Ransomware: Die profitabelste Cyberbedrohung 2025

Ransomware ist eine Malware-Art, die Daten verschlüsselt oder stiehlt und anschließend Lösegeld fordert. Moderne Varianten kombinieren Verschlüsselung, Erpressung und Datendiebstahl.
Typische Merkmale:

• Doppelte oder dreifache Erpressung
• Lange Vorbereitungsphasen
• Gezielte Angriffe
• Erheblicher wirtschaftlicher Schaden

Ransomware-as-a-Service (RaaS)

• Stellen fertige Ransomware-Kits bereit
• Affiliates teilen Einnahmen mit den Entwicklern
• Beispiele: LockBit-Ökosystem, BlackCat, Akira

Cybercrime-Syndikate

• Hochorganisierte Gruppen
• Konzentriert auf große Unternehmen und hohe Lösegelder

Staatlich unterstützte Gruppen

• Tarnen Spionage unter dem Deckmantel von Ransomware
• Zielen auf kritische Infrastrukturen

Einzeltäter oder kleine Teams

• Nutzen geleakte Ransomware-Kits
• Häufig Angriffe auf KMU

• Extrem hohe Gewinne
• Leicht skalierbares Geschäftsmodell
• Pseudonymität durch Kryptowährungen
• Politisch motivierte Angriffe
• Wirtschaftsspionage unter dem Deckmantel der Erpressung

Ransomware-Gruppen funktionieren heute wie Start-ups: mit Support-Teams, KPIs, Marketing und Partnerprogrammen.

• Gesundheitswesen
• Finanzsektor
• SaaS- und Cloud-Anbieter
• Industrie und Logistik
• Öffentliche Verwaltung
• Beratungs- und Dienstleistungsunternehmen

Kriterien für die Zielauswahl:

• Hohe Abhängigkeit von IT-Systemen
• Wertvolle oder sensible Daten
• Geringe Sicherheitsreife
• Verzögertes Patch-Management

Herausforderungen für KMU

• Begrenzte IT-Teams
• Veraltete Systeme
• Fehlende Segmentierung
• Wenig Monitoring
• Lückenhafte Backups

Folgen für Unternehmen

• Produktionsstillstand
• Hohe finanzielle Verluste
• Vertrauensverlust bei Kunden
• Compliance-Verstöße
• Langwierige Wiederherstellung

Merke: Für viele KMU kann ein einziger Ransomware-Angriff aufgrund der Kosten für Forensik und Wiederherstellung sowie der ausfallenden Geschäftsprozesse existenzbedrohend sein, selbst wenn kein Lösegeld gezahlt wird.

NIS2 macht Cybersicherheit für viele Unternehmen verpflichtend. Ransomware-Resilienz wird damit zur Compliance-Aufgabe.

Wichtige NIS2-Pflichten:

• Risikomanagement
• Meldung schwerer Sicherheitsvorfälle innerhalb von 24 Stunden
• Backup- und Notfallkonzepte
• Lieferkettenkontrolle
• Awareness-Schulungen
• Zugriffskontrollen und MFA
• Überwachung und Logging

Unternehmen müssen nachweisen, dass sie Ransomware-Angriffe erkennen, eindämmen und melden können.

Technische Maßnahmen

• MFA-Pflicht: Einführung der Multi-Faktor-Authentifizierung (MFA) in allen kritischen Bereichen (VPN, E-Mail, Admin-Zugänge) als grundlegende Zugriffskontrolle (Direkte NIS2-Anforderung).
• Netzwerksegmentierung: Das Netzwerk in kleinere, isolierte Zonen unterteilen (Zero-Trust-Prinzip), um das Lateral Movement der Angreifer zu stoppen.
• Unveränderbare Backups (Immutable): Sicherstellen, dass Backups logisch vom Hauptnetzwerk getrennt und unveränderbar sind, um deren Verschlüsselung zu verhindern. (Zentral für NIS2-Notfallkonzepte)
• EDR/NDR: Einsatz moderner Endpunkt- und Netzwerkerkennung (EDR/NDR) zur proaktiven Überwachung und schnellen Erkennung von Initialzugriffen und Exfiltration.

Organisatorische Maßnahmen

• Incident-Response-Pläne: Erstellung und regelmäßige Tests von klaren Notfallplänen, die definieren, wer im Angriffsfall wann was tun muss. (Zentrale NIS2-Anforderung)
• Awareness-Training: Regelmäßige und interaktive Schulungen der Mitarbeitenden zu Phishing, Social Engineering und dem Erkennen von Anomalien.
• Lieferkettenkontrolle: Bewertung des Sicherheitsrisikos von Drittanbietern und kritischen Lieferanten (SaaS-Anbieter, Managed Service Provider). (NIS2-Anforderung zur Lieferkettenkontrolle)
• Patch-Management: Etablierung eines konsequenten, dokumentierten Prozesses zum schnellen Schließen bekannter Sicherheitslücken (z.B. an VPNs oder Mail-Servern).

Best Practices

• Admin-Rechte minimieren
• Backup-Restore regelmäßig testen
• Schutz für E-Mail-Kanäle
• Kritische Systeme priorisiert überwachen

Ransomware hat direkte rechtliche Auswirkungen. Relevante Regelwerke hier sind:

• DSGVO: Meldepflicht binnen 72 Stunden
• NIS2: strengere Sicherheitsmaßnahmen und Reporting
• Produkthaftung: Verantwortung der Hersteller für unsichere Systeme
• Arbeitsrecht: Verantwortlichkeiten im Incident Response

Lösegeldzahlungen sind ethisch problematisch und können rechtliche Verstöße darstellen, etwa gegen Sanktionen.

Ransomware zählt zu den größten Cyberrisiken unserer Zeit. Durch professionelle Angreifergruppen, perfektionierte Erpressungs-Taktiken wie die doppelte Erpressung und die Verbreitung von Ransomware-as-a-Service kann selbst eine kleine Schwachstelle enorme Folgen haben.
Kleine und mittlere Unternehmen sind besonders gefährdet, während NIS2 klare und verpflichtende Anforderungen an Risikomanagement, Incident Response und die Dokumentation von Schutzmaßnahmen setzt.
Wer Ransomware wirksam begegnen will, braucht starke Sicherheitsmaßnahmen, unveränderbare Backups, trainierte Mitarbeitende und ein durchdachtes Compliance-Setup, das die strengen Melde- und Nachweispflichten erfüllt.

Wenn du diese Anforderungen ohne komplexe Tools und externe Berater meistern willst, unterstützen wir dich dabei: Mit einer Lösung, die Cybersicherheit, Datenschutz und NIS2-Compliance in einem einzigen, leicht nutzbaren System bündelt – damit dein Unternehmen nicht nur geschützt ist, sondern auch jederzeit nachweisen kann, was es schützt.

Sollten Unternehmen Lösegeld zahlen?

Behörden raten davon ab. Es gibt keine Garantie auf Entschlüsselung und Zahlungen können illegal sein.

Wie lange dauert die Wiederherstellung?

Von Tagen bis Monaten. KMU ohne Backups brauchen oft deutlich länger.

Werden Angriffe gezielter?

Ja. Angreifer analysieren ihre Opfer genau und wählen Unternehmen mit hoher Zahlungsbereitschaft.

Gilt NIS2 auch für kleinere Unternehmen?

Ja. Die Einstufung hängt nicht nur von der Größe ab, sondern von der Branche und Relevanz der Dienste.