Mögliche Maßnahmen

Nicht eine Maßnahme alleine reicht sondern eine Kombination aus vielen ist nötig (Defense in Depth)
Ständiges Katz-und-Maus Spiel zwischen IT-Mitarbeitern/Polizei und Hackern
Beispiel Emotet: Infrastruktur wurde zwar zerstört, die Konkurrenz/Nachfolger stehen allerdings schon in den Startlöchern
Neue Hackergruppen gehen dazu über, vor dem Verschlüsseln die Daten zu exfiltrieren und bei Nicht-Zahlen mit der Veröffentlichung zu drohen. Dies kann zu empfindlichen DSGVO-Strafen führen.
Generell gilt: Einen vollständigen Schutz wird es nie geben, man kann Hackern nur die Arbeit erschweren so dass sie weiterziehen („don‘t be the low hanging fruit“)
Anwendbarkeit der folgenden Vorschläge muss individuell für die eigene Organisation geprüft werden

Generell gilt:

Immer Updates/Patches zeitnah einspielen
Schwache Passwörter und Passwortwiederverwendung vermeiden
Wo möglich 2-Faktor Authentifizierung einsetzen
Regelmäßig Mitarbeiter schulen siehe Security Awareness Training
Firewall und Endpoint Protection (inklusive Data Loss Prevention) auf Clients einrichten
Asset-Management: stets alle Server und Clients im Blick behalten, besonders veraltete Systeme; Nicht mehr benötigte Systeme abschalten
Immer neue und bereits vorhandene Schwachstellen für die in der Organisation verwendete Hardware und Software im Blick behalten, das OpenCVE-Dashboard oder die National Vulnerability Database können dabei unterstützen

Kommerzielle Virenscanner (vor allem die kostenlos verfügbaren) standen in der Vergangenheit öfter wegen Sicherheitslücken in der Kritik
Stattdessen nur Microsoft Defender verwenden
siehe Artikel auf golem.de: Die Schlangenöl-Branche

Was sind die wichtigsten Daten?
Welche Daten dürfen auf keinen Fall an die Öffentlichkeit gelangen?
Wie vorgehen im Fall eines Vorfalls?
Plan nicht nur digital ablegen sondern auch ausdrucken um eine Verschlüsselung zu vermeiden