Doppelte Erpressung: Warum ein Backup allein nicht mehr vor Ransomware schützt

Lange galt die Faustregel: Wer ein gutes Backup hat, ist gegen Ransomware gewappnet. Werden die Daten verschlüsselt, spielt man einfach die Sicherung zurück und zahlt kein Lösegeld. Diese Rechnung geht heute oft nicht mehr auf. Moderne Angreifer setzen auf die doppelte Erpressung: Sie verschlüsseln die Daten nicht nur, sie stehlen sie vorher und drohen mit der Veröffentlichung. Damit verliert das Backup als alleiniger Schutz seine Wirkung.

Wie die doppelte Erpressung funktioniert

Bei der klassischen Ransomware-Attacke werden Dateien verschlüsselt und für die Entschlüsselung Lösegeld verlangt. Bei der doppelten Erpressung kommt ein zweiter Hebel dazu. Der Ablauf sieht typischerweise so aus:

1. Die Angreifer verschaffen sich Zugang zum Netzwerk und bewegen sich oft über Tage oder Wochen unbemerkt darin. 2. Sie kopieren vertrauliche Daten heraus: Kundendaten, Verträge, Personaldaten, Geschäftsgeheimnisse. 3. Erst danach verschlüsseln sie die Systeme. 4. Die Forderung lautet nun doppelt: Lösegeld für die Entschlüsselung und ein weiteres, damit die gestohlenen Daten nicht veröffentlicht oder verkauft werden.

Warum das Backup hier nicht reicht

Ein Backup bringt die verschlüsselten Daten zurück, das ist und bleibt wichtig. Aber gegen die zweite Drohung ist es machtlos: Die Daten sind bereits abgeflossen. Selbst wer alle Systeme sauber wiederherstellt, steht weiter unter Druck, weil die Veröffentlichung sensibler Informationen droht, mit allen Folgen für Datenschutz, Ruf und Geschäftsbeziehungen. Ein Datenabfluss kann zudem eine meldepflichtige Datenpanne nach Datenschutzrecht sein.

Was wirklich schützt

Weil moderne Ransomware mehrstufig vorgeht, braucht es einen mehrstufigen Schutz. Das Ziel ist, Angreifer gar nicht erst hineinzulassen und einen Angriff früh zu erkennen, lange bevor verschlüsselt wird:

• Angriffe früh erkennen: Verhaltensbasierte Erkennung auf den Geräten (EDR) bemerkt ungewöhnliche Aktivitäten, etwa wenn große Datenmengen abfließen, und kann eingreifen, bevor verschlüsselt wird.
• Zugänge absichern: Mehr-Faktor-Anmeldung und sparsam vergebene Rechte erschweren das Eindringen und die Ausbreitung im Netzwerk.
• Lücken schließen: Konsequentes Patchmanagement nimmt Angreifern bekannte Einfallstore.
• Backups schützen: Sicherungen müssen so aufbewahrt werden, dass Angreifer sie nicht mitverschlüsseln oder löschen können, etwa unveränderbar und vom Netz getrennt.
• Awareness: Da viele Angriffe mit Phishing beginnen, ist ein aufmerksames Team eine zentrale Verteidigungslinie.

Häufige Fragen

Soll man bei doppelter Erpressung zahlen?

Sicherheitsbehörden raten grundsätzlich von Zahlungen ab. Es gibt keine Garantie, dass die Täter die Daten tatsächlich löschen, im Gegenteil, eine Zahlung markiert das Opfer als zahlungsbereit. Wichtiger ist, einen Angriff zu verhindern und im Ernstfall die zuständigen Stellen einzubinden.

Ist mein Backup damit überflüssig?

Keineswegs. Ein sauberes, geschütztes Backup bleibt unverzichtbar, um nach einem Angriff wieder arbeitsfähig zu werden. Es ist nur kein vollständiger Schutz mehr, sondern ein Baustein von mehreren.

Woran erkennt man einen Angriff, bevor verschlüsselt wird?

An ungewöhnlichen Mustern: auffällige Anmeldungen, große Datenbewegungen, unbekannte Programme. Genau solche Muster erkennt eine verhaltensbasierte Überwachung, die rund um die Uhr ausgewertet wird.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH schützt kleine und mittlere Unternehmen mit einem mehrschichtigen Konzept gegen moderne Ransomware: von der verhaltensbasierten Erkennung auf den Endgeräten über abgesicherte Zugänge und Patchmanagement bis zu Backups, die selbst gegen Manipulation geschützt sind. Im kostenlosen Erstgespräch prüfen wir, wie widerstandsfähig Ihr Unternehmen gegen einen Ransomware-Angriff ist. Mehr zu unserer IT-Sicherheit und unseren Managed Services finden Sie auf den jeweiligen Seiten.