Ransomware im Jahr 2025 weltweit Schäden in Höhe von schätzungsweise 57 Milliarden US-Dollar, wobei 85 aktive Gruppen eine noch nie dagewesene Zersplitterung der Bedrohungslandschaft widerspiegelten (Check Point Research, 2025)
Kompromittierte VPN-Zugangsdaten machen mittlerweile 48 % aller ransomware aus, wodurch der identitätsbasierte Erstzugang zum vorherrschenden Angriffsvektor geworden ist (HIPAA Journal, 3. Quartal 2025)
Bei 76 % aller ransomware findet bereits vor Beginn der Verschlüsselung ein Datenabfluss statt, sodass jeder ransomware faktisch eine Datenpanne darstellt (Deepstrike, 2025)
Die Wiederherstellungszeiten haben sich drastisch verbessert – 56 % der Unternehmen stellen ihre Systeme nun innerhalb einer Woche wieder her, gegenüber 33 % im Vorjahr (Sophos, 2025)
Das FBI rät davon ab, Lösegeld zu zahlen, da nur 46 % der Opfer, die gezahlt haben, ihre Daten zurückerhalten und 80 % anschließend erneut angegriffen werden (CSO Online, 2025)
Im dritten Quartal 2025 waren 85 ransomware gleichzeitig aktiv – so viele wie nie zuvor –, während sich der weltweite Schaden auf 57 Milliarden US-Dollar belief (Check Point Research, 2025; Cybersecurity Ventures, 2025). Allein im März 2026 waren drei Gruppen – Qilin, Akira und DragonForce – für 40 % der 672 in einem einzigen Monat registrierten Vorfälle verantwortlich (Infosecurity Magazine, 2026).
Dieser Leitfaden bietet Sicherheitsexperten, SOC-Analysten und CISOs aktuelle Erkenntnisse darüber, wie ransomware , welche Angreifer das größte Risiko darstellen und welche Abwehrmaßnahmen das Risiko tatsächlich verringern. Ganz gleich, ob Sie Erkennungsfunktionen aufbauen, Verfahren zur Reaktion auf Vorfälle optimieren oder die Unternehmensleitung über organisatorische Risiken informieren – die hier enthaltenen Informationen basieren auf Bedrohungsanalysen und bewährten Abwehrpraktiken des FBI, der CISA und von MITRE ATT&CK.
Was ist ransomware?
Ransomware eine Art von Schadsoftware, die Dateien auf dem Gerät oder im Netzwerk des Opfers verschlüsselt und zur Wiederherstellung des Zugriffs die Zahlung eines Lösegelds verlangt, in der Regel in Kryptowährung. Nach Angaben des FBI ransomware den Zugriff auf Computerdateien, Systeme oder Netzwerke, bis die Zahlung erfolgt ist.
Die CISA definiert ransomware als malware Dateien auf einem Gerät verschlüsselt und dadurch die Dateien sowie die davon abhängigen Systeme unbrauchbar macht. Die betrieblichen Folgen gehen über die Sperrung von Dateien hinaus: ransomware die Geschäftsprozesse, die auf diesen Daten beruhen.
Laut Cybersecurity Ventures beliefen sich ransomware weltweiten ransomware im Jahr 2025 auf 57 Milliarden US-Dollar, was etwa 156 Millionen US-Dollar pro Tag entspricht. Diese Kosten gehen weit über die Lösegeldzahlungen hinaus und umfassen Betriebsunterbrechungen, Wiederherstellungskosten, Reputationsschäden und behördliche Strafen.
Moderne ransomware führen Erkundungsmaßnahmen durch, sichern sich dauerhaften Zugriff und entwenden sensible Daten, bevor sie die Verschlüsselung starten. Dadurch wird jeder ransomware zu einem potenziellen Datenleck mit langfristigen Folgen für die betroffenen Unternehmen.
Wie ransomware von anderer malware ransomware
Ransomware von anderer malware dadurch, dass sie sich dem Opfer offenbart. Während Spyware, Trojaner und Viren in der Regel im Verborgenen agieren und ohne Vorwarnung Daten stehlen, Hintertüren einrichten oder Dateien beschädigen, ransomware in expliziten Lösegeldforderungen eine Zahlung. Diese Sichtbarkeit ist beabsichtigt: Der Cyberangriff muss erst erkannt werden, bevor das Opfer zur Zahlung gedrängt werden kann.
Jede malware unterscheidet sich hinsichtlich ihres Zwecks, ihrer Sichtbarkeit und der Art und Weise, wie Angreifer davon profitieren.
Malware
Hauptzweck
Sichtbarkeit
Finanzmodell
Ransomware
Erpressung durch Verschlüsselung
Explizit (Lösegeldforderung)
Direkte Zahlungsaufforderung
Spionageprogramme
Datendiebstahl
Versteckt
Indirekt (Datenverkauf)
Trojaner
Fernzugriff
Versteckt
Variiert
Würmer
Selbstvermehrung
Oft sichtbar
Variiert
Viren
Dateibeschädigung
Oft sichtbar
Variiert
Finanzielle Anreize treiben eine ständige Anpassung voran. Der Wandel von phishingAngriffen phishing im Jahr 2023 hin zu kompromittierten VPN-Zugangsdaten, die bis zum dritten Quartal 2025 48 % der Angriffe ausmachen, zeigt, wie schnell Angreifer ihre Methoden ändern, sobald die Verteidiger einen Angriffsvektor schließen.
So funktioniert ransomware
Moderne ransomware verlaufen in fünf Phasen, und die Verteidiger können jede einzelne davon unterbinden. Die Zuordnung von Erkennungsmaßnahmen zu den einzelnen Phasen ist entscheidend dafür, ob Unternehmen Angreifer noch vor der Verschlüsselung abfangen können oder den Schaden erst danach feststellen.
Ein typischer ransomware verläuft in fünf Phasen:
Erster Zugriff – Angreifer verschaffen sich Zugang durch phishing, kompromittierte Zugangsdaten oder ausgenutzte Sicherheitslücken
Seitliche Bewegung – malware im Netzwerk und sammelt dabei zusätzliche Anmeldedaten.
Privilegienerweiterung – Angreifer verschaffen sich Administratorzugriff, um die Auswirkungen zu maximieren.
Datenexfiltration – sensible Informationen werden vor der Verschlüsselung gestohlen, um doppelte Erpressung zu ermöglichen.
Verschlüsselung und Lösegeldforderung – Dateien werden verschlüsselt und die Opfer erhalten Zahlungsanweisungen.
Jede Phase entspricht einer bestimmten Erkennungsmöglichkeit und einem bestimmten Fehlerpunkt.
Angriffsvektoren Ransomware und der erste Zugriff
Laut dem HIPAA Journal waren im dritten Quartal 2025 48 % der ransomware auf kompromittierte VPN-Zugangsdaten zurückzuführen, gegenüber 38 % im zweiten Quartal. Dies stellt eine grundlegende Veränderung gegenüber früheren Jahren dar, in denen phishing den primären Zugangsweg phishing .
Der Zugriff über Anmeldedaten hat phishing, Sicherheitslückenausnutzung und alle anderen Methoden ransomware überholt
Initial Access Vector
Q3 2025 Anteil
Trend
Kompromittierte VPN-Anmeldedaten
48%
Zunehmend
Nutzung externer Dienste
23%
Stabil
Phishing und Social Engineering
~15%
Abnehmend
Kompromittierte RDP-Anmeldedaten
~6%
Stabil
Angriffe auf die Lieferkette
~6%
Zunehmend
Diese Entwicklung spiegelt sowohl die weitverbreitete Verfügbarkeit gestohlener Zugangsdaten auf kriminellen Marktplätzen wider als auch die Wirksamkeit von Initial-Access-Brokern – Spezialisten, die Systeme kompromittieren und den Zugriff an ransomware verkaufen. Diese Broker nutzen Infostealer, um Zugangsdaten in großem Umfang zu sammeln.
Auf die Ausnutzung externer Dienste entfallen weitere 23 % der Angriffe, wobei sich die jüngsten Kampagnen gegen Schwachstellen in VPN-Geräten (CVE-2024-40766 bei SonicWall), Citrix NetScaler-Geräten (CVE-2025-5777) und Unternehmenssoftware wie der Oracle E-Business Suite (CVE-2025-61882) richteten.
Seitliche Bewegung und Datenexfiltration
Sobald sie sich in einem Netzwerk eingenistet haben, beginnen ransomware im Durchschnitt innerhalb von 48 Minuten, sich lateral auszubreiten. In den schnellsten beobachteten Fällen erfolgte die vollständige Ausbreitung im Netzwerk in nur 18 Minuten (Vectra AI ). Verteidiger haben weniger als eine Stunde, manchmal sogar weniger als 20 Minuten Zeit, um die Ausbreitung zu erkennen und einzudämmen, bevor der Angreifer die Kontrolle über die Umgebung übernimmt.
Angreifer nutzen legitime Verwaltungstools und Anmeldedaten, um sich seitlich im Netzwerk zu bewegen, wodurch ihre Aktivitäten ohne Verhaltensanalyse nur schwer von normalen Netzwerkvorgängen zu unterscheiden sind.
Laut Deepstrike waren bei 76 % ransomware im Jahr 2025 bereits vor der Verschlüsselung Daten entwendet worden, sodass fast jeder ransomware bereits zum Zeitpunkt des Verschlüsselungsbeginns eine Datenpanne darstellt. Dies ermöglicht doppelte Erpressung: Selbst wenn die Opfer ihre Daten aus Backups wiederherstellen, drohen die Angreifer mit der Veröffentlichung der gestohlenen Daten.
Zu den häufigsten Tools, die in der Exfiltrationsphase beobachtet werden, gehören:
MITRE ATT&CK listet die spezifischen Techniken auf, ransomware einsetzen, vom Missbrauch von Anmeldedaten (T1078) bis hin zur Verschlüsselung zur Erzielung von Schaden (T1486). Die primäre ransomware ist T1486, „Data Encrypted for Impact“, die unter der Taktik „Impact“ kategorisiert ist.
Sechs Techniken tauchen bei den meisten ransomware auf, vom anfänglichen Missbrauch von Zugangsdaten über die Umgehung von Sicherheitsmaßnahmen bis hin zur abschließenden Verschlüsselung.
Technik-ID
Name
Taktik
Ransomware
T1486
Datenverschlüsselung für mehr Wirkung
Auswirkungen
Primäre ransomware
T1078
Gültige Konten
Erstzugriff, Persistenz
Missbrauch von Zugangsdaten für den Zutritt
T1021
Entfernte Dienste
Seitliche Bewegung
RDP, SMB für die Verbreitung
T1003
OS-Anmeldedaten-Dumping
Zugang zu Anmeldeinformationen
Privilegieneskalation
T1059
Befehls- und Skript-Interpreter
Ausführung
Nutzlast-Ausbringung
T1562
Abwehrmechanismen beeinträchtigen
Verteidigung Umgehung
EDR-Killer-Tools
Über 70 ransomware sind bestimmten ATT&CK-Techniken zugeordnet. Durch den Abgleich dieser Zuordnung mit den eingesetzten Erkennungsmechanismen lässt sich genau feststellen, wo eine Abdeckung besteht und wo nicht – ein Prozess, der eine gezielte threat hunting bekannt gewordene Lücken ermöglicht.
Arten von ransomware
Ransomware lässt sich Ransomware in mehrere unterschiedliche Kategorien einteilen, die sich jeweils durch unterschiedliche Verschlüsselungsmethoden, Erpressungstaktiken und Geschäftsmodelle auszeichnen.
Verschlüsselnde ransomware . ransomware
Ransomware in zwei Hauptkategorien Ransomware : verschlüsselnde ransomware ransomware) und ransomware.
Verschlüsselnde ransomware verschlüsselt einzelne Dateien und Daten auf infizierten Geräten. Laut Keeper Security können die Opfer ihre Geräte zwar weiterhin nutzen, haben jedoch ohne den Entschlüsselungscode keinen Zugriff auf die verschlüsselten Dateien. Moderne verschlüsselnde ransomware starke Verschlüsselungsalgorithmen wie AES-256, ChaCha20 und RSA-2048, deren Knacken rechnerisch unmöglich ist.
ransomware (Bildschirmsperren) verfolgt einen anderen Ansatz: Anstatt einzelne Dateien zu verschlüsseln, sperrt sie die Nutzer komplett aus ihrem System aus. Laut Check Point verhindern Locker-Varianten jeglichen Zugriff auf das Gerät, bis die Zahlung erfolgt ist. Während ransomware in den Anfängen ransomware häufiger ransomware , ransomware heute ransomware verschlüsselnde ransomware aufgrund ihrer größeren Auswirkungen und der schwierigeren Wiederherstellung.
Die Strategien für Wiederherstellung, Reaktion und Datensicherung unterscheiden sich bei den beiden erheblich.
Typ
Was es tut
Der Benutzer kann weiterhin...
Wiederherstellung ohne Bezahlung
ransomware
Verschlüsselt Dateien
Gerät verwenden, auf unverschlüsselte Daten zugreifen
Aus Backups wiederherstellen
Locker ransomware
Sperrt das gesamte System
Nichts
System neu abbilden
ransomware mit doppelter und dreifacher Erpressung
ransomware meisten ransomware verbinden mittlerweile Verschlüsselung mit Datendiebstahl, und manche kommen noch DDoS-Angriffe und Bedrohungen durch Dritte hinzu.
ransomware mit doppelter Erpressung kombiniert Datenverschlüsselung mit Datendiebstahl. Angreifer entwenden zunächst sensible Informationen und verschlüsseln anschließend die Systeme. Wenn Opfer ihre Daten ohne Zahlung aus Backups wiederherstellen, drohen die Angreifer damit, die gestohlenen Daten zu veröffentlichen oder zu verkaufen. Laut Arctic Wolf betrafen 96 % der Fälle ransomware im Jahr 2025 Datenexfiltration, wodurch doppelte Erpressung eher zur Regel als zur Ausnahme wurde.
ransomware mit dreifacher Erpressung wendet neben Verschlüsselung und Datendiebstahl noch weitere Druckmittel an:
Drohung, die Kunden, Partner oder Patienten des Opfers über den Verstoß zu informieren
Durchführung von DDoS-Angriffen auf die Infrastruktur des Opfers
Erpressungsforderungen gegenüber Dritten auf Grundlage gestohlener Daten
Das Ergebnis sind sich überschneidende Schäden, Betriebsstörungen aufgrund von Verschlüsselung, Meldepflichten bei Datenschutzverletzungen aufgrund von Datenexfiltration sowie Reputationsschäden durch die Gefahr öffentlicher Datenlecks – und all dies tritt gleichzeitig ein.
Was ist ransomware(RaaS)?
Laut IBM ist ransomware(RaaS) ein Geschäftsmodell, bei dem ransomware ihre malware Partner verkaufen oder vermieten, die die eigentlichen Angriffe durchführen. Dieses Modell hat ransomware industrialisiert und sie von einem technischen Verbrechen zu einem Franchise-Geschäft gemacht.
RaaS-Betreiber bieten ihren Partnern Folgendes:
Einsatzbereite ransomware
Verwaltungsgremien für das Opfermanagement
Zahlungsabwicklungsinfrastruktur
Unterstützung bei Verhandlungen und Kommunikationsinstrumente für Opfer
Technischer Support und Updates
Im Gegenzug teilen sich die Partner die Lösegeldzahlungen mit den RaaS-Betreibern. Laut Flashpoint liegen die üblichen Umsatzanteile der Partner zwischen 70 und 85 % der Lösegeldzahlungen, wobei Qilin einen branchenweit führenden Anteil von 85 % bietet, um Partner anzuziehen.
Selbst Kriminelle ohne technisches Fachwissen können mittlerweile professionelle ransomware einsetzen, weshalb die Zahl der aktiven Gruppen im dritten Quartal 2025 auf 85 angestiegen ist.
Die Bedrohungslage ransomware
Im dritten Quartal 2025 waren rekordverdächtige 85 ransomware gleichzeitig aktiv. Zwischen Januar und September wurden weltweit 4.701 Vorfälle verzeichnet, was einem Anstieg von 46 % gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Diese Zersplitterung ist auf die Zerschlagung großer Gruppen durch die Strafverfolgungsbehörden zurückzuführen und zeigt, wie einfach es für neue Gruppen ist, mithilfe von RaaS-Infrastrukturen durchzustarten.
Allein im März 2026 wurden 672 ransomware gemeldet, wobei nur drei Gruppen (Qilin, Akira und DragonForce) für 40 % der Gesamtzahl verantwortlich waren.
ransomware aktivsten ransomware im Jahr 2025
Gruppe
Status
Aktivität 2025
Bemerkenswerte Eigenschaften
Qilin
Nr. 1 der aktivsten
Über 75 Opfer pro Monat
85 % Affiliate-Anteil; Fokus auf Lieferkette
Akira
Top 3
244,17 Mio. USD an Erlösen
Richtet sich an KMUs und kritische Infrastrukturen
Medusa
Aktiv
Über 300 Opfer (Stand: Februar 2025)
Angriffe auf kritische Infrastrukturen
Drachenmacht
Steigen
Schnell wachsend
Geringe Anforderungen an die Gewinnbeteiligung
LockBit 5.0
Wieder aufgetaucht (Sept. 2025)
Mehr als 15 Opfer nach dem Neustart
Erholung nach Strafverfolgungsmaßnahmen
RansomHub
INAKTIV (April 2025)
Betrieb eingestellt
Partner sind zu anderen Gruppen gewechselt
Qilin entwickelte sich zur dominierenden ransomware und verzeichnete bis zum dritten Quartal 2025 monatlich über 75 Opfer. Der Anteil der Partner an den Einnahmen, der mit 85 % über dem der Konkurrenz liegt, hat erfahrene Partner aus aufgelösten Gruppen angezogen. Bemerkenswert ist, dass nordkoreanische Akteure im März 2025 Qilin-Payloads einsetzten, was auf eine Zusammenarbeit zwischen Nationalstaaten und kriminellen ransomware hindeutet.
Laut CISA-Meldungen hatte Akira bis Ende September 2025 Erlöse in Höhe von 244,17 Millionen US-Dollar angehäuft. Die Gruppe hat es auf kleine und mittlere Unternehmen sowie kritische Infrastrukturen in den Bereichen Fertigung, Bildung, IT, Gesundheitswesen und Finanzdienstleistungen abgesehen.
LockBit tauchte im September 2025 mit Version 5.0 wieder auf, trotz erheblichen Drucks seitens der Strafverfolgungsbehörden, darunter die Operation Cronos. Auch wenn die Gruppe gegenüber ihrem Höhepunkt an Stärke verloren hat, zeugt ihre Beharrlichkeit von der Widerstandsfähigkeit etablierter RaaS-Operationen.
Bekanntes Fallstudien
Change Healthcare (2024–2025): Der Angriff von ALPHV/BlackCat auf Change Healthcare stellt den größten Datenverstoß im Gesundheitswesen in der Geschichte der USA dar. Nach Angaben der AHA waren etwa 192,7 Millionen Menschen betroffen, wobei die Gesamtkosten auf 3 Milliarden US-Dollar geschätzt werden. Die Hauptursache waren kompromittierte Anmeldedaten für einen Citrix-Server ohne Multi-Faktor-Authentifizierung – ein Versagen grundlegender Sicherheitsmaßnahmen mit katastrophalen Folgen.
Qilin-Kampagne „Korean Leaks“ (September 2025): Laut The Hacker News hat Qilin einen einzelnen Managed Service Provider (GJTec) kompromittiert und diesen Zugriff genutzt, um 28 nachgelagerte Organisationen anzugreifen, darunter 24 aus dem südkoreanischen Finanzsektor. Über 1 Million Dateien und 2 TB an Daten wurden abgezogen. Dieser Supply-Chain-Angriff zeigt, wie die Kompromittierung eines einzigen MSP ransomware exponentiell verstärken kann.
Clop-Oracle-EBS-Kampagne (November 2025): Laut Z2Data nutzte die ransomware Clop die Sicherheitslücke CVE-2025-61882 (CVSS 9,8) in der Oracle E-Business Suite aus, um über 100 Unternehmen zu kompromittieren, darunter Broadcom, Estee Lauder, Mazda, Canon, Allianz UK und die Washington Post. Die Kampagne folgte dem gleichen Muster der Massenausnutzung, das Clop bereits 2023 gegen MOVEit angewandt hatte: gleiche Gruppe, gleiche Taktik, andere Schwachstelle.
Statistiken zu den Auswirkungen auf die Industrie
Das Gesundheitswesen war im Jahr 2025 das ransomware : Dem FBI wurden 460 Angriffe und 182 Datenschutzverletzungen gemeldet, insgesamt also 642 Cybervorfälle (IC3-Jahresbericht 2025, veröffentlicht im April 2026). Der Finanzdienstleistungssektor lag mit insgesamt 447 Vorfällen an zweiter Stelle.
Die Konzentration der Angriffe auf bestimmte Branchen spiegelt sowohl den Wert der Daten wider, über die diese verfügen, als auch den betrieblichen Druck, der die Opfer eher dazu veranlasst, zu zahlen.
Sektor
Anteil der Angriffe im Jahr 2025
Veränderung gegenüber dem Vorjahr
Wichtige Kennzahlen
Gesundheitswesen
Nr. 1 der am häufigsten gemeldeten Fälle (FBI IC3 2025)
Zunehmend
Insgesamt 642 Cybervorfälle; 88 verschiedene Bedrohungsgruppen, die auf diesen Sektor abzielen
Herstellung
26 % der erfassten Opfer
+61%
23,1 % der Versicherungsansprüche
Bildung
180 Angriffe (1. bis 3. Quartal 2025)
+69 % im ersten Quartal
4.388 Angriffe/Woche im 2. Quartal
Finanzdienstleistungen
Nr. 2: gezielt (FBI IC3 2025)
Stabil
Insgesamt 447 Cybervorfälle; 15,4 % der Versicherungsansprüche
Laut einer Analyse des Verizon DBIR sind 88 % der Datenlecks bei KMU auf ransomware zurückzuführen, gegenüber 39 % bei großen Unternehmen. Ohne spezielle Sicherheitsressourcen und Kapazitäten zur Reaktion auf Vorfälle schließen 60 % der angegriffenen Kleinunternehmen innerhalb von sechs Monaten.
Drei unterschiedliche Schutzebenen – Prävention, Erkennung und Reaktion – unterscheiden Unternehmen, die sich von ransomware erholen, ransomware denen, die dies nicht tun. Prävention ist die kostengünstigste Ebene. Erkennung und Reaktion entscheiden über den Ausgang, sobald ein Angreifer bereits in das System eingedrungen ist.
12 wichtige Maßnahmen ransomware
Der #StopRansomware-Leitfaden der CISA definiert die grundlegenden Sicherheitsmaßnahmen, die jede Organisation umsetzen sollte. Diese 12 Maßnahmen decken die häufigsten Angriffsvektoren ab und verringern das Risiko entlang der ransomware .
Maßnahmen mit hoher Priorität (sofort umsetzen):
Die Behebung bekannter, bereits ausgenutzter Sicherheitslücken sollte Priorität haben; dabei sollte der Schwerpunkt auf den Einträgen im CISA-KEV-Katalog liegen
Aktivieren und erzwingen Sie eine phishing Multi-Faktor-Authentifizierung für alle externen Dienste.
Regelmäßige Offline-Backups mit Verschlüsselung durchführen und Wiederherstellungsverfahren testen
Zusätzliche technische Kontrollen:
Implementieren zero trust Prinzipien der Zero-Trust-Architektur für den Netzwerkzugang
Netzwerke segmentieren, um Möglichkeiten für seitliche Bewegungen einzuschränken
Deaktivieren Sie SMBv1 und aktualisieren Sie auf SMBv3 mit Verschlüsselung.
Zentralisieren Sie die Protokollierung mit SIEM und einer Aufbewahrungsfrist von mindestens 12 Monaten
PowerShell-Ausführung über Gruppenrichtlinie einschränken
Implementieren Sie EDR-, NDR- oder XDR-Lösungen mit Echtzeit-Erkennungsfunktionen
Passwörter mit mindestens 15 Zeichen erzwingen
Trennen Sie Verwaltungskonten von Konten für den täglichen Gebrauch.
Verringern Sie die Angriffsfläche, indem Sie nicht benötigte Dienste deaktivieren
Angesichts des Anteils von 48 % an Angriffen, bei denen kompromittierte VPN-Zugangsdaten genutzt werden, sind drei Maßnahmen dringend erforderlich: Überprüfung der VPN-Konfigurationen, Durchsetzung der Zwei-Faktor-Authentifizierung (MFA) bei allen Fernzugriffen und Prüfung eines Zero-Trust-Netzwerkzugangs als Alternative zum VPN.
Backup-Strategie für ransomware
Die von Veeam beschriebene 3-2-1-1-0-Backup-Regel bietet einen ransomware Datenschutz:
3 Kopien der Daten (Primärkopie plus zwei Sicherungskopien)
2 verschiedene Speichermedientypen
1 Kopie außerhalb des Standorts
1 Kopie unveränderlich oder luftisoliert
0 Fehler nach der Verifizierung
Der unveränderliche Speicher wandelt Backups inWORM(Write Once, Read Many) um, das selbst von Administratoren mit umfassenden Berechtigungen weder überschrieben, geändert noch gelöscht werden kann. Dies schützt vor ransomware gezielt auf Backup-Systeme abzielt.
Nicht getestete Backups sind keine Backups. Die mindestens vierteljährliche Überprüfung der Wiederherstellungsverfahren – und die Dokumentation der tatsächlichen Wiederherstellungszeiten im Vergleich zu den festgelegten Zielen – macht den Unterschied zwischen einem Backup, das funktioniert, und einem, das lediglich existiert.
Bumblebee, Dridex, Emotet, QakBot und Anchor Loader gehen häufig ransomware voraus.
Die Erkennung dieser Bedrohungen sollte eine sofortige Untersuchung auslösen.
Netzwerkindikatoren für ransomware :
Abnormale Datenausgabe an einem beliebigen Port (Exfiltration)
Tools wie Rclone, Rsync, FTP/SFTP zum Verschieben großer Datenmengen
C2-Rückrufe an unbekannte Infrastruktur
Seitliche Bewegungsmuster (ungewöhnliche Authentifizierung, Missbrauch von Dienstkonten)
DNS-Tunneling-Versuche
ARP-Spoofing-Aktivität
Wenn sich ein Dienstkonto um 3 Uhr morgens anmeldet, eine Administratorsitzung 40 GB an einen externen Host überträgt oder ein Benutzer auf Dateifreigaben zugreift, die er noch nie zuvor genutzt hat, sind diese Abweichungen ein Warnsignal.
Sollte Ihre Organisation von ransomware betroffen sein, bietet die CISA Anleitungen für sofortige Maßnahmen:
Sofort isolieren – betroffene Systeme vom Netzwerk trennen, um eine Ausbreitung zu verhindern
Starten Sie das Gerät NICHT neu oder führen Sie keinen Neustart durch – dies kann zu weiteren Schäden führen oder forensische Beweise zerstören.
Sichere Backups – Trennen Sie Backup-Systeme, um eine Verschlüsselung zu verhindern.
Dokumentieren Sie alles – machen Sie Screenshots von Lösegeldforderungen und bewahren Sie den Systemstatus auf.
Umfang bewerten – feststellen, welche Systeme betroffen sind und in welchem Umfang eine Verschlüsselung vorliegt
Behörden kontaktieren – FBI, CISA und örtliche Strafverfolgungsbehörden benachrichtigen
Suchen Sie nach kostenlosen Entschlüsselungsprogrammen – das „No More Ransom“-Projekt stellt kostenlose Entschlüsselungstools für über 100 ransomware zur Verfügung
Ob der Angriff auf ein Segment beschränkt bleibt oder sich im gesamten Netzwerk ausbreitet, hängt davon ab, ob innerhalb der ersten Stunde Maßnahmen ergriffen werden.
Laut Sophos konnten sich im Jahr 2025 56 % der Unternehmen innerhalb einer Woche wieder erholen – gegenüber 33 % im Jahr 2024. Der Abstand zwischen Unternehmen, die sich innerhalb weniger Tage erholen, und solchen, bei denen dies Monate dauert, verringert sich.
Dauer der Genesung
2025
2024
Änderung
Innerhalb eines Tages
16%
7%
+9 Punkte
Innerhalb einer Woche
56%
33%
+23 Punkte
Ein bis sechs Monate
11%
31%
-20 Punkte
Sollte man ransomware beieiner ransomware zahlen?
Das FBI und die CISA raten davon ab, Lösegeld zu zahlen. Die Daten stützen diese Position:
Nur 46 % der Unternehmen, die Lösegeld zahlen, können ihre Daten erfolgreich wiederherstellen (CSO Online).
93 % der zahlenden Opfer wurden dennoch Opfer eines Datendiebstahls und sind möglicherweise gefährdet.
Etwa 80 % der Organisationen, die gezahlt haben, wurden anschließend erneut angegriffen.
Zahlungen finanzieren kriminelle Unternehmen und schaffen Anreize für künftige Angriffe.
Das Verhalten der Opfer spiegelt diese Tendenz wider. Laut Sophos weigerten sich im Jahr 2025 63 % der ransomware , das Lösegeld zu zahlen – ein Anstieg gegenüber 59 % im Jahr 2024. Gleichzeitig konnten 97 % der Unternehmen ihre Daten mithilfe von Backups oder anderen Mitteln erfolgreich wiederherstellen, was zeigt, dass eine Zahlung für die Wiederherstellung nicht erforderlich ist.
Wenn Sie eine Zahlung in Erwägung ziehen, sollten Sie vor einer Entscheidung zunächst Rechtsberatung einholen und die Strafverfolgungsbehörden einschalten. Manche Zahlungen können gegen Sanktionsvorschriften verstoßen, und die Behörden verfügen möglicherweise über Erkenntnisse zu dem jeweiligen Angreifer, die die Lage neu bewerten lassen.
Ransomware und regulatorische Anforderungen im Zusammenhang mit Ransomware
NIS2, NIST IR 8374 und der Gesetzesentwurf des Vereinigten Königreichs schreiben nun ransomware Maßnahmen ransomware sowie Fristen für die Meldung von Vorfällen vor. Die Zuordnung bestehender Maßnahmen zu diesen Rahmenanforderungen und die Erstellung von auditfähigen Nachweisen ist eine betriebliche Notwendigkeit und keine reine Governance-Maßnahme.
Rahmenkartierung
NIST IR 8374 – Ransomware : Diese NIST-Veröffentlichung wendet die fünf Kernfunktionen des Cybersecurity Framework (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen) speziell auf ransomware an. Sie wurde im Januar 2025 für CSF 2.0 aktualisiert und bietet umsetzbare Leitlinien, die auf ISO/IEC 27001:2013 und NIST SP 800-53 Rev. 5 abgestimmt sind.
MITRE ATT&CK : Version 18 von ATT&CK (Oktober 2025) dokumentiert über 70 ransomware und deren Techniken. Unternehmen können ATT&CK nutzen, um die Erfassungsreichweite hinsichtlich bekannter ransomware zu überprüfen und Lücken in ihren Fähigkeiten zu identifizieren.
NIS2-Richtlinie (EU): Die NIS2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen in 18 kritischen Sektoren zur Umsetzung von Maßnahmen ransomware. Zu den wichtigsten Anforderungen zählen die Meldung schwerwiegender Vorfälle innerhalb von 24 Stunden sowie Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes bei Nichteinhaltung.
Die durchschnittliche ransomware belief sich im Jahr 2025 auf 1,18 Millionen US-Dollar, was einem Anstieg von 17 % gegenüber dem Vorjahr entspricht (Resilience, 2025). Ransomware für 76 % der entstandenen Schäden Ransomware , obwohl sie nur 56 % der Schadensfälle ausmacht.
Im Jahr 2024 lehnten Versicherer etwa 40 % der Cyberversicherungsansprüche ab und beriefen sich dabei häufig auf Ausschlussklauseln wegen „mangelnder Sicherheitsvorkehrungen“ (HIPAA Journal). Bei der Prüfung von Schadensfällen nehmen sie das Schwachstellenmanagement, die Sicherheitspraktiken, den Einsatz von Multi-Faktor-Authentifizierung (MFA) sowie die Backup-Verfahren genau unter die Lupe.
Ein neues Problem: Es wurde beobachtet, dass die ransomware „Interlock“ Cyber-Versicherungspolicen von Opfern stiehlt, um ihre Lösegeldforderungen an den Deckungssummen zu orientieren. Wenn Angreifer Ihre Deckungssumme kennen, wird eine angemessene Versicherung ohne entsprechende Sicherheitsverbesserungen zu einer Belastung.
Wie Vectra AI ransomware Vectra AI
Vectra AI ransomware Attack Signal Intelligence sogenannte Attack Signal Intelligence und erkennt das Verhalten von Angreifern über die gesamte Angriffskette hinweg, anstatt sich auf Signaturen oder bekannte Indikatoren zu verlassen. Durch die Analyse des Netzwerkverkehrs, cloud und von Identitätssignalen identifiziert die Plattform Muster für laterale Bewegungen, die Ausweitung von Berechtigungen und den Datendiebstahl, die ransomware vorausgehen.
Das „Assume Compromise“-Modell geht von der Prämisse aus, dass präventive Kontrollmaßnahmen versagen werden, und konzentriert sich bei der Erkennung auf das, was nach dem ersten Zugriff geschieht. In dem Zeitfenster zwischen dem ersten Zugriff und der Verschlüsselung – das oft nur 18 Minuten beträgt – erfasst die verhaltensbasierte Bedrohungserkennung das, was Signaturerkennung übersieht.
Die KI-gestützte Erkennung identifiziert neue ransomware , ohne dass Vorkenntnisse über bestimmte Varianten erforderlich sind. Wenn Angreifer neue Umgehungstechniken entwickeln, erkennt die Verhaltensanalyse weiterhin die zugrunde liegenden Muster – wie den Missbrauch von Anmeldedaten, ungewöhnlichen Datenzugriff sowie Versuche, sich seitlich zu verbreiten –, die über verschiedene Kampagnen hinweg konsistent bleiben.
Ohne einen umfassenden Überblick über Identitäts-, cloud und Netzwerkschichten gelangen Angreifer unbemerkt bis zur Verschlüsselungsphase.
Wo ransomware meisten ransomware versagen
Ransomware reorganisieren sich innerhalb weniger Wochen nach einer Zerschlagung durch die Strafverfolgungsbehörden, wechseln ihre Angriffsvektoren innerhalb weniger Quartale und wenden innerhalb weniger Monate neue Erpressungstaktiken an. Unternehmen, die Multi-Faktor-Authentifizierung (MFA) einführen, geprüfte, unveränderliche Backups pflegen, ihre Netzwerke segmentieren und Verhaltenserkennung einsetzen, erholen sich schneller und vermeiden die Zahlung von Lösegeld.
Der Weg nach vorn beginnt mit einer ehrlichen Bestandsaufnahme:
Haben Sie einen lückenlosen Überblick über die laterale Bewegung in Ihrer hybriden Umgebung?
Können Ihre derzeitigen Tools den Missbrauch von Anmeldedaten und die Ausweitung von Berechtigungen erkennen, bevor die Verschlüsselung beginnt?
Sind Ihre Backups wirklich unveränderlich – und haben Sie die Wiederherstellung in den letzten 90 Tagen getestet?
Wissen Sie, welche MITRE ATT&CK Ihr Erkennungssystem abdeckt und wo Lücken bestehen?
Können Sie die Compliance-Bereitschaft anhand von Belegen und nicht nur anhand von Unterlagen nachweisen?
Ransomware 2025 stellt eine ausgereifte, hochentwickelte und stark fragmentierte Bedrohung dar, die kein Unternehmen ignorieren kann. Mit 85 aktiven Gruppen, weltweiten Schäden in Höhe von 57 Milliarden US-Dollar und Angriffen, bei denen regelmäßig Verschlüsselung mit Datendiebstahl kombiniert wird, war die Gefahr noch nie so groß wie heute.
Die Daten zeigen, dass Prävention und Vorbereitung funktionieren. Unternehmen, die MFA implementieren, getestete unveränderliche Backups pflegen und ihre Netzwerke segmentieren, erholen sich schneller und vermeiden Lösegeldzahlungen. Diejenigen, die in Erkennungsfunktionen investieren – insbesondere in netzwerkbasierte Verhaltensanalysen – fangen Angreifer ab, bevor die Verschlüsselung beginnt.
Der Weg in die Zukunft erfordert eine kontinuierliche Weiterentwicklung. Da ransomware neue Techniken entwickeln und neue Schwachstellen ausnutzen, müssen sich die Verteidiger anpassen. Regelmäßige Tests der Erkennungsabdeckung anhand des MITRE ATT&CK , fortlaufende Schulungen zum Sicherheitsbewusstsein und vierteljährliche Tests zur Wiederherstellung von Backups bilden die Grundlage für einen widerstandsfähigen Betrieb.
Für Unternehmen, die ihre ransomware verstärken möchten, Attack Signal Intelligence der Ansatz Vectra AI im Bereich Attack Signal Intelligence eine Erkennung über die gesamte Angriffskette hinweg – dabei werden die Verhaltensweisen identifiziert, die ransomware vorausgehen, unabhängig von bestimmten malware oder Umgehungstechniken.
Quellen und Methodik
Die in diesem Leitfaden angeführten Statistiken und Bedrohungsinformationen stammen aus den folgenden Quellen:
FBI IC3-Jahresbericht 2025 (veröffentlicht im April 2026) – Daten zu ransomware auf Branchenebene
Check Point Research, 3. Quartal 2025 – Anzahl aktiver ransomware und Angriffsvolumen
Infosecurity Magazine, April 2026 – März 2026: Anzahl der Vorfälle und Zuordnung zu Gruppen
HIPAA Journal, 3. Quartal 2025 – Verteilung der primären Angriffsvektoren
Sophos-Bericht „State of Ransomware – Wiederherstellungszeiten, Zahlungsquoten, Verhalten der Opfer
Cybersecurity Ventures, 2025 – Prognosen zu den weltweiten Schäden
Arctic Wolf, 2025 – Verbreitung von doppelter Erpressung in Fällen der Incident Response
Verizon DBIR 2025 – Daten ransomware von KMU
Bericht zu Cyberrisiken und Resilienz, 2025 – Durchschnittliche Versicherungssummen und Ablehnungsquoten
Flashpoint, 2025 – Daten zur Umsatzbeteiligung von RaaS-Partnern
CISA-Leitfaden #StopRansomware – Maßnahmen zur Prävention und Leitlinien für die Reaktion auf Vorfälle
MITRE ATT&CK (Oktober 2025) – Zuordnung von Techniken und Dokumentation von ransomware
NIST IR 8374 (aktualisiert im Januar 2025) – ransomware
Die genannten Vorfälle (Change Healthcare, Qilin Korean Leaks, Clop Oracle EBS) stammen jeweils von AHA, The Hacker News und Z2Data.
Häufig gestellte Fragen
Was ist ransomware einfachen Worten?
Ransomware eine bösartige Software, die Ihre Dateien durch Verschlüsselung sperrt und anschließend eine Zahlung – meist in Kryptowährung – für deren Freigabe verlangt. Nach Angaben des FBI handelt es sich dabei um eine der finanziell schädlichsten Formen von Cyberangriffen, die Unternehmen durchschnittlich 5,5 bis 6 Millionen US-Dollar pro Vorfall kosten. Die Angreifer hinterlassen eine Lösegeldforderung mit Zahlungsanweisungen und einer Frist. Wenn Sie zahlen, versprechen sie, einen Entschlüsselungscode zur Verfügung zu stellen – eine Wiederherstellung ist jedoch nicht garantiert. Moderne ransomware stiehlt ransomware Ihre Daten, bevor sie diese verschlüsselt, und droht damit, sensible Informationen zu veröffentlichen, falls Sie auch nach der Wiederherstellung aus Backups nicht zahlen.
Wie ransomware auf Ihren Computer?
Im dritten Quartal 2025 waren kompromittierte VPN-Zugangsdaten für 48 % der ransomware verantwortlich (HIPAA Journal). Phishing mit bösartigen Anhängen oder Links sind nach wie vor ein Hauptangriffsvektor. Die Ausnutzung ungepatchter Schwachstellen in mit dem Internet verbundenen Systemen – insbesondere VPN-Appliances, Citrix-Geräte und Unternehmenssoftware – bietet einen weiteren Angriffspunkt. Angriffe auf die Lieferkette über Managed Service Provider oder Softwareanbieter können mehrere Organisationen gleichzeitig kompromittieren. Sobald Angreifer sich einen ersten Zugang verschafft haben, verbringen sie in der Regel Tage oder Wochen damit, sich im Netzwerk zu bewegen und Daten zu stehlen, bevor sie die Verschlüsselung einsetzen.
Sollten Sie das Lösegeld zahlen?
Das FBI und die CISA raten davon ab, Lösegeld zu zahlen. Die Statistiken untermauern diese Empfehlung: Nur 46 % der Unternehmen, die zahlen, können ihre Daten erfolgreich wiederherstellen, während 80 % der Zahler anschließend erneut angegriffen werden. Im Jahr 2025 weigerten sich 63 % der ransomware zu zahlen – und 97 % der Unternehmen konnten ihre Daten durch Backups oder andere Mittel wiederherstellen. Die Zahlung von Lösegeld finanziert kriminelle Unternehmen und schafft Anreize für zukünftige Angriffe. Wenn Sie eine Zahlung in Erwägung ziehen, konsultieren Sie zunächst einen Rechtsbeistand und wenden Sie sich an die Strafverfolgungsbehörden. Einige Zahlungen können gegen Sanktionsvorschriften verstoßen, und die Behörden verfügen möglicherweise über Informationen, die Ihre Entscheidung beeinflussen.
Was sollten Sie tun, wenn Sie von ransomware befallen werden?
Isolieren Sie betroffene Systeme unverzüglich, indem Sie sie vom Netzwerk trennen, um eine weitere Ausbreitung zu verhindern. Starten Sie die Systeme nicht neu – dies könnte zusätzlichen Schaden verursachen oder forensische Beweise zerstören. Sichern und trennen Sie Backup-Systeme, um sie vor einer Verschlüsselung zu schützen. Dokumentieren Sie alles, indem Sie Screenshots der Lösegeldforderungen erstellen und den Systemzustand sichern. Bewerten Sie das Ausmaß des Angriffs, um festzustellen, welche Systeme betroffen sind. Wenden Sie sich an das FBI, die CISA oder die örtlichen Strafverfolgungsbehörden. Bevor Sie eine Zahlung in Betracht ziehen, suchen Sie im No More Ransom Project nach kostenlosen Entschlüsselungstools – dort finden Sie Entschlüsseler für über 100 ransomware .
Wie kann man sich vor ransomware schützen?
Eine Phishing MFA für alle nach außen gerichteten Dienste und Fernzugriffspunkte ist die Maßnahme mit der größten Wirkung. Erstellen Sie Offline-Backups, die nicht verändert werden können, gemäß der von Veeam beschriebenen 3-2-1-1-0-Regel. Schließen Sie bekannte ausgenutzte Sicherheitslücken umgehend – priorisieren Sie dabei Einträge im CISA-Katalog bekannter ausgenutzter Sicherheitslücken. Implementieren Sie eine Netzwerksegmentierung, um die laterale Bewegung einzuschränken. Setzen Sie EDR-, NDR- oder XDR-Lösungen mit Echtzeit-Erkennungsfunktionen ein. Trennen Sie Administratorkonten von Konten für den täglichen Gebrauch und schreiben Sie Passwörter mit mindestens 15 Zeichen vor. Ziehen Sie zero trust als Ersatz für VPN in Betracht, da kompromittierte VPN-Anmeldedaten für 48 % der Angriffe verantwortlich sind.
Was ist doppelte Erpressungs ransomware?
ransomware doppelter Erpressung ransomware herkömmliche Dateiverschlüsselung mit Datendiebstahl. Angreifer entwenden zunächst sensible Daten aus Ihrem Netzwerk, verschlüsseln anschließend die Systeme und fordern eine Zahlung. Wenn Opfer ihre Daten ohne Zahlung aus Backups wiederherstellen, drohen die Angreifer damit, die gestohlenen Daten auf Leak-Seiten zu veröffentlichen oder zu verkaufen. Laut Arctic Wolf betrafen 96 % der Fälle ransomware im Jahr 2025 Datenexfiltration – was die doppelte Erpressung zum Standardmodell macht. Selbst Unternehmen mit hervorragenden Backup-Verfahren stehen unter erheblichem Zahlungsdruck, da eine Datenoffenlegung behördliche Strafen, Reputationsschäden und Wettbewerbsnachteile nach sich zieht.
Wer steckt hinter ransomware ?
Organisierte Cyberkriminelle, die ransomware(RaaS) betreiben, führen heute die meisten ransomware durch. Laut Check Point Research waren im dritten Quartal 2025 85 verschiedene ransomware aktiv. Zu den aktivsten zählen Qilin (monatlich über 75 Opfer, 85 % Umsatzbeteiligung für Partner), Akira (244 Millionen US-Dollar Erlös), Medusa über 300 Opfer in kritischen Infrastrukturen) und DragonForce (auf dem Vormarsch aufgrund geringer Anforderungen an die Gewinnbeteiligung). Einige Gruppen haben Verbindungen zu Nationalstaaten – nordkoreanische Hacker setzten ransomware März 2025 ransomware Qilin ein, was auf eine Zusammenarbeit zwischen staatlichen Akteuren und kriminellen Organisationen hindeutet. Initial-Access-Broker sind darauf spezialisiert, in Systeme einzudringen und den Zugriff an ransomware zu verkaufen, wodurch das Ökosystem weiter industrialisiert wird.
Wie kann ich feststellen, ob ich von ransomware betroffen bin?
Das offensichtlichste Anzeichen ist eine Lösegeldforderung, die auf dem Bildschirm angezeigt wird – eine Textdatei, eine HTML-Seite oder ein Desktop-Hintergrundbild mit Zahlungsanweisungen und einer Frist. Weitere Anzeichen sind Dateien, die plötzlich nicht mehr geöffnet werden können oder unbekannte Dateiendungen aufweisen, eine ungewöhnlich langsame Systemleistung sowie Antivirensoftware, die ohne Erklärung deaktiviert wurde. In Unternehmensumgebungen können Sicherheitsteams massive Dateiänderungen, unerwartete Verschlüsselungsprozesse, die CPU- und Festplattenressourcen beanspruchen, oder C2-Datenverkehr zu unbekannten externen Adressen beobachten. Wenn Sie ransomware vermuten, isolieren Sie das betroffene System sofort und starten Sie es nicht neu – ein Neustart kann eine weitere Verschlüsselung auslösen oder forensische Beweise zerstören, die für die Untersuchung benötigt werden.
Kannst du ransomware entfernen?
Ransomware umfasst die Isolierung infizierter Geräte, die Identifizierung der jeweiligen ransomware und die Beseitigung schädlicher Dateien. Zwar können Antiviren-Tools oder professionelle Incident-Response-Teams bei der Entfernung helfen, doch die Entfernung der malware führt nicht zur Entschlüsselung der gesperrten Daten. Die Wiederherstellung hängt vom ransomware , der Verfügbarkeit von Backups oder Entschlüsselungsschlüsseln sowie davon ab, ob die Verschlüsselung rückgängig gemacht werden kann. Das „No More Ransom“-Projekt stellt kostenlose Entschlüsselungstools für über 100 ransomware zur Verfügung – prüfen Sie diese Ressource immer, bevor Sie eine Zahlung in Betracht ziehen. In Unternehmensumgebungen wird empfohlen, ein professionelles Incident-Response-Team zu beauftragen, um eine vollständige Entfernung sicherzustellen, eine erneute Infektion zu verhindern und forensische Beweise für Strafverfolgungs- und Versicherungszwecke zu sichern.
