Ran­som­wa­re hat sich von ein­fa­chen Erpres­sungs­tro­ja­nern (Cryp­to­Lo­cker 2013, Wan­naCry 2017) zu einer hoch­pro­fes­sio­na­li­sier­ten Indus­trie ent­wi­ckelt. RaaS ist das zugrun­de­lie­gen­de Geschäfts­mo­dell: Eine Kern­grup­pe ent­wi­ckelt und pflegt die Ran­som­wa­re sowie die Infra­struk­tur für Löse­geld­ver­hand­lun­gen und Zah­lung. Soge­nann­te Affi­lia­tes — Part­ner, die den eigent­li­chen Angriff durch­füh­ren — mie­ten die­se Werk­zeu­ge und erhal­ten typi­scher­wei­se 70 – 80 % des erpress­ten Löse­gelds; 20 – 30 % ver­blei­ben bei den Entwicklern.

Bekann­te RaaS-Grup­pen: Lock­Bit, BlackCat/​ALPHV, Cl0p, ALPHV, REvil. Die­se Grup­pen betrei­ben soge­nann­te Big-Game-Hun­ting-Kam­pa­gnen: Sie zie­len nicht auf Ein­zel­per­so­nen, son­dern auf gro­ße Orga­ni­sa­tio­nen — Unter­neh­men mit hohem Umsatz, kri­ti­sche Infra­struk­tur, öffent­li­che Ver­wal­tun­gen — und for­dern ent­spre­chend hohe Lösegelder.

Der typi­sche RaaS-Angriff folgt einem metho­di­schen Ablauf: Initia­ler Zugang über Phis­hing oder kom­pro­mit­tier­te VPN-Zugän­ge (Day 0), Erkun­dung und Aus­brei­tung über Wochen bis Mona­te mit Eska­la­ti­on von Berech­ti­gun­gen und Kar­tie­rung der Back­up-Infra­struk­tur (Day 1 – 21), Zer­stö­rung aller Back­up-Kopien (vor der Ver­schlüs­se­lung), Ver­schlüs­se­lung der Pro­duk­tiv­um­ge­bung und Erpressung.

Die IBM X‑Force Intel­li­gence zeigt: Die durch­schnitt­li­che Ver­weil­dau­er eines Angrei­fers im Netz­werk beträgt 204 Tage — Angrif­fe wer­den oft erst ent­deckt, wenn der maxi­ma­le Scha­den bereits ange­rich­tet ist. Das unter­streicht die Bedeu­tung von phy­sisch getrenn­ten Back­ups, die auch nach mona­te­lan­gem Angrei­fer-Zugang im Netz­werk nicht kom­pro­mit­tiert wer­den konnten.

Fragen und Antworten

RaaS-Angriffe sind darauf ausgelegt, die gesamte Wiederherstellungsfähigkeit einer Organisation zu zerstören, bevor die eigentliche Erpressung beginnt. Die effektivste Gegenstrategie: Ein physisch isoliertes Backup, das auch nach monatelangem Angreifer-Zugang im Netzwerk nicht kompromittiert werden konnte — weil es während des Air-Gap-Offline-Zustands physisch nicht adressierbar war. Ergänzend: regelmäßige Recovery-Tests, getrennte Backup-Administrator-Konten (kein Zugang über das Active Directory der Produktivumgebung) und Netzwerksegmentierung.
46 % der betroffenen Unternehmen zahlen (Sophos 2024). Doch nur 4 % erhalten alle ihre Daten vollständig zurück. Das BSI rät grundsätzlich von Lösegeldzahlungen ab — sie finanzieren weitere Angriffe und bieten keine Garantie für die vollständige Wiederherstellung. Die einzige verlässliche Alternative: eigenständige Wiederherstellung aus einem Backup, das der Angreifer nicht erreichen konnte.