Bedrohungen für KMU: Ransomware, Phishing, Lieferkette – Praxisbeispiele

Wenn du in einem regionalen kleinen und mittelständischen Unternehmen für IT verantwortlich bist, kennst du den Spagat: Die IT soll stabil laufen, sicher sein, bezahlbar bleiben – und am besten gestern modernisiert werden.

Genau diese Mischung macht KMU so attraktiv für Angreifer: nicht weil „bei dir so viel zu holen“ ist, sondern weil irgendwo eine Tür offen steht.

Das ist übrigens auch eine der klarsten Botschaften aus dem gemeinsamen Talk von aixpedIT und dem BKA: Die Gegenseite arbeitet hochprofessionell – und die Frage ist weniger ob, sondern wann es dich trifft.

Auf der CCC-Konferenz 39C3 im Dezember 2025 in Hamburg war IT-Sicherheit natürlich ein großes Thema – unter anderem im Talk „Security Nightmares“, der die Trends und „fiesesten Fehler“ des Jahres zusammenfasst. 

Damit du das Ganze ohne Technik-Nebel greifen kannst, schauen wir uns drei typische Bedrohungen an – Ransomware, Phishing und Lieferkettenangriffe – mit Praxisbeispielen und konkreten Maßnahmen für KMU.

1. Ransomware: Das ist kein „Virus“, das ist ein Geschäftsmodell

Ransomware ist die Art Angriff, bei der deine Daten verschlüsselt werden – und oft zusätzlich vorher kopiert („Doppelte Erpressung“: Zahl oder wir veröffentlichen). Im BKA/aixpedIT-Talk wird das sehr plastisch erklärt: Erst kommt der „Fuß in die Tür“, dann wird das Netzwerk über Wochen/Monate erkundet, Daten werden abgezogen, dann wird verschlüsselt – und erst dann startet die Erpressung.

Was viele unterschätzen: Das serds“. Da gibt’s Rollen wie in einer Firma (Entwicklung, Operations, Verhandlungsteam) – und sogar Ransomware-as-a-Service (Miete dir Angriffswerkzeuge wie ein Abo).

Praxisbeispiel: „Montagmorr“

• Mitarbeitende sehen statt Dateien eine Lösegeldnotiz.
• Server/Clients sind verschlüsselt, Backups sind mitverschlüsselt (weil sie online erreichbar waren).
• Produktion/Abrechnung/Logistik stehen – du verlierst Tage, nicht Minuten.

Was du daraus ableiten solltest (ohne Buzzwords):

• Backups sind nicht „nice to have“, sie sind dein Airbag. Und sie müssen so gebaut sein, dass ein Angreifer sie nicht einfach mit umlegt (offline/immutable/physisch getrennt, plus Restore-Test).
• Segmentierung (Netz aufteilen) verhindert, dass „ein Fuß in der Tür“ gleich das ganze Gebäude übernimmt.
• Notfallplan ist Pflicht: Wer ruft wen an? Was darf sofort wieder hochgefahren werden – und was nicht?

Der CCC-Talk „Security Nightmares“ hat genau dieses Thema sehr pointiert aufgegriffen: Ransomware bleibt ein zentraler Albtraum – und Resilienz (sprich: wieder hochkommen können) ist oft der Unterschied zwischen „schlimm“ und „existenzbedrohend“.

2. Phishing: Die „eine Mail“ reicht – und wird immer besser

Phishing ist der Klassiker: Eine Mail, ein Link, ein Login, zack – Zugangsdaten weg. Und das betrifft längst nicht nur „unvorsichtige“ Menschen: Angriffe sind heute professionell, sprachlich sauber und optisch überzeugend.

Studien zeigen ziemlich konstant: Social Engineering (also „Menschen austricksen“) bleibt einer der wichtigsten Einstiegspunkte – über alle Unternehmensgrößen hinweg.

Praxisbeispiel: „Microsoft 365 – Passwort abgelaufen“

Du bekommst eine Mail wie:

• „Ihr Passwort läuft heute ab“
• „Sie haben eine neue Voicemail“
• „Eine Datei wurde mit Ihnen geteilt“

Der Link führt auf eine täuschend echte Login-Seite. Du gibst deine Daten ein und die Credentials landen beim Angreifer. Der loggt sich ein, legt Regeln im Postfach an („alle Mails mit ‚Rechnung’ weiterleiten“), greift SharePoint oder OneDrive ab – und nutzt deinen Account, um intern weiter zu phishen.

Was KMU am meisten bringt:

• MFA überall (aber richtig: nicht nur SMS, lieber Authenticator oder Passkey).
• „Zweiter Kanal“-Regel: Zahlungsänderungen, neue Bankverbindungen, neue IBAN? Immer per Rückruf über bekannte Nummer bestätigen.
• Kürzere Schulungen, dafür öfter: 15 Minuten pro Quartal schlagen ein 2-Stunden-Workshop alle zwei Jahre.

Und ja: Die Lage ist insgesamt nicht entspannter geworden. Der BSI-Lagebericht 2025 spricht weiterhin von „angespanntem Niveau“.

3. Lieferkette: Wenn dein Dienstleister gehackt wird, bist du mit betroffen

„Lieferkette“ klingt nach Automobilindustrie – betrifft aber jedes KMU, das Tools nutzt: Telefonie, Fernwartung, Zeiterfassung, Cloud-Apps, IT-Dienstleister, Managed Services, Branchen-Software und mehr.

Bitkom zeigt das sehr greifbar: Angriffe nehmen zu, Schäden steigen stark – und Zulieferer oder Partner sind ein relevantes Einfallstor (ob direkt oder als „Mitbetroffene“). 

Praxisbeispiel: „Update installiert – und plötzlich ist Malware im Haus“

Ein sehr anschaulicher Fall aus den letzten Jahren ist der 3CX-Vorfall (2023): Ein kompromittiertes Softwarepaket führte dazu, dass über eine legitime Anwendung Schadcode verteilt wurde – also über genau den Kanal, dem Unternehmen normalerweise vertrauen („Update vom Hersteller“). 

Was du als KMU konkret tun kannst (ohne ein Audit-Monster zu bauen):

• Inventar: Welche kritischen Tools oder Dienstleister haben Admin-Rechte, Fernzugriff oder Zugriff auf Daten?
• Minimalzugriff: Dienstleisterzugänge zeitlich begrenzen und nur wenn nötig freischalten.
• Update-Strategie: Kritische Updates ja – aber mit Staging, also „erst testen“, wo möglich.
• Vertraglich klären: Meldefristen bei Sicherheitsvorfällen, Logging, Backup- und Restore-Verantwortung sowie Ansprechpartner im Incident vorab festlegen.

Warum gerade KMU so oft betroffen sind (und was das psychologisch heißt)

Viele KMU glauben: „Wir sind zu klein.“

Die Realität: Angriffe laufen oft skalierbar (Gießkanne) oder halb-gezielt („Wer hat die schwächste Tür?“). Im Talk von BKA und aixpedIT fällt dazu ein Satz sinngemäß: Die Unternehmen, die sich noch nicht als betroffen sehen, haben es möglicherweise nur noch nicht gemerkt.

Bitkom belegt die Breite der Betroffenheit in Deutschland in seiner Studie „Wirtschaftsschutz 2025“. 

Was du jetzt tun solltest: 7 Sofortmaßnahmen für KMU

• Notfallplan auf 2 Seiten
  Wer entscheidet? Wer informiert? Wer ist Dienstleister? Was ist kritisch (ERP, Mail, Produktion)?
• Backups, die den Namen verdienen
  Mindestens 3-2-1, mit Restore-Test. Wenn du noch nie zurückgespielt hast, hast du kein Backup – nur Hoffnung.
• MFA + saubere Admin-Konten: Starke Policies, so wenig Rechte wie möglich.
• Patch-Routine
  Nicht perfekt, aber zuverlässig: feste Zyklen, klare Verantwortliche.
• Awareness als Routine, nicht als Event
  Mini-Lernhappen, reale Beispiele aus eurem Alltag.
• Logging & Monitoring für KMU machbar machen
  Du musst kein SOC bauen – aber du solltest auffällige Logins, Massen-Downloads, ungewöhnliche Admin-Aktionen sehen können.
• Wenn etwas passiert: früh Polizei einbinden
  Das BKA betont im Talk sehr klar: früh melden hilft, Muster zu erkennen, andere zu warnen – und Ermittlungen brauchen Spuren (also Abstimmung, bevor „alles platt gemacht“ wird).

Das passt übrigens auch zu Erkenntnissen aus dem IBM-Umfeld: Die Einbindung von Strafverfolgung kann Auswirkungen auf Kosten und Zeit zur Eindämmung haben (je nach Fallkonstellation).

Lass uns deinen Ernstfall durchplanen

Wenn Systeme ausfallen, Daten verschlüsselt werden oder Dienste nicht mehr verfügbar sind, zählt jede Minute.

Mit dem IT-Notfallplan von aixpedIT bekommst du eine strukturierte, praxistaugliche Checkliste inkl. Sofortmaßnahmen, Eindämmung, Bewertung und Kommunikationsplan – abgestimmt auf dein Unternehmen.