Ransomware-Prävention durch Schwachstellenmanagement

Written by ExposIQ | März 18, 2026

Ransomware ist die grösste Cyberbedrohung für Schweizer KMU. Die Schäden reichen von tagelangen Betriebsausfällen über Lösegeldzahlungen bis hin zum vollständigen Datenverlust. Doch ein weit verbreiteter Irrtum hält sich hartnäckig: Viele Unternehmen glauben, Ransomware-Gruppen würden hochentwickelte Zero-Day-Exploits einsetzen, gegen die man sich kaum schützen kann. Die Realität sieht anders aus – und sie ist gleichzeitig beunruhigend und ermutigend.

Ransomware nutzt bekannte Schwachstellen

Die überwiegende Mehrheit der Ransomware-Angriffe basiert nicht auf Zero-Day-Schwachstellen, sondern auf längst bekannten und dokumentierten Sicherheitslücken, für die Patches verfügbar sind. Studien zeigen, dass über 80 Prozent der erfolgreichen Ransomware-Angriffe Schwachstellen ausnutzen, die seit Monaten oder sogar Jahren bekannt sind.

Das bedeutet: Diese Angriffe wären in den meisten Fällen vermeidbar gewesen. Nicht durch teure neue Technologie, sondern durch konsequentes Schwachstellenmanagement.

Das Nationale Zentrum für Cybersicherheit (NCSC, heute BACS) der Schweiz verzeichnete 2023 und 2024 einen konstanten Strom von Ransomware-Meldungen, insbesondere von KMU. Die häufigsten Einstiegsvektoren sind dabei erschreckend vorhersehbar.

Die häufigsten Einstiegspunkte für Ransomware

1. VPN-Gateways und Remote-Access-Appliances

VPN-Appliances von Fortinet, Citrix, Ivanti und Pulse Secure gehören zu den beliebtesten Zielen von Ransomware-Gruppen. Der Grund ist einfach: Diese Geräte stehen direkt am Internet und bieten bei erfolgreicher Ausnutzung sofort Zugang zum internen Netzwerk.

Einige der verheerendsten Schwachstellen der letzten Jahre betrafen genau diese Systeme:

  • Fortinet FortiOS (CVE-2023-27997, CVE-2024-21762): Kritische Schwachstellen in FortiGate-Firewalls, die von Ransomware-Gruppen aktiv ausgenutzt wurden
  • Citrix NetScaler/ADC (CVE-2023-4966 «Citrix Bleed»): Ermöglichte den Diebstahl von Session-Tokens und wurde von der LockBit-Gruppe massiv ausgenutzt
  • Ivanti Connect Secure (CVE-2024-21887, CVE-2023-46805): Authentifizierungs-Bypass und Command-Injection, genutzt für initialen Zugang in Unternehmensnetzwerke

Das Perfide: Viele KMU setzen diese Geräte ein, ohne zu wissen, welche Firmware-Version läuft oder ob bekannte Schwachstellen betroffen sind. Die Appliance «funktioniert ja» – und genau das ist das Problem.

2. Remote Desktop Protocol (RDP)

Exponiertes RDP ist nach wie vor einer der häufigsten Ransomware-Einstiegsvektoren. Angreifer nutzen entweder Brute-Force-Attacken auf schwache Passwörter oder bekannte RDP-Schwachstellen wie BlueKeep (CVE-2019-0708). Jedes System, dessen RDP-Port (3389) direkt vom Internet erreichbar ist, wird innerhalb von Stunden von automatisierten Scannern gefunden.

3. Microsoft Exchange Server

On-Premise Exchange-Server waren in den letzten Jahren ein bevorzugtes Ziel. Die ProxyShell- und ProxyLogon-Schwachstellen (CVE-2021-26855 und verwandte) ermöglichten Remote Code Execution ohne Authentifizierung. Viele KMU betreiben noch immer Exchange-Server, die nicht vollständig gepatcht sind.

4. Veraltete Webanwendungen und CMS

WordPress-Installationen mit veralteten Plugins, Joomla-Systeme oder selbst entwickelte Webanwendungen mit SQL-Injection-Schwachstellen bieten ebenfalls Einstiegspunkte. Über eine kompromittierte Webapplikation kann ein Angreifer häufig auf den darunterliegenden Server zugreifen und sich von dort ins Netzwerk bewegen.

Warum Backup allein keine Prävention ist

«Wir haben Backups, also sind wir geschützt.» Dieser Satz fällt in fast jedem KMU-Gespräch zum Thema Ransomware. Und er ist grundlegend falsch.

Backups sind ein wichtiger Teil der Recovery-Strategie, aber sie verhindern keinen Angriff. Moderne Ransomware-Gruppen haben ihre Taktiken weiterentwickelt:

  • Doppelte Erpressung (Double Extortion): Bevor die Daten verschlüsselt werden, werden sie exfiltriert. Selbst wenn Sie aus dem Backup wiederherstellen, drohen die Angreifer mit der Veröffentlichung sensibler Daten.
  • Backup-Zerstörung: Professionelle Ransomware-Gruppen suchen gezielt nach Backup-Systemen und löschen oder verschlüsseln diese zuerst. Wenn Ihre Backups im gleichen Netzwerk liegen, sind sie mitbetroffen.
  • Langer Aufenthalt: Angreifer verbringen oft Wochen im Netzwerk, bevor sie zuschlagen. In dieser Zeit verstehen sie Ihre Infrastruktur, identifizieren kritische Systeme und bereiten den maximalen Schaden vor.
  • Betriebsunterbrechung: Selbst mit perfekten Backups dauert die Wiederherstellung Tage bis Wochen. Die Geschäftsunterbrechung verursacht oft höhere Kosten als das Lösegeld selbst.

Prävention – also das Verhindern des initialen Zugangs – ist jeder Reaktionsmassnahme überlegen. Und genau hier setzt Schwachstellenmanagement an.

Kontinuierliches Scanning als Präventionsstrategie

Schwachstellenmanagement reduziert die Angriffsfläche, bevor ein Angreifer sie ausnutzen kann. Der Prozess ist klar:

  1. Sichtbarkeit schaffen: Sie können nur schützen, was Sie kennen. Ein vollständiger Scan Ihrer externen und internen Systeme zeigt Ihnen Ihre tatsächliche Angriffsfläche.
  2. Schwachstellen identifizieren: Automatisierte Scanner prüfen Ihre Systeme gegen Datenbanken mit über 64’000 bekannten CVEs und erkennen veraltete Software, Fehlkonfigurationen und exponierte Dienste.
  3. Risiken priorisieren: Nicht jede Schwachstelle ist gleich gefährlich. EPSS-Scores (Exploit Prediction Scoring System) zeigen, welche Schwachstellen tatsächlich aktiv ausgenutzt werden. Der KEV-Katalog (Known Exploited Vulnerabilities) der CISA listet Schwachstellen, die nachweislich in freier Wildbahn genutzt werden.
  4. Gezielt beheben: Mit priorisierten Ergebnissen können Sie Ihre begrenzten Ressourcen dort einsetzen, wo das Risiko am höchsten ist.
  5. Kontinuierlich wiederholen: Neue Schwachstellen werden täglich veröffentlicht. Ein einmaliger Scan ist eine Momentaufnahme – nur regelmässiges Scanning bietet nachhaltigen Schutz.

VPN-Gateways gezielt prüfen

Da VPN-Appliances zu den kritischsten Einstiegspunkten gehören, verdienen sie besondere Aufmerksamkeit. Doch genau hier liegt die Herausforderung: Viele Schwachstellenscanner erkennen zwar offene Ports, können aber die spezifische Firmware-Version einer Fortinet- oder Ivanti-Appliance nicht zuverlässig bestimmen.

ExposIQ löst dieses Problem mit einem spezialisierten Ansatz: 28 verschiedene Login-Pfade für gängige VPN- und Remote-Access-Produkte werden gezielt geprüft, kombiniert mit tausenden Nuclei-Templates, die auf spezifische Schwachstellen in diesen Produkten testen. So werden nicht nur offene Ports erkannt, sondern die tatsächliche Verwundbarkeit der Appliance bestimmt.

NCSC-Empfehlungen umsetzen

Das Bundesamt für Cybersicherheit (BACS, ehemals NCSC) empfiehlt Schweizer Unternehmen ausdrücklich regelmässige Schwachstellenscans als Grundpfeiler der Cyberabwehr. Die konkreten Empfehlungen umfassen:

  • Regelmässige Aktualisierung aller Systeme und Anwendungen
  • Reduzierung der Angriffsfläche durch Abschalten nicht benötigter Dienste
  • Netzwerksegmentierung zur Eindämmung lateraler Bewegungen
  • Multi-Faktor-Authentifizierung für alle Remote-Zugänge
  • Kontinuierliche Überwachung der eigenen Infrastruktur

All diese Empfehlungen setzen voraus, dass Sie wissen, welche Systeme in Ihrem Netzwerk laufen und welche Schwachstellen bestehen. Ohne Schwachstellenmanagement operieren Sie blind.

Der pragmatische Ansatz für KMU

Ransomware-Prävention muss nicht mit einem Millionenbudget beginnen. Ein pragmatischer Ansatz für KMU sieht so aus:

  1. Sofort: Prüfen Sie, ob RDP-Ports oder VPN-Admin-Interfaces direkt vom Internet erreichbar sind
  2. Kurzfristig: Stellen Sie sicher, dass Ihre VPN-Appliances auf dem neuesten Firmware-Stand sind
  3. Mittelfristig: Führen Sie regelmässige Schwachstellenscans ein, um neue Risiken frühzeitig zu erkennen
  4. Laufend: Etablieren Sie einen Prozess zum zeitnahen Patchen kritischer Schwachstellen

ExposIQ unterstützt Schweizer KMU bei genau diesem Ansatz. Mit über 35 Scan-Engines, 64’000 CVEs und spezialisierten Prüfungen für VPN-Gateways deckt die Plattform die häufigsten Ransomware-Einstiegsvektoren ab. Gehostet in der Schweiz, nDSG-konform und ab CHF 99 pro Monat verfügbar. Weil Prävention immer günstiger ist als Wiederherstellung: exposiq.ch

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.