im Mittelstand ein existenzielles Risiko

Wer denkt, dass Ransomware Attacken nur große Firmen und Konzerne betrifft, der irrt sich. Da Bewusstsein und Ressourcen für IT-Sicherheit im Mittelstand oft begrenzt sind, gerät dieser zunehmend ins Visier von Kriminellen.

Der Fall des Serviettenherstellers Fasana aus Euskirchen 2025 zeigt auf schmerzhafte Weise, dass fehlende oder unzureichende Sicherheitsmaßnahmen sogar zur Insolvenz führen können. Eine unglückliche Kombination: interne Versäumnisse – und das Pech, ins Visier genommen zu werden.

Wir erleben täglich, dass mittelständische Unternehmen Cybergefahren ignorieren bzw. unterschätzen. Aus Mangel an Zeit. Ressourcen. Budget.

Doch für Unternehmer*innen, IT-Verantwortliche und die Geschäftsleitung ist es zentrale Aufgabe, die eigene digitale Sicherheit zu stärken. Mit NIS2, ISO-Richtlinien & Co. sogar teilweise per Gesetz verpflichtend. Daher liefern wir Ihnen die TOP 10 der konkreten Maßnahmen, mit denen Sie Ihr Unternehmen wirksam vor Ransomware Attacken schützen können.

Der Fall Fasana: Was ist passiert?

Hohe Energiekosten und die wirtschaftliche Lage machte der Traditionsfirma schon lange zu schaffen. Im Mai legte eine Ransomware Attacke IT und Produktion von Fasana über 2 Wochen lahm. Die Angreifer kompromittierten das Firmennetzwerk, verschlüsselten relevante Daten und forderten Lösegeld. Auffällig war, dass sie ihre Erpresserschreiben direkt über die internen Drucker ausgaben – ein Hinweis auf tiefgehenden Netzwerkzugriff.

Bereits kurze Zeit nach dem Angriff verzeichnete das Unternehmen erhebliche finanzielle Verluste:

  • Produktionsstopp: Die Maschinen, die auf digital gesteuerte Systeme angewiesen waren, konnten nicht mehr betrieben werden.
  • Stilllegung des Rechnungswesens: Die Bearbeitung von Kundenaufträgen und die Fakturierung von Lieferungen waren nicht mehr möglich.
  • Eingeschränkte Kommunikation: Wichtige Kommunikationskanäle, sowohl innerhalb des Unternehmens als auch zu externen Partnern, waren gestört.
  • Hoher Tagesverlust: Nach Angaben der Geschäftsleitung lag der tägliche finanzielle Schaden bei etwa 250.000 Euro.

Der Geschäftsbetrieb war massiv gestört, Wiederanlauf und Reparatur verursachten hohe Kosten. Am Ende blieb dem Unternehmen leider nur noch der Schritt in die Insolvenz.

Das traurige Beispiel zeigt: Ein einziger Vorfall kann auch etablierte Mittelständler existenziell treffen. Oft reicht ein angeklickter Link oder ein unsicheres Passwort, um schwerwiegende Folgen auszulösen.

nach BSI: Die Top 10 Ransomware-Maßnahmen

Mit überschaubarem Aufwand lässt sich der Schutz vor Ransomware Attacken deutlich steigern. Die folgenden Maßnahmen sind für mittelständische Unternehmen geeignet und bieten erste Schutzwirkung:

1. Patch- und Update-Management

Halten Sie Betriebssysteme, Anwendungen und Geräte stets aktuell. Kritische Sicherheitsupdates sollten sofort eingespielt werden, um bekannte Schwachstellen zu schließen und Angriffsflächen zu minimieren.

2. Absicherung von Remote-Zugängen

Lassen Sie Remote-Zugriffe nur über VPNs mit Multi-Faktor-Authentisierung zu. Beschränken Sie den Zugriff auf notwendige IPs und überwachen Sie Anomalien, um Kompromittierungen zu verhindern.

3. E-Mail- und Makro-Schutz

Stellen Sie E-Mails standardmäßig als Nur-Text dar. Zumindest sollten aktive Inhalte von HTML-Mails unterdrückt werden, damit schadhafte Skripte nicht ausgeführt werden können. Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden.

4. Programmausführung kontrollieren

Blockieren Sie grundsätzlich unerwünschte Software, z. B. durch Application Whitelisting, bei dem nur genehmigte Progeamme gestartet werden. Weniger aufwändig, kann zunächst eine Ausführung nur aus freigegebenen oder nicht vom Benutzer beschreibbaren Verzeichnissen zugelassen werden – eine bereits sehr wirksame Schutzmaßnahme gegen Erstinfektionen.

5. Endpoint- und Virenschutz

Setzen Sie Next-Gen-Antivirenlösungen mit Cloud-Analyse, IPS und EDR ein, um auch neue Ransomware-Varianten frühzeitig zu erkennen und zu blockieren.

6. Sichere Nutzung von Administrator-Konten

Grundsätzlich sollten mit privilegierten Accounts nur Administratoren-Tätigkeiten durchgeführt werden. Über diese Accounts liest bitte keiner seine Mails oder surft im Netz! Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden.

7. Netzwerksegmentierung

Segmentieren Sie Netzwerke nach Funktion und Schutzbedarf, um die Ransomware-Ausbreitung im Ernstfall zu begrenzen. Hierbei hilft auch Punkt 6 – verwenden Sie Administrator Accounts!

8. Backup-Strategie & zentrale Datenhaltung

Backup! Präventive Maßnahme No. 1! Sichern Sie Ihre Daten nach der 3-2-1-Regel auch offline. Diese Backups werden nach dem Backupvorgang von den anderen Systemen des IT-Netzes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt. „Backup“ ist im Kontext von Wiederanlauf und Rücksicherung der Daten im Ernstfall ein wichtiger Punkt.

9. Härtung des Active Directory

Nach der initialen Kompromittierung wird häufig der zentrale Authentisierungs- und Autorisierungsdienst angepeilt, um mit erweiterten Rechten auf Clients und Server innerhalb der Domäne zuzugreifen und die Ransomware zentral zu verteilen. Reduzieren Sie Zugriffsrechte im Active Directory auf das absolute Minimum und trennen Sie verschiedene Administrator-Ebenen klar voneinander.

10. Notfall- und Incident-Response-Plan

Bestimmen Sie die wichtigsten Systeme und Prozesse, entwickeln Sie konkrete Wiederanlaufpläne und legen Sie alternative Kommunikationswege fest. Üben Sie den Ernstfall im Team, damit alle Beteiligten im Falle einer Ransomware Attacke handlungsfähig und vorbereitet sind. Ein IT-Notfallplan ist Gold wert.

FAQ: Wichtige Fragen zur IT-Sicherheit im Mittelstand

Sind wir als kleines Unternehmen wirklich ein Ziel?

Ja – Angreifer suchen oft gezielt nach Standardsystemen in kleinen und mittleren Unternehmen, weil die Verteidigungslinien weniger komplex sind.

Was tun bei einem Verdacht auf Cyberangriff?

Systeme so gut wie möglich isolieren, keine Panik, aber schnell einen IT-Dienstleister mit Fachkenntnis Security, die Geschäftsleitung und ggf. Experten oder Behörden hinzuziehen. Vorfälle müssen unter Umständen dem BSI gemeldet werden (FAQ zur Meldepflicht)!

Was ist die wichtigste Einzelmaßnahme?

Sicherheitskopien (Backups) – sie ermöglichen den Wiederanlauf des Betriebs nach einer Ransomware Attacke und sind vergleichsweise leicht umsetzbar.

Security Assessment by ORBIT

Ein Security Assessment ist ein entscheidender Schritt, um die Sicherheitslage Ihres Unternehmens objektiv zu bewerten und gezielte Maßnahmen zur Risikominimierung abzuleiten. ORBIT bietet Ihnen ein modular aufgebautes Assessment, das sich flexibel an Ihre Unternehmensgröße und individuellen
Anforderungen anpasst.

Ablauf des Security Assessments

  1. Initiale Abstimmung
      • Sie übermitteln die relevanten Informationen zu Zielsystem, Scopes und Kritikalität
      • Gemeinsame Definition der Prüfziele und Prioritäten
  2. Durchführung des Assessments
      • ORBIT führt eine strukturierte Analyse Ihrer IT-Landschaft durch
      • Optional: Penetrationstest zur Identifikation technischer Schwachstellen
  3. Integration, Auswertung & Ergebnispräsentation
      • Konsolidierung aller Ergebnisse – einschließlich technischer Findings aus dem Penetrationstest (sofern beauftragt)
      • Erstellung eines umfassenden Reports mit klaren Handlungsempfehlungen
      • Optional: Präsentation der Ergebnisse auf C-Level-Ebene und Maßnahmenworkshop

Bitte kontaktieren Sie uns für weitere Details.

Aktuelle Beiträge

Zur Newsübersicht

Aktuelle Veranstaltungen bei ORBIT

  • SOC-Tour mit Arctic Wolf: Einblick ins Security Operations Center | Messeturm Frankfurt

    Sie möchten Ihr Unternehmen professionell gegen Cyber-Bedrohungen schützen, ohne eigene Ressourcen in ein teures und komplexes SOC zu investieren? Dann sind Sie auf unserer exklusiven SOC-Tour genau richtig!

    Arctic Wolf Networks GmbH Messeturm | Friedrich-Ebert-Anlage 49 | 60308 Frankfurt am Main
    Zur Veranstaltung

  • Online-Seminar | KI in der Produktion – Quick Wins für KMU

    KI-News aus dem Maschinenraum: KI-Experte Hermann del Campo zeigt, was KI in Produktionsunternehmen leistet, und präsentiert 4 machbare Use Cases.

    Online
    Zur Veranstaltung

  • Strategic Executive Community

    KI verändert nicht nur Chancen, sondern auch Risiken. In der Strategic Executive Community diskutieren Entscheider*innen, wie Konzernsicherheit im KI-Zeitalter neu gedacht werden muss – exklusiv, praxisnah, zukunftsweisend.

    Headquarter Telekom Deutschland | Landgrabenweg 149 | 53227 Bonn
    Zur Veranstaltung