Ransomware, also Erpressersoftware, gilt längst als eines der größten Geschäftsrisiken – nicht nur für Konzerne, sondern gerade auch für den deutschen Mittelstand. Im Jahr 2025 wurden laut Bundesinnenministerium 1.041 Ransomware-Angriffe angezeigt, ein Plus von zehn Prozent im Vergleich zum Vorjahr.
Was ist Ransomware und wie funktioniert sie?
Bei einer Ransomware-Attacke verschlüsseln Kriminelle komplette IT-Systeme und erpressen Lösegeld – meistens in Form von Bitcoin und häufig verbunden mit der Drohung, zuvor gestohlene Daten zu veröffentlichen. Die Angriffe legen ganze Produktionen lahm und treffen zunehmend auch den Mittelstand.
Experteninterview: Michael Sjøberg und Peter Skovbo
Wie können Unternehmen sich dagegen wehren? Wie können sie in dieser Lage wieder die Kontrolle gewinnen? Und welche Fehler sind in den ersten Stunden besonders teuer? Das erklären die Krisenverhandler Michael Sjøberg, früher beim dänischen Militär auf Geiselnahmen spezialisiert, und Peter Skovbo, der das von Sjøberg gegründete Beratungsunternehmen Delta Crisis in der Schweiz führt, im Interview.
Herr Sjøberg, wenn ein Unternehmen Sie während eines Cyberangriffs anruft – was ist dann typischerweise schon schiefgelaufen? „Viele Vorfälle werden zum ungünstigsten Zeitpunkt entdeckt“, sagt Sjøberg. Oft fehle es an einem klaren Kommunikationsplan und einer strukturierten Reaktion. Viele Firmen unterschätzten, dass Cyberkriminalität immer das ganze Unternehmen betreffe, ergänzt Skovbo.
Typische Fehler in den ersten Stunden
Laut den Experten sind die häufigsten Fehler: mangelnde Vorbereitung, fehlende Notfallpläne und die falsche Einschätzung der Lage. Unternehmen sollten sofort ein Krisenteam bilden, externe IT-Forensiker hinzuziehen und die Kommunikation mit Mitarbeitern, Kunden und Medien zentral steuern. Verhandlungen mit Erpressern sollten nur von erfahrenen Krisenverhandlern geführt werden, um keine falschen Signale zu senden.
Prävention und Schutzmaßnahmen
Um sich besser zu schützen, empfehlen Sjøberg und Skovbo regelmäßige Sicherheitsaudits, Mitarbeiterschulungen und die Implementierung von Multi-Faktor-Authentifizierung. Auch die regelmäßige Sicherung von Daten und die Erstellung eines Incident-Response-Plans seien essenziell. „Je besser die Vorbereitung, desto geringer die Wahrscheinlichkeit, dass ein Angriff erfolgreich ist oder große Schäden verursacht“, so Skovbo.



