Ransomware-Angriffe auf Schweizer KMU haben laut dem Melani-Bericht 2025 um 40 Prozent zugenommen. Die durchschnittliche Lösegeldforderung bewegt sich zwischen CHF 50.000 und CHF 500.000. Der Gesamtschaden, inklusive Geschäftsunterbrechung, Datenwiederherstellung und Reputationsverlust, liegt im Schnitt bei CHF 250.000 pro Vorfall. Besonders betroffen sind Buchhaltungssysteme: Sie enthalten die sensibelsten Geschäftsdaten eines Unternehmens, von Bankverbindungen über Lohndaten bis zu Steuerunterlagen.

Ein strukturierter 5-Stufen-Schutz reduziert das Risiko um 99 Prozent. Die Kosten dafür liegen bei einem Bruchteil des potenziellen Schadens.

Datensicherung nach dem 3-2-1-Prinzip

Die wichtigste Massnahme kommt zuerst, denn sie entscheidet darüber, ob ein Ransomware-Angriff eine Katastrophe wird oder ein handhabbarer Zwischenfall bleibt. Das 3-2-1-Prinzip ist einfach: drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine offline.

Konkret bedeutet das für Unternehmen mit Bexio oder Abacus:

Variante A: Bexio Cloud nutzt automatische tägliche Cloud-Backups. Das klingt komfortabel, reicht aber nicht. Eine einzige Kopie in der Cloud ist kein ausreichendes Backup, denn Ransomware kann auch Cloud-Synchronisierungen verschlüsseln. Zusätzlich ist ein Offline-Backup erforderlich.

Variante B: Veeam Backup (CHF 500-2.000 pro Jahr) bietet den vollständigen Schutz. Die Einrichtung umfasst vier Schritte:

Veeam installieren
Bexio-Datenbank täglich automatisch exportieren
Backup auf externe Festplatte (USB, offline)
Festplatte täglich physisch vom PC trennen

Der letzte Punkt ist entscheidend. Ein Backup, das permanent mit dem Netzwerk verbunden ist, wird bei einem Ransomware-Angriff mitverschlüsselt. Die physische Trennung ist die einzige Garantie.

Für den Backup-Zeitplan gilt: Tägliches inkrementelles Backup sichert nur die Änderungen und belastet weder Netzwerk noch Speicher übermässig. Ein wöchentliches Vollbackup schafft einen verlässlichen Wiederherstellungspunkt. Und einmal im Monat sollte die Wiederherstellung simuliert werden. Denn ein Backup, das nie getestet wurde, ist kein Backup.

Phishing-Filter als erste Verteidigungslinie

95 Prozent aller Ransomware-Angriffe beginnen mit einer Phishing-E-Mail. Der Angriffsvektor ist bekannt und sieht häufig so aus:

From: finanzamt@tax-ch.com (FAKE!)
Subject: Dringende Steuerrückerstattung
Anhang: Rechnung_2025.pdf.exe (MALWARE!)

Die E-Mail wirkt seriös, der Absender scheint vertrauenswürdig, der Anhang hat einen plausiblen Dateinamen. Erst die doppelte Dateiendung (.pdf.exe) verrät die Falle, und die übersehen die meisten Empfänger.

Drei E-Mail-Security-Tools im Vergleich:

| Tool | Preis | Phishing-Erkennungsrate | |------|-------|------------------------| | Proofpoint | CHF 30-60/Nutzer/Jahr | 99,5% | | Microsoft Defender for Office 365 | CHF 15-25/Nutzer/Jahr | 98,5% | | Barracuda Email Security | CHF 20-40/Nutzer/Jahr | 98% |

Für Unternehmen, die bereits Office 365 nutzen, ist Microsoft Defender die naheliegende Wahl. Das Tool integriert sich nahtlos, erfordert keine zusätzliche Infrastruktur und deckt mit 98,5 Prozent Erkennungsrate die grosse Mehrheit der Angriffe ab. Proofpoint lohnt sich für Institute mit erhöhtem Risikoprofil, etwa Finanzdienstleister oder Vermögensverwalter mit direktem Kundenkontakt.

Verhaltensbasierter Endgeräteschutz

Klassische Antivirus-Software erkennt nur bekannte Schadsoftware anhand von Signaturen. Moderne Ransomware nutzt jedoch polymorphen Code, der sich bei jedem Angriff verändert. Endpoint Protection der aktuellen Generation arbeitet verhaltensbasiert: Sie erkennt verdächtige Muster wie massenhafte Dateiverschlüsselung und stoppt den Prozess, bevor Schaden entsteht.

Die drei führenden Plattformen:

| Tool | Preis | Erkennungsrate | |------|-------|----------------| | CrowdStrike Falcon | CHF 50-100/Gerät/Jahr | 99,9% | | Microsoft Defender for Endpoint | CHF 40-80/Gerät/Jahr | 99,5% | | SentinelOne | CHF 60-120/Gerät/Jahr | 99,8% |

CrowdStrike Falcon bietet die beste Erkennungsrate spezifisch für Ransomware und ist bei vielen Schweizer Finanzinstituten bereits Standard. Die Installation ist unkompliziert: Agent herunterladen, auf allen Geräten installieren, zentral über das Dashboard verwalten. Pro Gerät dauert die Einrichtung rund zehn Minuten.

Wichtig ist die flächendeckende Abdeckung. Ein einziger ungeschützter Rechner, etwa der private Laptop eines Mitarbeiters im Home-Office, genügt als Einfallstor.

Schulung gegen den Faktor Mensch

80 Prozent der erfolgreichen Cyberangriffe nutzen menschliche Fehler aus. Kein E-Mail-Filter und kein Endpoint-Schutz kann verhindern, dass ein Mitarbeiter bewusst ein Passwort weitergibt oder eine verdächtige Datei ausführt. Deshalb ist die regelmässige Schulung keine Kür, sondern Pflicht.

Anbieter wie KnowBe4 und Proofpoint Security Awareness setzen auf simulierte Phishing-Angriffe. Das Prinzip: In unregelmässigen Abständen erhalten Mitarbeiter täuschend echte Phishing-E-Mails. Wer klickt, bekommt statt Ransomware ein kurzes Schulungsvideo. Das System trackt die Klickrate über die Zeit. Bestrafung gibt es keine, nur Lernen.

Die Kosten liegen bei CHF 20 bis 40 pro Nutzer und Jahr. Der Effekt ist messbar: Die durchschnittliche Klickrate auf Phishing-Links sinkt von 30 Prozent auf 3 Prozent. Das entspricht einer Risikoreduktion von 90 Prozent beim häufigsten Angriffsvektor.

Quartalsweise 15-minütige Video-Schulungen halten das Bewusstsein wach. Besonders wirksam sind Beispiele aus der eigenen Branche: Eine gefälschte ESTV-Steuerrückerstattung trifft den Nerv einer Buchhaltungsabteilung stärker als ein generisches Beispiel.

Notfallplan: Die ersten 30 Minuten entscheiden

Trotz aller Prävention bleibt ein Restrisiko. Ein dokumentierter Incident Response Plan stellt sicher, dass im Ernstfall nicht Panik regiert, sondern ein klarer Ablauf.

Sofortmassnahmen (erste 30 Minuten):

Betroffenen PC vom Netzwerk trennen (LAN-Kabel ziehen, WLAN deaktivieren)
IT-Verantwortlichen alarmieren
Nicht zahlen. Die Empfehlung aller Behörden, von der Schweizer NCSC bis zum FBI, ist eindeutig: Lösegeld zahlen finanziert die Angreifer und garantiert keine Datenwiederherstellung.

Wiederherstellung (Tag 1 bis 3):

Offline-Backup wiederherstellen (darum ist Stufe 1 so entscheidend)
Malware entfernen (CrowdStrike- oder SentinelOne-Scan)
Sämtliche Passwörter ändern
FINMA informieren (Pflicht für regulierte Institute)

Nachbereitung (Woche 1 bis 2):

Forensische Analyse: Über welchen Weg drang die Ransomware ein?
Patch Management: Alle identifizierten Sicherheitslücken schliessen
Team-Schulung: Lessons Learned dokumentieren und vermitteln

Der Incident Response Plan sollte ausgedruckt und an einem bekannten Ort aufbewahrt werden. Im Ernstfall ist das Netzwerk verschlüsselt, und ein digital gespeicherter Notfallplan ist nicht zugänglich.

Investition und vermiedener Schaden

Die Gesamtkosten für den 5-Stufen-Schutz bei einem Unternehmen mit zehn Mitarbeitenden:

Veeam Backup: CHF 1.000/Jahr
Microsoft Defender (E-Mail): CHF 200/Jahr
CrowdStrike (Endpoint): CHF 1.000/Jahr
Phishing-Training: CHF 300/Jahr
Gesamt: CHF 2.500 pro Jahr

Der durchschnittliche Schaden eines Ransomware-Angriffs:

Lösegeld: CHF 100.000 (Durchschnitt)
Geschäftsunterbrechung: CHF 150.000 (zwei Wochen Stillstand)
Gesamt: CHF 250.000

CHF 2.500 Investition gegen CHF 250.000 potenziellen Schaden. Das ist keine Rechnung, die man lange abwägen muss.

Kostenlose Beratung buchen

Haftungsausschluss: Dieser Artikel dient ausschliesslich zu Informationszwecken und stellt keine Finanzberatung dar. Konsultieren Sie einen zugelassenen Finanzberater, bevor Sie Anlageentscheide treffen.