Ransomware — Definition und Bedeutung für die Cybersicherheit
Ransomware ist Schadsoftware, die Daten oder Systeme verschlüsselt, den Zugriff blockiert und für die Freigabe ein Lösegeld fordert. Für NIS2-betroffene Unternehmen bedeutet Ransomware ein unmittelbares Risiko für Betrieb, Lieferfähigkeit, Meldepflichten und Geschäftsleitung.
Was ist Ransomware?
Ransomware gehört zur Kategorie Malware und zählt laut BSI zu den größten Cyberbedrohungen für Unternehmen in Deutschland. Typisch ist, dass Angreifer nicht nur Dateien verschlüsseln, sondern den Geschäftsbetrieb gezielt unterbrechen und Zeitdruck erzeugen, um eine Zahlung zu erzwingen.
In der Praxis hat sich die sogenannte doppelte Erpressung etabliert. Dabei werden Daten vor der Verschlüsselung exfiltriert, also ausgeleitet, und anschließend sowohl die Entschlüsselung als auch das Unterlassen einer Veröffentlichung gegen Lösegeld angeboten. Für betroffene Unternehmen steigt dadurch der Druck, weil nicht nur die Verfügbarkeit von Systemen, sondern auch Vertraulichkeit, Datenschutz und Reputation betroffen sind.
Warum ist Ransomware für NIS2 relevant?
Ransomware ist für NIS2 relevant, weil der Angriff genau die Schutzgüter trifft, die für wesentliche und wichtige Einrichtungen zentral sind: Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Netz- und Informationssystemen. Art. 6 Nr. 6 der Richtlinie (EU) 2022/2555 beschreibt erhebliche Cyberbedrohungen als Umstände, Ereignisse oder Handlungen, die Netz- und Informationssysteme erheblich beeinträchtigen können. Ransomware fällt typischerweise in dieses Risikoprofil.
Für betroffene Unternehmen folgt daraus mehr als nur ein technisches Schutzkonzept. Art. 21 NIS2 verlangt geeignete und verhältnismäßige Risikomanagementmaßnahmen, etwa für Backup-Management, Incident Handling, Business Continuity, Patch-Management und Schulungen. Genau deshalb gehören Incident Response, eine belastbare Backup-Strategie und dokumentierte Prozesse zur Vorfallbewertung zur Grundausstattung jeder NIS2-Umsetzung. Einen Überblick über den regulatorischen Rahmen finden Sie im NIS2-Hub.
Wenn ein Ransomware-Angriff zu einem erheblichen Sicherheitsvorfall wird, kommen zusätzlich Meldepflichten ins Spiel. Dann muss das Unternehmen prüfen, ob eine Meldung nach Meldepflicht erforderlich ist, etwa wegen erheblicher Betriebsbeeinträchtigungen, finanzieller Schäden oder Auswirkungen auf Dritte. Bei Datenabfluss kann daneben auch Datenschutzrecht relevant werden.
Rechtliche Einordnung in Deutschland
Ransomware ist nicht nur ein IT-Sicherheitsproblem, sondern regelmäßig auch strafrechtlich relevant. §§ 303a und 303b StGB betreffen die Datenveränderung und Computersabotage. Wer Daten unbefugt löscht, unterdrückt, unbrauchbar macht oder Abläufe eines fremden Betriebs durch IT-Eingriffe erheblich stört, bewegt sich im Kernbereich dieser Normen.
Für Unternehmen ist allerdings wichtiger, wie sie mit dem Vorfall umgehen. Das BSI rät bei Ransomware grundsätzlich von einer Lösegeldzahlung ab, weil eine Zahlung weder die vollständige Wiederherstellung noch die Löschung exfiltrierter Daten garantiert. Operativ sinnvoller sind frühe Isolation, forensische Sicherung, Wiederanlauf aus sauberen Backups und ein klarer Eskalationsprozess.
Praxisbeispiel: Südwestfalen-IT
Ein anschauliches deutsches Praxisbeispiel ist der Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT im Herbst 2023. Der Vorfall beeinträchtigte zahlreiche kommunale Leistungen über längere Zeit, weil zentrale Fachverfahren und Verwaltungsprozesse nicht mehr regulär verfügbar waren. Das Beispiel zeigt, warum Ransomware nicht nur einzelne Rechner betrifft, sondern ganze Prozessketten lahmlegen kann.
Für NIS2-betroffene Unternehmen ist daraus eine klare Lehre abzuleiten: Entscheidend ist nicht nur, ob ein Angriff erkannt wird, sondern ob Wiederanlauf, Ersatzprozesse, Kommunikation und Meldelogik vorbereitet sind. Ohne getestete Backups, segmentierte Netze und klare Verantwortlichkeiten wird aus einem Sicherheitsvorfall schnell eine Betriebsunterbrechung mit Führungs- und Haftungsrisiken.
Wie Unternehmen sich gegen Ransomware schützen
Wirksamer Schutz gegen Ransomware beginnt mit wenigen, aber konsequent umgesetzten Maßnahmen. Dazu gehören offline oder logisch getrennte Backups, priorisiertes Patch-Management, Mehrfaktor-Authentifizierung, Netzwerksegmentierung und Awareness-Maßnahmen gegen Phishing und Social Engineering. Wichtig ist außerdem, Backups nicht nur zu erstellen, sondern die Wiederherstellung regelmäßig realistisch zu testen.
Ebenso wichtig ist die organisatorische Vorbereitung. Ein dokumentierter Incident-Response-Ablauf, feste Ansprechpartner, Eskalationsstufen und vorbereitete Entscheidungen für Kommunikation und Meldewege verkürzen die ersten kritischen Stunden erheblich. Wenn Sie Cybervorfälle, Meldewege und Verantwortlichkeiten strukturiert in Ihrem Unternehmen verankern wollen, ist die NIS2-Schulung der passende nächste Schritt.
Häufig gestellte Fragen (FAQ)
Was ist Ransomware?
Ransomware ist Schadsoftware, die Daten oder Systeme verschlüsselt und für die Entschlüsselung oder Nichtveröffentlichung ein Lösegeld fordert. Häufig kombinieren Täter Verschlüsselung und Datenabfluss, um den Druck auf das Unternehmen zu erhöhen.
Warum ist Ransomware für NIS2 wichtig?
Ransomware ist für NIS2 wichtig, weil solche Angriffe die Betriebsfähigkeit, Lieferketten und Informationssicherheit unmittelbar beeinträchtigen können. Für wesentliche und wichtige Einrichtungen sind deshalb Prävention, Wiederherstellung und Vorfallmeldung keine Kür, sondern Teil der Compliance.