Was ist Ransomware?
Ransomware (von englisch „ransom" – Lösegeld) ist eine Art von Malware, die Dateien und Systeme eines Opfers verschlüsselt und ein Lösegeld (meist in Kryptowährung) für die Entschlüsselung fordert. Moderne Ransomware-Gruppen setzen zusätzlich auf doppelte Erpressung: Neben der Verschlüsselung werden gestohlene Daten mit Veröffentlichung bedroht. Ransomware ist heute die kostspieligste Form von Cyberkriminalität: Laut Cybersecurity Ventures erreichten die globalen Ransomware-Schäden 2023 über 30 Milliarden US-Dollar. Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff beträgt laut Coveware 22 Tage. Bekannte Angriffe: WannaCry (2017, 4 Mrd. USD Schaden), Colonial Pipeline (2021, 4,4 Mio. USD Lösegeld).
Ransomware ist nicht mehr das Problem einzelner Krimineller mit einfacher Verschlüsselung – es ist ein professionalisiertes Geschäftsmodell mit Helpdesks, Verhandlungsführern und Geld-zurück-Garantien. Ransomware-as-a-Service hat die Einstiegshürde für Angreifer auf null gesenkt – und die Konsequenzen für Opfer auf Millionenhöhe erhöht.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| Globale Ransomware-Schäden (2023) | >30 Mrd. USD | Cybersecurity Ventures |
| Durchschnittliche Ausfallzeit | 22 Tage | Coveware Q4 2023 |
| Durchschnittliche Lösegeldzahlung (2023) | ~1,5 Mio. USD | Sophos State of Ransomware 2024 |
| Angegriffene deutsche Unternehmen (2023) | 12 % aller Unternehmen | BSI Lagebericht 2023 |
| WannaCry-Schaden (2017) | ~4 Mrd. USD | Cybersecurity Ventures |
Ransomware-Entwicklung: Von einfach zu komplex
| Generation | Zeitraum | Methode | Bekanntes Beispiel |
|---|---|---|---|
| Einfache Ransomware | 2005–2012 | Sperrbildschirm, kein echter Verschlüsselung | Reveton (Polizei-Trojaner) |
| Crypto-Ransomware | 2013–2016 | AES/RSA-Datei-Verschlüsselung | CryptoLocker |
| Wurm-artige Ransomware | 2017 | Selbstständige Netzwerkausbreitung (EternalBlue) | WannaCry, NotPetya |
| Doppelte Erpressung | 2019–heute | Verschlüsselung + Datendiebstahl | REvil, LockBit, Conti |
| Dreifache Erpressung | 2021–heute | + DDoS-Angriff oder Kunden/Partner erpressem | BlackMatter |
| RaaS (Ransomware-as-a-Service) | 2020–heute | Professionelle Plattformen für Affiliates | LockBit 3.0, ALPHV/BlackCat |
Angriffsphasen (Kill Chain)
1. INITIAL ACCESS → Phishing-E-Mail, VPN-Exploit, RDP-Brute-Force
2. EXECUTION → Schadcode wird ausgeführt (PowerShell, Makro)
3. PERSISTENCE → Backdoor, Registry-Einträge, geplante Tasks
4. DISCOVERY → Netzwerk-Mapping, AD-Enumeration (wer hat was)
5. LATERAL MOVEMENT → Ausbreitung im Netzwerk (Pass-the-Hash, PsExec)
6. DATA EXFILTRATION → Datendiebstahl vor Verschlüsselung (doppelte Erpressung)
7. IMPACT → Verschlüsselung aller erreichbaren Dateien und Backups
8. DEMAND → Lösegeld-Forderung (Tor-Seite, Krypto-Wallet)
Schutzmaßnahmen nach Priorität
| Priorität | Maßnahme | Beschreibung |
|---|---|---|
| #1 | Offline-/Immutable-Backups | Backups, die Ransomware nicht verschlüsseln kann (3-2-1-Regel) |
| #2 | MFA für alle Zugänge | VPN, RDP, E-Mail, Admin-Konten absichern |
| #3 | Patch-Management | Bekannte Exploits (EternalBlue, Log4Shell) schließen |
| #4 | E-Mail-Sicherheit | Anti-Phishing, Attachment-Sandbox, DMARC |
| #5 | Endpoint Protection (EDR) | Verhaltensbasierte Erkennung statt Signatur-AV |
| #6 | Netzwerk-Segmentierung | Laterale Ausbreitung verlangsamen |
| #7 | Incident Response Plan | Klare Prozesse für den Ernstfall |
Häufig gestellte Fragen (FAQ)
Soll man das Lösegeld zahlen?
Offizielle Empfehlung von BSI, FBI und Europol: Nicht zahlen. Gründe: Keine Garantie auf Entschlüsselung (~20 % der Zahler erhalten keine funktionierenden Keys), Finanzierung krimineller Infrastruktur, mögliche Sanktionsverletzungen (bei Zahlung an sanktionierte Gruppen), Wiederholungsangriff wahrscheinlicher (bekannt als zahlungswilliges Opfer). Praxis: Trotzdem zahlen ~41 % der Unternehmen (Sophos 2024), weil der Geschäftsbetrieb-Ausfall teurer erscheint. Fazit: Gute Backups machen die Lösegeld-Frage irrelevant.
Was ist der Unterschied zwischen Ransomware und einem Erpressungstrojaner?
Erpressungstrojaner ist der deutsche Oberbegriff für Malware, die Erpressung betreibt. Ransomware im engeren Sinne verschlüsselt Daten. Andere Erpressungstrojaner können auch: Dateien löschen (Wipers wie NotPetya – kein echter Lösegeld-Intent), Systeme sperren ohne Verschlüsselung (Locker Ransomware), Daten exfiltrieren und mit Veröffentlichung drohen (Doxware). In der Praxis vereinen moderne Angriffe alle diese Methoden.
Wie erkenne ich einen laufenden Ransomware-Angriff frühzeitig?
Frühindikatoren (Tage/Wochen vor der Verschlüsselung): Ungewöhnliche Aktivitäten im Active Directory (neue Admin-Konten, Enumeration), massenhafte Datenzugriffe auf File-Shares, unbekannte Tools (Cobalt Strike, Mimikatz) im Netzwerk, ausgehende Verbindungen zu unbekannten IPs, erhöhte CPU-/Netzwerkaktivität nachts. Moderne EDR/XDR-Lösungen und SIEM erkennen diese Muster. Nach Beginn der Verschlüsselung: Dateiendungen ändern sich, Lösegeld-Notizen erscheinen, Systeme werden langsam.
Was soll ich im Falle eines Ransomware-Angriffs tun?
Sofortmaßnahmen: 1) Betroffene Systeme vom Netzwerk trennen (Ethernet-Kabel ziehen, WLAN deaktivieren) – nicht ausschalten (forensische Spuren bewahren). 2) Notfallteam und Management informieren. 3) BSI-Meldepflicht prüfen (KRITIS, NIS2). 4) Strafanzeige bei Polizei erstatten. 5) IT-Forensiker und Incident-Response-Spezialisten einschalten. 6) Backups prüfen (sind sie kompromittiert? Immutable?). 7) Kommunikationsplan für Kunden und Partner aktivieren. Nicht: Systeme neu starten, Schadsoftware löschen, Lösegeld zahlen, bevor alle Optionen geprüft sind.
Ist Cyberversicherung eine Alternative zu Sicherheitsmaßnahmen?
Nein – Cyberversicherungen ergänzen, ersetzen aber keine Sicherheitsmaßnahmen. Versicherungen decken Kosten für Incident Response, Betriebsunterbrechung und ggf. Lösegeld. Allerdings: Versicherungen werden teurer und selektiver – viele Anbieter fordern nachweislich umgesetzte Sicherheitsmaßnahmen (MFA, Backup, EDR) als Bedingung. Wer keine grundlegende IT-Sicherheit hat, bekommt entweder keine Versicherung oder zahlt extrem hohe Prämien. Die beste „Versicherung" sind gute Backups und ein getesteter Incident-Response-Plan.
Fazit
Ransomware ist die profitabelste und gefährlichste Cyber-Bedrohung für Unternehmen. Mit Ransomware-as-a-Service haben Kriminelle die Einstiegshürde eliminiert – jeder kann jetzt Ransomware-Angriffe kaufen. Die wichtigste Schutzmaßnahme ist gleichzeitig die einfachste: Immutable, getestete Offline-Backups, die Ransomware nicht verschlüsseln kann. Kombiniert mit MFA, Patch-Management und EDR lässt sich das Risiko erheblich reduzieren.
Erstellt vom IT-Expertenteam der You Logic AG
Die You Logic AG ist ein IT-Dienstleister aus Wiesbaden mit über 13 Jahren Erfahrung und mehr als 2.500 verwalteten Arbeitsplätzen im Rhein-Main-Gebiet. Unser Qualitätsmanagement ist an den Grundsätzen der ISO 9001:2015 ausgerichtet.
LinkedIn
