--- title: Was ist Ransomware? Einfach erklärt für IT-Entscheider date: 2026-02-03T09:20:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/was-ist-ransomware-einfach-erklärt-für-it-entscheider" section: "Entries: Articles" --- ### Evo­lu­ti­on: Von Cryp­to­Lo­cker zu RaaS [\#](#evolution-von-cryptolocker-zu-raas "Evolution: Von CryptoLocker zu RaaS") #### Cryp­to­Lo­cker (2013 – 2015) [\#](#cryptolocker-2013-2015 "CryptoLocker (2013–2015)") 2013 mar­kier­te den Wen­de­punkt: Cryp­to­Lo­cker infi­zier­te hun­dert­tau­sen­de Com­pu­ter und ver­schlüs­sel­te Datei­en mit RSA-4096-Ver­schlüs­se­lung. Die For­de­rung: Löse­geld in Bit­co­in. Damals war es für vie­le ein Schock — heu­te wirkt Cryp­to­Lo­cker primitiv. #### Wan­naCry (2017) und Petya/​NotPetya (2017) [\#](#wannacry-2017-und-petya-notpetya-2017 "WannaCry (2017) und Petya/NotPetya (2017)") Die­se Wür­mer nutz­ten Netz­werk-Exploits (Eter­nal­Blue), um sich selbst zu ver­brei­ten. Wan­naCry allein traf 200.000+ Com­pu­ter in 150 Län­dern. Die Leh­re: Ran­som­wa­re braucht kei­ne mensch­li­che Inter­ak­ti­on mehr — sie kann sich selbst fortpflanzen. #### Ran­som­wa­re-as-a-Ser­vice (RaaS) — heu­te [\#](#ransomware-as-a-service-raas-heute "Ransomware-as-a-Service (RaaS) — heute") Die heu­ti­ge Rea­li­tät ist pro­fes­sio­na­li­siert. Cyber­kri­mi­nel­le bie­ten Ran­som­wa­re als Dienst­leis­tung an (sie­he sepa­ra­ter Arti­kel zu RaaS). Grup­pen wie Lock­Bit, Black­Cat und Cl0p funk­tio­nie­ren wie Soft­ware­un­ter­neh­men mit Affi­lia­te-Pro­gram­men. Ein Angrei­fer muss kein Tech­ni­ker sein — er zahlt, bekommt die Mal­wa­re, und star­tet sei­nen Angriff. --- ### Drei Haupt­ty­pen von Ran­som­wa­re [\#](#drei-haupttypen-von-ransomware "Drei Haupttypen von Ransomware") #### 1. Locker-Ran­som­wa­re (Screen-Locker) [\#](#1-locker-ransomware-screen-locker "1. Locker-Ransomware (Screen-Locker)") Sperrt den Zugang zum Sys­tem, ohne Daten zu ver­schlüs­seln. Der Bild­schirm zeigt eine Nach­richt: ​“Ihr Sys­tem ist blo­ckiert, zah­len Sie X Euro.” Dies ist oft leicht zu ent­fer­nen und wird sel­te­ner, aber immer noch anzutreffen. #### 2. Cryp­to-Ran­som­wa­re [\#](#2-crypto-ransomware "2. Crypto-Ransomware") Ver­schlüs­selt Datei­en mit star­ker Kryp­to­gra­phie. Das ist der Stan­dard heu­te. Die Datei­en sind unzu­gäng­lich, solan­ge der Schlüs­sel nicht ver­füg­bar ist. Der Schlüs­sel liegt beim Angreifer. #### 3. Dou­ble-Extor­ti­on / Doxing-Ran­som­wa­re [\#](#3-double-extortion-doxing-ransomware "3. Double-Extortion / Doxing-Ransomware") Der moder­ne, aggres­si­ve­re Ansatz: Der Angreifer - ver­schlüs­selt die Daten UND - exfil­triert (stiehlt) die Daten vor der Verschlüsselung. Dann erhal­ten Sie zwei Erpres­sungs­sze­na­ri­en: ​“Zah­len Sie, oder wir ver­schlüs­seln wei­ter” und ​“Zah­len Sie, oder wir ver­öf­fent­li­chen Ihre Daten.” Dies macht die Erpres­sung psy­cho­lo­gisch här­ter — auch mit Back­ups kön­nen die Daten gele­akt sein. --- ### War­um Prä­ven­ti­on allein nicht reicht [\#](#warum-pr%C3%A4vention-allein-nicht-reicht "Warum Prävention allein nicht reicht") IT-Sicher­heit arbei­tet in Ebe­nen. Vie­le Unter­neh­men kon­zen­trie­ren sich auf Prävention: - End­punkt-Schutz (EDR, Antivirus) - E‑Mail-Fil­ter - Patch-Manage­ment - Mit­ar­bei­ter­schu­lung Das ist not­wen­dig, aber **nicht aus­rei­chend**. War­um? 1. **Prä­ven­ti­on ist nicht 100% wirk­sam.** Selbst die bes­te EDR-Lösung stoppt nicht alle Zero-Days oder Social-Engineering-Angriffe. 2. **Innen­tä­ter und Fehl­kon­fi­gu­ra­tio­nen.** Ein beschwer­ter Admi­nis­tra­tor oder eine Mis­con­fi­gu­ra­ti­on kann den bes­ten Schutz umgehen. 3. **Patch-Lücken exis­tie­ren immer.** Zwi­schen Announce­ment und Patching ver­strei­chen Tage oder Wochen. Daher ist **Wie­der­her­stell­bar­keit** der Schlüs­sel zum ech­ten Schutz. Ein Unter­neh­men mit auto­ma­ti­sier­ten, getes­te­ten, unver­än­der­li­chen Off­line-Back­ups kann sich von einem Ran­som­wa­re-Angriff inner­halb von Stun­den bis Tagen erho­len — unab­hän­gig davon, wie weit der Angriff vor­ge­drun­gen ist. --- ### Aktu­el­le Sta­tis­ti­ken und Aus­wir­kun­gen [\#](#aktuelle-statistiken-und-auswirkungen "Aktuelle Statistiken und Auswirkungen") - **76% aller Orga­ni­sa­tio­nen** waren in den letz­ten 18 Mona­ten Opfer eines Ran­som­wa­re-Angriffs (Vee­am 2024). - **56% zahl­ten Löse­geld** (Sophos 2024) — durch­schnitt­lich Tau­sen­de bis Mil­lio­nen EUR. - **Aus­fall­zei­ten:** Man­che Opfer berich­ten von Aus­fäl­len, die Tage bis Wochen dau­ern, sogar mit funk­tio­nie­ren­den Back­ups — wenn die­se nicht getes­tet oder zu alt sind. - **Geschäfts­ver­lust:** Ein Tag Aus­fall­zeit kann für kri­ti­sche Ser­vices Zehn­tau­sen­de EUR kosten. Die­se Zah­len zei­gen: Ran­som­wa­re ist nicht mehr ein IT-Pro­blem — es ist ein Geschäfts­ri­si­ko mit C‑Suite-Rele­vanz. --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Ist Back­ups das ein­zi­ge, was gegen Ran­som­wa­re hilft?** Back­ups sind not­wen­dig, aber nicht aus­rei­chend. Sie müs­sen mit Prä­ven­ti­on (EDR, Patch-Manage­ment) kom­bi­niert wer­den. Der Schlüs­sel ist, dass Back­ups auto­ma­ti­siert, off­line und regel­mä­ßig getes­tet sein müssen. **War­um zah­len Unter­neh­men Löse­geld, wenn sie Back­ups haben?** Meh­re­re Grün­de: Back­ups sind zu alt (RPO zu hoch), nicht getes­tet (Reco­very fehl­ge­schla­gen), oder beschä­digt (Ran­som­wa­re hat auch die Back­ups gelöscht). Oder das Risi­ko von Daten-Leak (Dou­ble Extor­ti­on) ist zu hoch. **Kann ich Ran­som­wa­re selbst entfernen?** Nein. Wenn Ihre Daten ver­schlüs­selt sind, brau­chen Sie den pri­va­ten Schlüs­sel des Angrei­fers. Nur ein Back­up kann hel­fen. Pro­fes­sio­nel­le Inci­dent-Respon­se ist erforderlich. --- ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)