Zwei von drei Angriffen beginnen mit einem gestohlenen Login
Das Bild vom Hacker, der sich durch eine Firewall kämpft, ist überholt. Laut dem aktuellen Bundeslagebild Cybercrime des BKA basieren rund 67 Prozent aller Ransomware-Angriffe inzwischen auf kompromittierten Identitäten — also auf Zugangsdaten, die Angreifer erbeutet haben. Sie brechen nicht ein, sie loggen sich ein.
Für kleine und mittlere Unternehmen ist das eine unbequeme Nachricht: 2025 wurden in Deutschland 1.041 Ransomware-Angriffe angezeigt, rund zehn Prozent mehr als im Vorjahr — und KMU geraten zunehmend ins Visier. Wer seine Abwehr noch am klassischen Virenschutz ausrichtet, schützt sich gegen die falsche Bedrohung.
Wie Angreifer heute an Zugänge kommen
Die Methoden sind selten spektakulär, aber wirksam:
- Phishing: Gefälschte E-Mails oder Login-Seiten greifen Passwörter direkt ab. Moderne, teils KI-gestützte Varianten sind kaum noch an Sprache oder Gestaltung zu erkennen.
- Infostealer-Malware: Unauffällige Schadprogramme lesen gespeicherte Passwörter und Sitzungs-Cookies aus dem Browser aus — oft, ohne einen Alarm auszulösen.
- Wiederverwendete Passwörter: Taucht ein Passwort in einem fremden Datenleck auf, probieren Angreifer es automatisiert bei anderen Diensten durch.
- MFA-Müdigkeit: Wo eine Zwei-Faktor-Bestätigung existiert, fluten Angreifer das Handy des Opfers mit Anfragen, bis jemand genervt auf „Bestätigen" tippt.
Das Ergebnis ist in allen Fällen dasselbe: Der Angreifer bewegt sich mit gültigen Zugangsdaten durch Ihre Systeme — und sieht für die meisten Schutzprogramme aus wie ein normaler Mitarbeiter.
Warum klassische Abwehr hier versagt
Ein Virenscanner sucht nach Schadsoftware. Ein legitimer Login mit echten Zugangsdaten ist aber keine Schadsoftware. Genau das macht identitätsbasierte Angriffe so gefährlich: Sie umgehen die Schutzmaßnahmen, auf die sich viele KMU verlassen, weil sie technisch wie reguläre Nutzung aussehen. Die Lücke liegt nicht in der Software, sondern in der Frage, wer sich mit welchen Rechten wo anmeldet.
Was KMU jetzt konkret schützt
Phishing-resistente Mehr-Faktor-Authentifizierung
MFA ist die wichtigste Einzelmaßnahme — aber nicht jede MFA ist gleich gut. Bestätigungs-Apps lassen sich durch MFA-Müdigkeit aushebeln. Phishing-resistente Verfahren wie Hardware-Schlüssel oder Passkeys schließen diese Lücke.
Saubere Identitäts-Hygiene
Ein Passwortmanager beendet wiederverwendete Passwörter. Zugänge ausgeschiedener Mitarbeiter und nicht mehr genutzte Konten gehören konsequent deaktiviert — sie sind ein beliebtes Einfallstor.
Rechte sparsam vergeben
Nicht jeder braucht Administratorrechte. Wenn ein kompromittiertes Konto nur auf das zugreifen kann, was die jeweilige Rolle wirklich benötigt, bleibt der Schaden begrenzt. Das Prinzip heißt: so wenig Rechte wie möglich.
Anmeldungen überwachen
Auffällige Logins — etwa aus dem Ausland oder zu untypischen Zeiten — lassen sich automatisiert erkennen und blockieren. Wer Anmeldungen im Blick hat, bemerkt einen Missbrauch, bevor die Verschlüsselung beginnt.
Backups als letzte Verteidigungslinie
Wenn alles andere versagt, entscheidet das Backup darüber, ob ein Angriff ein Ärgernis oder eine Existenzbedrohung ist. Wichtig: regelmäßig, getrennt vom Netzwerk und mit getesteter Wiederherstellung.
Was das für Sie heißt
Sie müssen nicht alles auf einmal umsetzen. Beginnen Sie dort, wo das Verhältnis von Aufwand und Schutz am besten ist:
- Sofort: phishing-resistente MFA für alle Konten, besonders für E-Mail und Administratorzugänge.
- Kurzfristig: Passwortmanager einführen, Alt-Konten aufräumen, Administratorrechte reduzieren.
- Mittelfristig: Anmelde-Überwachung einrichten und das Backup-Konzept auf Wiederherstellbarkeit testen.
Unsere Einschätzung
Die gute Nachricht hinter der Statistik: Identitätsbasierte Angriffe lassen sich mit überschaubaren Mitteln deutlich erschweren. Es braucht keine teure Sicherheitsarchitektur, sondern die richtigen Grundlagen — konsequent umgesetzt. Wir erleben in der Praxis, dass gerade die einfachen Maßnahmen am häufigsten fehlen: Konten ohne starke MFA, alte Zugänge, zu großzügige Rechte. Wer diese Punkte schließt, nimmt den meisten Angreifern genau das Werkzeug, auf das sie heute setzen.