Die wachsende Bedrohung durch Ransomware 

Digitale Erpressung auf dem Vormarsch


Digitale Erpressung auf dem Vormarsch: Die wachsende Bedrohung durch Ransomware  News

Ransomware-Attacken gehören heute zu den gefährlichsten Cyberbedrohungen für Unternehmen weltweit. Die Angriffe, bei denen Kriminelle IT-Systeme verschlüsseln und erst gegen Lösegeld wieder freigeben, haben sich von punktuellen Vorfällen zu einem systemischen Risiko entwickelt. Laut dem Allianz Risk Barometer 2025 zählt Cyberkriminalität inzwischen zum den Top-Risiko Nr. 1 für Unternehmen – noch vor Betriebsunterbrechungen, Naturkatastrophen oder geopolitischen Spannungen. Dabei sind längst nicht nur Konzerne betroffen, sondern auch mittelständische Unternehmen, Krankenhäuser und kommunale Verwaltungen und Bundesbehörden.

Die Ursachen: Ein Mix aus Technik, Mensch und Organisation

Die Gründe für die Zunahme dieser Angriffe sind vielfältig:

  • Veraltete IT-Infrastrukturen: Viele Unternehmen arbeiten noch mit nicht gepatchten oder veralteten Systemen, die bekannte Schwachstellen aufweisen.
  • Fehlkonfigurationen und Sicherheitslücken: Unzureichend gesicherte Remote-Zugänge oder VPNs bieten Angriffsflächen.
  • Menschliches Fehlverhalten: Phishing-Mails bleiben Einfallstor Nummer eins. Ein unbedachter Klick genügt, um Angreifer ins Netz zu lassen.
  • Professionalisierung der Täter: Cybercrime-as-a-Service und AI-Technologien haben dazu geführt, dass auch technisch weniger versierte Kriminelle leistungsfähige Ransomware-Kits nutzen können.
  • Nicht-wirksames Risikomanagement: Viele Organisationen verwechseln ein akribisches Asset-Management (beispielsweise basierend auf IT-Grundschutz) mit einem wirksamen Risikomanagement, was immer den  "Business Impact" konkret und quantitativ analysiert und sich mit der Wirksamkeit von ursachen- und wirkungsbezogenenen Maßnahmen beschäftigt.

Praxisfälle verdeutlichen die drastischen Schmerzen

Der Traditionsbetrieb Fasana, ein deutscher Hersteller von Papier- und Serviettenwaren mit rund 240 Mitarbeitenden, geriet im April 2025 ins Visier einer Ransomware-Gruppe. Mitarbeiter fanden erpresserische Druckaufträge auf ihren Arbeitsplatzdruckern – ein klares Zeichen für die kompromittierte IT-Umgebung. Kurz darauf meldete das Unternehmen Insolvenz an. Der Vorfall zeigt, wie existenzbedrohend Ransomware-Angriffe selbst für mittelständische Firmen sein können.

Der Automobilzulieferer Continental in Deutschland wurde Ende Juli 2022 Opfer eines umfassenden Angriffs durch die LockBit-Gruppe. Insbesondere wurden rund 40 TB sensibler Daten erbeutet – darunter interne Kommunikation, Verwaltungsunterlagen sowie Informationen zu Kunden. LockBit forderte ein Lösegeld von etwa 40 Millionen US-Dollar und veröffentlichte Teile der Daten nachdem Verhandlungen scheiterten. Die Angreifer betonten, die Daten im Darknet zum Verkauf anzubieten. Die Wiederherstellung dauerte mehrere Wochen, verlorene Produktionszeiten und Management-Ressourcen verursachen anhaltende Belastungen.

Im November 2024 griff die Ransomware-Gruppe BlackBasta die Essener Medion AG an. Dabei wurden 1,5 TB interne Daten kopiert – inklusive Shop-Systeme, E-Mail-Verkehr und Daten aus Telefonanlagen. Die Veröffentlichung der Daten war für 25. Dezember 2024 angedroht, obgleich eine Lösegeldforderung öffentlich bislang unklar blieb. Der Vorfall verursachte erhebliche Störungen im Online-Shop.

Der US-Dialyseanbieter DaVita wurde am 14. und 25. April 2025 von einer Ransomware-Attacke getroffen, bei der Teile des Netzwerks verschlüsselt wurden. Die Interlock-Gruppe beanspruchte für sich, 1,51 Terabyte an Daten gestohlen zu haben. Die Exploitation beeinträchtigte medizinische Abläufe, wobei laut Reuters „die Dialyseversorgung weiterhin fortgesetzt wurde“, aber das Incident-Response-Team an Stabilisierung und Wiederherstellung arbeitete.

Ein besonders aufschlussreicher Fall betrifft die Südwestfalen IT, einen kommunalen IT-Dienstleister für über 70 Städte und Gemeinden in Nordrhein-Westfalen. Im Oktober 2023 legte eine Ransomware-Attacke große Teile der Infrastruktur lahm – darunter Bürgerdienste wie Einwohnermeldeämter, Kfz-Zulassungen und Standesämter. Der Krisenmodus und sogenannte Recovery-Prozess dauerte mindestens elf Monate. Zum 30.09.2024 konnte die Organisation in den Normalmodus wechseln. Viele Monate nach dem Angriff waren viele digitale Verwaltungsleistungen nicht verfügbar. Der Vorfall zeigt eindrücklich, wie anfällig auch kritische kommunale Infrastrukturen sein können – und wie langwierig und teuer der Wiederanlauf ist.

Aktuelle Studien zeigen Bedrohungslage

Neben dem Allianz Risk Barometer bestätigen weitere Untersuchungen die Brisanz:

  • Die BSI-Lageberichte weisen für 2024 eine Verdopplung der Ransomware-Vorfälle im Vergleich zum Vorjahr aus.
  • Eine Umfrage von PwC unter deutschen Unternehmen zeigt, dass über 60 Prozent der befragten Unternehmen in den letzten 12 Monaten mindestens einen versuchten Ransomware-Angriff erlebt haben.
  • Basierend auf einer Analyse von Bitkom ist der Anteil der von einer Ransomware-Attacke betroffenen Unternehmen im Jahr 2024 von 72 auf 81 Prozent gestiegen. Bei etwa einem Drittel (31 Prozent) davon richtete Ransomware den größten Schaden an (2023: 23 Prozent). 
  • Laut IBM Cost of a Data Breach Report 2024 betragen die durchschnittlichen Kosten nach einer erfolgreichen Attacke rund 4,5 Millionen US-Dollar – Tendenz steigend.

Die Rolle eines wirksamen Risikomanagements

Die Erkenntnis: IT-Sicherheit ist nicht mehr nur eine Frage der Technik, sondern ein zentrales Element der Unternehmensresilienz. Unternehmen benötigen ein integriertes Cyber-Risikomanagement, das technische, organisatorische und personelle Maßnahmen vereint:

  • Prävention: Schulungen, regelmäßige Backups, segmentierte Netzwerke und aktuelle Sicherheitspatches.
  • Detektion: Frühwarnsysteme zur frühzeitigen Erkennung verdächtiger Aktivitäten.
  • Reaktion: Notfallpläne, ein wirksames Business Continuity Management (BCM), Incident-Response-Teams und klare Kommunikationsprotokolle.
  • Wirtschaftliche Absicherung: Cyber-Versicherungen können helfen, finanzielle Schäden zu begrenzen – sind aber kein Ersatz für gute Prävention.

Ein reaktives Krisenmanagement reicht nicht aus

Ransomware ist kein Zufallsrisiko mehr, sondern ein strukturelles Problem, das Unternehmen in ihrer Existenz bedrohen kann. Der technische Fortschritt auf Täterseite macht ein rein reaktives Vorgehen obsolet. Nur ein vorausschauendes und präventies Risikomanagement, das Cyberbedrohungen als Teil der strategischen Unternehmensführung begreift, kann nachhaltig schützen – vor Datenverlust, Betriebsunterbrechung und vor allem dem Vertrauensverlust bei Kunden und Partnern.

Andreas Müller, Vice President Enterprise Sales CE bei Delinea, weist in einem Kommentar darauf hin, dass viele Betrüger für ein zusätzliches „Taschengeld“ die Anmeldedaten im Dark Web verkaufen, was zum Wachstum des Ransomware-Marktes beiträgt (Initial Access Broker).

„Bekannt als Ransomware-as-a-Service-Modell bieten kriminelle Gruppen und Einzelgänger darüber hinaus sowohl ihre Dienste als auch ihre Tools gegen Zahlung im Dark Web an. Damit können sogar Cyber-Crime-Laien ohne nennenswerte Hacking Skills Unternehmen erpressen. Ein weiteres rentables Geschäftsmodell bildet Double Extortion – also die doppelte Erpressung: zunächst durch Datenverschlüsselung und anschließend durch Veröffentlichung oder Verkauf der Daten an Höchstbietende“, so Andreas Müller

Und insbesondere mit Hilfe von AI können Betrüger beispielsweise die Erfolgsrate ihrer Phishing-Kampagnen, erhöhen indem sie damit unter anderem die Inhalte glaubwürdiger gestalten.

Nach Ansicht von Müller gibt es verschiedene Faktoren, die es Cyberkriminellen unter günstigen Umständen besonders leicht machen, Unternehmen Ransomware unterzujubeln und sich dadurch sensible Daten unter den Nagel zu reißen. Diese Schwachstellen erklären, wieso Angriffe so häufig und erfolgreich sind und warum Unternehmen lange unter den Folgen von Ransomware-Attacken leiden müssen.

  • Die Bereitschaft, Lösegeld zu zahlen: Über die Hälfte der Unternehmen haben sich laut einer aktuellen Studie gegen die allgemein bekannten Handlungsempfehlungen entschieden und das verlangte Lösegeld mit der Aussicht gezahlt, den Wiederherstellungsprozess zu beschleunigen. 26 Prozent, die sich auf die Forderungen eingelassen haben, erhielten ihre Daten nicht zurück. Somit gibt es keine Garantie, dass Angreifer die verschlüsselten Systeme und Daten wieder freigeben, geschweige denn darauf verzichten, ihre Ausbeute im Dark Web zu Geld zu machen.
  • Robustere Maßnahmen bleiben ungenutzt: Wenn es um Cybersicherheit geht, setzen viele Unternehmen auf diese vier Top-Maßnahmen: regelmäßige Updates, Backups sensibler Daten, vorgeschriebene Passworthygiene sowie Anwendungskontrollen. Robustere Mechanismen wie Identity- und Access-Management sucht man häufig vergeblich, so Andreas Müller. 
  • Aufwändiger Recovery-Prozess: 75 Prozent der befragten Unternehmen benötigten im Schnitt zwei Wochen, um sich von einem Ransomware-Angriff zu erholen und ihre Ressourcen wiederherzustellen. Lediglich 18 Prozent schafften das innerhalb von 24 Stunden.

Elemente einer robusten Sicherheitsstrategie

Zu den wesentlichen Elementen einer robusten Sicherheitsstrategie führt Andreas Müller aus: „Dazu gehören zum einen die wichtigen Basics wie risikobasiertes Patching, regelmäßige Backups, Anwendungskontrollen, aber auch Security-Awareness-Schulungen für alle Mitarbeitenden. Zum anderen spielt das Thema Access- und Identity-Management eine essenzielle Rolle. In diesem Kontext bilden Privileged Access Management, Least Privilege, Governance und Zero Trust den Hauptbestandteil einer robusten Sicherheitsstrategie.“

Und auch der gezielte Einsatz von AI-Technologien kann die Ransomware-Abwehr stärken. AI-gestützte Sicherheitssysteme können Unmengen an Daten durchgehend analysieren und Ausschau nach verdächtigen Mustern und Abweichungen halten (Indicators of Compromise). Andreas Müller: "Neben Bedrohungsdaten kann es auch nach Verhaltensauffälligkeiten, unerwartet überprivilegierten Identitäten und nach verdächtigen Inhalten in E-Mail – sowohl im Text als auch im Anhang – suchen. Künftig wird zudem das Thema Agentic AI im Security-Bereich zunehmend an Bedeutung gewinnen, da ein solches System autonom Aufgaben wie Threat Hunting und Intelligent Policy Authorization übernehmen kann und somit bereits stark unterbesetzte und unterbudgetierte IT-Teams noch mehr entlastet."

 

[ Bildquelle Titelbild: Generiert mit AI ]
Themengebiete
In Verbindung stehende Artikel
AI, Cyberrisiken und wirksames RisikomanagementAI, Cyberrisiken und wirksames Risikomanagement
LLM und ihre neue Rolle in der CybersicherheitLLM und ihre neue Rolle in der Cybersicherheit
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.