Ransomware ist das Schreckgespenst der modernen Wirtschaft. Kaum ein Tag vergeht, an dem nicht ein „Hidden Champion“ des deutschen Mittelstands oder eine öffentliche Einrichtung durch einen Verschlüsselungstrojaner lahmgelegt wird. Die Schlagzeilen konzentrieren sich meist auf die astronomischen Lösegeldforderungen und das bittere Ende der Geschichte. Doch was passiert eigentlich davor? Warum schaffen es Angreifer immer wieder, trotz modernster Technik, die Mauern zu durchbrechen?
Wir haben uns mit Niklas Fischer zusammengesetzt. Er ist einer der führenden IT-Sicherheitsexperten bei ComputerBUTLER und verbringt seinen Alltag damit, Architekturen zu härten und Unternehmen dabei zu helfen, eben nicht die nächste Schlagzeile zu werden. Im Interview spricht er über die blinden Flecken der Geschäftsführung, den Trugschluss der perfekten Firewall und warum Cyber-Resilienz im Jahr 2026 eine Frage der Unternehmenskultur ist.
Die Anatomie des blinden Flecks
Frage: Niklas, du bist fast täglich in Beratungsgesprächen mit Geschäftsführern und IT-Leitern. Wenn du den Status quo der Ransomware-Abwehr im Mittelstand mit einem Satz beschreiben müsstest – wie lautet er?
Niklas Fischer: Die meisten Unternehmen bauen einen Hochsicherheitstresor, lassen aber das Fenster im ersten Stock auf Kipp stehen. Es herrscht oft ein tiefes Vertrauen in punktuelle technologische Lösungen, während das strategische Gesamtbild und die prozessuale Tiefe fehlen.
Frage: Das klingt nach dem klassischen „Firewall-Trugschluss“. Was genau meinst du damit?
Niklas Fischer: Genau das ist der Kern des Problems. Viele Entscheider, besonders die eher kaufmännisch orientierten, denken bei IT-Sicherheit immer noch in den Kategorien der 90er-Jahre: „Ich habe eine teure Firewall gekauft und ein Antivirenprogramm installiert, also bin ich sicher.“ Das ist so, als würde man glauben, man sei vor Einbrechern geschützt, nur weil man eine teure Haustür hat. Ein moderner Angreifer tritt aber nicht die Tür ein. Er findet den Drittanbieter, der einen Fernwartungszugang hat, oder er schickt eine so perfekt gefälschte E‑Mail, dass ein Mitarbeiter ihm freiwillig den Schlüssel überreicht. Was am häufigsten übersehen wird, ist, dass IT-Sicherheit kein Zustand ist, den man einmalig kauft, sondern ein permanenter, lebender Prozess.
Frage: Bleiben wir beim Thema „E‑Mail“. Phishing ist ja fast schon ein alter Hut. Haben die Unternehmen das nicht langsam im Griff?
Niklas Fischer: Im Gegenteil. Wir erleben gerade durch generative KI eine massive Evolution des Phishing. Früher waren diese Mails leicht an Schreibfehlern oder seltsamen Absendern zu erkennen. Heute erstellt eine KI in Sekunden eine E‑Mail im exakten Schreibstil des Geschäftsführers, die sich auf ein reales Projekt bezieht. Die psychologische Hürde für den Mitarbeiter ist fast bei Null. Wenn wir uns dann die internen Prozesse ansehen, stellen wir oft fest: Die Technik ist da, aber das Bewusstsein fehlt. Ein Unternehmen, das keine regelmäßigen, simulierten Phishing-Kampagnen durchführt, hat eine „menschliche Firewall“, die brüchig ist. Und genau das ist einer dieser blinden Flecken: Die Investition in das Gehirn der Mitarbeiter wird oft als „Soft Skill“ belächelt, ist aber faktisch die wichtigste Abwehrschicht, die wir haben.
Frage: Neben dem Menschen gibt es aber auch technische Versäumnisse, die immer wieder auftauchen. Was ist dein „Favorit“ bei den technischen blinden Flecken?
Niklas Fischer: Ganz klar: die mangelnde Segmentierung des Netzwerks. Das ist architektonisch gesehen das größte Desaster. In vielen mittelständischen Netzwerken herrscht das Prinzip „Einmal drin, überall drin“. Wenn ein Angreifer es schafft, den Laptop eines Marketing-Mitarbeiters zu kompromittieren, kann er sich von dort aus ungehindert im gesamten Netz bewegen – bis hin zum ERP-Server oder dem Backup-System. Ein cyber-resilientes Netzwerk muss wie ein modernes Schiff gebaut sein: mit wasserdichten Schotten. Wenn in einem Abteil ein Leck ist, darf das nicht das gesamte Schiff versenken. Die Implementierung von Zero-Trust-Prinzipien, bei denen jeder Zugriff innerhalb des Netzes permanent verifiziert wird, ist die einzige Antwort auf diese Gefahr. Aber das erfordert eben einen Umbau der Architektur, nicht nur den Kauf einer neuen Software-Box.
Der Backup-Mythos und das Problem der Sichtbarkeit
Frage: Kommen wir zu einem Thema, bei dem sich viele sicher fühlen: dem Backup. Fast jeder Geschäftsführer sagt mir: „Wir haben ein Backup, uns kann nichts passieren.“ Warum reicht das heute nicht mehr aus?
Niklas Fischer: Weil moderne Ransomware-Angriffe das Backup nicht ignorieren – sie jagen es. Früher war Ransomware „dumm“. Sie ist auf ein System gelangt und hat sofort alles verschlüsselt. Heute agieren Angreifer methodisch. Sobald sie im Netz sind, ist ihr allererstes Ziel nicht die Verschlüsselung, sondern die Identifikation und Zerstörung der Backup-Infrastruktur. Sie verbringen Tage damit, die Admin-Zugänge für die Datensicherung zu stehlen. Wenn sie dann zuschlagen, sorgen sie dafür, dass es kein Zurück mehr gibt. Ein Backup, das permanent online und mit demselben Admin-Account wie das restliche Netzwerk erreichbar ist, ist im Ernstfall wertlos.
Frage: Was ist die architektonische Antwort darauf?
Niklas Fischer: Wir sprechen hier von der „3–2‑1–1‑Regel“. Drei Kopien der Daten, auf zwei verschiedenen Medien, eine davon an einem externen Standort und – das ist das entscheidende neue „Eins“ – eine Kopie muss unveränderbar (immutable) und vom restlichen Netzwerk isoliert sein. Das bedeutet: Selbst wenn der Angreifer die vollen Administrator-Rechte in Ihrem Netzwerk hat, kann er diese eine Sicherung weder löschen noch verschlüsseln. Das ist Ihre ultimative Lebensversicherung. Ohne ein solches „Air-Gapped“ oder „Immutable“ Backup ist jede IT-Sicherheitsstrategie auf Sand gebaut. Aber Hand aufs Herz: Viele mittelständische Unternehmen wissen nicht einmal genau, wie lange ihr Wiederanlauf (RTO) aus einem Backup tatsächlich dauern würde. Da wird oft mit Stunden gerechnet, während es in der Realität Tage oder Wochen sind.
Frage: Das bringt uns zum Faktor Zeit. Du hast erwähnt, dass Angreifer oft Tage oder Wochen im Netz verbringen. Wie kann das sein, dass das niemand merkt?
Niklas Fischer: Das ist die sogenannte „Dwell Time“. Im Durchschnitt verbringen Angreifer etwa 10 bis 20 Tage im Netzwerk, bevor sie die Verschlüsselung auslösen. In dieser Zeit scannen sie das Netz, exfiltrieren sensible Daten, um später zusätzliches Lösegeld für die Nicht-Veröffentlichung zu fordern, und suchen nach dem idealen Moment für den Schlag. Dass das niemand bemerkt, liegt an der mangelnden Sichtbarkeit. Viele Unternehmen haben zwar Logs, aber niemand wertet sie aus. Es ist, als hätten Sie überall Videokameras in Ihrem Gebäude installiert, aber niemanden, der auf die Monitore schaut.
Frage: Und genau hier kommen Systeme wie SIEM und SOC ins Spiel, richtig?
Niklas Fischer: Exakt. Ein SIEM (Security Information and Event Management) ist das zentrale Gehirn, das alle Log-Daten sammelt und nach Anomalien durchsucht. Aber ein System allein löst kein Problem. Sie brauchen das SOC (Security Operations Center) – also die Experten, die diese Alarme 24/7 bewerten. Wenn nachts um 3 Uhr ein administrativer Login von einer IP-Adresse erfolgt, die noch nie im System war, muss sofort jemand reagieren. Das kann eine interne IT-Abteilung im Mittelstand, die ohnehin schon überlastet ist, niemals leisten. Wer schaut am Sonntagnachmittag auf die Sicherheitsalarme? Die Antwort ist meistens: Niemand. Und genau das wissen die Angreifer.
Frage: Viele IT-Leiter sagen mir, sie hätten gar keine Zeit für solche proaktiven Maßnahmen, weil sie im Tagesgeschäft ersticken. Ist das eine valide Entschuldigung?
Niklas Fischer: Es ist eine Realität, aber keine Entschuldigung vor der Geschäftsführung oder dem Gesetzgeber. Mit der Einführung von NIS2 wird das Thema Cybersecurity zur direkten Verantwortung der Geschäftsführung. Ignoranz oder Überlastung der IT schützt nicht vor Haftung. Strategisch gesehen ist die Lösung hier die Auslagerung von Routine-Sicherheitsaufgaben. Ein Managed SOC oder Managed EDR nimmt der internen IT die Last der permanenten Überwachung ab. So gewinnt die IT-Leitung wieder Zeit, um an der Strategie zu arbeiten, anstatt nur Brände zu löschen. Wir als „Pragmatische Architekten“ sehen unsere Aufgabe darin, diese Experten-Ressourcen so bereitzustellen, dass sie für ein mittelständisches Unternehmen bezahlbar und effektiv sind.
Frage: Wenn wir über Zeit sprechen, müssen wir auch über den Ernstfall sprechen. Was ist der häufigste Fehler, den Unternehmen machen, wenn sie bemerken, dass sie angegriffen wurden?
Niklas Fischer: Panik und unkoordiniertes Handeln. Der erste Reflex ist oft: „Wir müssen den Server neu starten“ oder „Wir fangen mal an, irgendwelche Kabel zu ziehen“. Das zerstört oft wertvolle forensische Spuren, die wir brauchen, um den Einbruchsweg zu verstehen. Ohne zu wissen, wie sie reingekommen sind, können Sie das Netz nicht sicher wieder aufbauen – die Angreifer sind sonst nach zwei Tagen wieder drin. Der wichtigste Baustein einer resilienten Strategie ist ein Notfallplan, der genau festlegt: Wer darf welche Entscheidung treffen? Wen rufen wir zuerst an? Ein geübter Plan ist im Moment der Krise wichtiger als jede Firewall.
Kosten, Haftung und die neue Normalität
Frage: Niklas, am Ende des Tages geht es im Unternehmen immer auch um das Geld. Viele CFOs sehen IT-Sicherheit als ein Fass ohne Boden. Wie erklärst du einem Geschäftsführer den Return on Investment (ROI) von Cybersecurity?
Niklas Fischer: Das ist eine wichtige Frage. Wir müssen aufhören, Cybersecurity als Produkt zu verkaufen. Wir müssen anfangen, sie als Risikomanagement zu begreifen. Ein Ransomware-Angriff ist kein technisches Problem; es ist ein finanzieller Totalschaden für das Unternehmen. Wenn die Produktion eine Woche stillsteht, die Lieferfähigkeit erlischt und die Kunden das Vertrauen verlieren, sprechen wir oft von sechs- oder siebenstelligen Schadenssummen.
Der ROI von Resilienz ist die Vermeidung dieser katastrophalen Kosten. Es ist der Unterschied zwischen einer kalkulierbaren Versicherungsprämie und einem unkalkulierbaren Risiko. Wir bei ComputerBUTLER berechnen oft mit den Kunden: „Was kostet es Sie pro Stunde, wenn Ihr Unternehmen nicht arbeitsfähig ist?“ Wenn man diese Zahl erst einmal schwarz auf weiß sieht, wirken die Kosten für ein Managed SOC oder ein unveränderbares Backup plötzlich extrem günstig. Es geht nicht darum, Geld auszugeben, sondern den Fortbestand des Unternehmens abzusichern.
Frage: Ein Thema, das vielen Entscheidern aktuell Sorgen bereitet, ist die NIS2-Richtlinie der EU. Was bedeutet das konkret für den Mittelstand und was wird dort am häufigsten unterschätzt?
Niklas Fischer: NIS2 ist ein echter Paradigmenwechsel. Die größte Unterschätzung liegt in der persönlichen Haftung. Die Richtlinie nimmt die Geschäftsführung direkt in die Pflicht. Es reicht nicht mehr zu sagen: „Meine IT macht das schon.“ Geschäftsführer müssen nachweisen, dass sie angemessene Sicherheitsmaßnahmen implementiert haben und – das ist entscheidend – sie müssen diese Maßnahmen selbst verstehen und überwachen.
Viele Unternehmen glauben, sie hätten noch Zeit. Aber NIS2 verlangt Prozesse wie Incident Management, Supply Chain Security und Risikoanalysen, die man nicht in zwei Wochen aufbaut. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern verliert im Ernstfall auch den Versicherungsschutz seiner Cyber-Versicherung. Die Versicherer prüfen heute sehr genau, ob die gesetzlichen Standards eingehalten wurden.
Frage: Wenn du einem Unternehmen nur drei konkrete Schritte empfehlen dürftest, um die Ransomware-Gefahr drastisch zu reduzieren – welche wären das?
Niklas Fischer: Erstens: Implementieren Sie MFA (Multi-Faktor-Authentifizierung) ausnahmslos für alle Benutzer und alle Dienste. Das schließt 90 % der identitätsbasierten Angriffe sofort aus.
Zweitens: Härten Sie Ihr Backup. Sorgen Sie für eine Kopie Ihrer Daten, die absolut isoliert und unveränderbar ist. Testen Sie den Wiederanlauf regelmäßig. Ein Plan, der nicht geübt wurde, existiert nicht.
Drittens: Schaffen Sie Sichtbarkeit. Verlassen Sie sich nicht darauf, dass Ihre Firewall alles blockt. Sie brauchen jemanden, der 24/7 auf Ihre Systeme schaut und Anomalien erkennt, bevor daraus ein Brand wird. Wenn Sie das intern nicht leisten können – und das können die wenigsten – suchen Sie sich einen Partner, der das als Managed Service übernimmt.
Frage: Niklas, zum Abschluss: Cybersecurity wirkt oft wie ein endloser Kampf gegen Windmühlen. Was gibt dir die Zuversicht, dass Unternehmen diesen Kampf gewinnen können?
Niklas Fischer: Die Zuversicht gibt mir die Erkenntnis, dass wir eben nicht machtlos sind. Wir können zwar nicht verhindern, dass wir angegriffen werden, aber wir haben es zu 100 % in der Hand, wie wir darauf vorbereitet sind. Cyber-Resilienz ist eine Entscheidung. Ein Unternehmen, das sich wie ein Architekt auf den Sturm vorbereitet, wird ihn überstehen. Die Technologie dafür ist da und sie ist auch für den Mittelstand verfügbar. Wir müssen nur anfangen, IT-Sicherheit als strategische Führungsaufgabe zu begreifen.
Exkurs: Der technische Bauplan der Resilienz – Tiefergehende Analyse der Schlüsselkomponenten
Um die im Interview angesprochenen Punkte von Niklas Fischer strategisch umsetzen zu können, bedarf es eines Verständnisses der zugrundeliegenden technischen Architektur. Cyber-Resilienz ist kein abstraktes Ziel, sondern das Ergebnis einer präzisen Verzahnung von drei technologischen Hauptpfeilern. Als „Pragmatischer Architekt“ müssen wir diese Pfeiler so konstruieren, dass sie auch unter extremem Druck standhalten.
1. Die Implementierung von Zero Trust in gewachsenen Infrastrukturen
Wie Niklas Fischer betonte, ist die Netzwerksegmentierung der Schlüssel zur Schadensbegrenzung. In einer traditionellen „Flachnetz“-Architektur kann sich Ransomware nach dem Prinzip des „Lateral Movement“ ungehindert ausbreiten. Die Transformation zu einem Zero-Trust-Modell erfolgt in drei pragmatischen Schritten:
- Identität als neuer Perimeter: Der Zugriff auf Ressourcen wird nicht mehr über die IP-Adresse oder den physischen Standort (VPN) gesteuert, sondern über die verifizierte Identität des Nutzers. Wir nutzen hierfür moderne Identity Provider (IdP) wie Microsoft Entra ID. Jede Anmeldung wird durch risikobasierte Signale (Standort, Gerätestatus, Uhrzeit) bewertet.
- Mikrosegmentierung: Wir unterteilen das Netzwerk in kleinste, logische Einheiten. Der Zugriff zwischen diesen Segmenten wird durch eine interne Firewall (East-West-Traffic-Control) streng reglementiert. Ein kompromittierter Client im Marketing-Segment hat technisch keine Möglichkeit, den SQL-Server im Produktions-Segment auch nur „anzupingen“.
- Prinzip der geringsten Privilegien (PoLP): Wir eliminieren dauerhafte Administrator-Rechte. Durch Konzepte wie „Just-In-Time“ (JIT) Administration erhält ein Techniker Zugriffsrechte nur für den Zeitraum und den Zweck, den er für eine spezifische Wartungsaufgabe benötigt. Ransomware, die einen normalen Benutzer-Account kapert, findet somit keine privilegierten Konten vor, die sie für die Verschlüsselung des gesamten Servers nutzen könnte.
2. Managed SOC & SIEM: Das Frühwarnsystem im Detail
Die von Niklas Fischer angesprochene „Dwell Time“ der Angreifer lässt sich nur verkürzen, wenn wir die Sichtbarkeit im Netzwerk massiv erhöhen. Ein SIEM-System ist hierbei die technologische Basis, doch die wahre Intelligenz liegt in der Analyse der Datenströme.
- Log-Aggregation und Korrelation: Das SIEM sammelt Daten von Endgeräten (EDR), Firewalls, Cloud-Diensten (M365) und Domänencontrollern. Entscheidend ist die Korrelation: Wenn ein EDR-System einen ungewöhnlichen Prozess auf einem Laptop meldet und zeitgleich die Firewall einen Datenaustausch mit einer unbekannten IP-Adresse registriert, muss das System diese beiden Ereignisse zu einem einzigen „Sicherheitsvorfall“ verknüpfen.
- Behavioral Analytics (UEBA): Anstatt nach bekannten Viren-Signaturen zu suchen, lernt die KI im SIEM das normale Verhalten Ihrer Organisation. Was ist die Baseline für Datenexporte? Wie viele Dateien verschlüsselt ein normaler User pro Stunde? Weicht ein Account signifikant von dieser Baseline ab – etwa durch den massenhaften Zugriff auf SharePoint-Verzeichnisse zur ungewöhnlichen Zeit – schlägt das System Alarm.
- Die menschliche Komponente im SOC: Ein Alarm ist nur so gut wie die Reaktion darauf. Das Managed SOC von ComputerBUTLER übernimmt die Triage. Unsere Analysten bewerten innerhalb von Minuten, ob es sich um einen „False Positive“ handelt oder um den Beginn eines echten Ransomware-Angriffs. Im Falle einer verifizierten Bedrohung können wir über das EDR-System betroffene Endgeräte sofort und automatisiert vom Netzwerk isolieren – noch bevor der erste Verschlüsselungs-Prozess gestartet wird.
3. Disaster Recovery und Business Continuity Management (BCM)
Die technische Wiederherstellung nach einem Angriff ist eine logistische Meisterleistung, die ohne Vorbereitung scheitern wird. Niklas Fischer wies auf die Diskrepanz zwischen Wunsch und Realität beim Wiederanlauf hin. Ein resilienter Bauplan erfordert hier absolute Präzision:
- Das „Golden Image“-Konzept: Anstatt zu versuchen, ein infiziertes System mühsam zu „reinigen“, basiert unsere Strategie auf der sauberen Neuinstallation. Wir halten gehärtete Vorlagen (Golden Images) für alle kritischen Serverrollen bereit. Im Ernstfall werden diese Vorlagen in einer isolierten „Clean Room“-Umgebung in der Cloud hochgefahren und nur die verifizierten, sauberen Daten aus dem Backup eingespielt.
- Unveränderbare Backups (Immutability): Wir nutzen Technologien wie S3 Object Lock oder dedizierte Backup-Appliances mit Dateisystem-Snapshots, die für einen definierten Zeitraum (z. B. 30 Tage) nicht gelöscht werden können – auch nicht mit Administrator-Rechten. Dies bricht das Rückgrat der Erpressungsstrategie moderner Ransomware-Gangs.
- Orchestrierte Wiederherstellung: Wir definieren die Abhängigkeiten Ihrer Anwendungen. Zuerst muss das Active Directory stehen, dann die Datenbank, dann das ERP-System und zuletzt die Front-End-Applikationen. Ein automatisierter Disaster-Recovery-Plan sorgt dafür, dass diese Kette fehlerfrei und in der korrekten Reihenfolge abläuft, was die RTO (Wiederanlaufzeit) um bis zu 70 % verkürzt.
Dieser technische Unterbau ist das, was die im Interview besprochene Strategie von Niklas Fischer erst wirksam macht. Es ist der Unterschied zwischen einem theoretischen Notfallplan und einer operativen Überlebensgarantie.
Fazit: Die Strategie des Architekten schlägt die Panik des Opfers
Das Gespräch mit Niklas Fischer macht eines unmissverständlich klar: Ransomware ist kein technisches Schicksal, dem man blind ausgeliefert ist. Es ist ein geschäftliches Risiko, das durch kluge Architektur, klare Prozesse und eine wache Unternehmenskultur beherrschbar wird.
Die wichtigste Erkenntnis für jeden Entscheider sollte sein: Hören Sie auf, an die perfekte Firewall zu glauben. Akzeptieren Sie, dass der Perimeter gefallen ist. Investieren Sie nicht in Mauern, sondern in Immunsysteme. Die Kombination aus Zero-Trust-Prinzipien, radikaler Sichtbarkeit durch SIEM/SOC und einer unzerstörbaren Backup-Strategie ist der einzige Bauplan, der im Jahr 2026 Bestand hat.
Wer sich heute wie ein „Pragmatischer Architekt“ auf den Ernstfall vorbereitet, muss im Moment der Krise nicht in Panik verfallen. Er kann ruhig und souverän nach Plan agieren – während andere noch versuchen zu verstehen, was gerade passiert ist.
Ihr nächster Schritt
Haben Sie sich bei den Schilderungen von Niklas Fischer wiedererkannt? Wissen Sie, wo Ihre blinden Flecken bei der Ransomware-Abwehr liegen? Ein bloßes „Gefühl“ von Sicherheit ist die gefährlichste Basis für ein Unternehmen.
Vereinbaren Sie eine unverbindliche “Cyber-Resilienz-Potenzialanalyse” mit unseren Architekten. In diesem 60-minütigen Expertengespräch bewerten wir gemeinsam mit Ihnen den Reifegrad Ihrer aktuellen Abwehr, identifizieren Ihre kritischen „Kronjuwelen“ und skizzieren einen pragmatischen Fahrplan, um Ihr Unternehmen widerstandsfähiger gegen Ransomware und konform zu neuen Regularien wie NIS2 zu machen. Handeln Sie proaktiv, bevor der Ernstfall eintritt.
