Was ist Ransomware ?

Wie funktioniert ein Ransomware-Angriff?

Ein erfolgreicher Ransomware-Angriff durchläuft mehrere präzise Phasen – von der anfänglichen Infektion bis zur endgültigen Lösegeldforderung. Im ersten Quartal 2025 führten solche Angriffe in 86 Prozent der Fälle zu spürbaren Störungen im Geschäftsbetrieb. Dabei werden die Taktiken und Techniken der Cyberkriminellen immer ausgefeilter.

Infektionswege und Verbreitung

Die wichtigsten Einfallstore für Ransomware lassen sich in mehrere Kategorien unterteilen:

• E-Mail-Anhänge und Links: Phishing-E-Mails mit bösartigen Anhängen oder Links bleiben einer der häufigsten Infektionswege. Cyberkriminelle setzen auf professionelles Social Engineering, um Benutzer zum Öffnen von scheinbar harmlosen Dokumenten zu bewegen . Dabei werden angebliche Rechnungen, Bestellbestätigungen oder Paketempfangsbestätigungen versendet, oft unter Verwendung echter Firmennamen.

Darüber hinaus nutzen Angreifer auch kompromittierte E-Mail-Konten, um interne Phishing-Angriffe durchzuführen. Da Mitarbeiter regelmäßig E-Mails von Kollegen erhalten, sinkt die Hemmschwelle, auf verdächtige Links zu klicken .

Ungeschützte Fernzugänge stellen einen weiteren kritischen Angriffsvektor dar. Cyberkriminelle scannen das Internet aktiv nach Systemen mit geöffneten Ports und führen dann Brute-Force-Angriffe auf Passwörter durch . Das Remote Desktop Protocol (RDP) ist hierbei besonders gefährdet, da es standardmäßig über Port 3389 kommuniziert .

Schwachstellen in Servern werden ebenfalls ausgenutzt. Nicht schnell genug geschlossene Sicherheitslücken in Server-Programmen wie VPN-Software oder Microsoft Exchange dienen als Eintrittspunkte. Die sogenannte „Shitrix“-Schwachstelle in Citrix-Systemen wurde beispielsweise für zahlreiche Angriffe genutzt.

Drive-By-Downloads erfolgen ohne Wissen des Nutzers. Hierbei schleusen Angreifer schädlichen Code auf legitime Websites ein. Sobald ein Besucher die infizierte Seite aufruft, analysiert der Schadcode das Gerät auf Schwachstellen und führt im Hintergrund automatisch die Ransomware aus.

Externe Datenträger wie USB-Laufwerke können ebenfalls als Übertragungsweg dienen. In manchen Fällen haben Angreifer sogar USB-Sticks mit Ransomware in Briefkästen platziert, um potenzielle Opfer zu ködern.

Typische Angriffsmethoden

Nach der initialen Infektion beginnt die eigentliche Angriffsphase. Zunächst analysieren moderne Ransomware-Varianten das Netzwerk und suchen nach weiteren angreifbaren Systemen. Diese laterale Bewegung erhöht den Schaden erheblich, da nicht nur einzelne Computer, sondern ganze Netzwerke kompromittiert werden.

Besonders besorgniserregend ist das Credential Harvesting, bei dem Angreifer Zugangsdaten sammeln, um ihre Berechtigungen im System zu erweitern. In vielen Unternehmen verfügen Nutzer über unnötige Administratorrechte, was die Ausbreitung erleichtert.

Im Jahr 2025 setzen Ransomware-Gruppen verstärkt auf EDR-Killer, um Sicherheitstools außer Kraft zu setzen und unbemerkt Daten zu verschlüsseln. Gleichzeitig weiten sie ihre Ziele auf Cloud-Umgebungen, virtuelle Server sowie Linux- und macOS-Systeme aus.

Die doppelte Erpressung hat sich als Standardtaktik etabliert. In 96 Prozent der untersuchten Ransomware-Fälle wurden Daten nicht nur verschlüsselt, sondern auch gestohlen. Die Drohung, diese sensiblen Informationen zu veröffentlichen, erhöht den Druck auf die Opfer erheblich.

Immer häufiger versuchen Bedrohungsakteure zudem, Unternehmen mit falschen oder veralteten Informationen unter Druck zu setzen. Im März 2025 erhielten mehrere Führungskräfte Drohbriefe vom angeblichen Absender BianLian, einer Ransomware-Gruppe, ohne dass ein tatsächlicher Angriff stattgefunden hatte.

Das Ransomware-as-a-Service (RaaS) Modell senkt die Einstiegshürde für potenzielle Angreifer drastisch. Es ermöglicht selbst technisch unerfahrenen Akteuren, komplexe Angriffe durchzuführen. Besonders beunruhigend sind nordkoreanische IT-Kräfte, die sich mit KI-generierten Identitäten Remote-Stellen in westlichen Unternehmen sichern.

Beispiele für Ransomware-Angriffe

Im ersten Quartal 2025 war RansomHub mit über 250 Vorfällen die aktivste Ransomware-Gruppe. Besonders betroffen waren Unternehmen in den USA, Kanada, Großbritannien und Deutschland. Die Gruppe entstand erst im Februar 2024 und konnte schnell von ihrer Fähigkeit profitieren, Betreiber aus anderen angeschlagenen Erpressungsoperationen anzuziehen.

Colonial Pipeline, ein US-amerikanischer Pipeline-Betreiber, wurde 2021 Opfer der Ransomware DarkSide. Infolgedessen stellte das Unternehmen den Betrieb mehrere Tage ein, was zu Kraftstoffengpässen in zahlreichen Bundesstaaten führte. Obwohl ein Lösegeld in Millionenhöhe gezahlt wurde, musste das Unternehmen dennoch auf vorhandene Backups zurückgreifen.

Der norwegische Aluminiumkonzern Norsk Hydro wurde 2019 angegriffen. Das Unternehmen mit 35.000 Mitarbeitern in 40 Ländern nahm seine Anlagen zunächst vom Netz und stellte die Produktion auf manuellen Betrieb um. Im Gegensatz zu Colonial Pipeline zahlte Norsk Hydro kein Lösegeld, sondern nutzte vorhandene Backups zur Wiederherstellung.

Die Ransomware Akira nutzt aktiv die Sicherheitslücke CVE-2024-40711 aus, die Server von Veeam Backup & Replication gefährdet . Fog dringt über kompromittierte VPN-IDs in Netzwerke ein und setzt seine Ransomware innerhalb von nur zwei Stunden ein.

Die Fertigungsindustrie bleibt besonders anfällig – nicht nur wegen veralteter Systeme, sondern auch aufgrund der hohen Kosten, die selbst kurze Produktionsunterbrechungen verursachen. Auch das Gesundheitswesen ist ein bevorzugtes Ziel, wo Ausfälle gravierende Folgen haben können.

Welche Schäden verursacht Ransomware?

Die finanziellen Schäden durch Ransomware-Angriffe haben 2023 weltweit die erschreckende Marke von 30 Milliarden US-Dollar erreicht. Diese Summe umfasst nicht nur gezahlte Lösegelder, sondern auch Kosten für Wiederherstellung, Betriebsunterbrechungen und rechtliche Folgen. Besonders alarmierend ist, dass in Deutschland 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen waren.

Datenverlust und Betriebsunterbrechung

Ransomware-Angriffe führen in 87 Prozent der Fälle zu Betriebsunterbrechungen – selbst bei Unternehmen, die Lösegeld zahlen. Diese Unterbrechungen umfassen Datenverlust und die Notwendigkeit, Systeme offline zu nehmen. Für etwa 55 Prozent der betroffenen Unternehmen in Deutschland bedeutet ein Angriff sogar die zeitweise komplette Einstellung des Betriebs.

Besonders kritisch: Ransomware-Angriffe beeinträchtigen knapp ein Viertel der kritischen Systeme, die durchschnittlich für 12 Stunden ausfallen. Die Wiederherstellung nach einem Angriff gestaltet sich zeitaufwändig – 49 Prozent der Betroffenen benötigen ein bis sieben Tage, um zumindest ein Minimum an IT-Funktionalität wiederherzustellen. Weitere 12 Prozent brauchen sogar eine Woche oder länger ^[4].

Allerdings verfügen nur 27 Prozent der Unternehmen über dedizierte, Active-Directory-spezifische Backup-Systeme ^[4]. Ohne solche malwarefreien Backups und einen getesteten Wiederherstellungsplan verlängert sich die Wiederherstellungszeit erheblich, was die Wahrscheinlichkeit erhöht, dass Unternehmen letztendlich Lösegeld zahlen.

Erpressung und Lösegeldforderungen

Die durchschnittliche Lösegeldforderung stieg von 199.000 US-Dollar Anfang 2023 auf 1,5 Millionen US-Dollar Mitte 2024 – eine dramatische Zunahme ^[7]. In Deutschland verlangten Angreifer im Schnitt 1,4 Millionen US-Dollar für die Freigabe der Daten ^[1].

Besorgniserregend ist zudem, dass 74 Prozent der Unternehmen, die in den letzten zwölf Monaten angegriffen wurden, mehrfach attackiert wurden – viele sogar innerhalb einer Woche ^[4]. Trotz dieser alarmierenden Zahlen entscheiden sich 51 Prozent der betroffenen Unternehmen weltweit dafür, das geforderte Lösegeld zu zahlen (in Deutschland liegt dieser Anteil bei 44 Prozent) ^[1].

Allerdings garantiert die Zahlung keineswegs eine erfolgreiche Datenwiederherstellung:

• 35 Prozent der Opfer, die Lösegeld zahlten, erhielten entweder keine oder fehlerhafte Decodierungsschlüssel ^[4]

• Nur 11 Prozent konnten alle Daten vollständig wiederherstellen ^[1]

• In 40 Prozent der Fälle veröffentlichten die Angreifer die erbeuteten Daten trotz Zahlung ^[1]

Darüber hinaus setzen Cyberkriminelle inzwischen auf mehrstufige Erpressungstaktiken. Bei der „Double Extortion“ werden Daten nicht nur verschlüsselt, sondern vorab kopiert, mit der Drohung, diese zu veröffentlichen, falls kein Lösegeld gezahlt wird ^[8]. Dies ist mittlerweile zum Standardverfahren geworden ^[9].

Reputationsschäden und rechtliche Folgen

Neben den unmittelbaren finanziellen Schäden führen Ransomware-Angriffe zu erheblichen Reputationsschäden. In Deutschland berichteten 34 Prozent der Unternehmen von Imageschäden nach einem Angriff ^[1]. Bemerkenswert ist, dass der Reputationsschaden für viele Betriebe sogar den größten Kostenfaktor einer Ransomware-Attacke darstellt – noch vor Anwaltskosten, Strafzahlungen oder Umsatzeinbußen ^[1].

Die rechtlichen Konsequenzen können ebenfalls gravierend sein. Nach der Datenschutz-Grundverordnung (DSGVO) und dem revidierten Bundesgesetz über den Datenschutz müssen Unternehmen Datenschutzvorfälle nicht nur melden, sondern können auch mit Bußgeldern belegt werden ^[10].

Besonders besorgniserregend ist, dass die Folgen eines Angriffs oft lange nachwirken:

• 45 Prozent der deutschen Unternehmen berichten von Umsatzeinbußen nach einem Ransomware-Angriff ^[1]

• Mehr als ein Drittel verlor Kunden infolge eines Angriffs ^[1]

• Ebenfalls mehr als ein Drittel musste Stellen abbauen ^[1]

Für die Krisenbewältigung werden erhebliche Ressourcen benötigt. Um die größte Sicherheitsverletzung durch erpresserische Software einzudämmen und zu beheben, benötigten deutsche Unternehmen im Durchschnitt 18,3 Mitarbeiter, die jeweils 149 Stunden arbeiteten ^[1]. Trotz dieser enormen Aufwände meldeten etwa 65 Prozent der deutschen Firmen Ransomware-Attacken nicht den zuständigen Behörden ^[1].

Zusammenfassend lässt sich sagen, dass Ransomware-Angriffe für 16 Prozent der betroffenen Unternehmen ein existenzbedrohendes Dilemma darstellen – bei deutschen Unternehmen liegt dieser Wert sogar bei 19 Prozent ^[4].

Wie erkennt man eine Ransomware-Infektion?

Je früher eine Ransomware-Infektion erkannt wird, desto besser können die Schäden begrenzt werden. Tatsächlich können aufmerksame Mitarbeiter bereits die ersten Anzeichen eines Angriffs entdecken, lange bevor die Lösegeldforderung erscheint. Die frühzeitige Erkennung kann entscheidend zur Schadensminimierung beitragen, da die meisten Schadprogramme darauf ausgelegt sind, sich im Netzwerk weiterzuverbreiten.

Warnsignale im System

Eines der offensichtlichsten Anzeichen einer Ransomware-Infektion ist das plötzliche Auftauchen von Dateien mit ungewöhnlichen Erweiterungen. Wenn Dateien mit unbekannten oder seltsamen Dateiendungen erscheinen, ist dies ein deutliches Warnsignal. Besonders besorgniserregend ist die Entdeckung von verschlüsselten oder nicht lesbaren Dateien, die sich plötzlich nicht mehr öffnen lassen.

Ein weiteres Alarmsignal ist die unerklärliche Änderung des Desktophintergrunds. Viele Ransomware-Varianten ändern den Hintergrund, um die Lösegeldforderung anzuzeigen. Darüber hinaus sollte man auf unbekannte Dateien mit Informationen oder Anweisungen achten, die darauf hindeuten, dass ein Hack stattgefunden hat.

Die Installation unbekannter Software ist ebenfalls ein kritisches Warnsignal. Wenn im Startmenü, auf dem Desktop oder in Form einer nicht erkannten EXE-Datei seltsam aussehende Programme auftauchen, ist dies ein deutlicher Hinweis auf einen möglichen Ransomware-Befall ^[11].

Verhalten von infizierten Geräten

Ein infiziertes System zeigt oft erhebliche Leistungseinbußen. Die Ransomware verbraucht Systemressourcen während des Verschlüsselungsprozesses, was zu merklichen Verlangsamungen führt ^[12]. Computer werden träge, reagieren verzögert, und Programme brauchen ungewöhnlich lange zum Starten ^[3]. In einigen Fällen kann die CPU-Auslastung so hoch sein, dass der Lüfter häufiger als gewohnt anspringt ^[13].

Gleichzeitig treten vermehrt Systemabstürze oder Anwendungsfehler auf. Die Malware-Aktivität kann das System destabilisieren und zu unerwarteten Abstürzen führen ^[12]. Manche Ransomware-Varianten verursachen sogar plötzliche Neustarts oder Neustarts im abgesicherten Modus ^[3].

Besonders alarmierend ist, wenn die Anti-Virus-Software deaktiviert wird oder Fehler anzeigt und nicht mehr startet ^[3]. Moderne Ransomware setzt auf sogenannte EDR-Killer, um Sicherheitstools außer Kraft zu setzen und unbemerkt Daten zu verschlüsseln.

Ungewöhnliche Netzwerkaktivitäten

Ein deutliches Anzeichen für eine Ransomware-Infektion ist eine erhöhte Netzwerkaktivität. Wenn Sie ungewöhnlich hohen Netzwerkverkehr feststellen oder verdächtige Verbindungen zu unbekannten Servern beobachten, besteht die Möglichkeit, dass Ihre Daten gerade von Ransomware verschlüsselt werden ^[14].

Moderne Ransomware stiehlt und exfiltriert sensible Daten, bevor sie diese verschlüsselt. Diese „Double Extortion“-Taktik erzeugt messbare Netzwerkverkehrsmuster, die erkannt werden können ^[5]. Die Durchführung einer großangelegten Datenschutzverletzung erfordert die Fähigkeit, große Datenmengen innerhalb des Netzwerks an externe Systeme zu senden ^[5].

Die verhaltensbasierte Ransomware-Erkennung macht sich die Tatsache zunutze, dass Ransomware ein sehr ungewöhnliches Verhalten aufweist. Beispielsweise erfordert die Verschlüsselungsphase, dass die Malware viele Dateien auf dem System öffnet, ihren Inhalt liest und sie dann mit einer verschlüsselten Version überschreibt ^[5].

Die frühzeitige Erkennung kann durch folgende Indikatoren unterstützt werden:

• Ungewöhnliche Veränderungen im Datenverkehr und in Dateisystemen ^[2]

• Häufungen oder Änderungen des Speicherpfads ^[2]

• Anomaler Netzwerkverkehr, der auf eine Ransomware-Infektion hinweisen könnte ^[5]

Sobald eines oder mehrere dieser Anzeichen bemerkt werden, ist schnelles Handeln geboten. Eine sofortige Reaktion kann die Ausbreitung der Schadsoftware verhindern und den Schaden begrenzen. Je besser Mitarbeiter für diese Warnsignale sensibilisiert sind, desto eher kann ein Ransomware-Angriff in der Anfangsphase erkannt und gestoppt werden. Infolgedessen ist es entscheidend, IT-Experten sofort zu informieren und das betroffene Gerät vom Netzwerk zu trennen ^[15]. Laut dem Bundeskriminalamt sollten infizierte Rechner unverzüglich vom Netzwerk getrennt und abgeschaltet werden ^[16].

Was tun bei einem Ransomware-Befall?

Bei einem Ransomware-Angriff zählt jede Minute. Die richtige Reaktion kann den Unterschied zwischen einer schnellen Wiederherstellung und monatelangen Betriebsausfällen ausmachen. Entgegen der ersten Intuition sollten Betroffene nicht in Panik geraten, sondern systematisch und überlegt handeln.

Sofortmaßnahmen zur Eindämmung

Die wichtigste Sofortmaßnahme bei einem Ransomware-Befall ist die Isolation infizierter Systeme. Ransomware verbreitet sich schnell im Netzwerk, daher müssen betroffene Geräte umgehend vom Netzwerk getrennt werden. Dies kann durch physisches Trennen von Netzwerkkabeln, Deaktivieren von WLAN und Bluetooth oder im Unternehmenskontext durch Segmentierung des Netzwerks erfolgen.

Für die effektive Eindämmung sollten folgende Schritte priorisiert werden:

1. Betroffene Systeme identifizieren und vom Netzwerk trennen

2. Unbeschädigte Backups sichern und offline nehmen

3. Geplante IT-Aufgaben und -Projekte vorübergehend stoppen

4. Potentiell kompromittierte Bereiche unter Quarantäne stellen

Die schnelle Isolierung betroffener Systeme verhindert nicht nur die weitere Ausbreitung der Schadsoftware, sondern minimiert auch den Datenverlust. Laut Experten ist die Eindämmung entscheidend, um den Schaden zu begrenzen und die Wiederherstellungszeit zu verkürzen.

System nicht ausschalten

Obwohl es zunächst kontraintuitiv erscheint, sollten Systeme während eines Ransomware-Angriffs nicht sofort ausgeschaltet werden. Tatsächlich empfehlen Sicherheitsexperten, die Verschlüsselung unter bestimmten Umständen abschließen zu lassen.

Der Grund: Wenn ein System mitten im Verschlüsselungsprozess heruntergefahren wird, kann dies zu beschädigten Daten führen, die selbst mit einem Entschlüsselungstool nicht wiederhergestellt werden können. Dadurch erhöht sich das Risiko eines vollständigen Datenverlusts erheblich, selbst wenn später ein Lösegeld gezahlt wird.

Außerdem sollten zur Ursachenanalyse wichtige Beweise gesichert werden. Fotografieren Sie mit einem Smartphone die Bildschirmanzeigen und dokumentieren Sie alle Meldungen. Diese Beweise sind für die spätere Analyse und mögliche Strafverfolgung unverzichtbar.

Allerdings gilt diese Empfehlung nicht für Systeme, die noch nicht infiziert sind. Diese sollten präventiv vom Netzwerk getrennt werden, um eine Infektion zu verhindern.

Passwörter ändern und Kontakte informieren

Nach einem Ransomware-Angriff müssen umgehend alle Passwörter geändert werden. Besonders wichtig sind Zugangsdaten für kritische Systeme und Administratorkonten. Dies verhindert, dass Angreifer, die möglicherweise noch Zugriff auf das System haben, erneut eindringen können.

Die Gemeinde Kalix in Schweden musste nach einem Ransomware-Angriff alle Konten sperren und nutzte eine externe Authentifizierungsmethode, damit 1400 Mitarbeiter sichere neue Passwörter setzen konnten.

Infolgedessen ist es wichtig, verschiedene Parteien zu informieren:

• IT-Sicherheitsexperten und -dienstleister hinzuziehen

• Den Vorfall den zuständigen Stellen (z.B. Landes-CERT) melden

• Anzeige beim Landeskriminalamt erstatten

• Bei Betriebsunterbrechungen Geschäftspartner informieren

Dennoch melden etwa 65 Prozent der deutschen Firmen Ransomware-Attacken nicht den Behörden. Dabei ist die frühzeitige Zusammenarbeit mit Experten entscheidend für eine erfolgreiche Bewältigung des Vorfalls.

Wann professionelle Hilfe nötig ist

Professionelle Hilfe sollte bei einem Ransomware-Angriff frühzeitig in Anspruch genommen werden. Besonders wenn keine funktionierenden Backups vorhanden sind oder wenn kritische Geschäftsprozesse betroffen sind, ist externe Unterstützung unverzichtbar.

Für Unternehmen und öffentliche Institutionen ist ein geeignetes Krisenmanagement wichtig, das neben den technischen Wiederherstellungsaspekten besonders die notwendige in- und externe Kommunikation berücksichtigt.

Ein wichtiger Hinweis: Betroffene sollten niemals das geforderte Lösegeld bezahlen, ohne vorher professionelle Beratung einzuholen. Zahlungen bieten keine Garantie für die Datenwiederherstellung und können weitere Forderungen nach sich ziehen. Außerdem können 35 Prozent der Opfer, die Lösegeld zahlten, entweder keine oder fehlerhafte Decodierungsschlüssel erhalten.

In einigen Fällen kann die Plattform NoMoreRansom.org kostenlose Entschlüsselungstools für bestimmte Ransomware-Varianten anbieten. Diese Plattform wird von Europol-EC3 in Zusammenarbeit mit behördlichen und privatwirtschaftlichen Partnern betrieben.

Professionelle Hilfe kann bei der Wiederherstellung kritischer Systeme helfen, die im Durchschnitt bei einem Angriff für 12 Stunden ausfallen. Die Priorisierung der Wiederherstellung basiert typischerweise auf Produktivität und Auswirkungen auf den Umsatz.

Wie kann man sich vor Ransomware schützen?

Der beste Schutz gegen Ransomware ist eine vorbeugende Strategie. Während ein vollständiger Schutz nicht möglich ist, können Unternehmen durch mehrschichtige Sicherheitsmaßnahmen das Risiko erheblich reduzieren. Laut einer Studie sind 72% der deutschen Unternehmen mit dem Fachkräftemangel als eine der größten Herausforderungen für adäquaten Ransomware-Schutz konfrontiert ^[17].

Technische Schutzmaßnahmen

Ein effektiver Schutz beginnt mit starken technischen Barrieren. Die Implementierung von Zugriffskontrollen wie rollenbasierter Zugriff und Multifaktor-Authentifizierung (MFA) bildet die Grundlage ^[18]. Besonders wichtig: Administrative Berechtigungen sollten strikt limitiert und nur an Personen vergeben werden, die diese für ihre Arbeit tatsächlich benötigen.

Für den Netzwerkschutz empfiehlt das BSI, Remote-Zugänge ausschließlich über VPNs mit Zwei-Faktor-Authentifizierung zu nutzen ^[19]. Eine sinnvolle Ergänzung ist die Netzwerksegmentierung, die im Falle eines Angriffs die Ausbreitung der Malware begrenzt ^[17].

Moderne Endpunktsicherheitslösungen mit fortschrittlicher Bedrohungserkennung sind unverzichtbar ^[18]. Diese Software blockiert infizierte Dateien beim Herunterladen oder Streamen und bietet Echtzeitschutz ^[20]. Zusätzlich sollten fortschrittliche Technologien wie XDR (Extended Detection and Response), MDR (Managed Detection and Response) und Zero-Trust-Sicherheitskonzepte implementiert werden ^[6].

Eine weitere wirksame Maßnahme ist das „Application Whitelisting“, das nur die Ausführung freigegebener Programme zulässt. Alternativ kann auch ein „Application Directory Whitelisting“ eingesetzt werden, das die Programmausführung auf nicht durch Benutzer beschreibbare Verzeichnisse beschränkt ^[19].

Mitarbeiterschulungen und Awareness

Mitarbeiter sind einerseits das schwächste Glied eines Unternehmens, andererseits aber auch die erste Verteidigungslinie gegen Ransomware ^[6]. Sensibilisierte Mitarbeiter, die Warnzeichen eines Angriffs erkennen können, tragen wesentlich zum Aufbau einer Sicherheitskultur bei ^[6].

Regelmäßige Schulungen sollten folgende Aspekte umfassen:

• Erkennung von Phishing- und Social-Engineering-Betrug in E-Mails, Textnachrichten und sozialen Medien

• Überprüfung von E-Mail-Adressen und URLs auf Manipulationen

• Vorsichtiger Umgang mit Wechseldatenträgern unbekannter Herkunft

• Verwendung starker Passwörter und Multifaktor-Authentifizierung

Die Durchführung von Phishing- und Ransomware-Simulationen ist ein wertvoller Bestandteil eines Awareness-Programms, da Mitarbeiter dadurch realistische Szenarien erleben und die richtigen Reaktionen üben können ^[6]. Gleichzeitig sollte eine Unternehmenskultur gefördert werden, in der Mitarbeiter ermutigt werden, verdächtige Aktivitäten sofort zu melden ^[21].

Regelmäßige Backups und Updates

Ein umfassendes Backup-Konzept ist die wichtigste präventive Maßnahme im Kampf gegen Ransomware ^[19]. Experten empfehlen die 3-2-1-Backup-Strategie: drei Kopien der Daten, auf zwei verschiedenen Speichermedien, mit einer Kopie außerhalb des Standorts ^[22]. Für optimalen Schutz sollte diese zur 3-2-1-1-0-Regel erweitert werden: zusätzlich eine weitere Datenkopie in physischer oder virtueller Distanz und null Fehler während der gesamten Lebensdauer der Sicherungsdaten ^[23].

Besorgniserregend: 89% der Organisationen berichten, dass Angreifer gezielt ihre Backup-Repositories attackierten, wobei durchschnittlich 34% der Sicherungen verändert oder gelöscht wurden ^[24]. Nur 32% der Unternehmen nutzen unveränderliche Backup-Repositories ^[24]. Diese „immutable backups“ verhindern, dass Ransomware die Sicherungskopien verschlüsseln kann ^[23].

Gleichzeitig ist ein konsequentes Patch-Management unverzichtbar. Software-Updates sollten unverzüglich nach Bereitstellung durch den Hersteller eingespielt werden, idealerweise über zentrale Softwareverteilung ^[19]. Dies schließt Sicherheitslücken, die von Ransomware ausgenutzt werden könnten ^[25]. Besonders Updates, die Schwachstellen von hoher Kritikalität beheben oder exponierte Software betreffen, sollten priorisiert behandelt werden ^[19].

Für die Prävention ist außerdem ein dokumentierter Notfallplan wichtig, der regelmäßig geübt werden sollte ^[19]. Geschäftskritische Systeme müssen identifiziert und alternative Kommunikationswege außerhalb des Netzwerks vorbereitet werden ^[19].

Cyberversicherung als zusätzlicher Schutz

Trotz aller präventiven Maßnahmen bleibt ein Restrisiko für Ransomware-Angriffe bestehen. Eine Cyberversicherung dient als zusätzliches Sicherheitsnetz, wenn technische und organisatorische Schutzmaßnahmen versagen. Im Jahr 2021 gaben 58% der befragten US-Unternehmen an, dass sie eine oder mehrere Cyber-Versicherungspolicen abgeschlossen haben oder dies in den nächsten 12 Monaten planen, um ihr Ransomware-Risiko zu mindern ^[4].

Was eine Cyberversicherung abdeckt

Eine Cyberversicherung bietet umfassenden finanziellen Schutz bei digitalen Bedrohungen wie Ransomware-Angriffen. Zu den typischen Leistungen gehören:

• Finanzielle Unterstützung für Datenwiederherstellung und Kompensation von Betriebsunterbrechungen ^[8]

• Reaktionsdienste mit IT-Sicherheitsexperten und Rechtsbeistand zur Bewältigung von Krisensituationen ^[8]

• Kostenübernahme für IT-Forensik, Systemreparaturen und forensische Untersuchungen ^[7]

• Krisenkommunikation und Öffentlichkeitsarbeit zur Eindämmung von Reputationsschäden ^[26]

Darüber hinaus decken viele Policen die Kosten für Benachrichtigungen betroffener Kunden sowie Reputationsschäden und rechtliche Folgen ab. Die durchschnittliche Schadenssumme bei einem Datenleck liegt laut einer Studie bei etwa 4,88 Millionen US-Dollar ^[27] – ein erhebliches Risiko besonders für mittelständische Unternehmen.

Voraussetzungen für den Versicherungsschutz

Allerdings haben die Versicherungsunternehmen ihre Anforderungen in den letzten Jahren deutlich verschärft. Mit der zunehmenden Häufigkeit und Schwere von Ransomware-Angriffen müssen Unternehmen inzwischen einen bestimmten Reifegrad der Cybersicherheit nachweisen ^[4].

Zu den gängigen Voraussetzungen für eine Cyberversicherung gehören:

Eine technische Grundsicherung mit durchgängigem Virenschutz, aktueller Firewallstruktur und regelmäßigen Schwachstellen-Scans ^[28]. Außerdem verlangen Versicherer ein abgestuftes Rechtekonzept mit begrenzten Administratorrechten sowie die Implementierung von Multi-Faktor-Authentifizierung (MFA) für Remote-Zugänge ^[28].

Besonders wichtig ist eine robuste Backup-Strategie nach der 3-2-1-Regel mit regelmäßigen Tests zur Datenwiederherstellung ^[27]. Ohne den Nachweis angemessener Datensicherungssysteme wäre ein Versicherungsanspruch nicht erfolgreich ^[29].

Viele Versicherer fordern inzwischen auch einen dokumentierten Notfallplan und bieten häufig Unterstützung bei dessen Erstellung ^[28]. Dieser Plan regelt, wie Mitarbeiter und Führungskräfte im Fall einer Cyber-Attacke effizient und schnell handeln können.

Typische Versicherungsfälle bei Ransomware

Bei einem Ransomware-Vorfall kann die Cyberversicherung verschiedene Kosten abdecken. In einem realen Fall half die Versicherung, die Kosten für forensische Untersuchungen, Anwaltskosten und behördliche Strafen zu übernehmen ^[29]. Besonders wertvoll ist hierbei die Deckung für Incident-Response-Teams, die dabei helfen, das volle Ausmaß des Angriffs zu verstehen.

Einige Policen decken, sofern rechtlich zulässig, auch die Erstattung von Bußgeldern ab ^[26]. Jedoch bietet eine Cyberversicherung keinen vollständigen Schutz – laut einer Untersuchung verloren 45% der deutschen Unternehmen trotz Versicherung Kunden infolge eines Angriffs.

Bei gut vorbereiteten Unternehmen mit aktuellen, isolierten Backups und getesteten Krisenplänen können kritische Geschäftsprozesse oft innerhalb von 24-72 Stunden wiederhergestellt werden ^[27]. Die Cyberversicherung dient hierbei als wichtiger finanzieller Puffer, ohne den Unternehmen in große finanzielle Schwierigkeiten geraten könnten, selbst wenn robuste Backup-Lösungen vorhanden sind ^[29].

Ransomware Beispiele aus der Praxis

Die Ransomware-Landschaft hat sich in den letzten Jahren dramatisch entwickelt. Nachfolgend betrachten wir vier besonders einflussreiche Beispiele, die die Entwicklung dieser Bedrohung veranschaulichen.

Emotet

Emotet gilt als eine der gefährlichsten Malware-Formen und verbreitet sich hauptsächlich über groß angelegte Spam-Kampagnen. Besonders heimtückisch ist die Fähigkeit zum „Outlook-Harvesting“ – dabei liest die Schadsoftware Kontaktbeziehungen und E-Mail-Inhalte aus infizierten Postfächern aus und nutzt diese Informationen für authentisch wirkende Phishing-Mails. Dadurch erhalten Empfänger gefälschte E-Mails von Absendern, mit denen sie kürzlich in Kontakt standen. Nach der Infektion lädt Emotet häufig weitere Schadsoftware wie den Banking-Trojaner „Trickbot“ nach, der sich durch Auslesen von Zugangsdaten und Ausnutzung von SMB-Schwachstellen selbstständig im Netzwerk ausbreiten kann. Aufgrund ständiger Modifikationen wird Emotet zunächst meist nicht von gängigen Virenschutzprogrammen erkannt, weshalb Bereinigungsversuche häufig erfolglos bleiben.

NotPetya

NotPetya trat erstmals im Juni 2017 auf und infizierte innerhalb kurzer Zeit mindestens 2.000 Organisationen, wobei die meisten Opfer in der Ukraine ansässig waren. Diese Ransomware verschlüsselte, anders als herkömmliche Varianten, die gesamte Festplatte und verbreitete sich unter anderem über die EternalBlue-Sicherheitslücke – dieselbe, die zuvor vom WannaCry-Angriff ausgenutzt wurde. Obwohl NotPetya wie klassische Ransomware eine Lösegeldforderung anzeigte, war eine Datenwiederherstellung technisch unmöglich. Die angezeigten Bitcoin-Adressen waren gefälscht und zufällig generiert, was darauf hindeutet, dass der Angriff auf Zerstörung statt auf finanziellen Gewinn ausgerichtet war. Mehrere Staaten erklärten 2018 die russische Regierung als direkten Drahtzieher der NotPetya-Angriffe.

LockBit

LockBit, ursprünglich bekannt als „ABCD-Ransomware“, erschien erstmals 2019 und entwickelte sich zu einer der verbreitetsten Ransomware-Familien. Als Ransomware-as-a-Service (RaaS) ermöglicht LockBit interessierten Partnern die Nutzung der Malware gegen eine Beteiligung am Lösegeld. Die Ransomware durchläuft typischerweise drei Phasen: Ausnutzen von Schwachstellen, tiefere Infiltrierung des Netzwerks und schließlich automatisierte Ausführung der Verschlüsselungssoftware. LockBit war 2022 die weltweit am weitesten verbreitete Form von Ransomware mit mehr als 2.000 Opfern und über 120 Millionen Dollar an Lösegeldzahlungen bis 2024.

Clop

Die Ransomware Clop (manchmal auch als Cl0p bezeichnet) ist seit 2019 aktiv und für ihre mehrstufigen Erpressungstaktiken bekannt. Zwischen 2019 und 2021 erpresste die Gruppe über 500 Millionen US-Dollar. Anstatt Daten zu verschlüsseln, konzentriert sich Clop auf die Exfiltration sensibler Informationen. Bei ihren jüngsten Cyberangriffen nutzte die Gruppe eine Schwachstelle in der Dateiübertragungsplattform MOVEit Transfer und behauptete, dadurch Daten von Hunderten von Unternehmen gestohlen zu haben. Die ersten Attacken wurden am 27. Mai 2023 bemerkt.

Schlussfolgerung

Angesichts der steigenden Bedrohungslage durch Ransomware müssen Unternehmen jeder Größe wachsam bleiben. Tatsächlich zeigt die Entwicklung der letzten Jahre deutlich, dass Cyberkriminelle ihre Taktiken ständig verfeinern und durch KI-gestützte Angriffe noch gefährlicher werden. Besonders besorgniserregend erscheint dabei die zunehmende Professionalisierung des Ransomware-as-a-Service Modells, wodurch selbst technisch unerfahrene Akteure komplexe Angriffe durchführen können.

Zweifellos bietet eine mehrschichtige Verteidigungsstrategie den besten Schutz. Diese sollte technische Maßnahmen wie Zugriffskontrollen, Netzwerksegmentierung und fortschrittliche Endpunktsicherheit umfassen. Allerdings reichen technische Lösungen allein nicht aus. Mitarbeiterschulungen erhöhen die Widerstandsfähigkeit erheblich, da viele Angriffe mit einem einfachen Klick auf einen bösartigen Link beginnen.

Die 3-2-1-1-0-Backup-Strategie bildet unbestreitbar das Rückgrat jeder effektiven Ransomware-Abwehr. Unveränderliche Backups verhindern dabei, dass Angreifer auch diese Daten verschlüsseln können. Gleichzeitig sollte ein dokumentierter und regelmäßig getesteter Notfallplan vorliegen, um im Ernstfall schnell und koordiniert reagieren zu können.

Trotz aller Vorsichtsmaßnahmen bleibt jedoch ein Restrisiko bestehen. Daher empfiehlt sich zusätzlich der Abschluss einer Cyberversicherung, die finanzielle Unterstützung bei der Bewältigung eines Angriffs bietet. Vor allem kleinere und mittlere Unternehmen können dadurch existenzbedrohende finanzielle Folgen abmildern.

Sollte es dennoch zu einem Ransomware-Angriff kommen, zählt jede Minute. Betroffene Systeme müssen umgehend isoliert, Passwörter geändert und professionelle Hilfe hinzugezogen werden. Unter keinen Umständen sollte vorschnell Lösegeld gezahlt werden, da dies keine Garantie für die Datenwiederherstellung bietet.

Zusammenfassend lässt sich sagen: Ransomware wird auch 2025 eine der größten Bedrohungen für Unternehmen darstellen. Doch mit den richtigen Schutzmaßnahmen, geschulten Mitarbeitern und einem soliden Notfallplan können Organisationen ihre Widerstandsfähigkeit signifikant erhöhen und die Auswirkungen eines potentiellen Angriffs deutlich reduzieren.