--- title: "BSI-Empfehlungen zu Ransomware: Checkliste für Ihr Unternehmen" date: 2026-02-07T04:59:54+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/bsi-empfehlungen-zu-ransomware-checkliste-für-ihr-unternehmen" section: "Entries: Articles" --- ### 10 BSI-Emp­feh­lun­gen gegen Ran­som­wa­re [\#](#10-bsi-empfehlungen-gegen-ransomware "10 BSI-Empfehlungen gegen Ransomware") #### ✓ 1. Off­line-Back­ups mit phy­si­scher Iso­la­ti­on [\#](#1-offline-backups-mit-physischer-isolation "✓ 1. Offline-Backups mit physischer Isolation") **Was das BSI empfiehlt:** Back­ups müs­sen regel­mä­ßig auf ein Off­line-Medi­um (phy­sisch iso­liert) erstellt wer­den. Dies ist die ers­te Ver­tei­di­gungs­li­nie gegen Ransomware. **Umset­zung:** - \[ \] Hard­ware Air Gap imple­men­tie­ren (z. B. Silent Brick Max Air) oder - \[ \] LTO-Tape-Back­ups mit Off­line-Lage­rung oder - \[ \] USB-Fest­plat­te, die nach Back­up getrennt wird - \[ \] Back­up-Fre­quenz: täg­lich für kri­ti­sche Systeme - \[ \] Doku­men­tie­ren: RTO und RPO fest­le­gen und einhalten **Sze­na­rio:** Mit die­ser Maß­nah­me allein kön­nen Sie sich inner­halb von Stunden/​Tagen erholen. --- #### ✓ 2. Reco­very-Tests regel­mä­ßig durch­füh­ren [\#](#2-recovery-tests-regelm%C3%A4%C3%9Fig-durchf%C3%BChren "✓ 2. Recovery-Tests regelmäßig durchführen") **Was das BSI empfiehlt:** Ein Back­up ist nur so gut wie das letz­te erfolg­rei­che Reco­very-Test. Back­ups müs­sen regel­mä­ßig getes­tet werden. **Umset­zung:** - \[ \] Reco­very-Test min­des­tens quar­tal­wei­se durchführen - \[ \] Voll­stän­di­ger Res­to­re (nicht nur ein­zel­ne Dateien) - \[ \] RTO-Test: Zeit­mes­sung vom Back­up-Start bis Sys­tem online - \[ \] RPO-Test: Wie alt sind die letz­ten Daten? (Daten­ver­lust akzeptabel?) - \[ \] Tests doku­men­tie­ren (Datum, Sys­tem, Ergebnis) - \[ \] Feh­ler­haf­te Tests = sofor­ti­ge Korrekturmaßnahme **Häu­fi­ger Feh­ler:** ​“Wir machen Back­ups, aber haben nie wie­der­her­ge­stellt.” → Das ist kein Back­up, das ist Hoffnung. --- #### ✓ 3. Getrenn­te Admi­nis­tra­to­ren-Cre­den­ti­als [\#](#3-getrennte-administratoren-credentials "✓ 3. Getrennte Administratoren-Credentials") **Was das BSI empfiehlt:** Admi­nis­tra­to­ren soll­ten **nicht** mit Admin-Account arbei­ten für all­täg­li­che Auf­ga­ben. Admin-Cre­den­ti­als soll­ten sepa­rat und sicher ver­wal­tet werden. **Umset­zung:** - \[ \] Admin-Kon­ten nur für Admin-Tätig­kei­ten nutzen - \[ \] All­täg­li­che Arbeit mit nor­ma­len Benutzer-Konten - \[ \] Back­up-Admi­nis­tra­to­ren: sepa­ra­te, stark-pass­wort-geschütz­te Konten - \[ \] Cre­den­ti­als nicht lokal spei­chern (nicht in Scripts, Config-Dateien) - \[ \] Zen­tra­le Secret-Ver­wal­tung (z. B. Hash­i­Corp Vault, Thycotic) - \[ \] Pri­vi­le­ged Access Work­sta­tions (PAW) für Admin-Tätigkeiten **War­um das wich­tig ist:** Ran­som­wa­re mit User-Rech­ten ist begrenzt. Mit Admin-Cre­den­ti­als ist Ran­som­wa­re unaufhaltsam. --- #### ✓ 4. Netz­werk-Seg­men­tie­rung [\#](#4-netzwerk-segmentierung "✓ 4. Netzwerk-Segmentierung") **Was das BSI empfiehlt:** Das Pro­duk­ti­ons­netz soll­te in logi­sche Seg­men­te unter­teilt sein. Back­up-Netz­wer­ke soll­ten getrennt sein. **Umset­zung:** - \[ \] VLAN-Seg­men­tie­rung: Pro­duk­ti­ons­netz, Back­up-Netz, Management-Netz - \[ \] Fire­wall-Regeln: Expli­zit-Deny zwi­schen Segmenten - \[ \] Netz­werk-ACLs defi­nie­ren (wer darf wohin?) - \[ \] Doku­men­tie­ren: Netz­werk-Topo­lo­gie mit Segmentierung - \[ \] Tes­ten: Kann Mal­wa­re sich zwi­schen Seg­men­ten bewe­gen? (Late­ral Movement) **Gren­zen:** Netz­werk-Seg­men­tie­rung allein schützt nicht vor Ran­som­wa­re mit Admin-Cre­den­ti­als (Fire­wall-Regeln ändern). Des­halb mit phy­si­schem Air Gap kombinieren! --- #### ✓ 5. Patch-Manage­ment und regel­mä­ßi­ge Updates [\#](#5-patch-management-und-regelm%C3%A4%C3%9Fige-updates "✓ 5. Patch-Management und regelmäßige Updates") **Was das BSI empfiehlt:** Alle Sys­te­me müs­sen regel­mä­ßig aktua­li­siert wer­den. Schwach­stel­len sind der Haupt­ein­stiegs­punkt für Ransomware. **Umset­zung:** - \[ \] Auto­ma­ti­sche Updates für alle Server/​Workstations aktivieren - \[ \] Patch-Zyklen defi­nie­ren (z. B. Diens­tag jeden Monat) - \[ \] WSUS oder ähn­li­che Tools für zen­tra­li­sier­tes Patch-Management - \[ \] Zero-Day-Risi­ken akzep­tie­ren (kön­nen nicht gepatch werden) - \[ \] Vul­nerabi­li­ty Scan­ning: regel­mä­ßig nach bekann­ten CVEs suchen - \[ \] Test-Umge­bung: Updates tes­ten vor Production-Deployment **Wich­tig:** Patch-Manage­ment ist not­wen­dig, aber nicht aus­rei­chend. (Des­halb Prä­ven­ti­on + Recovery.) --- #### ✓ 6. End­punkt-Schutz und End­point Detec­tion & Respon­se (EDR) [\#](#6-endpunkt-schutz-und-endpoint-detection-response-edr "✓ 6. Endpunkt-Schutz und Endpoint Detection & Response (EDR)") **Was das BSI empfiehlt:** Alle End­punk­te (Work­sta­tions, Ser­ver) soll­ten mit Anti­vi­rus und idea­ler­wei­se EDR-Tools geschützt sein. **Umset­zung:** - \[ \] Anti­vi­rus auf alle End­punk­te (ist Standard) - \[ \] EDR-Tool imple­men­tie­ren (z. B. Micro­soft Defen­der for End­point, CrowdStrike Falcon) - \[ \] Beha­vi­oral Detec­tion: Ver­däch­ti­ge Pro­zes­se erkennen - \[ \] USB-Spei­cher blo­ckie­ren (oder nur autorisierte) - \[ \] Power­Shell-Log­ging akti­vie­ren (häu­fig von Mal­wa­re verwendet) - \[ \] Logs zen­tral sam­meln (SIEM) **Gren­zen:** EDR stoppt nicht 100% der Mal­wa­re (neue Vari­an­ten), aber erhöht Erkennungsrate. --- #### ✓ 7. Schu­lung und Secu­ri­ty Awa­re­ness [\#](#7-schulung-und-security-awareness "✓ 7. Schulung und Security Awareness") **Was das BSI empfiehlt:** Mensch­li­che Feh­ler sind die Haupt­ein­tritts­pfor­te (Phis­hing, Social Engi­nee­ring). Schu­lung ist essentiell. **Umset­zung:** - \[ \] Jähr­li­che Schu­lung für alle Mit­ar­bei­ter (Pflicht) - \[ \] Simu­lier­te Phis­hing-Kam­pa­gnen (intern durchführen) - \[ \] Report­ing-Kul­tur: Ver­däch­ti­ge E‑Mails dem Sicher­heits­team melden - \[ \] IT-Sicher­heits­richt­li­ni­en schrift­lich, aus­hän­gig, signiert - \[ \] Regel­mä­ßi­ge Awa­re­ness-Kam­pa­gnen (Pos­ter, E‑Mail-Tipps) - \[ \] Geschäfts­füh­rung ein­be­zie­hen (Top-Down-Mes­sa­ging) **Prak­tisch:** Eine Stun­de Schu­lung pro Mitarbeiter/​Jahr senkt Phis­hing-Erfolgs­ra­te um 50%. --- #### ✓ 8. Inci­dent Respon­se und Mel­de­pflich­ten [\#](#8-incident-response-und-meldepflichten "✓ 8. Incident Response und Meldepflichten") **Was das BSI empfiehlt:** Ein Inci­dent-Respon­se-Plan muss vor­han­den sein. Im Ernst­fall müs­sen Behör­den benach­rich­tigt werden. **Umset­zung:** - \[ \] IR-Plan doku­men­tie­ren (Roles, Escala­ti­on, exter­ne Partner) - \[ \] IR-Team benen­nen (Inci­dent Com­man­der, IT-Foren­sik, Kommunikation) - \[ \] Exter­ne Part­ner vor­be­rei­ten (Foren­sik-Diens­te, BSI CERT-Bund) - \[ \] NIS2UmsuCG Mel­de­pflicht ein­pla­nen (72h an BSI bei Angriff) - \[ \] Ver­si­che­rung che­cken (Cyber-Ver­si­che­rung, Lösegeld-Versicherung) - \[ \] Reco­very-Zeit geplant (Wer star­tet Reco­very? Wie lange?) - \[ \] Kom­mu­ni­ka­ti­ons­plan (Kun­den, Auf­sichts­be­hör­den, Medien) **Wich­tig:** Ein guter Inci­dent-Respon­se-Plan kann Aus­fall­zeit um 50% reduzieren. --- #### ✓ 9. Regel­mä­ßi­ge Sicher­heits-Audits und Pene­tra­ti­ons-Tests [\#](#9-regelm%C3%A4%C3%9Fige-sicherheits-audits-und-penetrations-tests "✓ 9. Regelmäßige Sicherheits-Audits und Penetrations-Tests") **Was das BSI empfiehlt:** Ein sicher­heits­tech­ni­scher Zustand muss regel­mä­ßig bewer­tet wer­den. Exter­ne Audits sind hilfreich. **Umset­zung:** - \[ \] Inter­ner Sicher­heits-Check quartalweise - \[ \] Exter­nes Audit (jähr­lich) - \[ \] Pene­tra­ti­ons-Test (jähr­lich, oder nach grö­ße­ren Änderungen) - \[ \] Schwach­stel­len-Bericht erstel­len und Prio­ri­tä­ten setzen - \[ \] Reme­dia­ti­on-Plan: Wel­che Lücken wer­den wann geschlossen? - \[ \] Manage­ment-Buy-In für Remediation-Budget **ROI:** Ein Pene­tra­ti­ons-Test kos­tet 5.000 – 20.000 EUR. Ein Ran­som­wa­re-Angriff kos­tet 100.000 – 1.000.000 EUR. Klar, wer gewinnt. --- #### ✓ 10. Wie­der­her­stel­lungs- und Kri­sen­plan [\#](#10-wiederherstellungs-und-krisenplan "✓ 10. Wiederherstellungs- und Krisenplan") **Was das BSI empfiehlt:** Ein Plan für die Wie­der­her­stel­lung nach Angriff muss vorliegen. **Umset­zung:** - \[ \] Busi­ness Con­ti­nui­ty Plan (BCP) schreiben - \[ \] Dis­as­ter Reco­very Plan (DRP) dokumentieren - \[ \] Kri­ti­sche Sys­te­me iden­ti­fi­zie­ren (wel­che zuerst wiederherstellen?) - \[ \] RTO/RPO pro Sys­tem festlegen - \[ \] Alter­na­ti­ve Hardware/​Standorte vorbereiten - \[ \] Kom­mu­ni­ka­ti­ons­plan (wen benach­rich­ti­gen, in wel­cher Reihenfolge?) - \[ \] Regel­mä­ßig trai­nie­ren (Mind min­des­tens 1x/​Jahr) **Prak­tisch:** Ein Unter­neh­men mit gutem DRP erholt sich in Tagen. Ohne DRP: Wochen bis Monate. --- ### Check­lis­ten-Down­load: BSI-Ran­som­wa­re-Schutz [\#](#checklisten-download-bsi-ransomware-schutz "Checklisten-Download: BSI-Ransomware-Schutz") ``` EBENE 1: PRÄVENTION ☐ Patch-Management aktiv (monatliche Updates) ☐ Antivirus/E auf alle Endpunkte ☐ Firewall und Netzwerk-Segmentierung aktiv ☐ Security Awareness Schulung durchgeführt ☐ Schwache Passwörter durch starke ersetzt EBENE 2: DETEKTION ☐ E-Tool implementiert ☐ Log-Aggregation (SIEM) aktiv ☐ Verdächtige Aktivitäten werden alarmiert ☐ Incident Response Team benannt EBENE 3: RECOVERY (CH!) ☐ Offline-Backups täglich durchgeführt ☐ Recovery-Tests monatlich/quartalweise erfolgreich ☐ RTO/RPO dokumentiert und eingehalten ☐ Alternative Hardware verfügbar ☐ Incident Response Plan dokumentiert ☐ Externe Partner (Forensik, BSI) kontaktiert EBENE 4: COMPLIANCE ☐ UmsuCG Anforderungen erfüllt (falls betroffen) ☐ BSI C5-Audit geplant/durchgeführt (falls ) ☐ Cyber-Versicherung abgeschlossen ☐ Datenschutz-Behörden benachrichtigungs-Plan vorhanden ``` --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Sind alle 10 BSI-Emp­feh­lun­gen pflicht?** Gesetz­lich hängt es ab: KRI­TIS-Betrei­ber müs­sen BSI-Vor­ga­ben befol­gen. Unter­neh­men mit > 50 MA und 10+ Mio. EUR Umsatz fal­len unter NIS2UmsuCG (ab 6. Dez. 2025) und müs­sen ange­mes­se­ne Maß­nah­men tref­fen. Kom­mu­nen sind vom NIS2UmsuCG expli­zit ausgenommen. **Wie lan­ge dau­ert die Umsetzung?** Abhän­gig von aktu­el­lem Zustand: - Schnel­le Maß­nah­men (Patch-Mgmt, Updates): 2 – 4 Wochen - Mitt­le­re Maß­nah­men (EDR, Schu­lung): 2 – 3 Monate - Umfang­rei­che Maß­nah­men (Hard­ware Air Gap, IR-Plan): 3 – 6 Monate - Voll­stän­dig: 6 – 12 Monate **Kön­nen wir mit der Geschäfts­füh­rung Res­sour­cen freikämpfen?** Ja: Ran­som­wa­re-Aus­fall­zeit kos­tet im Schnitt 50.000 – 500.000 EUR pro Tag. Ein ISO-Bera­tungs­pro­jekt (50.000 EUR) ist eine klei­ne Ver­si­che­rungs­prä­mie gegen einen Scha­den im Millionen-Bereich. --- ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)