Sanly Tech
DE / EN
Zurück zum Blog
· IT-Sicherheit · 7 min · Sanly Tech

Wenn der Drucker Lösegeldforderungen ausdruckt: Warum Cyberangriffe für den deutschen Mittelstand zur Existenzfrage werden

RansomwareCyberangriffKMUMittelstandIT-SicherheitBitkomBSI

Am Morgen des 19. Mai 2025 druckten die Drucker der Fasana GmbH im Euskirchener Ortsteil Stotzheim keine Lieferscheine mehr, sondern Erpresserbotschaften. Wenige Stunden später stand das gesamte Netzwerk still – 190 Rechner und Laptops waren verschlüsselt, die Produktion lag brach, keine einzige Rechnung konnte mehr rausgehen. Das Unternehmen, das seit 1919 Servietten fertigte und zu den traditionsreichsten Papierherstellern Deutschlands gehörte, beantragte am 1. Juni 2025 Insolvenz. Der Zeitraum zwischen Angriff und Zahlungsunfähigkeit: weniger als zwei Wochen. Rund 240 Arbeitsplätze standen plötzlich zur Disposition.

Fasana ist kein Einzelfall. Und genau das ist die beunruhigende Nachricht für jeden Geschäftsführer im deutschen Mittelstand.

Der Mittelstand steht im Fadenkreuz – und das ist kein Klischee

Die aktuelle Bitkom-Studie “Wirtschaftsschutz 2025” zeichnet ein Bild, das selbst hartgesottene IT-Verantwortliche aufrütteln sollte:

  • 87 Prozent der deutschen Unternehmen waren in den letzten zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen.
  • Der Gesamtschaden für die deutsche Wirtschaft liegt bei 289,2 Milliarden Euro, davon entfallen allein 202,4 Milliarden Euro auf Cyberangriffe.
  • 34 Prozent der Unternehmen wurden durch Ransomware geschädigt – fast dreimal so viele wie noch 2022.
  • 59 Prozent der Unternehmen halten Cyberangriffe inzwischen für eine existenzielle Bedrohung – 2022 waren es weniger als 10 Prozent.

Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergänzt diese Zahlen um einen entscheidenden Punkt: Von den 950 erfassten Ransomware-Angriffen im Berichtszeitraum richteten sich rund 80 Prozent gegen kleine und mittlere Unternehmen. Eine Cisco-Erhebung zeigte parallel, dass nur zwei Prozent der deutschen KMU als “optimal vorbereitet” gelten.

Warum gerade der Mittelstand? Die Antwort ist unbequem, aber logisch: KMU haben oft keine eigene IT-Sicherheitsabteilung, keine 24/7-Überwachung, keine Red-Team-Tests – aber sie sind in Lieferketten von Großunternehmen eingebunden. Für Angreifer sind sie der Weg des geringsten Widerstands, mit vergleichsweise attraktiver Beute.

Wie die Angriffe ablaufen

Die Einstiegsvektoren haben sich in den letzten Jahren professionalisiert, aber kaum verändert:

Phishing und Social Engineering bleiben das Einfallstor Nummer eins. Eine täuschend echt aussehende Mail, ein manipulierter Link, ein Anhang mit Makro – und ein einziger unachtsamer Klick reicht. Neu ist, dass Angreifer zunehmend auf KI-generierte Deepfakes zurückgreifen: gefälschte Anrufe im Stil des Geschäftsführers, hochpersonalisierte Spear-Phishing-Mails, die auf LinkedIn-Daten basieren.

Ransomware hat sich zur dominanten Bedrohung entwickelt. Dabei wird längst nicht mehr nur verschlüsselt – moderne Angriffe nutzen zu etwa 72 Prozent sogenannte “Double Extortion”: Die Daten werden zusätzlich kopiert und mit der Veröffentlichung gedroht. Wer nicht zahlt, muss also doppelt leiden.

Supply-Chain-Angriffe nehmen zu. Angreifer kompromittieren einen Zulieferer oder Dienstleister, um über diesen Zugang zu den eigentlichen Zielunternehmen zu erhalten.

Schwachstellen-Ausnutzung bleibt ein strukturelles Problem: Laut BSI werden täglich rund 119 neue Sicherheitslücken in IT-Systemen bekannt – ein Anstieg von 24 Prozent gegenüber dem Vorjahr.

Die wahren Kosten – und warum sie weit über das Lösegeld hinausgehen

Die Öffentlichkeit fokussiert sich oft auf die Lösegeldsumme. Das ist verständlich, aber irreführend. Ein typischer Ransomware-Angriff auf ein mittelständisches Unternehmen verursacht folgende Kostenblöcke:

  • IT-Wiederherstellung und Forensik: 50.000 bis 200.000 Euro
  • Rechtsberatung und Krisenmanagement: 20.000 bis 100.000 Euro
  • Lösegeldzahlung (falls erfolgt): laut Bitkom in 34 Prozent der Fälle zwischen 100.000 und 500.000 Euro
  • Produktionsausfall: bei Fasana allein am ersten Tag nach dem Angriff Aufträge im Wert von über 250.000 Euro
  • DSGVO-Meldungen und potenzielle Bußgelder
  • Kundenabwanderung und Reputationsschaden

Der reine Imageschaden wird allein in Deutschland mit einem zweistelligen Milliardenbetrag beziffert. Und genau dieser Posten ist besonders tückisch: Er taucht in keiner Excel-Tabelle auf, zeigt sich aber in den Monaten nach dem Angriff als verlorene Ausschreibungen, abgesprungene Neukunden und nervöse Investoren.

Fünf Ebenen, auf denen ein Cyberangriff wehtut

Wer die Auswirkungen verstehen will, muss über die reine IT-Perspektive hinausblicken:

1. Betriebsstillstand. Produktion steht, Logistik blind, Kundenkommunikation tot. Fasana-Mitarbeiter berichteten, dass selbst einfachste Aufgaben wie das Drucken von Lieferscheinen unmöglich waren.

2. Liquiditätskrise. Ohne funktionierende Systeme keine Rechnungen, keine Zahlungseingänge, keine Kontrolle über offene Posten. Gleichzeitig laufen Gehälter, Mieten und Lieferantenrechnungen weiter. Der Weg in die Zahlungsunfähigkeit ist kurz.

3. Markenimage-Schaden. “Das Unternehmen, das gehackt wurde” – dieser Stempel hält sich hartnäckig. Gerade B2B-Kunden, die auf Zuverlässigkeit und Datensicherheit angewiesen sind, ziehen schnell Konsequenzen.

4. Vertrauensverlust bei Partnern. Banken fordern zusätzliche Sicherheiten, Versicherungen prüfen Verträge neu, Großkunden fragen Auditberichte an. Die gesamte Risikoposition des Unternehmens wird neu bewertet.

5. Existenzbedrohung. In den schwersten Fällen: Insolvenz.

Es gibt inzwischen eine traurige Liste

Fasana ist der prominenteste Fall aus 2025, aber längst nicht der einzige. Die Liste deutscher Unternehmen, die nach einem Cyberangriff Insolvenz anmelden mussten, wird länger:

  • Einhaus-Gruppe aus Hamm – einst Deutschlands führender Anbieter für Elektronikversicherungen mit bis zu 170 Mitarbeitenden. Im März 2023 von der Ransomware-Gruppe “Royal” angegriffen. Das Unternehmen zahlte Berichten zufolge rund 200.000 Euro Lösegeld in Bitcoin. Die Summe wurde später im Rahmen internationaler Ermittlungen sichergestellt – wegen laufender Verfahren jedoch nicht an das Unternehmen zurückgegeben. Zwei Jahre später folgte die Insolvenz, die Belegschaft schrumpfte von 170 auf acht.
  • Eu-Rec aus Hermeskeil (Rheinland-Pfalz) – das Recycling- und Entsorgungsunternehmen entdeckte den Angriff am 7. April 2025 um 7:12 Uhr und musste kurz darauf Insolvenz anmelden. Rund 200 Kunden- und Geschäftskontakte waren abgeflossen, die IT-Infrastruktur stark beschädigt. Das Unternehmen hatte bereits vor dem Angriff mit wirtschaftlichem Gegenwind zu kämpfen – der Cyberangriff wurde zum letzten Stoß.
  • Weitere Fälle wie NRS, Scoop Aalen Hotelbetriebs GmbH und KNP reihen sich ein.

Branche, Region, Größe – die Muster sind austauschbar. Was diese Unternehmen eint, ist nicht das, was sie produzierten, sondern das, was sie nicht hatten: eine getestete Wiederherstellungsstrategie, segmentierte Netzwerke, funktionierende Offline-Backups und einen geübten Notfallplan.

Was Unternehmen jetzt konkret tun sollten

Die gute Nachricht: Die Maßnahmen, die wirksam sind, sind bekannt. Es fehlt meist nicht am Wissen, sondern an der Umsetzung.

Angriffsfläche systematisch reduzieren. Veraltete Software ausmustern, ungenutzte Dienste abschalten, Zugriffsrechte nach dem Prinzip der geringsten Privilegien vergeben. Alle externen Zugänge über Multi-Faktor-Authentifizierung absichern – ohne Ausnahme.

Zero-Trust-Prinzipien einführen. Statt einer “Burggraben-Mentalität” – innen vertrauenswürdig, außen gefährlich – wird jeder Zugriff unabhängig verifiziert. Das ist kein einzelnes Produkt, sondern eine Architekturentscheidung, die sich schrittweise umsetzen lässt.

Frühwarnsysteme mit KI-basierter Anomalie-Erkennung. Klassische signaturbasierte Sicherheitssoftware erkennt nur Bekanntes. Moderne Systeme lernen das normale Verhalten eines Netzwerks und schlagen Alarm, wenn etwas ungewöhnlich ist – auch bei völlig neuen Angriffsmustern.

Backups, die wirklich funktionieren. Die 3-2-1-Regel (drei Kopien, zwei Medien, eine offline oder unveränderlich) ist Minimum. Entscheidend ist: Die Wiederherstellung muss regelmäßig getestet werden. Ein Backup, das im Ernstfall nicht zurückgespielt werden kann, ist wertlos.

Notfallplan und Krisenkommunikation vorbereiten. Wen im Ernstfall anrufen? Welcher externe Dienstleister ist beauftragt? Wer spricht mit den Medien? Wer informiert die Kunden? Diese Fragen müssen vor dem Ernstfall beantwortet sein.

Mitarbeitende einbeziehen. Der beste technische Schutz scheitert an einer Phishing-Mail, auf die jemand klickt. Regelmäßige, praxisnahe Schulungen sind keine Pflichtveranstaltung, sondern eine der kosteneffizientesten Sicherheitsmaßnahmen überhaupt.

Cyberversicherung prüfen. Eine Versicherung ersetzt keine Präventivmaßnahmen, kann im Ernstfall aber die Differenz zwischen gemanagtem Krisenmodus und Insolvenz ausmachen. Wichtig: Die Deckungsbedingungen genau prüfen – viele Policen setzen bestimmte Sicherheitsstandards voraus.

Fazit: Von “ob” zu “wann” – und was danach passiert

Die Bitkom-Zahlen machen deutlich: Ein Cyberangriff ist für deutsche Unternehmen keine abstrakte Bedrohung mehr, sondern ein statistisch hoch wahrscheinliches Ereignis. Die entscheidende Frage hat sich verschoben. Sie lautet nicht mehr “Werden wir angegriffen?”, sondern “Wie gut sind wir vorbereitet, wenn es passiert?”

Cyberresilienz ist dabei kein IT-Thema und auch kein reines Compliance-Thema. Sie ist ein strategisches Überlebensthema, das auf die Agenda der Geschäftsführung gehört. Wer das Thema weiter als Kostenstelle behandelt, spart an der falschen Stelle – die Rechnung nach einem erfolgreichen Angriff fällt um ein Vielfaches höher aus als jede Prävention.

Fasana, Einhaus, Eu-Rec – diese Unternehmen hatten jahrzehntelange Geschichte, treue Kunden, gute Produkte. Was sie nicht hatten, war genug Zeit zwischen dem ersten Klick auf die schädliche Mail und dem Gang zum Insolvenzgericht.

Diese Zeit verschafft man sich nur vorher. Nicht danach.

Sie möchten die Cyberresilienz Ihres Unternehmens systematisch aufbauen oder vorhandene Maßnahmen auf den Prüfstand stellen? Sprechen Sie uns an – ein strukturierter Security-Check ist der erste Schritt zu einer belastbaren Sicherheitsstrategie.

Kostenloses Erstgespräch vereinbaren →

Quellen: Bitkom Wirtschaftsschutz-Studie 2025 · BSI-Lagebericht zur IT-Sicherheit in Deutschland 2025 · Cisco Cybersecurity Readiness Index 2025 · Berichte Security Insider, WDR, Kölner Stadt-Anzeiger, t-online, The Register (2025)