Der Schutz vor Ransomware-Angriffen erfordert eine mehrschichtige Datenschutzstrategie. Diese beinhaltet nicht nur technische Maßnahmen, sondern beginnt bei einer effektiven Prävention. Entscheidend ist auch, dass die Rolle des Managements und das Verhalten im Erpressungsfall. Jeder im Team muss verstehen, wie Cyberbedrohungen funktionieren.

Ransomware-Angriffe nehmen weiter zu und stellen eine erhebliche Bedrohung für Unternehmen dar. Ransomware kann Daten nicht nur verschlüsseln und den Zugriff darauf verhindern. Immer öfter werden sensible Daten zusätzlich gestohlen, veröffentlicht oder verkauft. Organisationen benötigen eine mehrschichtige Datenschutzstrategie. Klassische Maßnahmen wie Backup sind wichtig, reichen aber angesichts der wachsenden Bedrohung durch Ransomware nicht aus.

In diesem Artikel erklären wir, was Ransomware im Jahr 2025 bedeutet, wie ein robuster Schutz gelingt und welche Rolle die Unternehmensleitung dabei spielt. Betroffene erhalten Hinweise zur Vorgehensweise im Fall einer Erpressung. Einleitend erklären wir, was Ransomware ist und wie es sich von anderem Schad-Code abgrenzt.

Was ist Ransomware: Definition und Abgrenzung

Ransomware ist Software mit dem Ziel, betroffene Organisationen zu erpressen. Bekannte Varianten dieser Art Schad-Code (Malware) sind Locker oder Verschlüsseler (Encrypting Ransomware). In den letzten Jahren verbreitete sich zunehmend eine neue Bedrohung, bei der Daten zusätzlich gestohlen werden. Angriffe erfolgen mehrstufig; fast immer sind mehrere Kategorien Malware involviert, darunter Rootkits, Dropper, Backdoors, Credential Stealer wie Keylogger, Data Miner, Launcher und Tunneler.

Ransomware gibt es seit Ende der 80er Jahre. Bereits die erste Version (PC-Cyborg) nutzte Trigger zur Aktivierung und war damit gleichzeitig ein Advanced Persistent Threat (APT). Die ersten Erpressungsversuche waren weitgehend harmlos. Die Verschlüsselungs-Algorithmen waren so einfach, dass selbst weniger versierte Nutzer sie lösen konnten; Locker lieferten die Schlüssel versteckt in ihrem Code von Anfang an gleich mit aus. Ein Gamechanger war 2013 die Ransomware CryptoLocker, die als Erster eine für militärische Zwecke geeignete Verschlüsselung nutzte und die für die Entschlüsselung notwendigen Schlüssel nicht mehr lokal, sondern erstmals remote auf einem Server im Netz speicherte. Dieses Vorgehen ist so effektiv, dass die Mechanismen bis heute angewendet werden.

Geändert haben sich allerdings die Bedrohungsszenarien. Inzwischen werden Daten nicht mehr nur verschlüsselt, sondern in den meisten Fällen auch entwendet. Angreifer drohen mit Veröffentlichung geheimer oder dem Verkauf sensibler Informationen, um an das Lösegeld zu gelangen. Mit zunehmender Verbreitung künstlicher Intelligenz (KI) eröffnen sich Angreifern völlig neue Dimensionen. Damit lassen sich nicht nur bekannte Angriffsmuster unendlich variieren. Auch neuer Schad-Code lässt sich in den Bruchteilen der bisher benötigten Zeit entwickeln. Die Barriere für neue Akteure sinkt beträchtlich. Deep-Fakes erschweren zunehmend die Unterscheidung böswilliger von erlaubten Nutzern. Phishing und Vishing (Voice-Phishing, eine Variation mittels Telefon) werden immer authentischer.

Auch die Zielobjekte haben sich im Laufe der Zeit geändert. 2017 rückten Backups in den Fokus der Erpresser. Die gezielte Vernichtung von Backup-Daten ist besonders perfide. Ransomware wie Samas verschlüsselt über einen längeren Zeitraum unbemerkt alle Backup-Dateien. Angreifer kalkulieren mit der Sparsamkeit der Unternehmen: Aus Kosten- und Platzgründen werden Backups oft innerhalb eines Monats überschrieben; meist gibt es nur eine einzige Kopie. Das Lösegeld wird nach 30 Tagen oder noch später eingefordert – wenn der Angreifer sicher ist, dass sein Opfer die Daten auf keinen Fall wiederherstellen kann. Im Cloud-Zeitalter werden Daten bei SaaS-Anbietern oder Cloud-Service-Providern immer attraktiver.

Unverwundbarkeit von Storage & Backups – richtig und wichtig, aber

Im Zusammenhang mit der Erpressung von Lösegeldern wird gern mit der Unverwundbarkeit von Storage oder Backups geworben. Das ist richtig und wichtig. Die eigentliche Ransomware ist jedoch nur die letzte Stufe eines Angriffs. An dieser Stelle ist es die allerletzte Möglichkeit, einen Angriff zu stoppen. Effektive Schutzmaßnahmen bereits in frühen Angriffsphasen werden im Abschnitt »Effektiver Schutz ist mehrstufig« vorgestellt. Verhaltensregeln für den Ernstfall finden Betroffene im vorletzten Kapitel. Zuvor gibt es Statistik zum Thema Datenschutzverletzungen, zu denen auch die Auswirkungen von Ransomware gehören.

Datenschutzverletzungen in Zahlen

Datenschutzverletzungen und Auswirkungen von Ransomware-Angriffen werden in vielen Studien behandelt. Einer der renommierteste Report ist der jährlich von IBM Security veröffentlichte Cost of a Data Breach Report. Für die vom Ponemon Institute unabhängig durchgeführte Untersuchung für das Jahr 2024 wurden 604 von Datenschutzverletzungen betroffene Organisationen aus 16 Ländern und 17 verschiedenen Branchen befragt. In mehr als 3.500 Interviews wurden die Kosten für Entdeckung und unmittelbare Reaktion auf eine Datenschutzverletzung evaluiert. Erstmals wurde betrachtet, ob Unternehmen langfristige Betriebsstörungen erlitten haben und in welchem Umfang sie in ihren Sicherheitsmaßnahmen KI und Automatisierung nutzen.

Die durchschnittlichen Kosten eines Datenschutzverstoßes betrugen 4,88 Millionen US-Dollar. Diese Kosten beinhalten Aufwände für Maßnahmen im Rahmen von Reaktion, Eskalation, Benachrichtigungen sowie Geschäftsausfall. Der größte Teil der Kosten mit durchschnittlich 2,8 Millionen US-Dollar entfiel auf entgangene Geschäfte (u. a. Betriebsausfälle, Kundenverluste) sowie zusätzliche Kosten etwa durch ein erhöhtes Aufkommen von Anfragen im Kundenservice-Helpdesk oder der Zahlung von Bußgeldern. Ausgaben für etwaige Lösegelder wurden nicht berücksichtigt.

Apropos Lösegeld: Für die dritte Ausgabe seines Voice-of-SecOps-Reports befragte Deep Instinct 1.000 IT-Führungskräfte aus Unternehmen in den USA und Europa. Typische Berufsrollen der Befragten waren unter anderem CISO, CTO, Chief Security Officer, Head of Information Security und Information & Security Risk Manager. Mehr als ein Drittel der von einem Ransomware-Angriff betroffenen Unternehmen gaben an, das Lösegeld auch bezahlt zu haben. Mit 51Prozent landete Deutschland auf Platz zwei auf der Liste der Zahlungswilligen. Nur französische Organisationen (56%) zahlten noch häufiger.

In Organisationen mit einem umfassenden Einsatz von KI und Automatisierung für Prävention und IT-Sicherheit fielen die Kosten für Data-Breaches im Durchschnitt um 2,2 Millionen US-Dollar niedriger aus. Opfer von Ransomware, die mit den Strafverfolgungsbehörden zusammenarbeiteten, konnten die Kosten der Sicherheitsverletzung um durchschnittlich fast eine Million US-Dollar senken.

Bei fast der Hälfte aller Data-Breaches waren personenbezogene Daten (z. B. Steueridentifikationsnummern, E-Mail-Adressen, Telefonnummern oder Privatadressen) sowie Datensätze mit geistigem Eigentum (Intellectual Property, IP) betroffen. Geistiges Eigentum gehört mit 173 US-Dollar pro verlorenem oder gestohlenem Datensatz zu den teuersten Datensatztypen.

Bei Vorfällen in Zusammenhang mit gestohlenen oder kompromittierten Zugangsdaten vergingen bis zur Identifizierung und der Ergreifung erster Maßnahmen 292 Tage. Das entspricht einer fast 30-fach höheren Verweildauer (Dwell Time) verglichen mit den durchschnittlich 11 Tagen, bis ein Angreifer in einer durch Ausnutzung von Schwachstellen oder Misskonfiguration kompromittierten Umgebung entdeckt wird (Quelle: Mandiant M-Trends 2025 Report). Erwähnenswert im Zusammenhang mit dem M-Trends-Report ist die Tatsache, dass die Entdeckung mit internen Maßnahmen schneller erfolgt als durch externe Dienstleister.

Effektiver Schutz ist mehrstufig

Sicherheitsexperten von Lockheed-Martin beschrieben bereits 2011 die Anatomie von Cyberattacken. Für ihr Modell der Cyber Kill Chain identifizierten sie sieben Phasen eines Angriffs.

Ein Angriff beginnt immer mit der Identifikation geeigneter Ziele, gefolgt von Angriffsvorbereitungen, dem Angriff selbst bis zur Zerstörung. Für die einzelnen Stufen müssen jeweils geeignete Sicherheitsmaßnahmen geplant und umgesetzt werden.

Phasen eines Cyberangriffs

Storage und Backup sind die letzte Verteidigungslinie. Wenn es Ransomware bis hierher geschafft hat, haben bereits zuvor sämtliche Sicherheitsmaßnahmen komplett versagt. (Grafik: Kerstin Mende-Stief)Das Verständnis der einzelnen Phasen eines Cyberangriffs hilft bei der Abwehr selbst komplexer Angriffsszenarien wie Advanced Persistent Threats (APTs). Im Folgenden werden die einzelnen Stufen eines Angriffs und wirksame Gegenmaßnahmen beschrieben.

Phase 1: Reconnaissance

Im Zuge der Erkundung wählt ein Angreifer das Ziel aus, erforscht es und versucht, Schwachstellen zu identifizieren. In dieser Phase werden Port- und Netzwerk-Scans genutzt und menschliche Schwachstellen via Social-Engineering ausgekundschaftet.

Wirkungsvolle Gegenmaßnahmen sind Netzwerkfilter, Intrusion-Detection (IDS) und strikte Richtlinien, die jegliches Sondieren wie Port-Scans sowie als bösartig bekannte IPs oder bestimmte Regionen blockieren. Das Netzwerk sollte segmentiert und so weit wie möglich verborgen werden, zum Beispiel indem ungenutzte NICs in den Stealth-Mode gesetzt werden. Empfehlenswert ist die Verwendung von Nonstandard-Ports für Dienste und Anwendungen. Verschlüsselung mindestens des Transportlayers versteckt Informationen vor potentiellen Angreifern.

Hard- und Software sollten regelmäßig Patches und Updates erhalten, um etwaige Lücken frühzeitig zu schließen. Automatisiertes Pentesting hilft bei der Evaluierung der eigenen Angriffsfläche. Work-from-anywhere-Organisationen sollten auf ein modernes, zentrales Device-Management Wert legen und möglichst auf virtuelle Desktops (VDI) setzen.

Auf sozialer Ebene helfen Awareness-Trainings und Workshops, in denen Mitarbeiter auch den verantwortungsvollen Umgang mit sozialen Medien lernen (Medienkompetenz). Zum Schutz der Mitarbeiter sollte jeder nur Zugriff auf Informationen erhalten, die er zur Ausübung seiner Tätigkeit benötigt (Need-to-know-Prinzip). Das erfordert eine umfassende Datenmanagement-Strategie mit kontinuierlicher Klassifizierung aller Daten.

Phase 2: Weaponization

Bei der Bewaffnung wird der Exploit mit Werkzeugen, die auf die zuvor identifizierten Schwachstellen zugeschnitten sind, kombiniert und für die Auslieferung vorbereitet. In dieser Phase kann das potentielle Opfer nichts tun.

Phasen 3 - 7: Delivery, Exploitation, Installation, Command & Control und Actions-on-Objective

Im Zuge der Auslieferung infiltriert der Angreifer sein Ziel. In den weiteren Phasen wird Schad-Code auf den Zielsystemen ausgeführt und es werden Zugangspunkte eingerichtet, über die der Angreifer jederzeit unerkannt ins Zielnetzwerk gelangen und sich unbemerkt darin bewegen kann.

Während der Phasen 3 bis 7 greift ein ganzes Arsenal an Sicherheitsmechanismen. Voraussetzung ist, dass Sicherheitsprodukte dem Stand der Technik entsprechen. Veraltete oder von Herstellern nicht mehr unterstützte Lösungen bieten keinen ausreichenden Schutz. Architekturen nach den Prinzipien von Zero-Trust und SASE (Secure Access Service Edge), Threat-Intelligence, Überwachung der gesamten Infrastruktur auf Unregelmäßigkeiten (Behaviour Analysis) in Echtzeit sind Grundlagen effektiver Sicherheitsstrategien. Eine Deep Packet Inspection (DPI) hilft, verdächtige Protokolle und Applikationen intern wie extern zu erkennen. Mit Hilfe von Graphen als Teil einer SOAR-Plattform (Security Orchestration, Automation, and Response können ungewöhnliche Netzaktivitäten bereits in einem sehr frühen Stadium erkannt werden.

Mauern und Mehrfach-Authentifizierung

Systeme mit Verbindung in öffentliche Netze (Mail- und Web-Server, VPN-Gateway, u. ä.) gehören in eine demilitarisierte Zone (DMZ) und sollten mit zusätzlichen Filtern ausgestattet werden. Zugangspunkte sind mindestens zweistufig abzusichern, beispielsweise durch eine Kombination von Firewall mit einem Router (Paketfilter). Das BSI empfiehlt sogar einen dreistufigen Ansatz aus zwei Paketfiltern und einer State-of-the-Art-Application-Firewall (P-A-P). Hersteller- und Technologie-Redundanz erhöhen das Schutzlevel: Es ist unwahrscheinlich, dass zwei so unterschiedliche Systeme gleichzeitig von derselben Schwachstelle betroffen sind. Gleiches gilt für Anti-Viren- bzw. Malware-Schutz. Die Verwendung von Signaturen und Filtern unterschiedlicher renommierter Anbieter für den Einsatz zum Beispiel auf Servern und Clients erhöht die Chance, auch neue Bedrohungen frühzeitig zu erkennen.

Segmentierung und Containerisierung bauen unsichtbare Mauern für potentielle Angreifer und helfen bei der Schadensbegrenzung. Blocklisten sind ein rudimentärer Ansatz, der immerhin vor bekannten Bedrohungen schützt. Besser sind Allow-List-Ansätze. Der Einsatz von Microservices reduziert die Angriffsfläche, indem die Installation von Diensten und Protokollen auf ein Minimum beschränkt wird.

Klare Berechtigungsstrukturen – kein Account-Sharing

Auch ein Rollen- und Berechtigungskonzept kann einen mächtigen Schutz darstellen. Für Zutritts-, Zugangs- und Zugriffsrechte sollte das Minimalprinzip angewendet werden. Die Umsetzung strikter On- und Off-Boarding-Prozesse versteht sich von selbst. Das gilt auch für Testzugänge oder Assets wie Schnittstellen (APIs), Anwendungen und Dienste. Nach Möglichkeit sollte Mehrfaktor-Authentifizierung genutzt werden. Die Verwendung von Standard-Passwörtern, eshared Accounts, pauschalen Zertifikaten oder generellen Anwendungsschlüsseln ist tabu!

Neben Klassikern wie Deep Packet Inspection (DPI), Segmentierung, Intrusion-Detection und Prevention-Systems (IDS/IPS), Data Leak Prevention (DLP) oder Indicators of Compromise and Attack (IoC/IoA), erweisen sich vor allem die Echtzeit-Korrelation von Ereignissen und die Verhaltensanalyse (Behavior Analysis) bzw. Anomalie-Erkennung als sehr effektiv. Einzelne Maßnahmen sollten jedoch immer auf die besonderen Gegebenheiten eines Geschäftsmodells und seiner Prozesse abgestimmt werden.

Ende-zu-Ende-Verschlüsselung aller Daten in Bewegung und im Ruhezustand ist eine wesentliche Schutzmaßnahme. Selbst wenn es einem Angreifer gelingt, Daten zu entwenden, kann er damit zunächst nichts anfangen. Der Aufwand, die Daten für seine Zwecke nutzbar zu machen, wird unrentabel. Das Erstellen von Köderdaten kann Angreifer verwirren und es ihnen erschweren, wertvolle Daten zu identifizieren.

App-Whitelisting und Immutable-Storage helfen, Daten in der letzten Phase vor Verschlüsselung oder unbeabsichtigtem Verlust zu schützen. Backups sollten nach der 3-2-1-Regel erfolgen und immer unveränderlich gespeichert werden. Unveränderliche Backups lassen sih nicht löschen oder verändern; Versionierung ermöglicht die Wiederherstellung zu einem bestimmten Zeitpunkt vor dem Angriff. Selbstverständlich testet die IT-Verantwortlichen Notfall und die erfolgreiche Wiederherstellung von Systemen und Daten regelmäßig.

Ein Großteil der Angriffe erfolgt über Phishing-Mails mit kompromittierten Links oder Dateianhängen. Das auf SPF und DKIM aufbauende E-Mail-Sicherheitsprotokoll DMARC (Domain-based Message Authentication, Reporting & Conformance) verhindert E-Mail-Spoofing und hilft so, E-Mail-Betrug wie Phishing und BEC (Business Email Compromise) zu reduzieren.

RTO/RPO-Analyse und Business Impact Analyse sind entscheidend für die Entwicklung eines effektiven Plans. Ein wirksamer Schutz ist immer eine Kombination verschiedener Technologien, Anbieter und Maßnahmen. Je transparenter ein Netz ist, desto schwerer haben es Angreifer, sich darin zu verbergen. Silos und Shadow-IT machen Infrastruktur intransparent und angreifbar. Für jede einzelne Phase der Cyber-Kill-Chain stellt MITRE mit ATT&CK (Adversarial Tactics, Techniques, & Common Knowledge) eine frei zugängliche Wissensdatenbank mit von Angreifern verwendeten Taktiken, Techniken und Verfahren (TTPs) sowie entsprechenden Abhilfen zur Verfügung. Die Matrix wird ständig angepasst und erweitert.

Bei allen präventiven und proaktiven Maßnahmen sollte jedem jederzeit bewusst sein: einen 100%igen Schutz gibt es nicht. Kommt es zu einem Sicherheitsvorfall, sind etablierte und funktionierende Notfall- und Wiederanlaufpläne entscheidend. Im Fall einer Erpressung ist das oberste Gebot: Ruhe bewahren!

Ransomware: Maßnahmen für Betroffene

Zu den ersten Maßnahmen gehört die vollständige Abschottung betroffener Netzabschnitte und Systeme, um eine weitere Ausbreitung zu verhindern. Bei schweren Vorfällen kann es notwendig sein, alle Verbindungen zur Außenwelt zu kappen und das Unternehmen komplett einzufrieren. Unterliegt eine Organisation der Meldepflicht, sind entsprechende Vorbereitungen zu treffen und Maßnahmen zu ergreifen.

Alle im Zusammenhang mit dem Vorfall stehenden Ereignisse und Sachverhalte sollten dokumentiert werden. Auch Screenshots können helfen, den Vorfall zu dokumentieren. Sollte dies nicht funktionieren, helfen handy-Fotos des Bildschirms. Für die forensische Auswertung eines Angriffs müssen Systemprotokolle, Logfiles, Datenträger und alle anderen digitalen Informationen fachmännisch gesichert werden. Dabei ist zu beachten, dass die ursprünglichen Zeitstempel erhalten bleiben, wann ein Eintrag erzeugt oder zuletzt verändert wurde. Betroffene sollten einen qualifizierten IT-Dienstleister engagieren, der bei der Bewältigung des Notfalls behilflich sein kann. Empfehlungen gibt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Anzeigen können über die Zentrale Ansprechstelle für Cybercrime (ZAC) des jeweils zuständigen Landeskriminalamtes (LKA) gestellt werden.

Auf keinen Fall sollten Betroffene selbst mit den Erpressern sprechen und Verhandlungen einem Profi überlassen. Behörden wie das FBI warnen zudem vor der Zahlung von Lösegeld – egal wie hoch oder niedrig es erscheint. Weder garantiert die Zahlung die Wiedererlangung der Daten, noch schützt es vor dem Verkauf der Informationen. Im Gegenteil: Zahlungswilligkeit macht Opfer attraktiv für weitere Angriffe oder die Forderung zusätzlicher Summen. Laut dem 2023-State-of-the-Phish-Report von Proofpoint zahlten 41 Prozent der Opfer nach einer ersten Lösegeldzahlung weiter.

Nach einem Angriff sollten Post-Mortem-Analysen erfolgen und Lessons learned eruiert werden. Die Ergebnisse dienen als Grundlage für Maßnahmen zur Steigerung der künftigen Widerstandsfähigkeit (Resilience).

Integration von Sicherheit in die Geschäftsstrategie

Trotz der zunehmenden Bedrohung unterschätzen viele Führungskräfte die finanziellen und reputationsbezogenen Folgen eines Cyberangriffs – bis es zu einem Vorfall kommt. Die Konsequenzen unzureichender Sicherheitsmaßnahmen sind gravierend. Unternehmen werden gezwungen, sich auf Schadensbegrenzung zu konzentrieren. Dieser reaktive Ansatz ist kostspielig und ineffizient.

Führungskräfte müssen erkennen, dass Cybersicherheit nicht nur ein IT-Thema, sondern geschäftskritisch ist. Sicherheitsmaßnahmen müssen proaktiv in allen Unternehmensbereichen etabliert werden. Kontinuierliche Risikobewertungen helfen, Schwachstellen zu erkennen und Angriffsflächen zu minimieren. Die Einbindung von Cybersicherheitsexperten auf Führungsebene und die Ausrichtung der Cybersicherheitsinitiativen an den Geschäftszielen gewährleistet eine nahtlose Integration von Sicherheit bei allen wichtigen Geschäftsentscheidungen.

Führungskräfte selbst sind aufgrund ihrer öffentlichen Rolle und ihres Zugangs zu sensiblen Daten und Vermögenswerten zudem ein besonders attraktives Ziel für Angreifer. Technologie allein kann ein Unternehmen nicht schützen. Neben Fehler- und Lernkultur muss eine Kultur des Bewusstseins gefördert werden, in der alle Mitarbeiter und Führungskräfte die Risiken sowie ihre Rolle beim Schutz der Unternehmensdaten verstehen und Sicherheitspraktiken bewusst umsetzen. Jeder im Team muss verstehen, wie Cyberbedrohungen funktionieren. Dazu sind Investitionen in Schulungsprogramme unumgänglich.

Unternehmen der Zukunft verbinden Sicherheit mit Strategie und handeln, bevor es zu spät ist.