Dr. Dr. Fabian Teichmann, St. Gallen*

Der vorliegende Beitrag untersucht den Fall des mittelständischen Unternehmens Fasana GmbH, das im Mai 2025 infolge eines schwerwiegenden Ransomware-Angriffs innerhalb weniger Wochen Insolvenz anmelden musste. Der Fall gilt als exemplarisch für die gravierenden Folgen unzureichender Cyberresilienz in kleinen und mittleren Unternehmen (KMU) und verdeutlicht die multidimensionalen Risiken digitaler Angriffe. Ziel des Beitrags ist eine ganzheitliche Analyse des Vorfalls unter technischen, organisatorischen, forensischen und rechtlichen Gesichtspunkten. Auf Grundlage öffentlich zugänglicher Informationen und branchenspezifischer Sekundärliteratur wird der Angriff rekonstruiert und systematisch auf Schwachstellen in der IT-Sicherheitsarchitektur, im Governance-Modell sowie im Notfallmanagement untersucht.

I. Einleitung

Cyberangriffe auf Unternehmen haben in den letzten Jahren dramatisch zugenommen und treffen zunehmend auch mittelständische Betriebe. Im Mai 2025 ereignete sich ein besonders brisanter Fall: Ein Ransomware-Angriff auf den Serviettenhersteller Fasana GmbH (240 Mitarbeiter) legte sämtliche IT-Systeme lahm und führte innerhalb weniger Wochen zur Insolvenz des über 100 Jahre alten Traditionsunternehmens.1 Dieser Vorfall – der „Fall Fasana“ – zeigt in aller Deutlichkeit, welche technischen, organisatorischen und rechtlichen Folgen ein Cyberangriff nach sich ziehen kann. Im Folgenden werden die Hintergründe dieses Falls beleuchtet (technische Details des Angriffs, forensische Erkenntnisse, Governance-Versäumnisse und rechtliche Implikationen) und daraus holistische Handlungsempfehlungen für mittelständische Unternehmen abgeleitet.

II. Der Fall Fasana: Cyberangriff führt zur Insolvenz

1. Ablauf des Angriffs

Am 19. Mai 2025 spielten sich in der Euskirchener Fasana-Fabrik beinahe filmsreife Szenen ab. Über Nacht hatten Hacker die gesamte IT-Infrastruktur des Unternehmens infiltriert und mit Schadsoftware verschlüsselt. Am Morgen des 19. Mai fanden Mitarbeiter alle Drucker mit Erpresserschreiben vor, die offenbar automatisch ausgedruckt worden waren. Darin machten die unbekannten Täter unmissverständlich klar, dass es sich nicht um einen politisch motivierten Angriff handele – ihr Motiv sei rein finanzieller Natur. Als Kontaktweg gaben sie eine Darknet-Adresse an. Sämtliche Rechner, Laptops und Produktions-IT waren zugleich durch die Ransomware lahmgelegt worden.2 Mit einem Schlag gingen keine Bestellungen, Lieferungen oder Büroarbeiten mehr: „Es ging nichts mehr“, berichtete ein Mitarbeiter.3

2. Unmittelbare Folgen

Die Auswirkungen für Fasana waren verheerend. Bereits am Tag nach dem Angriff (20. Mai) konnten Aufträge im Wert von über 250.000 € nicht ausgeführt werden. In den zwei Wochen darauf kam die Fertigung weitgehend zum Stillstand – es wurden kaum nennenswerte Umsätze generiert, Schätzungen zufolge fehlten rund 2 Mio. € Umsatzvolumen. Lediglich bereits in den Maschinen zwischengespeicherte Produktionsaufträge konnten noch fertiggestellt werden. Die gesamte Lieferkette stockte: „Man konnte noch nicht mal einen Lieferschein ausdrucken. Das Geschäft lag komplett brach – mit allen negativen Konsequenzen.“ bestätigte Insolvenzverwalter Dr. Dirk Wegener später. Nach ein bis zwei Tagen „Notbetrieb“ war das Werk praktisch tot.4 Die Produktion stand vollkommen still, neue Bestellungen konnten weder entgegengenommen noch bearbeitet werden.5 Selbst Routineprozesse scheiterten: So blieb ein erforderliches Schreiben an die Bezirksregierung für eine Feiertagsgenehmigung „im Internet hängen“, was dazu führte, dass am Pfingstmontag nicht produziert werden durfte. In der Folge musste das Unternehmen auf analoge Notlösungen zurückgreifen – interne Kommunikation erfolgte teilweise per Aushang von Zetteln an Bürotüren, um Mitarbeitende überhaupt über das Nötigste zu informieren.6

3. Reaktion des Unternehmens

Fasana reagierte nach Bekanntwerden des Angriffs sofort mit Notfallmaßnahmen. Etwa 190 Firmen-PCs und Laptops wurden umgehend vom Netz genommen, eingesammelt und forensisch untersucht. Externe IT-Spezialisten wurden hinzugezogen, um die Geräte zu säubern (Scan auf Malware) und sämtliche Programme neu aufzuspielen. Parallel baute man „digitale Parallelwelten“ auf – d. h. Ersatzsysteme und -netzwerke – um die Kommunikation und idealerweise auch die Produktion schrittweise wieder in Gang zu bringen. Dennoch blieb die IT wochenlang beeinträchtigt. Auch drei Wochen nach dem Vorfall waren einige essentielle Anwendungen noch nicht wieder voll funktionsfähig. So stand im Kundenservice zeitweise nur ein einziger Rechner für zehn Mitarbeitende zur Verfügung.7 Erst Anfang Juni – rund zwei Wochen nach dem Angriff – konnte Fasana den Betrieb vorsichtig wieder anfahren. Ende der ersten Juniwoche meldete der regionale Sender WDR, dass erste Auslieferungen wieder erfolgen und seit dem 11. Juni auch Rechnungen wieder geschrieben werden könnten.8 Die Produktion lief zu diesem Zeitpunkt also eingeschränkt wieder an, jedoch musste weiterhin improvisiert werden und die Lage blieb fragil.9

4. Forensik und Ermittlungen

Über die technischen Details der Attacke sind nur begrenzt Informationen öffentlich. Nach aktuellem Kenntnisstand handelte es sich um eine Ransomware-Attacke einer bekannten Tätergruppe, die auf finanzielle Erpressung spezialisiert ist. Interessanterweise hat sich jedoch keine der berüchtigten Ransomware-Banden offiziell zu diesem Angriff bekannt – ein Umstand, der unüblich ist, da viele Gruppen Opfer auf Leak-Webseiten nennen, wenn Lösegeldforderungen ausstehen. Laut WDR wird die Tätergruppe zwar als „polizeibekannt“ beschrieben, ihr genauer Name wurde aus ermittlungstaktischen Gründen aber nicht genannt.10 Die Angreifer schafften es offenbar, eine schnell um sich greifende Verschlüsselungssoftware ins Unternehmensnetz einzuschleusen, welche Daten verschlüsselte und Systeme sperrte.11 Ein Mitarbeiter schilderte, dass alle Computer „platt“ waren – vom Produktionsrechner bis zum Büro-PC. Besonders spektakulär war das bereits erwähnte Ausdrucken der Erpresserbriefe auf allen Netzwerkdruckern, was auf eine umfassende Kompromittierung des Firmennetzwerks hindeutet. Die forensischen Analysen durch interne IT und externe Experten konzentrierten sich darauf, wie die Angreifer eindringen konnten und welche Systeme genau betroffen waren. Konkrete Details zum Initialzugang (z. B. Phishing-Mail, unsicherer Remote-Zugriff oder ungepatchte Sicherheitslücke) wurden nicht öffentlich bekannt. Die Tatsache, dass eine professionelle externe Incident-Response-Mannschaft eingesetzt wurde und auch die Cybercrime-Spezialisten der Polizei Bonn in den Fall involviert sind, zeigt aber, dass eine umfangreiche Untersuchung läuft.12 Ziel der Ermittlungen ist es zum einen, den Tathergang zu rekonstruieren und somit forensische Beweise für Einfallsvektor und Malware-Typ zu sichern, und zum anderen, die Urheber strafrechtlich zur Verantwortung zu ziehen. Das Unternehmen hat Anzeige gegen Unbekannt erstattet.13 Bislang (Stand Oktober 2025) gibt es jedoch keine öffentlichen Angaben zu den Tätern oder einer möglichen Lösegeldzahlung. Fasana hat – soweit bekannt – kein Lösegeld gezahlt, sondern auf Wiederherstellung der Systeme aus eigenen Mitteln bzw. Backups gesetzt. Dafür spricht, dass das Unternehmen nach ca. zwei bis drei Wochen die wichtigsten Systeme wieder in Betrieb hatte.14 Hätte Fasana das Lösegeld entrichtet und einen Entschlüsselungs-Code erhalten, wäre vermutlich eine schnellere Wiederaufnahme möglich gewesen; allerdings sind solche Zahlungen riskant und werden vom BKA und BSI generell abgeraten. Im Fall Fasana gab es zudem Hinweise, dass die finanzielle Forderung der Erpresser beträchtlich gewesen sein dürfte (inoffiziell war von einer siebenstelligen Euro-Summe die Rede, was aber nicht bestätigt ist). Klar ist: selbst ohne direktes Datenleck (über exfiltrierte Daten ist nichts bekannt) hat die reine Systemverschlüsselung genügt, um das Unternehmen in die Knie zu zwingen.

5. Insolvenz als Konsequenz

Die wohl gravierendste Folge des Cyberangriffs war die insolvenzrechtliche Lage, in die Fasana geriet. Durch den wochenlangen Umsatzausfall und die weiterlaufenden Kosten konnte das Unternehmen seine Zahlungsfähigkeit nicht mehr aufrechterhalten. Bereits am 1. Juni 2025 – also rund zehn Tage nach dem Angriff – sah sich die Geschäftsführung gezwungen, Insolvenz anzumelden.15 Das zuständige Amtsgericht Bonn eröffnete am 2. Juni ein vorläufiges Insolvenzverfahren und bestellte Dr. Dirk Wegener von der Kanzlei DHPG zum Insolvenzverwalter. Besonders kritisch war, dass Fasana infolge des Angriffs die Gehälter für Mai 2025 nicht fristgerecht zahlen konnte. Unter deutschem Recht (Sozialgesetzbuch III, „Insolvenzgeld“) übernimmt in Insolvenzfällen zwar die Bundesagentur für Arbeit für maximal drei Monate die Lohnzahlungen, jedoch verkürzt ein solcher Fall oft den Handlungsspielraum. So blieb Fasana statt der üblichen 12 Wochen nur acht Wochen Zeit, um einen Käufer zu finden, der den Betrieb übernimmt – ein direkter Effekt des gestörten Geschäftsbetriebs auf das Insolvenzverfahren. Der Insolvenzverwalter bemühte sich umgehend um Investoren und führte an, es gebe bereits erste Interessensbekundungen für eine Übernahme.16 Ziel ist es, den Betrieb in irgendeiner Form fortzuführen und die 240 Arbeitsplätze zu erhalten.17 Ohne Übernahme droht Fasana jedoch die Abwicklung, also das vollständige Aus des Unternehmens.

Bemerkenswert ist, dass Fasana erst kurz vor dem Cyberangriff den Eigentümer gewechselt hatte. Im März 2025 übernahm die Schweizer Powerparc AG die Fasana GmbH.18 Möglicherweise befand sich Fasana schon zuvor in einer wirtschaftlich angespannten Lage (z. B. durch steigende Rohstoffpreise und ein schwieriges Marktumfeld, wie der Insolvenzverwalter andeutete)19 – der Cyberangriff war dann der „letzte Sargnagel“, der die Firma endgültig in Schieflage brachte.20 Tatsächlich zeigen Analysen, dass Ransomware selten als alleinige Ursache für eine Pleite gilt; oft beschleunigt sie aber den Kollaps eines bereits angeschlagenen Betriebs.21 So oder so ist der Fall Fasana ein Weckruf. Hier hat ein einzelner Cyberangriff genügt, um ein traditionelles mittelständisches Unternehmen wirtschaftlich lahmzulegen – ein Extrembeispiel, das aber kein Einzelfall bleibt.

III. Analyse: Ursachen, Versäumnisse und Implikationen des Falls

1. Technische Schwachstellen und Governance-Versagen

Der Fasana-Hack verdeutlicht einige typische Schwachstellen, die im Mittelstand leider häufig anzutreffen sind. Zum einen spricht der umfassende Erfolg des Angriffs dafür, dass technische Sicherungsmaßnahmen unzureichend waren. Die Ransomware konnte sich rasch im gesamten Netzwerk ausbreiten und alle Rechner sowie sogar Drucker kompromittieren.22 Dies legt nahe, dass es an effektiver Netzwerksegmentierung und modernen Endpoint-Sicherheitslösungen (etwa Endpoint Detection & Response) fehlte. In einem besser geschützten Netz hätte sich die Schadsoftware womöglich nicht so schnell und flächendeckend ausbreiten können, da kritische Systeme isolierter und überwacht wären. Auch stellt sich die Frage nach dem Patch- und Update-Management: Viele Ransomware-Gruppen dringen über bekannte Sicherheitslücken in ungepatchter Software ein. Ob Fasana alle Systeme auf aktuellem Stand hatte, ist zwar unbekannt – doch generell zeigen Fälle wie dieser, dass veraltete Software ein Einfallstor bieten kann.

Hinzu kommt der Aspekt Sicherungskopien bzw. Backups. Zwar hat Fasana offenbar versucht, Systeme über Neuaufsetzen und ggf. Backup-Daten wiederherzustellen, doch die Dauer (mehrere Wochen Stillstand) lässt vermuten, dass kein vollständig durchdachter Notfallplan existierte. Ein robustes Backup-Konzept, inklusive regelmäßiger Offline-Backups, die von Ransomware nicht erreicht werden können sowie ein erprobter Disaster-Recovery-Plan hätten die Ausfallzeit eventuell verkürzen können. Im Idealfall können Unternehmen nach einem Ransomware-Befall ihre Daten aus sicheren Backups in kurzer Zeit wieder einspielen und den Betrieb (zumindest teilweise) weiterführen. Bei Fasana hingegen mussten zunächst 190 Rechner mühsam bereinigt und neu aufgesetzt werden23 – ein Indiz, dass die Wiederanlaufsplanung nicht optimal vorbereitet war.

Auch menschliches Versagen bzw. fehlende Awareness könnte eine Rolle gespielt haben. Mittelständische Firmen verfügen selten über eigene Security-Operations-Zentren oder umfangreiche IT-Sicherheitsabteilungen. Es ist gut möglich, dass ein Phishing-Angriff, z. B. ein infizierter E-Mail-Anhang oder ein bösartiger Link, den Angreifern Zugang verschaffte. Gerade hier zeigt sich ein Governance-Defizit. IT-Sicherheit war vermutlich nicht Chefsache bei Fasana. Präventive Maßnahmen wie regelmäßige Mitarbeiterschulungen zur Erkennung von Phishing-Mails, klar definierte Verantwortlichkeiten im Falle eines IT-Zwischenfalls und investive Vorsorge, etwa in Form einer Cybersecurity-Versicherung oder externer Pentests, sind im Mittelstand noch nicht selbstverständlich. Fasanas Management stand durch die frische Übernahme wohl ohnehin unter Umbruchs-Stress – Cyber-Risiken hatten möglicherweise keine Priorität. Diese Fehleinschätzung rächte sich bitter und im Nachhinein ist klar, dass man die Gefahr eines solchen Angriffs unterschätzt hatte. Die Governance (Führung und Organisation der IT-Sicherheit) versagte insofern, als kein resilienter Schutzschirm gespannt war und kein einstudierter Notfallplan griff. Statt geordneter Incident Response musste improvisiert werden („Feuerwehrmodus“), was den Schaden erhöhte.

Positiv anzumerken ist allerdings, dass Fasana nach dem Angriff schnell externe Experten und die Polizei einbezogen hat.24 Dies ist ein Schritt, der in der Hektik leider manchmal verzögert wird. Durch die Hinzunahme von Spezialisten konnte zumindest die forensische Aufarbeitung und Systembereinigung professionell erfolgen. Dennoch bleibt festzuhalten, dass viele der eingetretenen Folgen – vom Produktionsstopp bis zum Datenverlust – durch bessere Vorbereitung abzumildern gewesen wären. Hier liegt eine klare Lehre für andere Unternehmen. Cyber-Resilienz muss Teil der Unternehmensstrategie sein, insbesondere im Mittelstand, der oft über verwundbare Legacy-Systeme und knappere Ressourcen verfügt.

2. Rechtliche und regulatorische Implikationen

Der Fall Fasana offenbart auch interessante rechtliche Aspekte, die für Unternehmen relevant sind. Zunächst das Offensichtliche: ein Cyberangriff kann zum Insolvenzauslöser werden. Juristisch betrachtet musste die Geschäftsführung prüfen, ob eine Insolvenzverschleppung droht, wenn man nicht umgehend Insolvenzantrag stellt – in Deutschland eine strafbewehrte Pflicht gem. § 15a InsO. Bei Zahlungsunfähigkeit (hier verursacht durch den Umsatzausfall und die Unmöglichkeit, Löhne zu zahlen) bleibt oft keine Wahl als der Gang zum Amtsgericht.25 Dieses Risiko müssen Firmenlenker auf dem Schirm haben. Cybervorfälle können meldepflichtige Ereignisse nach sich ziehen, seien es Insolvenzanträge oder Ad-hoc-Mitteilungen bei börsennotierten Gesellschaften gem. Art. 17 Abs. 1 MAR.26 In Fasanas Fall kam erschwerend hinzu, dass durch den Angriff arbeitsrechtliche Verpflichtungen (pünktliche Lohnzahlung) nicht erfüllt wurden – was den zeitlichen Druck im Insolvenzverfahren erhöhte.27

Ein weiterer wichtiger rechtlicher Punkt betrifft die Datensicherheit und Compliance. Zwar liegen keine Informationen vor, dass bei Fasana personenbezogene Daten abgezogen wurden. Dennoch wären viele Cyberangriffe als Datenschutzvorfall zu werten – mit Meldepflichten nach der DSGVO.28 Hätte die Ransomware z. B. Kundendaten entwendet oder unzugänglich gemacht, hätte Fasana innerhalb von 72 Stunden die Datenschutzbehörde informieren und ggf. Betroffene benachrichtigen müssen. Auch so musste der Vorfall vermutlich an das Bundesamt für Sicherheit in der Informationstechnik (BSI)29 gemeldet werden, da diese zentrale Meldestelle für erhebliche IT-Sicherheitsvorfälle ist (auch wenn Fasana kein Kritischer Infrastruktur-Betreiber war). Rechtlich gesehen sollten Mittelständler sich auf solche Pflichten vorbereiten. Im Ernstfall sind Incident-Response-Pläne idealerweise mit juristischer Beratung erstellt, um etwa Meldeschreiben an Behörden parat zu haben.

Eine brisante Frage ist stets auch ob man das Lösegeld zahlen soll oder nicht. Rechtlich ist die Lösegeldzahlung in Deutschland nicht verboten – außer die Täter stehen unter Sanktionen (z. B. russische Hackergruppen könnten unter EU-Sanktionslisten fallen, wodurch Zahlungen an sie illegal wären).30 In Fasanas Situation stand diese Frage im Raum. Man entschied sich offenbar gegen die Zahlung, zumindest gibt es keinen Hinweis, dass gezahlt wurde. Dies entspricht den Empfehlungen der Strafverfolgungsbehörden, um kriminelle Geschäftsmodelle nicht zu fördern. Allerdings birgt dies das Risiko, dass Daten veröffentlicht werden (bei Double-Extortion-Angriffen) oder die Firma ohne Entschlüsselung wochenlang ausfällt – so geschehen bei Fasana. Unternehmen müssen hier eine schwierige Abwägung treffen. Zahlen und hoffen, schneller wieder arbeitsfähig zu sein (mit der Unsicherheit, ob die Hacker das Versprechen halten), oder nicht zahlen und den Komplettausfall bewältigen. Im Zweifelsfall ist juristischer Rat unerlässlich, auch um Haftungsfragen zu klären. Beispielsweise könnten Geschäftsführer haftbar sein, wenn sie ohne Prüfung zahlen und damit evtl. gegen Sorgfaltspflichten verstoßen – oder umgekehrt, wenn durch Nichtzahlen vermeidbarer Schaden entsteht. Im Fall Fasana lag die Entscheidung letztlich beim Insolvenzverwalter, der die Interessen der Gläubiger wahren muss.

Auch vertragliche Implikationen spielen eine Rolle. Durch die Produktionsausfälle konnte Fasana gegenüber Kunden Lieferverpflichtungen nicht erfüllen. Normalerweise könnten daraus Schadensersatzansprüche entstehen. Allerdings greifen hier oft höhere Gewalt-Klauseln (Force Majeure), die mittlerweile Cyberangriffe explizit einschließen.31 Ob im konkreten Fall Verträge so etwas vorsahen, ist nicht bekannt – aber es ist ein Hinweis an alle Unternehmen, ihre Vertragswerke anzupassen, um bei Cybervorfällen nicht zusätzlich juristisch belangt zu werden. Zudem zeigt der Fall die Bedeutung von Versicherungen. Hätte Fasana eine Cyberversicherung mit Betriebsunterbrechungsdeckung gehabt, hätten gewisse Kosten, wie z. B. forensische Dienstleistungen oder Wiederherstellung, erstattet werden können. Dennoch ist fraglich, ob dies die Insolvenz verhindert hätte, da der Einnahmeausfall riesig war. Rechtlich gesehen kann eine Versicherung zwar finanziell helfen, aber ein Totalausfall von Wochen ist schwer wiedergutzumachen.

Regulatorisch ist der Trend klar: Der Gesetzgeber erhöht den Druck auf Unternehmen, präventiv aktiv zu werden. In der EU tritt beispielsweise die NIS2-Richtlinie in Kraft, die auch auf mehr mittelständische Unternehmen erweitert wird und Mindeststandards für die Cybersecurity vorschreibt.32 Branchenübergreifend sollen Firmen Risikobewertungen durchführen, Vorfälle melden und technische wie organisatorische Sicherheitsmaßnahmen einführen. Wer hier nachlässig ist, riskiert in Zukunft empfindlich hohe Bußgelder33 – zusätzlich zum eigentlichen Schaden. Auch das BSI stellt verstärkt branchenspezifische Security-Standards zur Verfügung, und der Verband deutscher Mittelständler mahnt zu mehr Cyber-Prävention. Kurzum sei betont, dass sich die rechtlichen Rahmenbedingungen dahin entwickeln, dass IT-Sicherheit zur Compliance-Pflicht wird, ähnlich wie Arbeitssicherheit oder Finanzbuchhaltung.

Abschließend sei erwähnt, dass der Fall Fasana leider kein isoliertes Ereignis ist. Weltweit und in Deutschland gab es zuletzt mehrere Insolvenzen infolge von Cyberangriffen. Eine Erhebung des Versicherers Hiscox ergab, dass jedes fünfte Unternehmen angab, eine Cyberattacke habe es beinahe in die Insolvenz getrieben. Andere deutsche Firmen – vom Familienunternehmen in der Entsorgungsbranche bis zum Hotelbetreiber – mussten 2023/2024 nach Ransomware-Befall den Betrieb einstellen.34 International sorgte z. B. der Fall des Wodka-Herstellers Stoli Group für Aufsehen, dessen US-Sparte 2024 Chapter-11 anmelden musste, weil ein Hack die Buchhaltung lahmlegte.35 Statistiken zeichnen ein düsteres Bild: 75% der kleinen und mittleren Unternehmen könnten ihren Betrieb nicht fortführen, wenn sie von Ransomware getroffen würden.36 Der Fall Fasana ist also Teil eines größeren Trends, der Politik und Wirtschaft alarmiert. Im nächsten Abschnitt werden Lehren aus diesem Fall formuliert, damit Mittelständler sich besser wappnen können.

IV. Handlungsempfehlungen für mittelständische Unternehmen

Aus Fall Fasana (2025) lassen sich zahlreiche Erkenntnisse gewinnen. Mittelständische Unternehmen – oft als „weiches Ziel“ von Hackern betrachtet37 – sollten präventiv und reaktiv besser vorbereitet sein, um ein ähnliches Szenario zu verhindern oder zumindest abzumildern. Nachfolgend sind Empfehlungen aufgeführt, gegliedert nach technischen, organisatorischen und rechtlichen Handlungsfeldern:

• Technische Sicherheitsmaßnahmen stärken

Stellen Sie sicher, dass alle Systeme auf dem neuesten Stand sind (kontinuierliches Patch-Management) und segmentieren Sie Ihr Netzwerk, damit sich Malware nicht ungehindert im ganzen Unternehmen ausbreiten kann. Implementieren Sie aktuelle Sicherheitslösungen wie Firewalls, Intrusion Detection/Prevention und Endpoint Detection & Response. Backups sind Ihre Lebensversicherung – betreiben Sie ein 3-2-1-Backup-Konzept (3 Kopien, auf 2 verschiedenen Medien, 1 davon offsite/offline) und testen Sie regelmäßig die Rückspielbarkeit der Daten. Nur mit aktuellen Offline-Backups können Sie im Ernstfall verschlüsselte Daten ohne Lösegeld wiederherstellen. Erwägen Sie auch, kritisch wichtige Maschinen (Produktions-IT) vom normalen Office-Netz zu trennen und besonders zu schützen, um einen vollständigen Betriebsstillstand zu verhindern.

• Monitoring und Incident Response vorbereiten

Richten Sie Überwachungsmechanismen ein, um Angriffe frühzeitig zu erkennen, wie z. B. ungewöhnliche Netzwerkmuster, Alarme bei Massendruckaufträgen auf allen Druckern etc. Ein Vorfall wie bei Fasana hätte eventuell früher eingedämmt werden können, wenn ein Security Operations Center (intern oder extern) Alarm geschlagen hätte, als die ersten Systeme kompromittiert wurden. Entwickeln Sie einen Incident-Response-Plan, der Schritt für Schritt regelt, was bei einem Cyberangriff zu tun ist – von der technischen Isolation betroffener Systeme über die Benachrichtigung der Geschäftsleitung bis zur Pressekommunikation. Dieser Plan sollte mindestens einmal jährlich in Form eines Planspiels oder einer Notfallübung getestet und aktualisiert werden. Dabei sollten auch Worst-Case-Szenarien (z. B. „alle Server verschlüsselt – was nun?“) durchgespielt werden, damit im Ernstfall jeder seine Rolle kennt und schnell handelt.

• Organisatorische Vorsorge und Awareness

Schaffen Sie eine Unternehmenskultur, in der IT-Sicherheit Chefsache ist. Das Top-Management sollte Cyber-Risiken im Rahmen des Risikomanagements offen diskutieren und ausreichend Budget dafür bereitstellen. Schulen Sie Ihre Mitarbeiter regelmäßig in IT-Sicherheitsbewusstsein (Awareness). Viele Angriffe beginnen mit einer einfachen Phishing-Mail an einen ahnungslosen Mitarbeiter – hier ist Aufklärung der beste Schutz. Setzen Sie klare Policies (z. B. Umgang mit E-Mails, Passwort-Richtlinien, Nutzung von privaten Geräten) und sorgen Sie dafür, dass diese eingeübt werden. Bestellen Sie ggf. einen Informationssicherheitsbeauftragten oder holen Sie externe Beratung, um Sicherheitslücken proaktiv zu finden (z. B. via Penetrationstests). Wichtig ist auch die psychologische Vorbereitung. Machen Sie allen klar, dass im Ernstfall Transparenz und Teamarbeit zählen – im Fall Fasana musste ad hoc improvisiert werden, was dank engagierter Mitarbeiter zumindest eine Teil-Wiederaufnahme ermöglichte. Wenn Mitarbeiter wissen, was zu tun ist, muss nicht jeder Handgriff neu erfunden werden.

• Notfallpläne für Betrieb und Kommunikation

Überlegen Sie sich, wie Ihr Unternehmen operieren kann, wenn zentrale IT-Dienste ausfallen. Können Sie zur Not Bestellungen manuell (auf Papier) dokumentieren? Haben Sie physische Listen mit Kundenkontakten, um sie bei einem IT-Ausfall informieren zu können? Im Fall Fasana wurde deutlich, dass sogar Telefonlisten und analoge Aushänge hilfreich waren. Erstellen Sie daher Business-Continuity-Pläne: Welche Prozesse haben Priorität, was benötigen diese zum Laufen, und welche Übergangslösungen gibt es bei IT-Ausfall? Lagern Sie z. B. aktuelle Produktionspläne täglich aus, damit Sie zumindest vorhandene Aufträge fertigstellen können, falls das Netzwerk ausfällt.38 Klären Sie auch Zuständigkeiten: Wer leitet die Krisenstäbe (IT, Management, PR)? Wie erreicht man Führungskräfte, wenn Mails und Messenger tot sind? Solche Fragen sollten im Voraus beantwortet sein.

• Rechtliche Vorbereitung und Compliance

Informieren Sie sich über gesetzliche Pflichten im Kontext Cyberangriffe. Dazu zählen Meldepflichten (BSI, Datenschutzbehörde, evtl. Börsenmeldung) und auch arbeitsrechtliche Fragen (Lohnfortzahlung, Homeoffice-Regelungen bei IT-Ausfall etc.). Legen Sie im Vorfeld fest, welche juristischen Ansprechpartner (externe Kanzlei, Datenschutzbeauftragter) im Notfall hinzugezogen werden. Halten Sie Vorlagen für Meldungen an Behörden bereit, um im Stress nichts zu vergessen. Prüfen Sie Ihre Verträge mit Kunden und Lieferanten auf Höhere-Gewalt-Klauseln und fügen Sie Cybervorfälle hinzu, falls noch nicht geschehen, um sich vor Haftung bei Nichterfüllung zu schützen. Zudem sollte das Management die Haftungsrisiken kennen. Geschäftsleiter können persönlich haften, wenn sie IT-Risiken komplett ignorieren und dadurch Schaden entsteht. Durch nachweisliche Präventionsmaßnahmen und einen Reaktionsplan kann man im Ernstfall zeigen, dass man seinen Sorgfaltspflichten nachgekommen ist.

• Versicherung und finanzielle Resilienz.

Ziehen Sie den Abschluss einer Cyber-Versicherung in Betracht. Diese kann zwar keinen Angriff verhindern, aber finanzielle Folgen abmildern – etwa Kosten für Forensik-Experten, Rechtsberatung, Kommunikationsmanagement und Betriebsunterbrechung.39 Achten Sie jedoch genau auf die Bedingungen (z. B. ob Lösegeldzahlungen abgedeckt sind oder ob bestimmte Sicherheitsmaßnahmen Voraussetzung sind). Eine Versicherung ist kein Freibrief zum Nachlässigsein – viele Versicherer prüfen im Schadenfall genau, ob Basisschutz vorhanden war. Nutzen Sie den Abschluss daher auch als Anlass, Ihre IT-Sicherheit auf Vordermann zu bringen (ggf. verlangen Versicherer ein Mindestsicherheitsniveau). Und bedenken Sie: Eine gute Liquiditätsreserve kann im Ernstfall helfen, kurzfristig Kosten zu stemmen und die Gehälter zu zahlen, um Zeit für eine Sanierung zu gewinnen. In Fasanas Fall war die finanzielle Substanz offenbar zu gering, um auch nur einen Monat Ausfall zu überbrücken. Planen Sie finanziell konservativ mit einem Puffer für unvorhergesehene Krisen – sei es Cyber, Pandemie oder sonstiges.

• Zusammenarbeit und Hilfe suchen

Kein Unternehmen muss im Cyber-Notfall allein dastehen. Branchenverbände und Institutionen wie das BSI oder Allianz für Cyber-Sicherheit bieten Leitfäden und oft auch direkte Hilfe (z. B. Incident Response Hotlines). Im kommunalen Sektor veröffentlicht das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) etwa Wegweiser zum Umgang mit IT-Krisen – etwas Vergleichbares gibt es auch für Unternehmen. Nutzen Sie diese Ressourcen. Tauschen Sie sich im Rahmen von Erfa-Kreisen oder Stammtischen mit anderen Mittelständlern aus, um voneinander zu lernen. Oft haben andere bereits Angriffe erlebt und können wertvolle Tipps geben. Und im Akutfall zögern Sie nicht, Strafverfolgungsbehörden einzuschalten – wie der Fall Fasana zeigt, sind die Polizei und Landeskriminalämter durchaus in der Lage zu unterstützen, vor allem wenn es um die Verfolgung der Täter geht.40 Nicht zuletzt: Sollte Ihr Unternehmen – trotz aller Prävention – in Existenznot geraten, ziehen Sie frühzeitig Restrukturierungs- oder Insolvenzexperten hinzu. Lieber früh einen Schutzschirm oder Insolvenz in Eigenverwaltung planen, als zu spät reagieren und die Firma verlieren.

V. Fazit

Der Ransomware-Angriff auf Fasana im Jahr 2025 führt eindrucksvoll vor Augen, welche gefährliche Schnittmenge von IT-Risiko und Geschäftsrisiko heute besteht. Ein einziges kompromittiertes System kann zum Flächenbrand werden, der ein ganzes Unternehmen lahmlegt und bis in Insolvenz und Betriebsbeendigung führt. Mittelständische Unternehmen sollten den Fall Fasana als Mahnbeispiel nehmen und erkennen, dass Cybersecurity kein „nice-tohave“ mehr ist, sondern über das Schicksal der Firma entscheiden kann. Die gute Nachricht ist, dass viele der oben beschriebenen Maßnahmen in der Hand der Unternehmen selbst liegen und mit vernünftigem Aufwand umgesetzt werden können. Prävention kostet Geld – aber kein Vergleich zu den Verlusten, die ein erfolgreicher Cyberangriff verursacht. Nicht jeder Angriff wird sich verhindern lassen, doch durch ganzheitliche Vorbereitung (technisch, organisatorisch und rechtlich) lassen sich die Schäden begrenzen. Im digitalen Zeitalter gilt, dass IT-Sicherheit Chefsache und Überlebensfrage ist, gerade für den Mittelstand. Der Fall Fasana mag ein extremes Beispiel sein, doch er könnte jedes Unternehmen treffen, das in der vernetzten Welt operiert. Indem wir die Lehren daraus ziehen und umsetzen, stärken wir die Resilienz unserer Wirtschaft gegen die allgegenwärtige Bedrohung durch Cyberkriminalität.