Ein unbedachter Klick auf einen E-Mail-Anhang, ein ungepatchtes VPN-Gateway oder ein gestohlenes Passwort: Mehr braucht es oft nicht, um einen Ransomware-Angriff in Gang zu setzen. Wenige Tage später stehen zentrale Systeme still, und auf den Bildschirmen erscheint eine Lösegeldforderung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt Ransomware seit Jahren zu den größten Cyberbedrohungen für Unternehmen und Behörden in Deutschland.
Für IT-Entscheider ist das Thema relevant, weil es jede Organisation treffen kann. Angreifer suchen selten nach prominenten Namen, sie suchen nach erreichbaren Schwachstellen. Wer die Abläufe eines Angriffs versteht, kann Prävention, Eindämmung und Wiederanlauf gezielt planen und budgetieren.
Was ist Ransomware?
Ransomware ist Schadsoftware, die Daten oder komplette Systeme verschlüsselt und für die Entschlüsselung ein Lösegeld fordert. Der Begriff leitet sich vom englischen Wort „ransom“ für Lösegeld ab. Nach einer erfolgreichen Attacke sind Dateien, Datenbanken und Anwendungen unbrauchbar, häufig inklusive der vom Netzwerk aus erreichbaren Backups. Betroffen sind Windows- und Linux-Systeme ebenso wie virtualisierte Umgebungen. Die Täter hinterlassen eine Erpressernachricht mit Zahlungsanweisungen, meist in Kryptowährung.
Hinter den Angriffen stehen arbeitsteilig organisierte Gruppen. Beim Modell „Ransomware as a Service“ stellen Entwickler ihre Werkzeuge kriminellen Partnern bereit und beteiligen sich am Erlös. Das senkt die Einstiegshürde für Täter und erhöht die Zahl der Angriffe spürbar. Zur Professionalisierung gehören Verhandlungsportale, Leak-Seiten für gestohlene Daten und gestaffelte Fristen, die den Druck auf Betroffene erhöhen.
Moderne Kampagnen setzen zusätzlich auf Datendiebstahl. Vor der Verschlüsselung kopieren die Angreifer sensible Informationen und drohen mit deren Veröffentlichung. Diese doppelte Erpressung wirkt auch dann, wenn ein Unternehmen seine Systeme aus Backups wiederherstellen kann.
So läuft ein Angriff ab
Ein Ransomware-Vorfall ist das Ende einer längeren Angriffskette. Zwischen Erstzugang und Verschlüsselung vergehen oft Tage bis Wochen, in denen sich die Täter unbemerkt im Netzwerk bewegen. Die Kette verläuft typischerweise in sieben Phasen, und jede davon bietet eine Chance, den Angriff zu erkennen und zu unterbrechen:
- Erstzugang: Die Angreifer verschaffen sich Zutritt über Phishing-Mails, gestohlene Zugangsdaten, ungepatchte Schwachstellen in VPN- oder Remote-Desktop-Diensten oder über kompromittierte Dienstleister.
- Verankerung: Sie installieren Hintertüren und legen zusätzliche Konten an, um den Zugriff auch nach Neustarts oder Passwortänderungen zu behalten.
- Ausbreitung: Vom ersten System aus bewegen sich die Täter seitlich durch das Netzwerk (Lateral Movement), übernehmen weitere Server und suchen gezielt nach Domänencontrollern, Datenbanken und Backup-Systemen.
- Rechteausweitung: Über erbeutete Administratorkonten sichern sich die Angreifer weitreichende Berechtigungen, mit denen sie Sicherheitssoftware abschalten und Schutzmechanismen aushebeln.
- Datenabfluss: Bevor die Verschlüsselung startet, exfiltrieren viele Gruppen Vertrags-, Kunden- und Personaldaten als zusätzliches Druckmittel.
- Verschlüsselung: Auf ein Kommando hin verschlüsselt die Ransomware zeitgleich möglichst viele Systeme, bevorzugt nachts oder am Wochenende, wenn Reaktionszeiten lang sind.
- Erpressung: Zum Schluss folgt die Lösegeldforderung. Bei der Doppel-Erpressung drohen die Täter zusätzlich mit der Veröffentlichung der gestohlenen Daten, teils auch mit Meldungen an Kunden, Presse oder Aufsichtsbehörden.
Warum das Thema wichtig ist
Ransomware betrifft alle Branchen und Unternehmensgrößen. Die Folgen reichen weit über die IT hinaus:
- Betriebsstillstand: Verschlüsselte Server bedeuten Stillstand in Produktion, Logistik und Verwaltung, im Ernstfall über Wochen.
- Hohe Folgekosten: Neben einem möglichen Lösegeld schlagen Forensik, Wiederaufbau, Vertragsstrafen und entgangener Umsatz zu Buche.
- Rechtliche Pflichten: Beim Abfluss personenbezogener Daten greifen Meldepflichten nach DSGVO, für viele Unternehmen kommen Vorgaben aus NIS-2 hinzu.
- Reputationsschäden: Veröffentlichte Kundendaten und lange Ausfälle belasten das Vertrauen von Kunden und Geschäftspartnern.
- Lieferkettenrisiko: Ein Angriff auf einen Dienstleister oder Zulieferer kann die eigene Organisation unmittelbar treffen.
- Keine Garantie durch Zahlung: Auch nach gezahltem Lösegeld bleiben Entschlüsselung und Löschung der gestohlenen Daten ungewiss.
Typische Szenarien
Die folgenden Fälle stehen beispielhaft für Muster, die Einsatzteams bei Vorfällen immer wieder sehen:
- Phishing im Mittelstand: Eine Mitarbeiterin der Buchhaltung öffnet eine vermeintliche Bewerbung. Die enthaltene Schadsoftware lädt weitere Werkzeuge nach, drei Wochen später sind ERP-System und Fileserver verschlüsselt.
- Ungepatchtes VPN-Gateway: Eine bekannte Schwachstelle in der Fernzugriffslösung bleibt wochenlang offen. Angreifer übernehmen ein Administratorkonto und verschlüsseln in einer Nacht mehrere Standorte gleichzeitig.
- Flaches Netzwerk: Ein infizierter Arbeitsplatzrechner erreicht ungehindert Server, Produktionssteuerung und Backups, weil interne Übergänge ohne Kontrolle bleiben. Der Schaden trifft das gesamte Unternehmen statt eines einzelnen Segments.
- Kompromittierter Fernwartungszugang: Über das Konto eines externen Dienstleisters gelangen Täter ins Netzwerk und nutzen dessen weitreichende Berechtigungen für die Ausbreitung.
Ransomware und andere Malware: der Unterschied
Viren, Würmer, Trojaner und Spyware arbeiten meist im Verborgenen. Sie stehlen Rechenleistung, Zugangsdaten oder Geschäftsgeheimnisse und bleiben dafür möglichst lange unentdeckt. Ransomware verfolgt das entgegengesetzte Ziel: Am Ende des Angriffs macht sie sich offensiv bemerkbar, denn die Täter wollen eine Zahlung erzwingen.
Für die Einordnung wichtig: Ransomware bildet häufig den letzten Schritt einer Infektion, die mit anderer Malware beginnt. Ein unauffälliger Loader öffnet die Tür, danach folgen Fernsteuerungswerkzeuge, erst am Ende kommt die Verschlüsselung. Wer frühe Stadien erkennt und die Ausbreitung begrenzt, verhindert den eigentlichen Schaden. Abzugrenzen sind außerdem Wiper: Diese Schadprogramme zerstören Daten endgültig, es geht um Sabotage statt Erpressung. Für Ihre Sicherheitsstrategie heißt das: Erkennung und Eindämmung müssen lange vor der finalen Verschlüsselungsphase greifen.
Schutz mit KAEMI
Kein Unternehmen kann einen Erstzugriff sicher verhindern. Entscheidend ist deshalb, die Ausbreitung zu stoppen und den Schaden zu begrenzen. KAEMI kombiniert dafür Zero-Trust-Mikrosegmentierung auf Basis von Illumio, die die Ausbreitung von Ransomware im Netzwerk eindämmt, mit SASE/SSE und ZTNA für sichere Zugriffe von jedem Standort aus. Als Managed Service Provider übernehmen wir Planung, Betrieb und Überwachung dieser Schutzschichten und unterstützen bei Härtung, Notfallplanung und der Überprüfung bestehender Zugriffsrechte. Wenn Sie die Widerstandsfähigkeit Ihrer Umgebung prüfen möchten, erreichen Sie unser Team über die Kontaktseite .