Jens FischerDas Bundeskriminalamt (BKA) hat am 6. April 2026 die Hintermänner der berüchtigten REvil-Ransomware-Gruppe identifiziert — darunter den mutmaßlichen Anführer Daniil Maksimovich Shchukin, einen 31-jährigen russischen Staatsangehörigen. Die Gruppe soll für 130 Angriffe weltweit verantwortlich sein und dabei einen Gesamtschaden von über 35,4 Millionen Euro verursacht haben. Für Unternehmen in Deutschland ist das ein Alarmsignal — und ein konkreter Anlass, die eigene IT-Sicherheit sofort zu überprüfen.
REvil: Eine der gefährlichsten Ransomware-Gruppen der Welt
REvil (auch bekannt als Sodinokibi) war über Jahre eine der aktivsten Ransomware-as-a-Service-Gruppen der Welt. Laut BKA-Angaben vom 6. April 2026 richtete die Gruppe in 25 Fällen nachweislich Lösegeldzahlungen ein — mit Gesamtzahlungen von 1,9 Millionen Euro. In den restlichen Fällen entstanden massive Schäden durch Betriebsausfall, Datenverlust und teure Wiederherstellungskosten.
Das Vorgehen ist stets ähnlich: Angreifer verschlüsseln die gesamten IT-Systeme eines Unternehmens und fordern Lösegeld — oft in Kryptowährung — gegen die Herausgabe des Entschlüsselungsschlüssels. Wer nicht zahlt, riskiert den permanenten Verlust aller Daten. Wer zahlt, finanziert die nächste Angriffswelle und wird häufig erneut zum Ziel.
Das Bundeskriminalamt warnt seit Jahren vor dieser wachsenden Bedrohung: 2025 registrierte die Behörde 321 Fälle von Sabotage gegen kritische Infrastrukturen in Deutschland — ein neuer Höchststand. Hinzu kommen tausende von Ransomware-Attacken auf Unternehmen, Krankenhäuser und Kommunen, die nicht einmal gemeldet werden.
Warum Ransomware auch Ihr Unternehmen treffen kann
Viele mittelständische Unternehmen glauben, zu klein oder zu unbekannt zu sein, um Ziel eines Cyberangriffs zu werden. Diese Annahme ist gefährlich falsch. Ransomware-Angreifer operieren oft vollautomatisch: Sie scannen das Internet nach verwundbaren Systemen — ohne zu unterscheiden, ob es sich um einen DAX-Konzern oder eine Steuerkanzlei mit fünf Mitarbeitern handelt.
Besonders häufige Einfallstore laut Bundesamt für Sicherheit in der Informationstechnik (BSI):
- Phishing-E-Mails: gefälschte Rechnungen oder Bewerbungen mit infizierten Anhängen
- Ungesicherte Remote-Desktop-Verbindungen (RDP): nach wie vor das häufigste Einfallstor
- Ungepatchte Software: Systeme ohne aktuelle Sicherheitsupdates
- Schwache oder mehrfach verwendete Passwörter: ein einziges kompromittiertes Konto reicht
Ein einziger Klick auf eine Phishing-Mail kann binnen Minuten das gesamte Netzwerk verschlüsseln — inklusive aller Backups, wenn diese nicht offline oder physisch getrennt gespeichert werden. Die Erfahrung von IT-Sicherheitsexperten zeigt: Die meisten Angriffe hätten mit einfachen Maßnahmen verhindert werden können.
Die 5 wichtigsten Schutzmaßnahmen für KMU
IT-Sicherheitsexperten empfehlen Unternehmen aller Größen folgende Sofortmaßnahmen:
1. Backup-Strategie nach der 3-2-1-Regel Mindestens 3 Kopien der Daten, auf 2 unterschiedlichen Medientypen, davon 1 Kopie offline (nicht im selben Netzwerk). Backups müssen regelmäßig auf Wiederherstellbarkeit getestet werden — ein Backup, das nie wiederhergestellt wurde, ist kein echtes Backup.
2. Patch-Management konsequent umsetzen Alle Betriebssysteme und Anwendungen innerhalb von 24 bis 72 Stunden nach Verfügbarkeit von Sicherheitsupdates patchen. Automatische Updates aktivieren, wo möglich. Ungepatchte Systeme sind das bevorzugte Ziel automatisierter Angriffe.
3. Multi-Faktor-Authentifizierung (MFA) einführen Für alle Konten mit Fernzugriff — VPN, Remote Desktop, Cloud-Dienste — ist MFA Pflicht. Damit ist selbst ein gestohlenes Passwort allein wertlos. Die Einrichtung dauert oft weniger als 30 Minuten pro System.
4. Netzwerksegmentierung Trennen Sie kritische Systeme (z.B. Produktionssteuerung, Buchhaltung, Kundendaten) vom allgemeinen Büronetzwerk. So bleibt ein Angriff lokal begrenzt und breitet sich nicht auf das gesamte Unternehmen aus.
5. Mitarbeiterschulungen und Simulationen Der Mensch ist das schwächste Glied in der Sicherheitskette. Regelmäßige Schulungen zur Phishing-Erkennung und simulierte Angriffsszenarien erhöhen die Wachsamkeit aller Mitarbeiter. Studien zeigen: Trainierte Teams klicken bis zu 70 Prozent seltener auf schädliche Links.
Was tun, wenn es doch passiert?
Trotz aller Vorkehrungen kann ein Angriff gelingen. Im Ernstfall gilt klares Handeln statt Panik:
- Sofort alle betroffenen Systeme vom Netzwerk trennen — nicht einfach herunterfahren, sondern physisch vom Netzwerk trennen, um Ausbreitung zu stoppen
- Nicht zahlen — Lösegeldzahlungen garantieren keine Datenrückgabe und finanzieren weitere Angriffe
- BKA und BSI informieren — Ransomware-Angriffe auf kritische Infrastrukturen sind meldepflichtig; Anzeige erstatten
- IT-Forensiker hinzuziehen — vor jeder Wiederherstellung muss der Angriffsvektor identifiziert werden, um eine erneute Infektion auszuschließen
- Krisenplan aktivieren — Unternehmen ohne schriftlichen Notfallplan verlieren im Schnitt doppelt so viel Zeit bei der Wiederherstellung
Laut dem BSI-Lagebericht 2024 haben Unternehmen, die im Ernstfall sofort einen IT-Sicherheitsexperten einschalten, im Durchschnitt 40 Prozent geringere Wiederherstellungskosten als jene, die zunächst allein versuchen, das Problem zu lösen.
Cybersicherheit als strategische Investition
Die Enthüllung des REvil-Netzwerks durch das BKA zeigt: Cyberkriminalität ist professionell organisiert, international vernetzt und technisch hochentwickelt. Die Angreifer investieren Millionen in ihre Infrastruktur. Ihre Verteidigung sollte diese Ernsthaftigkeit widerspiegeln.
Für Unternehmen bedeutet das: IT-Sicherheit ist keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess. Ein externer IT-Sicherheitsexperte kann eine professionelle Schwachstellenanalyse (Penetrationstest) durchführen, Sicherheitslücken aufdecken und ein individuelles Schutzkonzept entwickeln — bevor der Ernstfall eintritt.
Mehr dazu, wie Unternehmen sich gegen aktuelle Cyberbedrohungen schützen, lesen Sie auch in unserem Artikel Phishing-Alarm 2026: BfV und BSI warnen — so schützen Sie Ihr Unternehmen.
Auf Expert Zoom finden Sie zertifizierte IT-Sicherheitsexperten, die Ihre Systeme analysieren und absichern — für Unternehmen jeder Größe.
Hinweis: Die genannten Schutzmaßnahmen basieren auf allgemeinen Empfehlungen des BSI. Eine individuelle IT-Sicherheitsberatung durch einen zertifizierten Experten ist für jedes Unternehmen unerlässlich.
