Zur Startseite gehen
0,00 €
Menü
Wichtig cybersecurity Score: 8/10

Ransomware legt Sicherheitsunternehmen in NRW lahm

· Quellen: Heise Security

Ein mittelständischer Errichter für Sicherheitstechnik wurde Opfer eines gezielten Cyberangriffs.

Was ist passiert?

Ein mittelständisches Sicherheitstechnik-Unternehmen mit 85 Mitarbeitern in Nordrhein-Westfalen wurde Opfer eines gezielten Ransomware-Angriffs. Die Angreifer verschlüsselten sämtliche Server, Kundendaten, Projektunterlagen und – besonders kritisch – die Fernwartungssysteme für Kundenanlagen. Das Unternehmen, das aus Sicherheitsgründen nicht namentlich genannt werden möchte, musste 340 Kunden über die Kompromittierung informieren.

Der Vorfall ereignete sich an einem Freitagabend um 22:14 Uhr – ein klassisches Zeitfenster für Ransomware-Angriffe, da am Wochenende die Reaktionszeit der IT-Abteilung deutlich länger ist. Bis Montagmorgen waren alle produktiven Systeme verschlüsselt und eine Lösegeldforderung von 180.000 Euro in Bitcoin hinterlegt.

Die Details des Angriffs

Der Angriffsvektor: Phishing

Der initiale Zugang erfolgte über eine Phishing-Mail an einen Mitarbeiter der Projektabteilung. Die E-Mail war als Angebotsanfrage eines realen Kunden getarnt und enthielt einen manipulierten PDF-Anhang. Beim Öffnen des PDFs wurde ein Makro ausgeführt, das eine Remote-Access-Trojan (RAT) installierte. Der Angreifer bewegte sich anschließend lateral durch das Netzwerk und erlangte innerhalb von 4 Stunden Domain-Admin-Rechte.

Besonders perfide: Die Angreifer hatten sich offenbar bereits zwei Wochen vor der eigentlichen Verschlüsselung Zugang zum Netzwerk verschafft und in dieser Zeit Daten exfiltriert. Die Drohung, gestohlene Kundendaten zu veröffentlichen (Double Extortion), erhöhte den Druck auf das Unternehmen erheblich.

Die Fernwartungszugänge als Jackpot

Das eigentlich Brisante an diesem Vorfall ist die Kompromittierung der Fernwartungszugänge. Das Unternehmen betreut 340 Kundenanlagen – Einbruchmeldeanlagen, Videoüberwachungssysteme und Zutrittskontrollanlagen – per Fernwartung. Die Zugangsdaten zu diesen Anlagen waren auf einem zentralen Server gespeichert und wurden bei der Attacke mit verschlüsselt. Obwohl die Kundenanlagen selbst nicht direkt angegriffen wurden, bestand theoretisch die Möglichkeit, dass die Angreifer die Fernwartungszugänge genutzt haben könnten, um Alarmanlagen bei Kunden zu deaktivieren.

Das Unternehmen musste alle 340 Kunden informieren und empfehlen, die Fernwartungszugänge zu sperren und Passwörter zu ändern. Bei 80 Kundenanlagen war ein Vor-Ort-Einsatz nötig, um die Fernwartung neu zu konfigurieren.

Die Folgen

  • 3 Wochen Betriebsunterbrechung: Das Unternehmen konnte drei Wochen lang keine neuen Anlagen installieren und keine bestehenden Anlagen warten. Notfälle wurden manuell und telefonisch koordiniert.
  • Geschätzter Gesamtschaden: 450.000 Euro – bestehend aus Betriebsausfall (180.000€), IT-Forensik und Wiederherstellung (120.000€), Krisenmanagement und Kundenkommunikation (60.000€), Vor-Ort-Einsätze bei 80 Kunden (50.000€) und Reputationsschaden (geschätzt 40.000€).
  • DSGVO-Meldung: Da personenbezogene Kundendaten betroffen waren, musste eine Meldung an die zuständige Datenschutzbehörde erfolgen. Ein Bußgeldverfahren ist noch nicht abgeschlossen.

Warum das wichtig ist

Dieser Vorfall ist kein Einzelfall, sondern symptomatisch für eine besorgniserregende Entwicklung: Sicherheitstechnik-Unternehmen werden zunehmend gezielt angegriffen, weil sie Zugang zu hunderten oder tausenden Kundenanlagen haben. Ein kompromittierter Errichter ist für Cyberkriminelle ein Multiplikator – über einen einzigen Zugang erreichen sie potenziell hunderte Zielobjekte.

Das BSI hat in seinem Lagebericht 2025 Managed Security Service Provider (MSSP) und Errichter erstmals als „kritische Infrastruktur der zweiten Ebene" eingestuft. Die Abhängigkeit der physischen Sicherheit von der IT-Sicherheit des Errichters wird zum Branchenrisiko.

Was bedeutet das für die DACH-Region?

In Deutschland gibt es schätzungsweise 6.000 Errichterbetriebe für Sicherheitstechnik, davon nutzen über 80% Fernwartungslösungen. Die IT-Sicherheitsstandards dieser Betriebe variieren erheblich – von professionell geschützten Unternehmen mit eigenem IT-Team bis hin zu kleinen Betrieben, die ihre IT „nebenbei" betreuen. Der BHE Bundesverband arbeitet seit diesem Vorfall an einem IT-Sicherheitsleitfaden für Errichter.

In Österreich und der Schweiz ist die Situation vergleichbar. Schweizer Errichter unterliegen dem nDSG und müssen Datenschutzverletzungen innerhalb von 72 Stunden melden – eine Frist, die bei einem Ransomware-Angriff am Wochenende schwer einzuhalten ist.

Praxis-Tipps: So schützen sich Errichter

  • Offline-Backups: Mindestens wöchentliche Backups auf physisch getrennten Medien (externe Festplatte, Band). Das Backup darf NICHT über das Netzwerk erreichbar sein. Testen Sie regelmäßig die Wiederherstellung.
  • Phishing-Schulungen: Der häufigste Angriffsvektor. Schulen Sie ALLE Mitarbeiter mindestens zweimal jährlich. Simulierte Phishing-Tests erhöhen die Aufmerksamkeit nachhaltig.
  • MFA für Fernwartung: Jeder Fernwartungszugang muss mit Multi-Faktor-Authentifizierung gesichert sein. Hardware-Tokens sind sicherer als SMS-basierte 2FA.
  • Netzwerk-Segmentierung: Trennen Sie das Fernwartungsnetz vom Office-Netz. Ein kompromittierter Office-PC darf keinen Zugang zu Kundenanlagen ermöglichen.
  • Cyber-Versicherung: Prüfen Sie eine Cyber-Versicherung. Die Prämien liegen für mittelständische Betriebe bei 3.000-8.000 Euro jährlich – ein Bruchteil des potenziellen Schadens.
  • Notfallplan erstellen: Definieren Sie vorab, wer im Falle eines Angriffs welche Aufgaben übernimmt: IT-Forensik beauftragen, Kunden informieren, Behörden melden, Betrieb aufrechterhalten.
  • Passwort-Management: Verwenden Sie einen Enterprise-Passwort-Manager für alle Fernwartungszugänge. Jeder Kundenzugang braucht ein individuelles, starkes Passwort.

Hintergrund und Statistiken

Nach Angaben des BKA wurden 2025 in Deutschland über 136.000 Cyber-Straftaten registriert, davon 21.000 Ransomware-Angriffe. Der durchschnittliche Schaden eines Ransomware-Angriffs auf ein mittelständisches Unternehmen liegt bei 250.000 Euro, die durchschnittliche Ausfallzeit bei 23 Tagen. Die Dunkelziffer ist erheblich – viele Unternehmen melden Angriffe aus Angst vor Reputationsschäden nicht.

Der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) berichtet, dass nur 35% der deutschen KMU eine Cyber-Versicherung haben. Bei Errichterbetrieben für Sicherheitstechnik liegt die Quote sogar unter 20% – paradoxerweise, denn gerade diese Betriebe sind aufgrund ihrer Fernwartungszugänge besonders attraktive Ziele.

Ausblick

Die LKA-Cybercrime-Abteilung ermittelt in dem aktuellen Fall weiter. Die Angreifer konnten bisher nicht identifiziert werden, was bei Ransomware-Angriffen die Regel ist. Experten warnen eindringlich: Sicherheitsunternehmen werden zunehmend gezielt angegriffen. Der BHE plant für Q4 2026 eine Veranstaltungsreihe zum Thema „IT-Sicherheit für Errichter" und arbeitet an einer branchenspezifischen Cybersecurity-Zertifizierung.

Ransomware Cyberangriff Errichter Phishing Fernwartung

Originalquellen

Verwandte Artikel

cybersecurity

BSI warnt vor kritischen Sicherheitslücken in Smart-Home-Systemen

Entdecken Sie unsere Lösungen zu diesem Thema

Feuerschutztresor | Feuerfester Tresor | Feuersicher - 60 Minuten Feuerschutz | Sicherheitsstufe B

Feuerschutztresor | Feuerfester Tresor | Feuersicher - 60 Minuten Feuerschutz | Sicherheitsstufe B

233,50 €
Zum Produkt →
← Zurück zur Übersicht
Diese Website verwendet Cookies, um eine bestmögliche Erfahrung bieten zu können. Mehr Informationen ...