ransomware mit doppelter Erpressung ransomware : Der umfassende Leitfaden zur Abwehr

Wichtige Erkenntnisse

Doppelte Erpressung ist mittlerweile das gängigste ransomware . Da bei 96 % der Angriffe vor der Verschlüsselung Daten gestohlen werden, sollte jeder ransomware von Anfang an als Datenpanne behandelt werden.
Das Erkennungsfenster wird immer kleiner. Während die durchschnittliche Verweildauer weiterhin bei vier bis fünf Tagen liegt, schaffen es die schnellsten Angreifer mittlerweile, Daten in nur 72 Minuten zu exfiltrieren – was Erkennungsfähigkeiten innerhalb von weniger als einer Stunde erfordert.
Die Zahlung des Lösegeldes bietet keine Garantie für die Sicherheit. Der Fall „Change Healthcare“ hat gezeigt, dass Daten durch „Exit-Scams“ und nachträgliche Erpressung auch nach einer Zahlung in Höhe von 22 Millionen Dollar offengelegt werden können.
Erpressungen ohne Verschlüsselung nehmen stark zu. Der Anteil der Erpressungen, bei denen lediglich Daten abgezogen werden, stieg innerhalb eines Jahres von 2 % auf 22 % aller Fälle im Bereich Incident Response, wodurch sich eine ausschließlich auf Backups ausgerichtete Verteidigung als unzureichend erwiesen hat.
Transparenz auf Netzwerkebene ist der entscheidende Schutzmechanismus. Die Erkennung von Exfiltrations-Tools wie rclone (die bei 57 % der Vorfälle auftraten) und ungewöhnlicher Muster im ausgehenden Datenverkehr bietet die beste Möglichkeit, Angriffe zu stoppen, bevor Daten verloren gehen.

Ransomware geht es nicht mehr nur um das Sperren von Dateien. Im Jahr 2025 waren 96 % der ransomware neben der Verschlüsselung auch mit Datenexfiltration verbunden, wodurch jeder Vorfall zu einer potenziellen Datenpanne wurde. Diese Entwicklung – bekannt als „Double Extortion ransomware hat die Bedrohungslage für Sicherheitsteams grundlegend verändert. Backups allein garantieren keine Wiederherstellung mehr, und auf dem Spiel stehen nun behördliche Strafen, Reputationsschäden und die dauerhafte Veröffentlichung sensibler Daten auf Leak-Seiten im Dark Web. Im Jahr 2025 wurden auf ransomware rekordverdächtige 7.458 bis 7.960 Opfer genannt, was einem Anstieg von 53 % gegenüber dem Vorjahr entspricht. Dieser Leitfaden erläutert, wie Double-Extortion funktioniert, wer dahintersteckt und was Sicherheitsteams tun können, um diese Angriffe zu erkennen und zu stoppen, bevor Daten das Netzwerk verlassen.

Was ist doppelte Erpressungs ransomware?

ransomware mit doppelter Erpressung ransomware ein Modell für Cyberangriffe, bei dem Angreifer zuerst sensible Daten stehlen, bevor sie die Systeme des Opfers verschlüsseln, und dann damit drohen, die gestohlenen Informationen auf Leak-Seiten im Dark Web zu veröffentlichen, sofern kein Lösegeld gezahlt wird. Im Gegensatz zu herkömmlicher ransomware sich ausschließlich auf Verschlüsselung stützt, schafft dieser Ansatz zwei gleichzeitige Druckmittel: die Unmöglichkeit, auf verschlüsselte Systeme zuzugreifen, und das Risiko einer öffentlichen Datenoffenlegung.

Die ransomware „Maze“ war Ende 2019 Vorreiter dieser Taktik, als sie die gestohlenen Daten eines Opfers veröffentlichte, nachdem sich das Unternehmen geweigert hatte, das Lösegeld zu zahlen. Innerhalb weniger Monate übernahmen fast alle großen ransomware diesen Ansatz. Laut BlackFog waren im dritten Quartal 2025 96 % aller ransomware mit Datenexfiltration verbunden, wodurch die doppelte Erpressung zum vorherrschenden Angriffsmodell und nicht mehr zur Ausnahme wurde.

Dies ist von Bedeutung, da Backups – die lange Zeit als wichtigste Abwehrmaßnahme gegen ransomware galten ransomware lediglich die Verschlüsselungskomponente abdecken. Selbst Unternehmen, die ihre Systeme vollständig aus unveränderlichen Backups wiederherstellen können, sind weiterhin der Gefahr ausgesetzt, dass sensible Daten veröffentlicht, verkauft oder für weitere Angriffe genutzt werden. Doppelte Erpressung ist nicht dasselbe wie reine Datenerpressung; sie kombiniert vielmehr Verschlüsselung und Datendiebstahl als parallele Druckmittel.

Einfache, doppelte oder dreifache Erpressung

Vergleich von Erpressungsmodellen ransomware

Erpressungsmodell	Taktik	Einfluss der Opfer	Ist die Datensicherung wirksam?
Einmalige Erpressung	Systeme verschlüsseln	Ausfall des Zugriffs auf Daten und Betriebsabläufe	Ja – durch die Wiederherstellung aus Backups werden Systeme wiederhergestellt
Doppelte Erpressung	Daten stehlen + Systeme verschlüsseln	Gefahr der Datenoffenlegung + Verlust des Zugriffs	Teilweise – stellt Systeme wieder her, kann jedoch die Veröffentlichung von Daten nicht verhindern
Dreifache Erpressung	Daten stehlen + verschlüsseln + DDoS-Angriffe oder Druck durch Dritte	All das oben Genannte + Betriebsstörungen oder Druck auf Kunden und Partner	Nein – es gibt weiterhin mehrere unabhängige Ansatzpunkte

Bei der dreifachen Erpressung wird dieses Modell noch weiter ausgebaut, indem Distributed-Denial-of-Service-Angriffe (DDoS) gegen das Opfer durchgeführt, Druck auf Dritte wie Kunden oder Partner ausgeübt oder damit gedroht wird, das Opfer bei den Aufsichtsbehörden anzuzeigen. Einige ransomware bieten DDoS-Funktionen mittlerweile als Zusatzdienst an, wodurch ransomware mit Mehrfacherpressung ransomware zugänglich wird.

So funktionieren Doppel-Erpressungsangriffe

Der Lebenszyklus eines Double-Extortion-Angriffs folgt einem vorhersehbaren Ablauf. Es ist von entscheidender Bedeutung, diesen Ablauf zu verstehen, da jede Phase Möglichkeiten zur Erkennung bietet – insbesondere während der Exfiltrationsphase vor der Verschlüsselung.

Erster Zugriff. Angreifer verschaffen sich Zugang über phishing (T1566), die Ausnutzung öffentlich zugänglicher Anwendungen oder Zugangsdaten, die von Initial Access Brokern (IABs) erworben wurden. Cisco Talos hat den ToyMaker IAB dokumentiert, das Netzwerkzugang direkt an ransomware wie CACTUS verkauft.
Privilegieneskalation und Seitwärtsbewegung. Angreifer nutzen Remote-Dienste (T1021), um sich quer durch das Netzwerk zu bewegen, Berechtigungen zu erweitern und besonders wertvolle Datenspeicher zu identifizieren.
Datenvorbereitung und Exfiltration. Angreifer archivieren Zieldaten (T1560.001) und in cloud übertragen (T1567.002). Studie von Symantec/Broadcom Es wurde festgestellt, dass rclone bei 57 % der Vorfälle von ransomware eine Rolle spielt.
Verschlüsselung. Angreifer setzen Datenverschlüsselung ein, um eine größtmögliche Wirkung zu erzielen (T1486). Analyse von Splunk/Sophos geht davon aus, dass die Verweildauer vor der Verschlüsselung bei vier bis fünf Tagen liegt. Allerdings Unit 42 – Globaler Bericht zur Incident-Reaktion 2026 Es hat sich herausgestellt, dass das schnellste Viertel der Angreifer die Daten bereits nach 72 Minuten abziehen kann.
Lösegeldforderung und Verhandlungen. Die Angreifer veröffentlichen auf ihrer Leak-Seite einen „Proof-of-Compromise“ – häufig eine Stichprobe von etwa 1 % der gestohlenen Daten –, setzen Zahlungsfristen fest und verhandeln über verschlüsselte Kanäle.
Veröffentlichung auf Leak-Seiten. Wenn keine Zahlung eingeht, werden die Daten auf speziellen Leak-Seiten im Dark Web veröffentlicht. Im Jahr 2025 wurden zwischen 7.458 und 7.960 Opfer auf Leak-Seiten aufgeführt.

Tools und Techniken zur Datenexfiltration

Aktuelle Doppel-Erpressungsgruppen stützen sich auf eine Reihe bewährter Tools zur Datenexfiltration. Zu wissen, worauf man achten muss, ist der erste Schritt zur Erkennung.

Laut Berichten von Symantec/Broadcom und dem Infosecurity Magazine gehören zu den am häufigsten verwendeten Exfiltrations-Tools rclone (57 % der Vorfälle), MEGAsync, Cobalt Strike, FileZilla, WinSCP, curl sowie WinRAR/7-Zip zur Archivierung vor der Übertragung. Der DFIR-Bericht dokumentierte einen LockBit-Fall, in dem Angreifer Cobalt Strike die Command-and-Control-Kommunikation und rclone für die Exfiltration großer Datenmengen nutzten.

Zu den Erkennungsindikatoren für diese Tools zählen ungewöhnlich hohe Datenmengen, die an cloud gesendet werden, Verbindungen zu bekannten rclone- oder MEGAsync-Endpunkten, DNS-Anomalien, die auf Datentunneling hindeuten, sowie Verhaltensanalysen, die massiven Dateizugriff oder Staging-Muster aufzeigen.

Mechanismen von Informationslecks und Verhandlungsdynamiken

Ransomware – auch als Data Leak Sites (DLS) oder „Shame Sites“ bezeichnet – sind Dark-Web-Plattformen, auf denen Gruppen gestohlene Daten von Opfern veröffentlichen, die die Lösegeldforderung nicht begleichen. Aus Sicht der Verteidigung ist es für die Planung der Reaktion auf Vorfälle unerlässlich, die Funktionsweise dieser Seiten zu verstehen.

Die typische Eskalation verläuft nach einem bestimmten Muster. Der Angreifer veröffentlicht zunächst den Namen des Opfers und eine Beschreibung der gestohlenen Daten, oft zusammen mit einem Countdown-Timer. Eine kleine Stichprobe (in der Regel 1 % bis 5 % der gestohlenen Daten) dient als Beweis. Wenn das Opfer in Verhandlungen eintritt, kann der Timer verlängert werden. Verstreicht die Frist ohne Zahlung, werden die Daten schrittweise oder vollständig veröffentlicht.

Sicherheitsteams sollten sich bewusst sein, dass das Auftauchen von Daten auf einer Leak-Website bestätigt, dass eine Datenentwendung stattgefunden hat, was gemäß den meisten regulatorischen Rahmenwerken eine Meldepflicht bei Datenschutzverletzungen auslöst. Die Überwachung von Leak-Websites mithilfe von Threat-Intelligence-Feeds bietet eine Frühwarnung, doch das Ziel besteht darin, die Datenentwendung zu erkennen und zu stoppen, bevor die Daten diese Plattformen überhaupt erreichen.

Bekannte Akteure im Bereich der doppelten Erpressung und Fallstudien

Gruppen, die doppelte Erpressung betreiben, reichen von gut ausgestatteten, fortgeschrittenen, hartnäckigen Bedrohungsoperationen bis hin zu lose organisierten Partnernetzwerken. Die Zahlung des Lösegeldes garantiert keine Datensicherheit – wie mehrere vielbeachtete Fälle zeigen.

ransomware wichtigsten ransomware , die zwischen 2025 und 2026 mit doppelter Erpressung operieren

Gruppe	Aktiv seit	Opferzahl 2025	Hauptstrategie	Bemerkenswerte Kampagne
Qilin	2022	1,034	Doppelte Erpressung mit Schwerpunkt im Gesundheitswesen	NHS Synnovis (90 % der Blutuntersuchungen eingestellt)
Clop	2019	Hunderte (Massenkampagnen)	Zero-day Zero-Day-Angriffe auf die Lieferkette	MOVEit Transfer (ca. 2.000 Betroffene)
Medusa	2021	300+	Angriffe auf kritische Infrastrukturen	Gemeinsame Warnmeldung AA25-071A von CISA und FBI
BlackCat/ALPHV	2021	Nach einem Exit-Scam aufgelöst	RaaS mit Verrat durch Partner	Change Healthcare (Zahlung in Höhe von 22 Mio. $)
LockBit	2019	Wieder auftauchen	Modell einer Kartellkoalition	Kartell mit DragonForce und Qilin angekündigt
Drachenmacht	2023	363	White-Label-RaaS (80/20-Aufteilung)	Franchise-Expansion nach dem Kartellmodell

Der Fall „Change Healthcare / BlackCat ALPHV“ ist besonders aufschlussreich. Nachdem 22 Millionen Dollar Lösegeld gezahlt worden waren, führten die BlackCat-Betreiber einen Exit-Scam durch: Sie behielten die Zahlung ein, ohne die versprochene Datenlöschung durchzuführen. Eine andere verbündete Gruppe – RansomHub – versuchte daraufhin, mit denselben gestohlenen Daten eine zweite Erpressung durchzuführen. Die Daten von rund 100 Millionen Personen waren betroffen.

Qilin erwies sich im Jahr 2025 als die aktivste Gruppe mit bis zu 1.034 ihr zugeschriebenen Opfern. Ihr Angriff auf den NHS-Bluttestanbieter Synnovis im Juni 2024 legte 90 % der Bluttestdienste lahm und führte zur Absage von über 1.100 Operationen. Bei dem Datenleck bei Covenant Health im Mai 2025 wurden 852 GB an Daten abgezogen und 478.188 Patienten waren betroffen.

Clop leistete Pionierarbeit bei zero-day massenhaften zero-day für reine Datenerpressung. Ihre „MOVEit Transfer“-Kampagne im Jahr 2023 betraf rund 2.000 Organisationen und 17 Millionen Einzelpersonen – ohne dass jemals eine Verschlüsselung zum Einsatz kam.

ransomware senkt die Eintrittsbarrieren weiter. DragonForce bietet nun ein White-Label-Franchise-Modell mit einer Umsatzbeteiligung von 80:20 an, während Medusa Partnern bis zu 1 Million US-Dollar für den ersten Zugang zu hochkarätigen Zielen Medusa .

Auswirkungen auf das Geschäft und Statistiken

ransomware zu ransomware für den Zeitraum 2024–2026 zeigen ein Paradoxon: Die Zahl der Opfer steigt rasant an, während die Lösegeldzahlungen zurückgehen, was darauf hindeutet, dass sich immer mehr Unternehmen weigern zu zahlen – doch die Angriffe reißen nicht ab.

ransomware doppelter Erpressung ransomware Zahlen (2024–2026)

Metrisch	Wert	Jahr	Quelle
Opfer, deren Namen auf Leak-Seiten genannt werden	7,960	2025	Sicherheitsbericht
Anstieg der Opferzahlen im Vergleich zum Vorjahr	53%	2025 im Vergleich zu 2024	Sicherheitsbericht
ransomware	$813.55M	2024	Chainalysis
Rückgang der Zahlungen gegenüber dem Vorjahr	35 % (von 1,25 Mrd. $)	2024 im Vergleich zu 2023	Chainalysis
Angriffe mit Datenexfiltration	96%	Q3 2025	BlackFog
Aktive ransomware	134	2025	Nachrichten zur Cybersicherheit
Verstöße gegen Datenschutzbestimmungen im Gesundheitswesen	über 700 (über 275 Millionen Patientenakten)	2025	Sicherheit Boulevard
Vorfälle im Januar 2026	678 (Anstieg um 10 % gegenüber dem Vorjahr)	Januar 2026	Kontrollpunkt

Chainalysis berichtete, dass die Gesamtsumme ransomware um 35 % von 1,25 Milliarden US-Dollar im Jahr 2023 auf 813,55 Millionen US-Dollar im Jahr 2024 sank, wobei der Medianwert der Zahlungen im Jahr 2025 um 50 % auf 1 Million US-Dollar zurückging (Sophos). Dennoch steigt die Zahl der Angriffe weiter an. Im Jahr 2025 tauchten zwischen 45 und 84 neu beobachtete ransomware Erpressergruppen auf, wodurch die Gesamtzahl der aktiven Operationen auf bis zu 134 verschiedene Bedrohungsakteure anstieg.

Das Gesundheitswesen ist nach wie vor der am stärksten von ransomware betroffene Sektor: In den Jahren 2024–2025 kam es zu über 700 Sicherheitsverletzungen, bei denen mehr als 275 Millionen Patientenakten offengelegt wurden. Auf die Vereinigten Staaten entfallen etwa 48 % der weltweiten Opfer (Check Point, Januar 2026).

Überlegungen zur Cyberversicherung

Die Cyberversicherung passt sich rasch an die Bedrohung durch doppelte Erpressung an. Da doppelte Erpressung naturgemäß mit einem nachgewiesenen Datenabfluss einhergeht, löst sie sowohl die Deckung ransomware als auch die Deckung für Maßnahmen bei Datenschutzverletzungen aus – zwei Bereiche, in denen Versicherer zunehmend Deckungshöchstgrenzen anstelle einer vollständigen Versicherungsdeckung anwenden.

Versicherer verlangen mittlerweile in der Regel bestimmte Sicherheitsmaßnahmen, bevor sie Versicherungsschutz gewähren, darunter EDR oder XDR auf allen Endgeräten, unveränderliche Backups und MFA für alle privilegierten Konten. Etwa 76 % der Versicherungsschäden sind auf ransomware zurückzuführen, und 70 % der Makler rechnen für 2026 mit Prämienerhöhungen. Der weltweite Markt für Cyberversicherungen wird 2026 voraussichtlich ein Volumen von 22,5 Milliarden US-Dollar erreichen. Unternehmen sollten ihre Policen überprüfen, um zu klären, ob ransomware gelten, die unabhängig von den Deckungsgrenzen für Betriebsunterbrechungen und die Reaktion auf Datenverletzungen sind.

Doppelte Erpressung erkennen und verhindern

Um doppelte Erpressung zu erkennen, muss der Fokus von Verschlüsselungsindikatoren – die zu spät eintreten – auf Anomalien bei der Datenexfiltration auf Netzwerkebene verlagert werden, die bereits in der Phase vor der Verschlüsselung auftreten. Die durchschnittliche Verweildauer von vier bis fünf Tagen vor der Verschlüsselung bietet ein entscheidendes Erkennungsfenster, doch das schnellste Viertel der Angreifer exfiltriert Daten mittlerweile innerhalb von 72 Minuten. Unternehmen benötigen Erkennungs- und Reaktionsfähigkeiten, die innerhalb einer Stunde greifen.

Der „Picus Red Report 2026“ ergab, dass die Erfolgsquote bei der Verhinderung von Datenexfiltration von 9 % auf nur noch 3 % eingebrochen ist, was eine kritische Lücke in den Abwehrmaßnahmen der meisten Unternehmen deutlich macht.

Zu den wichtigsten Erkennungsstrategien gehören:

Analyse des Netzwerkverkehrs. Überwachen Sie ungewöhnliche ausgehende Datenmengen, Verbindungen zu cloud APIs (MEGA, rclone-Endpunkte) sowie DNS-Anomalien, die auf Datentunneling hindeuten könnten. Wissenschaftliche Untersuchungen bestätigen, dass die netzwerkbasierte Erkennung der effektivste Ansatz zur Identifizierung laufender Datenexfiltrationen ist.
Überwachung von Exfiltrations-Tools. Achten Sie auf Aktivitäten von rclone, MEGAsync, WinSCP und curl auf Endgeräten und im Netzwerkverkehr. Diese Tools tauchen bei den meisten ransomware auf.
Erkennung von Identitätsbedrohungen. Der Missbrauch von Anmeldedaten hat die Ausnutzung von Sicherheitslücken als primären Erstzugriffsvektor mittlerweile überholt. Überwachen Sie das System auf ungewöhnliche Authentifizierungsmuster, den Missbrauch von Dienstkonten und die Ausweitung von Berechtigungen.
Verhaltensanalyse. Erkennen Sie ungewöhnliche Datenzugriffsmuster, das massenhafte Vorbereiten von Dateien und das Sammeln von Anmeldedaten, die einer Datenexfiltration vorausgehen, wie im CISA-Leitfaden #StopRansomware empfohlen.
BYOVD-Überwachung. Achten Sie auf Muster beim Laden anfälliger Treiber. ransomware „Reynolds“ hat kürzlich die „Bring Your Own Vulnerable Driver“-Technik demonstriert, mit der endpoint vor dem Einsatz ransomware außer Kraft gesetzt wird.

Checkliste für mehrschichtige Sicherheit

Organisieren Sie Ihre Maßnahmen zur Prävention und Aufdeckung von doppelter Erpressung entsprechend den Funktionen des NIST-Cybersicherheits-Rahmenwerks:

Identifizieren. Klassifizieren Sie sensible Datenbestände und stellen Sie Datenflüsse dar. Ermitteln Sie, welche Daten am wertvollsten und am stärksten gefährdet sind.
Schützen. Implementieren Sie eine Netzwerksegmentierung, um die laterale Bewegung einzuschränken. Setzen Sie für alle privilegierten Konten die Multi-Faktor-Authentifizierung (MFA) durch. Halten Sie unveränderliche, geprüfte Backups bereit.
Erkennen. Setzen Sie Maßnahmen zur Netzwerkerkennung und -reaktion ein, um Muster von Datenexfiltration zu identifizieren. Nutzen Sie Tools zur Bedrohungserkennung, die Indikatoren für Kompromittierung über Netzwerk, Identitätsdaten und cloud hinweg miteinander in Zusammenhang bringen.
Reagieren. Pflegen und testen Sie regelmäßig Vorfallreaktionsszenarien, die von einem bereits erfolgten Datenabfluss ausgehen. Beziehen Sie neben den Maßnahmen zur Systemwiederherstellung auch Verfahren zur Meldung von Datenschutzverletzungen mit ein.
Wiederherstellung. Wiederherstellung aus unveränderlichen Backups. Durchführung einer Analyse nach dem Vorfall, um den ursprünglichen Zugriffsvektor zu schließen und die Erfassungsrate zu verbessern.

Gängige Exfiltrations-Tools und ihre Erkennungssignaturen

Rahmenwerk	Anmeldefrist	An wen ist die Meldung zu richten?	Auslösebedingung
GDPR	72 Stunden	Aufsichtsbehörde; betroffene Personen, sofern ein hohes Risiko besteht	Exfiltration personenbezogener Daten bestätigt
NIS2	24 Stunden vorläufig; 72 Stunden detailliert; ein Monat endgültig	Nationales CSIRT oder zuständige Behörde	Ereignis von erheblicher Tragweite, das wesentliche oder wichtige Einrichtungen betrifft
HIPAA	60 Tage (Einzelpersonen); sofort (HHS bei 500 oder mehr)	HHS, betroffene Personen, Medien (bei mehr als 500 Betroffenen)	Geschützte Gesundheitsdaten wurden abgezogen
PCI DSS	Gemäß IR-Plan (Anforderung 12.10)	Akzeptierende Bank, PCI-Forensiker	Karteninhaberdaten wurden abgezogen

Compliance und Reaktion auf Vorfälle

Doppelte Erpressung stellt immer einen bestätigten Datenverstoß dar, da die Entwendung von Daten ein fester Bestandteil dieser Taktik ist. Dies löst verbindliche Meldefristen aus, die bei ransomware , die lediglich Daten verschlüsselt, ransomware nicht ransomware . Sicherheitsteams müssen sich vom Moment der Erkennung eines Angriffs mit doppelter Erpressung an auf die Einhaltung der Compliance-Vorschriften vorbereiten.

Durch einen Datenverstoß mit doppelter Erpressung ausgelöste Meldepflichten gegenüber den Aufsichtsbehörden

Werkzeug	Netzwerkanzeige	Endpoint	Erkennungsansatz
Rclone	HTTPS zu cloud -APIs (MEGA, Backblaze, S3)	rclone.exe oder eine umbenannte Binärdatei mit rclone-Konfigurationsdateien	Überwachung von umfangreichen ausgehenden Datenübertragungen an cloud
MEGAsync	Verbindungen zu mega.nz-Domains	MEGAsync-Prozess oder mega.nz-Browsersitzungen	Verkehr von mega.nz blockieren oder melden
Cobalt Strike	Leuchtmuster, anpassbare C2-Profile	Benannte Pipes, reflektierende DLL-Einbindung	Verhaltensbasierte Erkennung von Leuchtintervallen
WinSCP/FileZilla	FTP/SFTP zu externen IP-Adressen	WinSCP.exe, filezilla.exe in unerwarteten Verzeichnissen	Warnung vor der Ausführung eines nicht autorisierten Tools zur Dateiübertragung
WinRAR/7-Zip	k. A. (lokale Inszenierung)	Massenarchivierung sensibler Verzeichnisse	Überwachung von Massenarchivierungsvorgängen

Die MITRE ATT&CK entspricht direkt den Methoden der doppelten Erpressung: T1566 (Phishing), T1021 (Fernwartung), T1560.001 (Archiv über das Dienstprogramm), T1567.002 (Exfiltration in Cloud ), T1486 (Daten für Impact verschlüsselt) und T1657 (Finanzbetrug). Angleichung Reaktion auf Vorfälle Playbooks für diese Technik-IDs gewährleisten eine Abdeckung in jeder Phase.

Die FTC veröffentlichte im Februar 2026 ihren zweiten Bericht an den Kongress zum Thema ransomware, was auf eine verstärkte Aufmerksamkeit der Bundesaufsichtsbehörden hindeutet. Unternehmen sollten davon ausgehen, dass jeder ransomware mit einem Datenabfluss einhergeht, und daher in ihre Notfallpläne nicht nur Maßnahmen zur Systemwiederherstellung, sondern auch Verfahren zur Meldung von Datenschutzverletzungen aufnehmen.

Die Entwicklung der Erpressung: von „Double“ zu „Data-only“

Die ransomware befindet sich in einem grundlegenden Wandel. Immer häufiger verzichten Cyberkriminelle gänzlich auf die Verschlüsselung und setzen ausschließlich auf Datendiebstahl, um Druck auszuüben – ein Trend, der als „Data-Only“- oder „Encryption-Less“-Erpressung bekannt ist.

Die Zahlen sprechen eine deutliche Sprache. Die Picus Red-Bericht 2026 stellte fest, dass T1486 (Daten verschlüsselt zur Veranschaulichung) Die Nutzung ging im Vergleich zum Vorjahr um 38 % zurück. Der Bedrohungsbericht 2026 von Arctic Wolf verzeichnete einen elffachen Anstieg bei Erpressungsfällen, bei denen es ausschließlich um Daten ging – der Anteil stieg von 2 % auf 22 % aller Fälle im Bereich Incident Response. Einheit 42 bestätigte einen Rückgang der verschlüsselungsbasierten Erpressung um 15 % bei gleichzeitig steigenden Datenabflussraten.

Die MOVEit Transfer- und Cleo-Kampagnen von Clop haben dieses Modell in großem Maßstab bewiesen. Durch die Ausnutzung zero-day Sicherheitslücken in Dateiübertragungssoftware stahl Clop Daten von rund 2.000 Organisationen, ohne jemals eine Verschlüsselung einzusetzen. Das Ergebnis war immer dasselbe: Zahlt, oder eure Daten werden veröffentlicht.

Diese Entwicklung hat direkte Auswirkungen auf die Verteidigungsstrategie. Auf Backups ausgerichtete Abwehrmaßnahmen verlieren ihre Bedeutung, wenn die Verschlüsselung nicht Teil des Angriffs ist. Die Analyse des Netzwerkverkehrs und die Erkennung von Datenexfiltration werden zur primären Verteidigungslinie. „Triple Extortion“ – bei der DDoS-Angriffe, Druck durch Dritte oder die Androhung von Meldungen an Aufsichtsbehörden hinzukommen – erhöht die Komplexität ransomware zusätzlich.

Moderne Ansätze zur Abwehr von doppelter Erpressung

Die Sicherheitsbranche tendiert zunehmend zu einem „Detection-First“-Ansatz bei der Abwehr von doppelter Erpressung. Aktuelle Lösungen umfassen Netzwerk-Erkennung und -Reaktion (NDR), erweiterte Erkennung und Reaktion (XDR), Erkennung und Reaktion auf Identitätsbedrohungen, Verhaltensanalyse, Schutz vor Datenverlust sowie SIEM-Korrelation.

Unternehmen, die Lösungen evaluieren, sollten folgenden Aspekten Priorität einräumen: Echtzeit-Netzwerktransparenz in hybriden Umgebungen, automatisierte Erkennung von Datenexfiltration, identitätsbasierte Bedrohungskorrelation sowie SLAs für die Erkennung innerhalb einer Stunde. Managed Detection and Response (MDR) -Dienste können den internen SOC-Betrieb in Unternehmen ergänzen, denen eine Rund-um-die-Uhr-Abdeckung fehlt. Die KI-gestützte Erkennung von Exfiltrationsmustern und die Konvergenz von NDR mit Identitätsanalysen stellen die vielversprechendsten neuen Trends dar. Signalbasierte Ansätze, die das Alert-Rauschen reduzieren, ermöglichen es Sicherheitsteams, sich auf die wirklich wichtigen Verhaltensweisen zu konzentrieren – laterale Bewegung, Datenvorbereitung und Exfiltration –, anstatt in Alerts mit geringer Aussagekraft unterzugehen.

Wie Vectra AI das Thema doppelte Erpressung Vectra AI

Doppelte Erpressung untermauert die „Assume-Compromise“-Philosophie, die den Kern des Ansatzes Vectra AI bildet. Da Angreifer ohnehin eindringen werden, lautet die entscheidende Frage, wie schnell Sicherheitsteams sie aufspüren können – insbesondere während der Phasen der lateralen Bewegung und der Datenaufbereitung, die sowohl der Datenexfiltration als auch der Verschlüsselung vorausgehen. Attack Signal Intelligence Vectra AI Attack Signal Intelligence darauf, das Verhalten von Angreifern im gesamten modernen Netzwerk – in lokalen, cloud, Identitäts- und SaaS-Umgebungen – zu identifizieren, anstatt sich ausschließlich auf Prävention zu verlassen. Unabhängige Validierungen zeigen, dass dieser Ansatz die durchschnittliche Zeit bis zur Erkennung von Bedrohungen um über 50 % (IDC) reduziert und Fehlalarme um bis zu 99 % (Globe Telecom) verringert, sodass Sicherheitsteams innerhalb des kritischen Erkennungsfensters handeln können, bevor Daten verloren gehen.

Schlussfolgerung

ransomware mit doppelter Erpressung ransomware zum vorherrschenden Modell für Cyberangriffe entwickelt und verwandelt jeden ransomware in eine potenzielle Datenpanne mit rechtlichen, finanziellen und rufschädigenden Folgen. Die Datenabflussrate von 96 %, immer kürzere Erkennungsfenster und der Trend hin zu Erpressung ohne Verschlüsselung lassen alle denselben Schluss zu: Unternehmen können sich nicht allein auf Prävention und Backups verlassen.

Die wirksamste Abwehrstrategie kombiniert Transparenz auf Netzwerkebene, um laufende Datenexfiltrationen zu erkennen, identitätsbasierte Erkennung zur Identifizierung kompromittierter Anmeldedaten sowie Verhaltensanalysen, um das Verhalten von Angreifern während der Phasen der lateralen Bewegung und der Datenaufbereitung zu erkennen. Da die schnellsten Angreifer Daten mittlerweile innerhalb von 72 Minuten exfiltrieren, sind Erkennungs- und Reaktionsfähigkeiten innerhalb einer Stunde nicht mehr nur eine Option.

Sicherheitsteams, die ihre Erkennungsstrategien am Lebenszyklus der doppelten Erpressung ausrichten – mit Schwerpunkt auf dem entscheidenden Zeitfenster vor der Verschlüsselung –, haben die besten Chancen, diese Angriffe zu stoppen, bevor Daten verloren gehen und die Oberhand auf die Angreifer übergeht.

Erfahren Sie, wie Vectra AI ransomware in Ihrer hybriden Umgebung Vectra AI und abwehrt.

Häufig gestellte Fragen

Was versteht man unter doppelter Erpressung in der Cybersicherheit?

Doppelte Erpressung ist eine ransomware , bei der Angreifer sensible Daten stehlen, bevor sie Systeme verschlüsseln, wodurch zwei Druckmittel gleichzeitig gegen das Opfer eingesetzt werden. Das Unternehmen ist mit einem dauerhaften Datenverlust durch die Verschlüsselung sowie der öffentlichen Veröffentlichung gestohlener Informationen auf Leak-Seiten im Dark Web konfrontiert. Herkömmliche Abwehrmaßnahmen, die sich ausschließlich auf Backups stützen, befassen sich nur mit der Verschlüsselungskomponente, während die Gefahr der Datenoffenlegung ungelöst bleibt. Da mittlerweile 96 % aller ransomware mit Datenexfiltration einhergehen (BlackFog, Q3 2025), hat sich die doppelte Erpressung zum vorherrschenden ransomware entwickelt. Sicherheitsteams sollten davon ausgehen, dass jeder ransomware mit Datendiebstahl einhergeht, und ihre Reaktion auf Vorfälle entsprechend planen, einschließlich Verfahren zur Benachrichtigung bei Datenschutzverletzungen sowie zur Systemwiederherstellung.

Wie ransomware mit doppelter Erpressung?

Der Angriff folgt einem sechsstufigen Ablauf. Die Angreifer verschaffen sich zunächst über phishing, die Ausnutzung von Sicherheitslücken oder von Initial-Access-Brokern erworbene Zugangsdaten einen ersten Zugriff. Anschließend bewegen sie sich lateral durch das Netzwerk, um hochwertige Daten zu identifizieren und darauf zuzugreifen. In der nächsten Phase werden die Daten zwischengespeichert – oft mit Tools wie WinRAR oder 7-Zip komprimiert –, bevor sie mithilfe von Tools wie rclone, das in 57 % der Vorfälle auftritt (Symantec/Broadcom), in die vom Angreifer kontrollierte Infrastruktur exfiltriert werden. Nach der Exfiltration wird eine Verschlüsselung eingesetzt. Die Angreifer stellen dann eine Lösegeldforderung, wobei sie sowohl die verschlüsselten Systeme als auch die Drohung der Datenveröffentlichung nutzen. Wenn das Opfer nicht zahlt, werden die Daten auf einer speziellen Dark-Web-Leak-Seite veröffentlicht.

Was ist der Unterschied zwischen ransomware mit einfacher und doppelter Erpressung?

Bei der einfachen Erpressung werden lediglich Systeme verschlüsselt und eine Zahlung für einen Entschlüsselungscode gefordert. Verfügt das Opfer über zuverlässige Backups, kann es die Daten wiederherstellen, ohne zu zahlen. Bei der doppelten Erpressung kommt eine Komponente des Datendiebstahls hinzu, d. h., der Angreifer verfügt über eine Kopie sensibler Daten und droht mit deren Veröffentlichung, unabhängig davon, ob das Opfer die verschlüsselten Systeme wiederherstellen kann. Dies verändert die Risikobewertung grundlegend – selbst Unternehmen mit hervorragenden Backup- und Wiederherstellungsmöglichkeiten müssen mit regulatorischen, rechtlichen und rufschädigenden Folgen einer Datenoffenlegung rechnen. Die dreifache Erpressung eskaliert weiter durch DDoS-Angriffe, Druck auf Dritte oder die Drohung, das Opfer bei den Aufsichtsbehörden zu melden.

Können Backups vor ransomware mit doppelter Erpressung schützen?

Backups schützen zwar vor der Verschlüsselungskomponente, nicht jedoch vor dem Verlust von Daten. Da die überwiegende Mehrheit der ransomware mittlerweile mit Datenexfiltration einhergeht, stellt die Wiederherstellung aus Backups zwar die Systemverfügbarkeit wieder her, verhindert jedoch nicht, dass gestohlene Daten veröffentlicht, verkauft oder für weitere Erpressungsversuche genutzt werden. Unternehmen benötigen eine mehrschichtige Verteidigungsstrategie, die unveränderliche Backups für die Wiederherstellung mit der Erkennung von Datenexfiltration auf Netzwerkebene kombiniert, um Datendiebstahl bereits während der Tat aufzudecken. Netzwerküberwachung und -reaktion, Verhaltensanalysen sowie die Erkennung von Identitätsbedrohungen bieten die erforderliche Transparenz, um Angreifer während der Phasen der lateralen Bewegung und der Datenaufbereitung zu identifizieren, die der Exfiltration vorausgehen.

Was passiert, wenn man das Lösegeld für ransomware-Ext ransomware nicht zahlt?

Gestohlene Daten werden in der Regel nach Ablauf einer Frist auf der Leak-Seite des Angreifers veröffentlicht, oft schrittweise, um den Druck zu erhöhen. Eine Zahlung garantiert jedoch ebenfalls keine Sicherheit. Der Vorfall bei Change Healthcare hat dies deutlich gezeigt – nach einer Zahlung von 22 Millionen US-Dollar führten die Betreiber von BlackCat/ALPHV einen Exit-Scam durch, und eine separate Partnergruppe (RansomHub) versuchte, mit denselben Daten eine zweite Erpressung durchzuführen. Daten von Chainalysis zeigen, dass ransomware im Jahr 2024 um 35 % zurückgingen, was darauf hindeutet, dass immer mehr Unternehmen sich weigern zu zahlen und sich stattdessen auf Erkennung, Eindämmung und Wiederherstellung konzentrieren.

Was war der erste bekannte ransomware mit doppelter Erpressung?

Der ransomware Maze wird weithin zugeschrieben, Ende 2019 Pionierarbeit im Bereich der doppelten Erpressung geleistet zu haben. Nachdem sich ein Opfer geweigert hatte, das Lösegeld zu zahlen, veröffentlichte Maze die gestohlenen Daten der Organisation – und etablierte damit das Modell, dem heute die überwiegende Mehrheit der ransomware folgt. Vor Maze setzten ransomware ausschließlich auf Verschlüsselung. Der Erfolg des Ansatzes von Maze führte zu einer raschen Verbreitung in der gesamten Bedrohungslandschaft, wobei Gruppen wie REvil, DoppelPaymer und Conti schnell ihre eigene Infrastruktur für Leak-Seiten aufbauten. Bis 2025 war die doppelte Erpressung zum Standard-Operationsmodell für ransomware geworden.

Welche Branchen sind am stärksten von doppelter Erpressung betroffen?

Das Gesundheitswesen ist der am stärksten betroffene Sektor: In den Jahren 2024–2025 kam es zu über 700 Sicherheitsverletzungen, bei denen mehr als 275 Millionen Patientenakten offengelegt wurden. Die Kombination aus sensiblen Patientendaten, gesetzlichen Verpflichtungen (HIPAA) und operativer Dringlichkeit macht Organisationen im Gesundheitswesen besonders anfällig für Erpressungsdruck. Weitere Hauptziele sind die Fertigungsindustrie, kritische Infrastrukturen (was zu einer gemeinsamen Warnung von CISA und FBI zu Medusa führte), Finanzdienstleistungen, Telekommunikation, Bildung und Behörden. Auf die Vereinigten Staaten entfallen weltweit etwa 48 % der Opfer (Check Point, Januar 2026), wobei Westeuropa (Großbritannien, Deutschland, Italien, Spanien) und der asiatisch-pazifische Raum sich zunehmend als Zielgebiete herauskristallisieren.