Die ransomware im Jahr 2025 hat ein beispielloses Ausmaß und einen beispiellosen Grad an Komplexität erreicht. Mit 85 aktiven ransomware , die gleichzeitig operieren, und einem geschätzten Schaden von 57 Milliarden US-Dollar weltweit sehen sich Unternehmen einer Bedrohungslage gegenüber, die sowohl technisches Fachwissen als auch strategische Klarheit erfordert. Dieser Leitfaden bietet Sicherheitsexperten aktuelle Informationen darüber, wie ransomware , welche Bedrohungsakteure das größte Risiko darstellen und welche Abwehrmaßnahmen tatsächlich das Risiko verringern.
Ganz gleich, ob Sie Erkennungsfunktionen aufbauen, Verfahren zur Reaktion auf Vorfälle verfeinern oder die Unternehmensleitung über organisatorische Risiken informieren – die hier aufgeführten Informationen spiegeln die neuesten Erkenntnisse aus der Bedrohungsforschung und bewährte Verteidigungsmaßnahmen aus zuverlässigen Quellen wie dem FBI, CISA und MITRE ATT&CK wider.
Ransomware eine Art von Schadsoftware, die Dateien auf dem Gerät oder Netzwerk eines Opfers verschlüsselt und eine Lösegeldzahlung – in der Regel in Kryptowährung – verlangt, um den Zugriff wiederherzustellen. Laut dem FBIransomware den Zugriff auf Computerdateien, Systeme oder Netzwerke, bis die Zahlung erfolgt ist.
Die CISA charakterisiert ransomware als „eine sich ständig weiterentwickelnde Form von malware , die dazu dient, Dateien auf einem Gerät zu verschlüsseln und damit alle Dateien und die darauf basierenden Systeme unbrauchbar zu machen”. Diese Definition spiegelt die operative Realität wider, mit der Sicherheitsteams konfrontiert sind: ransomware nicht nur Daten, sondern stört auch die Geschäftsprozesse, die auf diesen Daten basieren.
Die finanziellen Auswirkungen von ransomware 2025 sind erschütternd. Laut Cybersecurity Ventures beliefen sich ransomware weltweiten ransomware in diesem Jahr auf 57 Milliarden US-Dollar – das sind etwa 156 Millionen US-Dollar pro Tag. Diese Kosten gehen weit über die Lösegeldzahlungen hinaus und umfassen auch Betriebsunterbrechungen, Wiederherstellungskosten, Reputationsschäden und behördliche Strafen.
Was ransomware besorgniserregend macht, ist ihre Entwicklung von einer bloßen Belästigung zu einem ausgeklügelten kriminellen Geschäft. Moderne ransomware führen Erkundungen durch, etablieren sich dauerhaft und exfiltrieren sensible Daten, bevor sie überhaupt eine Verschlüsselung einsetzen. Dadurch wird jeder ransomware zu einer potenziellen Datenverletzung mit langfristigen Folgen für die betroffenen Unternehmen.
Ransomware zur größeren Kategorie der malware bösartige Software, die darauf ausgelegt ist, Computersystemen oder deren Benutzern Schaden zuzufügen. ransomware jedoch einzigartige Merkmale ransomware , die sie von anderen malware unterscheiden.
Im Gegensatz zu Viren, die sich verbreiten und Dateien beschädigen, Trojanern, die Hintertüren öffnen, oder Spyware, die unbemerkt Informationen ausspäht, ransomware selbst ransomware . Der Cyberangriff wird für die Opfer durch Lösegeldforderungen sichtbar. Diese Sichtbarkeit dient der finanziellen Motivation der Angreifer: Opfer können nicht für etwas bezahlen, von dem sie nicht wissen, dass es passiert ist.
Die finanzielle Motivation treibt auch die rasante Entwicklung ransomware voran. Angreifer verfeinern ihre Techniken kontinuierlich, um die Zahlungsquoten zu maximieren und die Erkennungswahrscheinlichkeit zu minimieren, was zu einem Wettrüsten zwischen offensiven Innovationen und defensiven Fähigkeiten führt.
Moderne ransomware folgen einer vorhersehbaren Abfolge, die Verteidiger in mehreren Phasen unterbrechen können. Das Verständnis dieser Angriffskette ermöglicht es Sicherheitsteams, mehrschichtige Abwehrmaßnahmen zu implementieren und Eindringlinge zu erkennen, bevor eine Verschlüsselung erfolgt.
Ein typischer ransomware verläuft in fünf Phasen:
Jede Phase bietet Möglichkeiten zur Erkennung und Unterbrechung. Unternehmen, die sich ausschließlich auf die Verhinderung des ersten Zugriffs konzentrieren, verpassen die Chance, Angreifer während der oft langen Zeitspanne zwischen Kompromittierung und Verschlüsselung zu erwischen.
Die Einstiegspunkte, ransomware nutzen, haben sich erheblich verändert. Laut HIPAA Journal machten kompromittierte VPN-Anmeldedaten im dritten Quartal 2025 48 % der ransomware aus, gegenüber 38 % im zweiten Quartal. Dies stellt eine grundlegende Veränderung gegenüber früheren Jahren dar, als phishing den ersten Zugriff phishing .
Die Verlagerung hin zum initialen Zugriff auf Basis von Anmeldedaten spiegelt sowohl die weit verbreitete Verfügbarkeit gestohlener Anmeldedaten auf kriminellen Marktplätzen als auch die Effektivität von Initial Access Brokern wider – Spezialisten, die Systeme kompromittieren und den Zugriff an ransomware verkaufen. Diese Broker verwenden häufig Infostealer, um Anmeldedaten in großem Umfang zu sammeln.
Die Ausnutzung externer Dienste ist nach wie vor von großer Bedeutung. Jüngste Kampagnen zielten auf Schwachstellen in VPN-Geräten (CVE-2024-40766 in SonicWall), Citrix NetScaler-Geräten (CVE-2025-5777) und Unternehmenssoftware wie Oracle E-Business Suite (CVE-2025-61882) ab.
Sobald sie sich in einem Netzwerk befinden, handeln ransomware schnell. Laut Vectra AI zu lateralen Bewegungen erfolgt die durchschnittliche laterale Bewegung innerhalb von 48 Minuten nach der ersten Kompromittierung. In den schnellsten beobachteten Fällen gelang es den Angreifern, sich in nur 18 Minuten im gesamten Netzwerk zu verbreiten.
Diese Geschwindigkeit lässt nur wenig Zeit für die Erkennung und Reaktion. Angreifer nutzen legitime Verwaltungstools und Anmeldedaten, um sich lateral zu bewegen, sodass ihre Aktivitäten ohne Verhaltensanalyse nur schwer von normalen Netzwerkvorgängen zu unterscheiden sind.
Datenexfiltration ist bei ransomware mittlerweile fast schon gang und gäbe. Laut Deepstrike kam es bei 76 % ransomware im Jahr 2025 vor der Verschlüsselung zu Datenexfiltration. Dies ermöglicht doppelte Erpressung – selbst wenn die Opfer ihre Daten aus Backups wiederherstellen, drohen die Angreifer mit der Veröffentlichung der gestohlenen Daten.
Zu den häufigsten Tools, die in der Exfiltrationsphase beobachtet werden, gehören:
Die MITRE ATT&CK Das Framework bietet ein standardisiertes Vokabular zur Beschreibung von ransomware . Die primäre Technik für ransomware T1486 - Datenverschlüsselung für mehr Wirkung, kategorisiert unter der Taktik „Auswirkung“.
Das ATT&CK-Framework dokumentiert über 70 ransomware mit den dazugehörigen Techniken. Sicherheitsteams können diese Zuordnung nutzen, um die Erkennungsabdeckung zu validieren und Lücken in ihren Verteidigungsfähigkeiten durch proaktive threat hunting.
Ransomware von einfachen Verschlüsselungstools zu komplexen, vielschichtigen Bedrohungen entwickelt. Das Verständnis der wichtigsten Varianten hilft Verteidigern, Angriffsmuster vorherzusehen und geeignete Gegenmaßnahmen zu ergreifen.
Der grundlegende Unterschied zwischen ransomware besteht zwischenransomware ransomware.
ransomware (auch als verschlüsselnde ransomware bezeichnet) verschlüsselt einzelne Dateien und Daten auf infizierten Geräten. Laut Keeper Security können Opfer ihre Geräte weiterhin verwenden, aber ohne den Entschlüsselungscode nicht auf verschlüsselte Dateien zugreifen. Moderneransomware starke Verschlüsselungsalgorithmen wie AES-256, ChaCha20 und RSA-2048, deren Entschlüsselung rechnerisch unmöglich ist.
ransomware (Screen Locker) verfolgt einen anderen Ansatz: Sie sperrt Benutzer aus ihrem gesamten System aus, anstatt einzelne Dateien zu verschlüsseln. Laut Check Point verhindern Locker-Varianten jeglichen Zugriff auf das Gerät, bis eine Zahlung erfolgt ist. Während ransomware in der Frühphase ransomware häufiger ransomware ,ransomware heuteransomware aufgrund ihrer größeren Auswirkungen und des schwierigeren Wiederherstellungswegs.
Moderne ransomware über einfache Verschlüsselung hinaus zu mehrschichtigen Erpressungssystemen entwickelt.
Doppelte ransomware kombiniert Datenverschlüsselung mit Datendiebstahl. Angreifer exfiltrieren zunächst sensible Informationen und verschlüsseln dann die Systeme. Wenn die Opfer ohne Zahlung aus Backups wiederherstellen, drohen die Angreifer, die gestohlenen Daten zu veröffentlichen oder zu verkaufen. Laut Arctic Wolf betrafen 96 % der Fälle ransomware im Jahr 2025 Datenexfiltration – wodurch doppelte Erpressung eher zur Norm als zur Ausnahme wurde.
ransomware setzt zusätzlich zur Verschlüsselung und zum Datendiebstahl weitere Druckmittel ein. Dazu können gehören:
Diese Entwicklung bedeutet, dass ransomware nun mehrere, sich überschneidende Schäden verursachen – Betriebsstörungen durch Verschlüsselung, Meldepflichten bei Datenlecks aufgrund von Exfiltration und Reputationsschäden durch öffentliche Drohungen mit Datenlecks.
Die Industrialisierung von ransomware diese von einem technischen Verbrechen zu einem zugänglichen Geschäftsmodell gemacht. Laut IBM ist ransomware(RaaS) ein Geschäftsmodell, bei dem ransomware ihre malware Partner verkaufen oder vermieten, die die eigentlichen Angriffe durchführen.
RaaS-Betreiber bieten ihren Partnern Folgendes:
Im Gegenzug teilen sich die Partner die Lösegeldzahlungen mit den RaaS-Betreibern. Laut Flashpoint liegen die typischen Umsatzanteile der Partner zwischen 70 und 85 % der Lösegeldzahlungen, wobei Qilin einen branchenführenden Anteil von 85 % anbietet, um Partner anzuziehen.
Dieses Modell senkt die Einstiegshürden erheblich. Technisch unerfahrene Kriminelle können mit professionellen Tools komplexe Angriffe durchführen, wodurch sich die Bedrohungslage verschärft und das Angriffsvolumen steigt.
Das ransomware des Jahres 2025 ist geprägt von Fragmentierung, Raffinesse und einem Rekordvolumen an Angriffen. Sicherheitsteams benötigen aktuelle Informationen über aktive Bedrohungsakteure und deren Taktiken, um ihre Abwehrmaßnahmen effektiv priorisieren zu können.
Laut Check Point Research waren im dritten Quartal 2025 rekordverdächtige 85 aktive ransomware gleichzeitig aktiv – die höchste jemals beobachtete Zahl. Diese Fragmentierung ist eine Folge der Zerschlagung großer Gruppen durch die Strafverfolgungsbehörden und spiegelt wider, wie einfach es ist, mit RaaS-Infrastruktur neue Gruppen zu gründen.
Das Angriffsvolumen stieg erheblich an: Zwischen Januar und September 2025 wurden weltweit 4.701 ransomware registriert, was einem Anstieg von 46 % gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht.
Qilin entwickelte sich 2025 zur dominierenden ransomware und verarbeitete bis zum dritten Quartal monatlich über 75 Opfer. Der Anteil der Gruppe an den Einnahmen ihrer Partnerunternehmen beträgt 85 % und ist damit höher als der ihrer Konkurrenten. Dies hat qualifizierte Partner aus aufgelösten Unternehmen angezogen. Bemerkenswert ist, dass nordkoreanische Akteure im März 2025 Qilin-Payloads einsetzten, was auf eine Zusammenarbeit des Staates mit kriminellen ransomware hindeutet.
Laut CISA-Meldungen hat Akira bis Ende September 2025 Einnahmen in Höhe von 244,17 Millionen US-Dollar erzielt. Die Gruppe hat es auf KMUs und kritische Infrastrukturen in den Bereichen Fertigung, Bildung, IT, Gesundheitswesen und Finanzdienstleistungen abgesehen.
LockBit tauchte im September 2025 mit der Version 5.0 wieder auf, trotz erheblichen Drucks seitens der Strafverfolgungsbehörden, darunter auch die Operation Cronos. Auch wenn die Gruppe gegenüber ihrem Höhepunkt an Bedeutung verloren hat, zeigt ihre Hartnäckigkeit doch die Widerstandsfähigkeit gut etablierter RaaS-Operationen.
Change Healthcare (2024–2025): Der Angriff von ALPHV/BlackCat auf Change Healthcare ist der größte Datenverstoß im Gesundheitswesen in der Geschichte der USA. Laut AHA waren etwa 192,7 Millionen Menschen betroffen, wobei die Gesamtkosten auf 3 Milliarden US-Dollar geschätzt werden. Die Ursache war die Kompromittierung von Anmeldedaten für einen Citrix-Server ohne Multi-Faktor-Authentifizierung – ein grundlegender Fehler bei der Sicherheitskontrolle mit katastrophalen Folgen.
Qilin „Korean Leaks“-Kampagne (September 2025): Laut The Hacker News kompromittierte Qilin einen einzelnen Managed Service Provider (GJTec) und nutzte diesen Zugriff, um 28 nachgelagerte Organisationen anzugreifen, darunter 24 im Finanzsektor Südkoreas. Über 1 Million Dateien und 2 TB an Daten wurden exfiltriert. Dieser Angriff auf die Lieferkette zeigt, wie MSP-Kompromittierungen ransomware exponentiell verstärken können.
Clop Oracle EBS-Kampagne (November 2025): Laut Z2Data nutzte die ransomware CVE-2025-61882 (CVSS 9.8) in Oracle E-Business Suite aus, um über 100 Unternehmen zu kompromittieren, darunter Broadcom, Estee Lauder, Mazda, Canon, Allianz UK und die Washington Post. Die Kampagne zeigte das anhaltende Muster der massenhaften Ausnutzung durch Clop nach ähnlichen MOVEit-Angriffen im Jahr 2023.
Ransomware variieren je nach Branche erheblich. Laut Industrial Cyber entfiel die Hälfte aller ransomware im Jahr 2025 auf kritische Infrastruktursektoren.
KMUs sind unverhältnismäßig stark betroffen. Laut einer Analyse von Verizon DBIR sind 88 % der Datenverstöße bei KMUs mit ransomware verbunden ransomware im Vergleich zu 39 % bei großen Unternehmen), und 60 % der angegriffenen Kleinunternehmen schließen innerhalb von sechs Monaten. Der Mangel an dedizierten Sicherheitsressourcen und Fähigkeiten zur Reaktion auf Vorfälle macht kleinere Unternehmen besonders anfällig.
ransomware wirksame ransomware erfordert mehrschichtige Kontrollen, die Prävention, Erkennung und Reaktion umfassen. Prävention ist zwar nach wie vor der kostengünstigste Ansatz, doch müssen Unternehmen auch darauf vorbereitet sein, laufende Angriffe zu erkennen und wirksam zu reagieren, wenn die Abwehrmaßnahmen versagen.
Der Leitfaden „#StopRansomware“ der CISA enthält verbindliche Präventionsrichtlinien, die Sicherheitsteams als grundlegende Kontrollmaßnahmen umsetzen sollten:
Vorrangige Maßnahmen (sofort umsetzen):
Zusätzliche technische Kontrollen:
Angesichts der Tatsache, dass 48 % der Angriffe im Jahr 2025 kompromittierte VPN-Anmeldedaten nutzten, sollten Unternehmen ihre VPN-Konfigurationen überprüfen, MFA für alle Fernzugriffe implementieren und Alternativen für einen Zero-Trust-Netzwerkzugang in Betracht ziehen.
Die moderne 3-2-1-1-0-Backup-Regel, wie sie von Veeam beschrieben wird, bietet einen ransomware Datenschutz:
Unveränderlicher Speicher konvertiert Backups inWORM(Write Once, Read Many), das nicht überschrieben, geändert oder gelöscht werden kann – selbst von Administratoren mit vollständigen Berechtigungen. Dies schützt vor ransomware speziell auf Backup-Systeme abzielt.
Regelmäßige Backup-Tests sind von entscheidender Bedeutung. Unternehmen sollten mindestens einmal pro Quartal ihre Wiederherstellungsverfahren überprüfen und auf der Grundlage der tatsächlichen Testergebnisse realistische Wiederherstellungszeiten dokumentieren.
Erkennungsmöglichkeiten bestehen während der ransomware . Netzwerk-Erkennungs- und Reaktionslösungen bieten Einblick in das Verhalten von Angreifern, das endpoint möglicherweise übersehen.
malware überwachende Vorläufer malware :
Netzwerkindikatoren für ransomware :
Verhaltensbaselines ermöglichen die Erkennung von Anomalien. Wenn Benutzer oder Systeme von festgelegten Mustern abweichen – indem sie auf ungewöhnliche Ressourcen zugreifen, sich zu ungewöhnlichen Zeiten authentifizieren oder ungewöhnliche Datenmengen übertragen –, rechtfertigen diese Abweichungen eine Untersuchung.
Wenn Ihre Organisation von ransomware betroffen ist, bietet CISA sofortige Hilfe zur Reaktion:
Die frühzeitige Aktivierung Ihres Notfallplans verbessert die Ergebnisse. Unternehmen mit getesteten Reaktionsverfahren erholen sich schneller und minimieren Schäden.
Die Wiederherstellungszeiten haben sich deutlich verbessert. Laut Sophos konnten 56 % der Unternehmen im Jahr 2025 innerhalb einer Woche wieder den Betrieb aufnehmen, gegenüber 33 % im Jahr 2024. Diese Verbesserung spiegelt bessere Backup-Praktiken und ausgereiftere Fähigkeiten zur Reaktion auf Vorfälle in der gesamten Branche wider.
Das FBI und die CISA raten davon ab, Lösegeld zu zahlen. Die Daten stützen diese Position:
Das Verhalten der Opfer spiegelt diese Empfehlung wider. Laut Sophos weigerten sich 63 % der ransomware im Jahr 2025 zu zahlen, gegenüber 59 % im Jahr 2024. Gleichzeitig konnten 97 % der Unternehmen ihre Daten mithilfe von Backups oder anderen Mitteln erfolgreich wiederherstellen – was zeigt, dass eine Zahlung für die Wiederherstellung nicht notwendig ist.
Wenn Sie eine Zahlung in Betracht ziehen, sollten Sie vor einer Entscheidung einen Rechtsbeistand hinzuziehen und die Strafverfolgungsbehörden einschalten. Einige Zahlungen können gegen Sanktionsbestimmungen verstoßen, und die Behörden verfügen möglicherweise über Informationen über den konkreten Bedrohungsakteur, die die Entscheidung beeinflussen.
Regulatorische Rahmenbedingungen schreiben zunehmend ransomware Kontrollen und Meldepflichten vor. Sicherheitsteams müssen die Compliance-Verpflichtungen verstehen und bestehende Kontrollen den Anforderungen des Rahmenwerks zuordnen.
NIST IR 8374 – Ransomware Management Profile: Diese NIST-Veröffentlichung wendet die fünf Kernfunktionen des Cybersecurity Framework (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen) speziell auf ransomware an. Sie wurde im Januar 2025 für CSF 2.0 aktualisiert und bietet umsetzbare Leitlinien, die mit ISO/IEC 27001:2013 und NIST SP 800-53 Rev. 5 übereinstimmen.
MITRE ATT&CK : Version 18 von ATT&CK (Oktober 2025) dokumentiert über 70 ransomware und ihre Techniken. Unternehmen können ATT&CK nutzen, um die Erkennungsabdeckung gegenüber bekannten ransomware zu validieren und Lücken in ihren Fähigkeiten zu identifizieren.
NIS2-Richtlinie (EU): Die NIS2-Richtlinie verpflichtet wesentliche und wichtige Unternehmen in 18 kritischen Sektoren zur Implementierung von ransomware Kontrollen. Zu den wichtigsten Anforderungen gehören eine 24-Stunden-Frühwarnung bei schwerwiegenden Vorfällen und Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes beiNichteinhaltung.
Ransomware hat Ransomware Auswirkungen auf den Markt für Cyberversicherungen. Laut Resilience belief sich die durchschnittliche ransomware im Jahr 2025 auf 1,18 Millionen US-Dollar – ein Anstieg von 17 % gegenüber dem Vorjahr. Ransomware für 76 % der entstandenen Schäden Ransomware , obwohl sie nur 56 % der Forderungen ausmacht.
Die Herausforderungen im Bereich der Versicherungsdeckung nehmen zu. Laut HIPAA Journal wurden im Jahr 2024 etwa 40 % der Cyberversicherungsansprüche abgelehnt, häufig aufgrund von Ausschlussklauseln wegen „mangelnder Sicherheit“. Bei der Bewertung von Ansprüchen prüfen die Versicherer genau die Praktiken zum Schwachstellenmanagement, den Einsatz von MFA und die Backup-Verfahren.
Ein neues Problem: Die ransomware Interlock stiehlt offenbar Cyber-Versicherungspolicen von Opfern, um die Lösegeldforderungen an die Deckungsgrenzen anzupassen. Dieser informationsgestützte Ansatz zur Festlegung der Lösegeldpreise macht eine angemessene Deckung zu einer potenziellen Haftung, ohne dass entsprechende Sicherheitsverbesserungen vorgenommen werden.
Die ransomware erfordert eine kontinuierliche Weiterentwicklung der Verteidigungsstrategien. Da Angreifer neue Techniken entwickeln – EDR-Killer, cloud wie die Ausnutzung von AWS SSE-C durch Codefinger und die Zusammenarbeit von Nationalstaaten –, müssen Verteidiger ihre Erkennungs- und Reaktionsfähigkeiten entsprechend anpassen.
Netzwerkbasierte Erkennung ist mittlerweile unverzichtbar, da Angreifer zunehmend endpoint umgehen. NDR-Lösungen bieten Einblick in laterale Bewegungen, Datenexfiltration und Command-and-Control-Kommunikation, die endpoint nicht sichtbar sind.
XDR-Plattformen (Extended Detection and Response ) korrelieren Signale aus endpoint, Netzwerk-, cloud und Identitätsdatenquellen. Diese schichtenübergreifende Transparenz reduziert Fehlalarme und beschleunigt die Untersuchung, indem sie verwandte Aktivitäten in der gesamten Umgebung miteinander verknüpft.
Die Einführung Zero trust nimmt weiter zu, da Unternehmen erkennen, dass perimeterbasierte Sicherheit keinen Schutz vor Angriffen auf Anmeldedaten bietet. Da 48 % aller ransomware mit kompromittierten Anmeldedaten beginnen, muss davon ausgegangen werden, dass das Netzwerk bereits kompromittiert ist, und jede Zugriffsanfrage muss überprüft werden.
Vectra AI ransomware mithilfe ransomware Attack Signal Intelligence dabei konzentriert sich das Unternehmen auf die Erkennung von Angreiferverhalten entlang der gesamten Angriffskette, anstatt sich ausschließlich auf Signaturen oder bekannte Indikatoren zu verlassen. Durch die Analyse des Netzwerkverkehrs, cloud und der Identitätssignale identifiziert die Plattform laterale Bewegungen, Privilegieneskalationen und Datenexfiltrationsmuster, die ransomware vorausgehen.
Die „Assume Compromise“-Philosophie geht davon aus, dass entschlossene Angreifer präventive Kontrollen letztendlich umgehen werden. Die entscheidende Fähigkeit besteht darin, Angreifer in dem Zeitfenster zwischen dem ersten Zugriff und der Verschlüsselung zu finden – oft sind das nur 18 Minuten, aber in der Regel reicht diese Zeit aus, um böswillige Aktivitäten durch Verhaltensbasierte Bedrohungserkennung zu identifizieren.
KI-Sicherheitsfunktionen ermöglichen die Erkennung neuartiger ransomware , ohne dass vorherige Kenntnisse über bestimmte Varianten erforderlich sind. Wenn Angreifer neue Ausweichtechniken entwickeln, identifiziert die Verhaltensanalyse weiterhin die zugrunde liegenden Angriffsmuster – Missbrauch von Anmeldedaten, ungewöhnlicher Datenzugriff, laterale Verbindungsversuche –, die über alle Kampagnen hinweg konsistent bleiben.
Ransomware 2025 stellt eine ausgereifte, hochentwickelte und stark fragmentierte Bedrohung dar, die kein Unternehmen ignorieren kann. Mit 85 aktiven Gruppen, weltweiten Schäden in Höhe von 57 Milliarden US-Dollar und Angriffen, bei denen regelmäßig Verschlüsselung mit Datendiebstahl kombiniert wird, war die Gefahr noch nie so groß wie heute.
Die Daten zeigen, dass Prävention und Vorbereitung funktionieren. Unternehmen, die MFA implementieren, getestete unveränderliche Backups pflegen und ihre Netzwerke segmentieren, erholen sich schneller und vermeiden Lösegeldzahlungen. Diejenigen, die in Erkennungsfunktionen investieren – insbesondere in netzwerkbasierte Verhaltensanalysen – fangen Angreifer ab, bevor die Verschlüsselung beginnt.
Der Weg in die Zukunft erfordert eine kontinuierliche Weiterentwicklung. Da ransomware neue Techniken entwickeln und neue Schwachstellen ausnutzen, müssen sich die Verteidiger anpassen. Regelmäßige Tests der Erkennungsabdeckung anhand des MITRE ATT&CK , fortlaufende Schulungen zum Sicherheitsbewusstsein und vierteljährliche Tests zur Wiederherstellung von Backups bilden die Grundlage für einen widerstandsfähigen Betrieb.
Für Unternehmen, die ihre ransomware verstärken möchten, Attack Signal Intelligence der Ansatz Vectra AI im Bereich Attack Signal Intelligence eine Erkennung über die gesamte Angriffskette hinweg – dabei werden die Verhaltensweisen identifiziert, die ransomware vorausgehen, unabhängig von bestimmten malware oder Umgehungstechniken.
Ransomware eine bösartige Software, die Ihre Dateien durch Verschlüsselung sperrt und dann eine Zahlung – in der Regel in Kryptowährung – verlangt, um sie wieder freizugeben. Nach Angaben des FBI handelt es sich dabei um eine der finanziell schädlichsten Formen von Cyberangriffen, die Unternehmen im Jahr 2025 durchschnittlich 5,5 bis 6 Millionen US-Dollar pro Vorfall kosten werden. Die Angreifer übermitteln eine Lösegeldforderung mit Zahlungsanweisungen und einer Frist. Wenn Sie zahlen, versprechen sie Ihnen einen Entschlüsselungscode – allerdings ohne Garantie für die Wiederherstellung Ihrer Daten. Moderne ransomware stiehlt Ihre Daten ransomware vor der Verschlüsselung und droht mit der Veröffentlichung sensibler Informationen, wenn Sie auch nach der Wiederherstellung aus Backups nicht zahlen.
Ransomware gelangt Ransomware über mehrere gängige Wege in ein System. Im dritten Quartal 2025 waren laut HIPAA Journal 48 % der ransomware auf kompromittierte VPN-Anmeldedaten zurückzuführen. Phishing E-Mails mit bösartigen Anhängen oder Links sind nach wie vor ein Hauptvektor. Die Ausnutzung von ungepatchten Schwachstellen in mit dem Internet verbundenen Systemen – insbesondere VPN-Geräten, Citrix-Geräten und Unternehmenssoftware – bietet einen weiteren Einstiegspunkt. Supply-Chain-Angriffe über Managed Service Provider oder Softwareanbieter können mehrere Unternehmen gleichzeitig kompromittieren. Sobald Angreifer den ersten Zugriff erlangt haben, verbringen sie in der Regel Tage oder Wochen damit, sich im Netzwerk zu bewegen und Daten zu stehlen, bevor sie die Verschlüsselung einsetzen.
Das FBI und die CISA raten davon ab, Lösegeld zu zahlen. Die Statistiken bestätigen diese Empfehlung: Nur 46 % der Organisationen, die Lösegeld zahlen, erhalten ihre Daten erfolgreich zurück, während 80 % der Zahler anschließend erneut angegriffen werden. Im Jahr 2025 weigerten sich 63 % der ransomware zu zahlen – und 97 % der Unternehmen konnten ihre Daten durch Backups oder andere Mittel wiederherstellen. Die Zahlung von Lösegeld finanziert kriminelle Unternehmen und schafft Anreize für zukünftige Angriffe. Wenn Sie eine Zahlung in Betracht ziehen, konsultieren Sie zunächst einen Rechtsbeistand und schalten Sie die Strafverfolgungsbehörden ein. Einige Zahlungen können gegen Sanktionsvorschriften verstoßen, und die Behörden verfügen möglicherweise über Informationen, die Ihre Entscheidung beeinflussen.
Isolieren Sie betroffene Systeme sofort, indem Sie sie vom Netzwerk trennen, um eine weitere Ausbreitung zu verhindern. Starten Sie die Systeme nicht neu – dies kann zusätzliche Schäden verursachen oder forensische Beweise zerstören. Sichern und trennen Sie Backup-Systeme, um sie vor Verschlüsselung zu schützen. Dokumentieren Sie alles, indem Sie Screenshots von Lösegeldforderungen machen und den Systemzustand festhalten. Bewerten Sie das Ausmaß des Angriffs, um zu verstehen, welche Systeme betroffen sind. Wenden Sie sich an das FBI, die CISA oder die örtlichen Strafverfolgungsbehörden. Bevor Sie eine Zahlung in Betracht ziehen, suchen Sie im No More Ransom Project nach kostenlosen Entschlüsselungstools – dort finden Sie Entschlüsselungsprogramme für über 100 ransomware .
Wichtige Schutzmaßnahmen beginnen mit der Aktivierung einer phishing MFA für alle externen Dienste und Fernzugriffspunkte. Erstellen Sie Offline-Backups, die unveränderlich sind, gemäß der von Veeam beschriebenen 3-2-1-1-0-Regel. Beheben Sie bekannte Sicherheitslücken umgehend – priorisieren Sie Einträge im CISA-Katalog bekannter Sicherheitslücken. Implementieren Sie Netzwerksegmentierung, um laterale Bewegungen zu begrenzen. Setzen Sie EDR-, NDR- oder XDR-Lösungen mit Echtzeit-Erkennungsfunktionen ein. Trennen Sie Administratorkonten von Konten für den täglichen Gebrauch und schreiben Sie Passwörter mit mindestens 15 Zeichen vor. Ziehen Sie zero trust als Alternative zu herkömmlichen VPNs in Betracht, da kompromittierte VPN-Anmeldedaten für 48 % der Angriffe verantwortlich sind.
Doppelte ransomware herkömmliche Dateiverschlüsselung mit Datendiebstahl. Angreifer entwenden zunächst sensible Daten aus Ihrem Netzwerk, verschlüsseln dann die Systeme und fordern eine Zahlung. Wenn Opfer ihre Daten aus Backups wiederherstellen, ohne zu zahlen, drohen Angreifer damit, die gestohlenen Daten auf Leak-Seiten zu veröffentlichen oder zu verkaufen. Laut Arctic Wolf betrafen 96 % der Fälle ransomware im Jahr 2025 Datenexfiltration – wodurch doppelte Erpressung zum Standardmodell wurde. Diese Entwicklung bedeutet, dass selbst Unternehmen mit ausgezeichneten Backup-Praktiken unter erheblichem Zahlungsdruck stehen, da die Offenlegung von Daten zu regulatorischen Strafen, Reputationsschäden und Wettbewerbsnachteilen führen kann.
Moderne ransomware in erster Linie von organisierten Cyberkriminellen-Gruppen betrieben, die ransomware(RaaS) nutzen. Laut Check Point Research waren im dritten Quartal 2025 85 verschiedene ransomware aktiv. Zu den aktivsten Gruppen gehören Qilin (monatlich über 75 Opfer, 85 % Affiliate-Umsatzbeteiligung), Akira (244 Millionen US-Dollar Erlös), Medusa über 300 Opfer in kritischen Infrastrukturen) und DragonForce (aufgrund niedriger Gewinnbeteiligungsanforderungen im Aufwind). Einige Gruppen haben Verbindungen zu Nationalstaaten – nordkoreanische Hacker setzten ransomware März 2025 ransomware Qilin ein, was auf eine Zusammenarbeit zwischen staatlichen Akteuren und kriminellen Organisationen hindeutet. Initial Access Brokers sind darauf spezialisiert, in Systeme einzudringen und den Zugang an ransomware zu verkaufen, wodurch das Ökosystem weiter industrialisiert wird.