Ran­som­wa­re hat sich seit ihren Anfän­gen (Cryp­to­Lo­cker 2013, Wan­naCry 2017) zu einer hoch­pro­fes­sio­na­li­sier­ten Indus­trie ent­wi­ckelt. Moder­ne Angrif­fe fol­gen einem metho­di­schen Mus­ter: Zunächst ver­schaf­fen sich Angrei­fer über Phis­hing-E-Mails, kom­pro­mit­tier­te VPN-Zugän­ge oder unge­patch­te Sys­te­me initia­len Zugang. Dann ver­wei­len sie oft wochen­lang unent­deckt im Netz­werk, eska­lie­ren Berech­ti­gun­gen und kar­tie­ren die gesam­te Infra­struk­tur — ein­schließ­lich aller Backup-Systeme.

Erst wenn das voll­stän­di­ge Lage­bild erstellt ist, beginnt die eigent­li­che Zer­stö­rungs­pha­se: Back­up-Daten­ban­ken wer­den gelöscht, Snapshots ent­fernt, Back­up-Agen­ten deinstal­liert, Shadow Copies ver­nich­tet, Cloud-Back­up-Cre­den­ti­als ver­wen­det, um Off-Site-Kopien zu löschen. Erst dann folgt die Ver­schlüs­se­lung der Pro­duk­tiv­um­ge­bung — mit dem Ziel, das Opfer vor eine binä­re Wahl zu stel­len: Zah­lung oder Totalausfall.

Die wirt­schaft­li­chen Fol­gen sind erheb­lich. Laut Bit­kom 2024 ver­ur­sacht ein erfolg­rei­cher Ran­som­wa­re-Angriff deut­schen Unter­neh­men durch­schnitt­lich 5,3 Mil­lio­nen Euro Scha­den. Die durch­schnitt­li­che Aus­fall­zeit bis zur voll­stän­di­gen Wie­der­her­stel­lung beträgt 23 Tage. 46 % der betrof­fe­nen Unter­neh­men zah­len Löse­geld — doch nur 4 % erhal­ten alle ihre Daten zurück. Die stra­te­gi­sche Kon­se­quenz ist ein­deu­tig: Zah­lung ist kei­ne Stra­te­gie. Die ein­zi­ge ver­läss­li­che Gegen­stra­te­gie ist die Fähig­keit, Sys­te­me eigen­stän­dig aus einem Back­up wie­der­her­zu­stel­len, das der Angrei­fer nicht errei­chen konnte.

Eine beson­ders gefähr­li­che Vari­an­te ist die soge­nann­te Dou­ble Extor­ti­on: Angrei­fer steh­len Daten vor der Ver­schlüs­se­lung und dro­hen zusätz­lich zur Zah­lungs­for­de­rung mit der Ver­öf­fent­li­chung. Gegen den Daten­dieb­stahl-Aspekt schüt­zen Maß­nah­men wie Netz­werk­seg­men­tie­rung und Data Loss Pre­ven­ti­on — gegen den Ver­schlüs­se­lungs­aspekt ist ein phy­si­scher die effek­tivs­te Gegenstrategie.

Fragen und Antworten

Endpoint Detection and Response (EDR), Firewalls und Intrusion-Detection-Systeme sind notwendige Schutzschichten — sie adressieren jedoch nur die Prävention. Keine Präventionsmaßnahme bietet 100 % Schutz. Laut dem Veeam Data Protection Trends Report wurden 85 % der befragten Unternehmen trotz vorhandener Schutzmaßnahmen mindestens einmal Opfer eines Ransomware-Angriffs. Die entscheidende Frage lautet daher: Kann ich mich nach einem erfolgreichen Angriff wiederherstellen?
Das Zahlen von Lösegeld ist keine Strategie: 96 % derjenigen, die zahlen, verlieren trotzdem Daten (Sophos 2024). Zudem gibt es keine Garantie, dass die Angreifer nach der Zahlung tatsächlich einen funktionierenden Entschlüsselungsschlüssel liefern. Die einzige verlässliche Strategie ist die eigenständige Wiederherstellung aus einem Backup, das der Angreifer nicht kompromittieren konnte.
Gesundheitseinrichtungen, öffentliche Verwaltungen und kritische Infrastruktur stehen besonders im Fokus von Ransomware-Angreifern: Der Druck zur schnellen Zahlung ist hoch, weil ein Betriebsausfall in diesen Bereichen unmittelbar Menschen gefährdet oder öffentliche Dienste lahmlegt. Laut BSI-Lagebericht sind Ransomware-Angriffe auf KRITIS-Betreiber in den letzten Jahren signifikant gestiegen.