- Der Tag, an dem alles stillstand
- Mai 2017: Der Bildschirm, der die Welt erstarren liess
- Was WannaCry war und was er auslöste
- Wie ein Ransomware-Angriff abläuft
- Warum Schweizer KMU besonders im Fokus stehen
- Warum Du niemals Lösegeld zahlen solltest
- Was Dein Unternehmen heute konkret tun kann
- Wie die HEAD IT Solutions dabei hilft
- Fazit
Der Tag, an dem alles stillstand
Stell Dir folgende Situation vor. Du kommst an einem Montagmorgen ins Büro, schaltest den Computer ein und willst mit der Arbeit beginnen. Doch statt Deiner gewohnten Dateien siehst Du einen roten Bildschirm mit einem einzigen Satz: «Your files have been encrypted. Send Bitcoin to unlock them.»
Was Du in diesem Moment nicht siehst: Im Hintergrund hat eine Schadsoftware sämtliche Dateien auf Deinem Gerät verschlüsselt. Die Buchhaltung, alle Kundenunterlagen, die laufenden Angebote und sämtliche Verträge, nichts davon lässt sich mehr öffnen. Der Schlüssel zur Entschlüsselung liegt allein bei den Angreifern. Auf den Geräten Deiner Kolleginnen und Kollegen erscheint zur selben Zeit dieselbe Lösegeldforderung. Nur wenige Minuten später steht der ganze Betrieb still.
Genau das ist im Mai 2017 in Zehntausenden Unternehmen weltweit passiert, innerhalb weniger Stunden und ohne jede Vorwarnung. Der Angriff hiess WannaCry und legte Spitäler, Bahnsysteme und ganze Konzerne in über 150 Ländern lahm. Heute, acht Jahre später, ist Ransomware nicht verschwunden. Die Angriffe sind leiser geworden, dafür gezielter und technisch ausgereifter. Viele Schweizer KMU stehen heute trotzdem genauso ungeschützt da wie damals, weil sie die Lehren aus 2017 nie umgesetzt haben.
Mai 2017: Der Bildschirm, der die Welt erstarren liess
Innerhalb weniger Stunden erschien dieser rote Bildschirm in über 150 Ländern, von Krankenhäusern in England bis zu Logistikzentren in Asien. Damit Du Dir ein Bild machen kannst, was die Mitarbeitenden damals vor sich hatten, hier eine möglichst originalgetreue Rekonstruktion mit dem Original-Wortlaut und dem Original-Layout.
5/15/2017 16:50:06
Time Left
5/19/2017 16:50:06
Time Left
How to buy bitcoins?
Contact Us
Your important files are encrypted. Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time. You can decrypt some of your files for free. Try now by clicking <Decrypt>. But if you want to decrypt all your files, you need to pay. You only have 3 days to submit the payment. After that the price will be doubled.
How Do I Pay?
Payment is accepted in Bitcoin only. Please check the current price of Bitcoin and send the correct amount to the address specified in this window.
ACCEPTED HERE
Genau dieser Bildschirm erschien im Mai 2017 auf hunderttausenden Computern weltweit.
Was WannaCry war und was er auslöste
WannaCry war eine sogenannte Ransomware, also Schadsoftware, die alle Dateien auf einem Computer verschlüsselt und sie erst nach Zahlung eines Lösegelds wieder freigeben soll. Das Besondere an WannaCry war, dass die Verbreitung weder einen Klick auf einen Anhang noch auf einen Link brauchte. Die Software nutzte eine bekannte Sicherheitslücke im Windows-Netzwerkdienst SMBv1 aus und sprang von dort selbständig auf weitere Geräte im selben Netzwerk über. Ein einziger infizierter Computer reichte, um eine ganze Firma lahmzulegen.
Besonders ärgerlich war die Sache mit dem Patch. Microsoft hatte das Sicherheitsupdate für genau diese Lücke schon zwei Monate vor dem Angriff veröffentlicht, bereits im März 2017. Wer seine Windows-Updates also regelmässig eingespielt hatte, war gar nicht betroffen. Wer die Updates dagegen aufgeschoben oder ignoriert hatte, verlor im schlimmsten Fall sämtliche Geschäftsdaten und musste den Betrieb für Tage oder Wochen einstellen.
Wie ein Ransomware-Angriff abläuft
Was WannaCry damals so gefährlich machte, war seine Fähigkeit, sich selbständig im Netzwerk zu verbreiten. Die meisten Ransomware-Angriffe heute funktionieren etwas anders. Sie beginnen fast immer mit einem menschlichen Fehler, etwa dem Öffnen einer gefälschten Rechnung im E-Mail-Anhang oder dem Klick auf einen scheinbar harmlosen Link in einer Phishing-Nachricht. Sobald die Schadsoftware einmal im System ist, läuft der weitere Ablauf praktisch immer nach demselben Muster ab. Und das geschieht in der Regel viel schneller, als die meisten Unternehmen denken. Häufig vergehen zwischen dem ersten Klick und der vollständigen Verschlüsselung der Daten nur wenige Minuten.
Schritt 1
Eintritt
Phishing-Mail oder ungepatchte Lücke öffnet das Tor.
Schritt 2
Ausbreitung
Schadsoftware springt automatisch auf weitere Geräte.
Schritt 3
Sperre
Alle Dateien werden in Sekunden verschlüsselt.
Schritt 4
Erpressung
Lösegeld-Forderung mit Countdown auf dem Bildschirm.
Warum Schweizer KMU besonders im Fokus stehen
Den meisten Angreifern geht es gar nicht darum, ein bestimmtes Unternehmen ins Visier zu nehmen. Sie scannen das Internet automatisiert nach verwundbaren Systemen, also nach Servern und Geräten mit bekannten Sicherheitslücken oder schwachen Passwörtern. Wer in dieses Raster fällt, wird angegriffen, unabhängig von Branche oder Unternehmensgrösse. Genau deshalb trifft es so oft kleine und mittlere Unternehmen.
Das liegt selten an Nachlässigkeit. In den meisten KMU gibt es keine eigene IT-Abteilung, die das Thema Sicherheit durchgehend im Blick behält. IT-Sicherheit wird damit zur Aufgabe, die zwischen Tagesgeschäft, Buchhaltung und Kundenanfragen einfach untergeht. Updates werden aufgeschoben, weil ein Neustart der Server gerade ungünstig wäre. Backups laufen zwar regelmässig, aber niemand hat in den letzten Monaten überprüft, ob sich die Daten daraus überhaupt wiederherstellen lassen. Alte Geräte bleiben in Betrieb, weil ein Ersatz aufwändig wäre. Und Protokolle wie SMBv1, also genau jenes, das WannaCry damals ausgenutzt hat, sind in vielen Schweizer Netzwerken bis heute aktiv, oft ohne dass jemand davon weiss.
Warum Du niemals Lösegeld zahlen solltest
Wenn ein Unternehmen einmal infiziert ist, stellt sich oft die Frage, ob man das geforderte Lösegeld bezahlen soll, um die Daten möglichst schnell zurückzubekommen. Die klare Antwort lautet: Niemals. Eine Lösegeldzahlung ist aus mehreren Gründen der falsche Weg.
Es gibt keine Garantie, dass Du Deine Daten nach der Zahlung tatsächlich zurückbekommst. Selbst wenn die Angreifer einen Entschlüsselungsschlüssel liefern, funktioniert dieser in vielen Fällen nur teilweise oder gar nicht. Hinzu kommt, dass die Daten häufig schon vor der Verschlüsselung kopiert und im Darknet weiterverkauft werden, ganz unabhängig davon, ob am Ende bezahlt wurde oder nicht. Und der wichtigste Punkt: Jede Zahlung finanziert die nächsten Angriffe. Wer zahlt, macht das Geschäftsmodell der Täter erst lukrativ und sorgt dafür, dass weitere Unternehmen zu Opfern werden.
Die einzige zuverlässige Antwort auf einen Ransomware-Angriff ist ein gut durchdachtes Backup. Wer seine Daten regelmässig sichert und die Wiederherstellung tatsächlich getestet hat, kommt gar nicht erst in die Situation, mit Erpressern verhandeln zu müssen.
Was Dein Unternehmen heute konkret tun kann
Ein wirksamer Ransomware-Schutz besteht nicht aus einem einzelnen Produkt oder einem einmaligen Projekt, sondern aus mehreren technischen und organisatorischen Massnahmen, die regelmässig gepflegt werden müssen. Die folgenden sechs Bereiche bilden zusammen die Grundlage für einen soliden Schutz und sollten in jedem Unternehmen geprüft werden.
Patch Management
Windows-Updates und Sicherheitspatches sollten zeitnah und strukturiert eingespielt werden, am besten nach einem festen Zeitplan. Wer regelmässig patcht, schliesst bekannte Lücken, bevor sie ausgenutzt werden. WannaCry hätte gegen Systeme mit aktuellen Updates nichts ausrichten können.
Backup mit der 3-2-1-Regel
Drei Kopien Deiner Daten, gespeichert auf zwei unterschiedlichen Medien, davon eine Kopie räumlich ausgelagert. So lautet die bewährte 3-2-1-Regel. Genauso wichtig ist es, die Wiederherstellung regelmässig zu testen. Ein Backup, das im Ernstfall nicht zurückgespielt werden kann, ist im Grunde gar kein Backup.
SMBv1 deaktivieren
SMBv1 ist genau das veraltete Netzwerkprotokoll, das WannaCry damals ausgenutzt hat. Heute bietet es keinen praktischen Nutzen mehr, sondern stellt nur noch ein erhebliches Sicherheitsrisiko dar. Es sollte in jeder modernen Windows-Umgebung deaktiviert werden, was mit wenigen Klicks erledigt ist.
Netzwerk-Segmentierung
Wer sein Netzwerk in mehrere voneinander getrennte Bereiche aufteilt, sorgt dafür, dass sich ein Angriff nicht ungehindert ausbreiten kann. Schadsoftware, die nur ein einzelnes Segment erreicht, lässt sich gezielt isolieren und entfernen, während der Rest des Unternehmens weiterarbeiten kann.
Mitarbeitende schulen
Phishing-Mails sind nach wie vor das häufigste Einfallstor für Ransomware. Regelmässige Schulungen helfen Deinen Mitarbeitenden, verdächtige Mails zu erkennen und richtig zu reagieren. Diese Massnahme kostet wenig, hat aber eine grosse Wirkung, oft mehr als zusätzliche teure Sicherheitssoftware.
Monitoring und Incident Response
Ein laufendes Monitoring der IT-Infrastruktur erkennt verdächtige Aktivitäten frühzeitig, oft schon bevor die eigentliche Verschlüsselung beginnt. In Verbindung mit einem klaren Notfallplan kannst Du im Ernstfall schnell reagieren und den Schaden auf ein Minimum begrenzen.
Wie die HEAD IT Solutions dabei hilft
IT-Sicherheit ist keine einmalige Investition, sondern eine fortlaufende Aufgabe, die kontinuierlich gepflegt werden muss. Die HEAD IT Solutions begleitet Schweizer KMU dabei mit einem ganzheitlichen Ansatz und einem klar strukturierten Vorgehen.
Wir richten ein professionelles Patch Management ein, das Sicherheitsupdates zuverlässig und zum richtigen Zeitpunkt einspielt, ohne dass der laufende Betrieb durch ständige Neustarts ausgebremst wird. Wir konfigurieren Backup-Lösungen, die nicht nur regelmässig laufen, sondern deren Wiederherstellung in festgelegten Abständen geprüft und dokumentiert wird. Und wir gestalten Deine Netzwerkstruktur so, dass sie zur Grösse Deines Unternehmens passt und auch dann handlungsfähig bleibt, wenn ein einzelner Bereich von einem Angriff betroffen wäre.
Als zertifizierter Microsoft Solutions Partner für Modern Work setzen wir dabei auf bewährte Bausteine aus dem Microsoft-365-Ökosystem, von automatisierten Update-Richtlinien über Microsoft Defender bis hin zum erweiterten Bedrohungsschutz für Windows und Microsoft 365.
Microsoft Solutions Partner für Modern Work
Die HEAD IT Solutions wurde 2026 als Microsoft Solutions Partner für Modern Work zertifiziert. Zur Auszeichnung 2026 ›
Fazit
WannaCry war ein deutlicher Weckruf für die gesamte IT-Welt, doch für viele betroffene Unternehmen kam dieser Weckruf zu spät. Bemerkenswert daran ist, dass die Massnahmen, die den Schaden 2017 verhindert hätten, heute noch immer dieselben sind. Sicherheitsupdates konsequent einspielen, Backups regelmässig testen, veraltete Protokolle deaktivieren und Mitarbeitende informiert halten.
Das sind keine teuren oder komplexen Sicherheitsprojekte, sondern routinemässige IT-Pflege. Genau hier zeigt sich der Unterschied zwischen einem Unternehmen, das nach einem Angriff schnell wieder arbeitsfähig ist, und einem, das wochenlang stillsteht und im schlimmsten Fall die eigene Existenz aufs Spiel setzt.