Es ist Montagmorgen, 07:14 Uhr. Die IT-Leiterin eines mittelgrossen Unternehmens i bemerkt: Systeme reagieren nicht, Dateien lassen sich nicht öffnen, auf dem Bildschirm eine Lösegeldforderung. Erster Reflex: „Kein Problem, wir haben ein Backup." Dann der Schock: Das Backup ist ebenfalls verschlüsselt. Die Snapshots gelöscht. Der Zugang zum Backup-Portal gesperrt. Die letzte verwertbare Sicherung liegt vier Monate zurück — auf einem Band, das niemand getestet hat.
Was wie ein Worst-Case-Szenario klingt, ist 2026 Alltag. Ransomware-Gruppen haben dazugelernt. Sie verschlüsseln nicht mehr einfach drauflos. Sie bereiten sich vor — methodisch, geduldig, professionell. Und ihr erstes Ziel ist längst nicht mehr der Fileserver. Es ist das Backup.
Die Logik dahinter ist einfach und brutal: Wer das Backup kontrolliert, kontrolliert die Verhandlung. Solange ein Unternehmen wiederherstellen kann, gibt es keinen Grund, Lösegeld zu zahlen. Also muss das Backup weg — bevor die eigentliche Verschlüsselung beginnt.
Laut Verizons Data Breach Investigations Report 2025 steckt Ransomware hinter 75 Prozent aller System-Intrusion-Breaches. Was dabei oft übersehen wird: Die Angreifer bewegen sich typischerweise Tage bis Wochen im Netzwerk, bevor sie zuschlagen. In dieser Zeit suchen sie gezielt nach Backup-Infrastruktur — und räumen sie aus.
Recorded Future beobachtet 2026 eine weitere Verschiebung: Ransomware-Gruppen operieren zunehmend ausserhalb Russlands, die Angriffe werden häufiger, persistenter und schwerer zu erkennen. Europa ist besonders betroffen — 22 Prozent aller globalen Ransomware-Angriffe treffen europäische Organisationen.
Die Vorgehensweise ist kein Zufall, sondern ein eingespieltes Playbook:
Credentials kompromittieren: Angreifer verschaffen sich Zugang zu privilegierten Accounts — häufig über Phishing, gestohlene Zugangsdaten oder Schwachstellen in Remote-Access-Tools. Dann eskalieren sie die Rechte, bis sie Admin-Zugriff auf Backup-Systeme haben.
Backup-Infrastruktur kartieren: Sobald die Angreifer im Netzwerk sind, identifizieren sie Backup-Server, Repositories, Snapshots und Cloud-Verbindungen. Alles, was nach Wiederherstellung aussieht, wird markiert.
Sicherungen löschen oder verschlüsseln: Snapshots werden gelöscht, Backup-Kataloge zerstört, Retention-Policies manipuliert. In manchen Fällen werden Backup-Daten selbst verschlüsselt — leise und unbemerkt über Wochen hinweg.
Dann erst: Produktivdaten verschlüsseln. Wenn das Netz fällt, gibt es keinen Plan B mehr.
Das Perfide daran: Wer sein Backup auf demselben Netzwerk betreibt, mit denselben Admin-Accounts verwaltet und nie einen Restore getestet hat, merkt den Schaden erst, wenn es zu spät ist.
Grosse Konzerne haben Security Operations Center, Threat-Hunting-Teams und redundante Backup-Architekturen. KMU haben das in der Regel nicht. Und genau das wissen die Angreifer.
Schweizer KMU machen 99,7 Prozent aller Unternehmen aus. Viele betreiben ein solides Tagesgeschäft, haben aber weder die personellen Ressourcen noch das Spezialwissen, um Backup-Infrastruktur gegen gezielte Angriffe abzuhärten. Das NAS im Serverraum, das per SMB-Share ans Netz hängt, ist für eine Ransomware-Gruppe kein Hindernis — es ist ein Geschenk.
Die Frage ist nicht, ob ein KMU angegriffen wird. Die Frage ist, ob es nach einem Angriff wiederherstellen kann.
Backup-Accounts dürfen nicht die gleichen Credentials verwenden wie Domain-Admins. Eigene Accounts, eigene Passwörter, eigene MFA. Wenn ein Angreifer Domain-Admin wird, darf er damit nicht automatisch auch die Backup-Umgebung kontrollieren.
Unveränderliche Sicherungen (Immutable Backups) lassen sich innerhalb einer definierten Aufbewahrungsfrist weder löschen noch überschreiben — auch nicht mit Admin-Rechten. Das ist der wirksamste Schutz gegen die gezielte Zerstörung von Backup-Daten. Object Lock auf S3-kompatiblem Storage oder WORM-Mechanismen sind hier der Standard.
Die 3-2-1-Regel bleibt gültig, reicht aber allein nicht mehr. Ergänzend braucht es eine Kopie, die physisch oder logisch vom Produktivnetz getrennt ist. Air-Gapped, in einem separaten Cloud-Account, oder bei einem externen Provider, der unabhängig vom internen Netzwerk operiert.
Ein Backup, das nie getestet wurde, ist eine Wette. Kein Nachweis. Restore-Tests sollten mindestens quartalsweise stattfinden — nicht als Checkbox-Übung, sondern als realer Wiederherstellungslauf: eine VM, ein Postfach, ein SharePoint.
Wenn jemand um 3 Uhr nachts 40 Snapshots löscht, sollte das auffallen. Wer Backup-Aktivitäten nicht überwacht, hat keine Chance, einen laufenden Angriff zu erkennen, bevor der Schaden irreversibel ist.
Die Realität von 2026 ist: Ransomware ist kein Einzelfall mehr, sondern ein industrialisiertes Geschäftsmodell. Angreifer agieren wie Unternehmen — mit Arbeitsteilung, Spezialisierung und klarem ROI-Denken. Und ihr wichtigstes Kalkül lautet: Wenn das Backup fällt, zahlt das Opfer.
Wer sein Backup so behandelt, als wäre es bloss ein nächtlicher Cronjob, unterschätzt die Bedrohungslage. Backup ist keine Nebensache. Es ist die letzte Verteidigungslinie — und sie muss entsprechend geschützt werden.
Die gute Nachricht: Mit den richtigen Massnahmen lässt sich genau das erreichen. Immutable Storage, getrennte Zugänge, regelmässige Restore-Tests und ein externer Partner, der proaktiv überwacht — das sind keine Luxusmassnahmen für Grossunternehmen. Das sind Grundlagen, die jedes KMU umsetzen kann.
Und genau darum geht es am Ende: Nicht darum, ob irgendwo ein Backup existiert. Sondern darum, ob Sie im Ernstfall tatsächlich wiederherstellen können — vollständig, sauber und rechtzeitig.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht