Lösungen
Lösungen
All-in-one-Lösung
Übersicht
Managed XDR
IT rund um die Uhr geschützt halten
24/7 Incident Response
Geschäftsbetrieb wiederherstellen
Cyber Awareness
Sicherheitsrisiken erkennen
Cyber Versicherung
Geschäftskontinuität sichern
Integrationen
Technologiepartner
Branchen
Alle Branchen
Logistik
Fertigung
Dienstleistungsbranche
Gesundheitswesen
Partner
Partnernetzwerk
Für Makler & Risikoberater
Reduzieren Sie das Cyber-Risiko Ihrer Kunden.
Für Managed-Service-Anbieter (MSP)
Erweitern Sie Ihr Angebot um Cybersicherheit.
Fallstudien
Kunden schützen
D.LIVE GmbH
Unterhaltung
Jan de Rijk
Logistik
Avi Medical
Gesundheitswesen
KeyTec Netherlands
Fertigung
Van der Most Transport
Logistik
Signature Foods
Fertigung
GOED Belgien
Gesundheitswesen
Zimmer Group
Fertigung
Preise
Ressourcen
Ressourcen
NIS2 Informationszentrum
Ihr einfacher Leitfaden zu NIS2
Blogs
Kostenloses Anti-Phishing-Tool
Jetzt kostenlos anmelden
Ressourcen-Bibliothek
Leitfäden und Broschüren
Wissensbasis
Kunden-Login
Unternehmen
Über uns
News
Karriere
Kontakt
Presse
de
Kontakt aufnehmen
Plattform-Tour starten
Lösungen
Back
Lösungen
All-in-one-Lösung
Managed XDR
24/7 Incident Response
Cyber Awareness
Cyber Versicherung
Integrationen
Branchen
Alle Branchen
Logistik
Fertigung
Dienstleistungsbranche
Gesundheitswesen
Partner
Back
Partnernetzwerk
Für Makler & Risikoberater
Für Managed-Service-Anbieter (MSP)
Fallstudien
Back
Kunden schützen
D.LIVE GmbH
Jan de Rijk
Avi Medical
KeyTec Netherlands
Van der Most Transport
Signature Foods
GOED Belgien
Zimmer Group
Preise
Ressourcen
Back
Ressourcen
NIS2 Informationszentrum
Blogs
Kostenloses Anti-Phishing-Tool
Ressourcen-Bibliothek
Wissensbasis
Unternehmen
Über uns
News
Karriere
Kontakt
Presse
de
24/7 Notfall-Hotline
Zurück zur Übersicht
8 min Lesezeit

Ransomware: Bedrohungen, Prävention und Schutzmaßnahmen

8 min Lesezeit
März 4, 2025
Autor Eye Security
Schutz vor Ransomware
Autor Eye Security
4 März 2025

Ransomware ist eine der berüchtigtsten Arten von Cyberkriminalität. Die Erpressung von Lösegeldern durch Cyberkriminelle nimmt stetig zu. Wie hoch ist das Risiko für Ihr Unternehmen oder Ihre Organisation? Wie sieht Ransomware in der Realität aus, welche Spielarten gibt es und was ist zu tun, wenn Ransomware zuschlägt? 

Was ist Ransomware? 

Ransomware ist ein Schadsoftware, also eine Art von Malware. Ziel von Ransomware ist es, Zugriff auf Daten und Systeme einzuschränken oder zu verwehren. Den Zugang zu einem Computer wird gesperrt oder Daten werden verschlüsselt, bis das Opfer ein Lösegeld zahlt.

Die Wiederfreigabe dieser Daten wird zum Erpressungsgegenstand. Die Cyberkriminellen verlangen ein Lösegeld (engl. Ransom), häufig zahlbar in Bitcoin. Die Erpressungssoftware nutzt oft eine Frist, innerhalb derer das Lösegeld gezahlt werden muss, um die Daten wieder freizugeben. Andernfalls droht der dauerhafte Verlust der Daten.

Prinzipiell können alle Arten von Systemen von Ransomware betroffen sein, besonders häufig richtet sich Ransomware allerdings gegen Windows-Geräte. 

Ransomware-Angriffe sind heutzutage an der Tagesordnung und betreffen sowohl kleine als auch große Unternehmen in Nordamerika und Europa. Die Angreifer zielen darauf ab, maximale Störungen zu verursachen und hohe Lösegeldforderungen zu stellen, um ihre Opfer zur Zahlung zu zwingen.

Ransomware: Ursprünge und Trends

Ransomware ist älter, als sie aussieht. Der erste Ransomware-Fall, genannt „PC Cyborg“ oder der „AIDS-Trojaner“, geht zurück auf das Jahr 1989. Verbreitet wurde er von Dr. Joseph L. Popp, einem Evolutionsbiologen. Er sendete etwa 20.000 Disketten an Personen und medizinische Organisationen mit der Aufschrift „AIDS Information Introductory Diskette“. Wurde die Diskette ausgeführt, verschlüsselte sie alle Dateien auf dem Laufwerk, und es erschien eine Erpressernachricht, die Betroffene aufforderte, Geld an ein Postfach in Panama zu schicken.

Die Zahl der Ransomware-Attacken stieg mit zunehmender Verbreitung des Internets weiter an. Aber erst seit der zunehmenden Verbreitung von Bitcoin ist die Zahl erheblich gestiegen. Folgende Trends lassen sich laut einem Bericht von Sophos feststellen:

  • Betroffene Unternehmen und Organisationen: Die Zahl der von Ransomware-Attacken betroffenen Unternehmen ist von 2023 auf 2024 von 66 % auf 59 % gesunken.

  • Die Summe der Lösegeldzahlungen ist auf das Fünffache gestiegen.

  • Die Ausgaben für die Beseitigung der Auswirkungen einer Ransomware-Attacke sind um 50 % gestiegen.

  • 10 % mehr Opfer von Ransomware zahlen tatsächlich Lösegeld – insgesamt 59 %.

Welche Arten von Ransomware gibt es?

Ransomware kann verschiedene Formen annehmen, die wichtigsten haben wir hier zusammengefasst: 

Ein Blick auf Locker-Ransomware

Locker-Ransomware blockiert grundlegende Computerfunktionen, sie sperrt Sie quasi aus. Sie können nicht mehr auf Ihren Computer zugreifen, sind aber noch in der Lage, den Anweisungen auf dem Bildschirm zu folgen, um Lösegeld zu zahlen. Eine vollständige Zerstörung der Daten ist hier allerdings unwahrscheinlich.

Crypto-Erpressungstrojaner

Hier werden wichtige Daten, wie Dateien, Dokumente, Bilder oder Videos, durch einen Erpressungstrojaner verschlüsselt. Meist wird die grundlegende Funktion Ihres Computers allerdings nicht eingeschränkt. Cyberkriminelle arbeiten häufig mit einem Countdown und drohen, die Daten nach Ablauf der Frist zu löschen, wenn den Lösegeldforderungen nicht nachgekommen wird. Häufig zahlen die Opfer dann, weil keine ausreichenden Backups oder Sicherheitskopien vorhanden sind.

Ransomware as a Service

Ransomware as a Service, kurz RaaS, ist eine Kooperation von Hackern und Entwicklern zum beiderseitigen Vorteil: Hacker erhalten einen einfachen Zugang zu Malware, ohne sie selbst entwickeln zu müssen. So können auch Cyberkriminelle mit wenig Fachwissen inzwischen Cyberangriffe initiieren. Entwickler auf der anderen Seite profitieren von den Erpressungen, ohne die Netzwerke selbst angreifen zu müssen.

Scareware-Schadsoftware

Schadprogramme-Taktiken werden häufig im Zusammenhang mit Ransomware eingesetzt. Scareware sind Schadprogramme, die sich als etwas anderes ausgeben. So gibt es etwa die „ALC Ransomware“, die vorgibt, Dateien verschlüsselt zu haben, um Lösegeld zu erpressen. In Wahrheit verschlüsselt das Programm nichts – Hacker gehen davon aus, dass Betroffene genug Angst haben und zahlen. Scareware kann aber Geräte tatsächlich unbrauchbar machen, etwa als getarntes Antivirenprogramm, das den Desktop mit Warnmeldungen überflutet.

Double-Extension-Ransomware

Hier werden Daten auf zwei Ebenen angegriffen. Während bei einer üblichen Ransomware-Attacke Dateien lediglich verschlüsselt werden – und durch Backups die Erpressungsgrundlage entzogen werden kann – wird bei Double-Extension-Ransomware zusätzlich sensible Daten verschlüsselt und exfiltriert. Kriminelle verschaffen sich Zugang zum Netzwerk des Opfers. Die Absicherung des Netzwerks ist entscheidend, um solche Angriffe zu verhindern. Sie führen eine Netzwerkanalyse durch, um hochwertige Daten im gesamten Netzwerk sowie an den angeschlossenen Endpunkten zu lokalisieren und zu sichern. Anschließend exfiltrieren sie die Daten in ihr eigenes Speichernetzwerk. Danach verschlüsselt der Angreifer die Daten und fordert ein Lösegeld. Wird das Lösegeld nicht gezahlt, verkaufen die Kriminellen die gestohlenen Daten oft oder veröffentlichen sie in Blogs und Online-Foren.

Berühmte Beispiele von Ransomware

Immer wieder kommen einzelne Ransomware-Gruppen und Ihre Angriffe in die Schlagzeilen. Über ein paar der berühmtesten Fälle berichten wir hier. Mehr Informationen erhalten Sie in unserem Blogbeitrag mit noch mehr Ransomware-Beispielen.

WannaCry

Einer der berühmtesten Fälle von Ransomware war der WannaCry-Angriff im Mai 2017. Über 200.000 Computer in 150 Ländern waren betroffen. Zu den Geschädigten gehörten Firmen wie FedEx, Nissan und der britische nationale Gesundheitsdienst (NHS).

WannaCry konnte sich durch eine Sicherheitslücke namens „EternalBlue“ auf älteren, ungepatchten Windows-Rechnern verbreiten und hat sich rasend schnell ausgebreitet. Sicherheitsexperten konnten den Virus schnell deaktivieren, aber viele betroffene Computer waren bereits verschlüsselt und blieben unbrauchbar, bis das Lösegeld bezahlt wurde. Weniger als 70.000 Dollar Lösegeld wurden gezahlt – es ist jedoch kein Fall bekannt, in dem die Daten nach der Zahlung wieder freigegeben wurden.

Petya & Not Petya

Im Juni 2017 breitete sich eine neue Ransomware aus, die starke Ähnlichkeiten mit der bereits bekannten Petya-Ransomware aufwies. Aufgrund einiger wesentlicher Unterschiede wurde sie jedoch von Sicherheitsexperten als NotPetya bezeichnet. Besonders betroffen war die Ukraine, doch auch weltweit infizierte die Schadsoftware mindestens 2.000 Organisationen.

Petya griff gezielt die Master File Table (MFT) an, wodurch das gesamte Dateisystem eines Computers unbrauchbar wurde. NotPetya ging noch einen Schritt weiter: Sie verschlüsselte nicht nur die MFT, sondern die gesamte Festplatte. Dadurch wurden die betroffenen Systeme nahezu unrettbar zerstört, selbst wenn das Lösegeld gezahlt wurde.

Ein entscheidender Unterschied zwischen beiden Versionen lag in ihrer Verbreitung:

  • Petya wurde in der Regel über Phishing-E-Mails verbreitet, die einen infizierten Anhang enthielten.

  • NotPetya nutzte hingegen die EternalBlue-Sicherheitslücke (CVE-2017-0144) – dieselbe Schwachstelle, die bereits im Mai 2017 von der WannaCry-Ransomware ausgenutzt wurde. Dadurch konnte sich der Schädling eigenständig in Netzwerken ausbreiten, ohne dass Nutzer aktiv dazu beitrugen.

Obwohl Microsoft bereits im März 2017 einen Patch für die EternalBlue-Lücke veröffentlicht hatte, versäumten es viele Unternehmen, ihre Systeme zu aktualisieren. Dies ermöglichte NotPetya eine unkontrollierte, rasend schnelle Verbreitung, die erhebliche Schäden verursachte – sowohl finanziell als auch infrastrukturell.

LockBit

LockBit ist eine besonders aggressive Form von Ransomware, die sich gezielt gegen große Organisationen richtet, die durch Betriebsstörungen wirtschaftlich stark unter Druck gesetzt werde. LockBit gehört zur Kategorie der Krypto-Ransomware, die Dateien verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigibt.

Die ersten bekannten LockBit-Angriffe wurden im September 2019 entdeckt. Anfangs wurde sie als „.abcd virus“ bezeichnet, da betroffene Dateien mit dieser Erweiterung versehen wurden. Ihre Hauptziele waren zunächst Unternehmen in den USA, China, Indien, Indonesien und der Ukraine, aber auch europäische Länder wie Frankreich, Großbritannien und Deutschland wurden Opfer der Attacken.

Die Täter wählen gezielt Unternehmen aus, die in kritischen Sektoren wie Gesundheitswesen oder Finanzen tätig sind und über die finanziellen Mittel verfügen, hohe Lösegelder zu zahlen. Interessanterweise scheinen LockBit-Angriffe gezielt russische und GUS-Staaten zu meiden, vermutlich um Strafverfolgung in diesen Regionen zu entgehen. LockBit operiert nach dem Ransomware-as-a-Service (RaaS)-Modell.

Die Lösegeldzahlungen werden dann zwischen dem LockBit-Entwicklerteam und den Angreifern aufgeteilt – letztere können dabei bis zu 75 % der Gewinne einstreichen.

REvil

REvil, auch bekannt als Sodinokibi, war eine der gefährlichsten und berüchtigtsten Ransomware-Gruppen der letzten Jahre. Die Gruppe agierte als Black-Hat-Hacker-Kollektiv und bot ihre Schadsoftware im Rahmen eines Ransomware-as-a-Service (RaaS)-Modells an. REvil entwickelte den Trojaner Sodinokibi, eine fortschrittliche Form von Ransomware, die für verschiedene groß angelegte Cyberangriffe verwendet wurde. Eine besonders gefährliche Variante, Sodinokibi.N, wurde für einen Angriff im Juli 2021 genutzt. Darüber hinaus verbesserte REvil die bereits existierende Erpressungssoftware GandCrab, wodurch ihre Angriffe noch effektiver wurden.

Bekannte Angriffe von REvil:

  • März 2021: Der taiwanische Hardware- und Halbleiterhersteller Asus wurde Opfer eines REvil-Angriffs. Die Gruppe infizierte das interne Verwaltungsnetzwerk mit einem Trojaner und verschlüsselte zahlreiche Dateien. Die Täter forderten 50 Millionen Dollar für die Entschlüsselung.

  • Juli 2021: Nach einem Angriff auf die VSA-Server des US-Softwareunternehmens Kaseya wurde REvil als Hauptverdächtige identifiziert. Drei Tage später veröffentlichte die Gruppe ein Bekennerschreiben mit einer Forderung über 70 Millionen US-Dollar. Auf unserem Blog haben wir über den Angriff auf Kaseya berichtet.

Obwohl im Jahr 2022 zunächst angenommen wurde, dass REvil nicht mehr aktiv sei, tauchte im Juli 2022 erneut ein Opfer auf ihrer Website auf – ein Zeichen dafür, dass die Gruppe weiterhin operierte.

8Base

Die 8Base-Ransomware zählt zu den besonders aggressiven Formen von Cybererpressung und nutzt eine doppelte Erpressungsstrategie: Sie verschlüsselt Daten und stiehlt sensible Informationen, um den Druck auf die Opfer zu erhöhen.

8Base verbreitet sich vor allem über Phishing-E-Mails oder über Initial Access Broker – Cyberkriminelle, die gestohlene Zugangsdaten im Darknet verkaufen. Diese Zugangsdaten stammen meist aus Phishing-Angriffen, kompromittierten Anmeldeinformationen oder durch das Ausnutzen von Schwachstellen in Unternehmensnetzwerken. Mehr über die Funktionsweise von 8Base erfahren Sie auf unserem Blog.

Seit ihrer ersten Entdeckung hat die 8Base-Ransomware zahlreiche Unternehmen und Organisationen weltweit angegriffen. Einige der bemerkenswertesten Fälle sind:

  • August 2023: Angriff auf mittelständische Unternehmen. 8Base konzentrierte sich vor allem auf KMUs aus verschiedenen Branchen wie Finanzen, Bauwesen und IT-Dienstleistungen. Besonders betroffen waren Firmen in den USA und Europa, die in kurzer Zeit massive Datenverluste erlitten.

  • September 2023: Angriff auf die Gesundheitsbranche. In mehreren Berichten wurde bestätigt, dass Gesundheitseinrichtungen und medizinische Labore ins Visier genommen wurden. Die Angreifer forderten hohe Lösegeldsummen und drohten mit der Veröffentlichung sensibler Patientendaten.

  • Oktober 2023: Angriff auf eine US-amerikanische Stadtverwaltung. Eine kommunale Behörde in den USA wurde Ziel eines koordinierten Angriffs. Die IT-Systeme wurden verschlüsselt, und wichtige Bürgerdaten waren in Gefahr. Die Stadtverwaltung sah sich gezwungen, Notfallmaßnahmen einzuleiten, um den Schaden zu begrenzen.

Clop

Die Clop-Ransomware (oft auch „Cl0p“ geschrieben) zählt zu den gefährlichsten Ransomware-Familien der letzten Jahre. Sie ist berüchtigt für Angriffe auf hochkarätige Unternehmen und Organisationen weltweit und verwendet mehrstufige Erpressungstaktiken, die zu enormen Lösegeldzahlungen geführt haben.

Clop hat in den letzten Jahren massive Schäden verursacht. Einige der bekanntesten Attacken umfassen:

  • November 2021: Die Hackergruppe soll bis zu 500 Millionen US-Dollar durch Erpressung eingenommen haben.

  • 2023: Clop nutzte eine Zero-Day-Schwachstelle in der MOVEit-Transfer-Software, um mehrere US-Regierungsbehörden und Unternehmen weltweit zu infiltrieren.

Akute Hilfe im Falle eines Ransomware-Angriffs 

Experten raten dringend davon ab, Lösegeld an Ransomware-Angreifer zu zahlen, da dies ihre Geschäftsmodelle unterstützt. Dennoch sehen sich viele Unternehmen unter Druck, weil Angreifer mit der Veröffentlichung sensibler Daten drohen oder Fristen setzen, nach deren Ablauf das geforderte Lösegeld steigt. Zudem gibt es keine Garantie, dass nach der Zahlung tatsächlich ein Entschlüsselungsschlüssel bereitgestellt wird.

Im Falle eines Angriffs ist schnelles Handeln essenziell. Betroffene Systeme müssen sofort isoliert und vom Internet getrennt werden, um eine weitere Ausbreitung der Schadsoftware zu verhindern. Die Wiederherstellung kritischer Systeme hat Priorität, um den Geschäftsbetrieb schnellstmöglich wieder aufzunehmen. Da Angreifer häufig Hintertüren hinterlassen, sollte ein Sicherheitsexperte die Bedrohung vollständig aus dem Netzwerk entfernen und die Umgebung auf Schwachstellen prüfen, um zukünftige Angriffe zu verhindern.

Sie sind betroffen und benötigen Unterstützung? Wir sind rund um die Uhr erreichbar und bekämpfen Angriffe innerhalb von Minuten. Rufen Sie uns jetzt an.

So schützen Sie Ihr Unternehmen vor Ransomware

Ransomware-Angriffe stellen eine wachsende Bedrohung für Unternehmen dar, unabhängig von ihrer Größe. Besonders kleine und mittlere Unternehmen (KMUs) sind gefährdet, da sie oft über unzureichende Sicherheitsmaßnahmen und weniger Ressourcen für Cybersecurity verfügen. Durch gezielte Präventionsstrategien lassen sich jedoch viele Angriffe verhindern oder deren Auswirkungen minimieren.

1. Regelmäßige Updates und Patch-Management

Viele Ransomware-Angriffe nutzen bekannte Sicherheitslücken in veralteter Software. Unternehmen sollten:

  • Betriebssysteme und Anwendungen zeitnah aktualisieren, um die Ausnutzung durch Schadprogrammen zu verhindern

  • Kritische Sicherheitspatches priorisiert einspielen

  • Ein zentrales Patch-Management-System nutzen, um Updates automatisiert auszurollen

2. Sensibilisierung der Mitarbeiter und E-Mail-Sicherheit

Phishing-Mails sind einer der häufigsten Einstiegsvektoren für Ransomware. Unternehmen sollten:

  • Schulungen für Mitarbeiter anbieten, um betrügerische E-Mails zu erkennen

  • Makros in Office-Dokumenten deaktivieren oder nur signierte Makros zulassen

  • Die Anzeige von E-Mails als Nur-Text aktivieren, um verschleierte Links sichtbar zu machen

  • Verdächtige Links und Anhänge vor dem Öffnen prüfen

3. Netzwerksegmentierung und Zugriffskontrollen

Durch eine saubere Trennung von Netzwerken lässt sich die Ausbreitung von Ransomware begrenzen. Unternehmen sollten:

  • Kritische Systeme und sensible Daten in separaten Netzwerkbereichen halten

  • Den Zugriff auf administrative Konten einschränken und keine Domänen-Administrationskonten für alltägliche Aufgaben nutzen

  • Zero-Trust-Sicherheitsmodelle implementieren, bei denen jeder Zugriff überprüft wird

4. Sicherung von Remote-Zugängen

Da viele Angriffe über kompromittierte Remote-Zugänge erfolgen, sollten Unternehmen:

  • VPNs mit Zwei-Faktor-Authentifizierung (2FA) für externe Verbindungen nutzen

  • Den Zugriff von außen nur für autorisierte Benutzer und Geräte erlauben

  • Veraltete oder nicht benötigte Remote-Zugänge deaktivieren

  • Die Sicherheit des Remote-Zugangs zu einzelnen PCs gewährleisten, um Ransomware-Infektionen zu verhindern

5. Datensicherung und Notfallplanung

Eine funktionierende Backup-Strategie ist essenziell, um Daten nach einem Angriff wiederherstellen zu können. Unternehmen sollten:

  • Regelmäßige Backups wichtiger Daten erstellen und diese offline und getrennt vom Netzwerk speichern

  • Sicherstellen, dass Backups nicht von der Ransomware verschlüsselt werden können

  • Wiederherstellungstests durchführen, um im Ernstfall schnell handlungsfähig zu sein

  • Einen Notfallplan entwickeln, der Reaktionsmaßnahmen bei einem Angriff definiert

  • Backups können helfen, die Zahlung eines Lösegelds (ransom) zur Wiederherstellung verschlüsselter Daten zu vermeiden

6. Einschränkung der Programmausführung

Ransomware nutzt oft nicht autorisierte Programme, um sich im System auszubreiten. Unternehmen können sich schützen durch:

  • Application Whitelisting, das nur genehmigte Software zulässt

  • Einschränkung der Programmausführung auf nicht durch den Nutzer beschreibbare Verzeichnisse

  • Blockierung von unbekannten oder verdächtigen ausführbaren Dateien

7. Stärkung des Identitäts- und Berechtigungsmanagements

Um die Seitwärtsbewegung von Ransomware im Netzwerk zu verhindern, sollten Unternehmen:

  • Admin-Konten von normalen Nutzerkonten trennen

  • Zwei-Faktor-Authentifizierung (2FA) für privilegierte Zugänge nutzen

  • Passwort-Manager einsetzen und regelmäßige Passwortänderungen erzwingen

8. Schutzmechanismen durch Virenschutz und Intrusion Prevention

Antiviren-Software allein reicht nicht aus, kann aber einen zusätzlichen Schutz bieten. Unternehmen sollten:

  • Endpoint Detection & Response (EDR)-Lösungen einsetzen, die verdächtige Aktivitäten erkennen

  • Intrusion Prevention-Systeme (IPS) verwenden, um Angriffsversuche frühzeitig zu blockieren

  • Cloud-basierte Sicherheitslösungen nutzen, um auf aktuelle Bedrohungen zu reagieren

Die umfassende Lösung von Eye Security gewährleistet einen einheitlichen Cybersicherheitsansatz, der einfach und kostengünstig zu verwalten ist. Setzen Sie sich mit uns in Verbindung, um mehr zu erfahren!

Nehmen Sie Kontakt auf

Möchten Sie wissen, wie wir helfen können?
Lassen Sie uns drüber reden
GET IN TOUCH
Artikel weiterleiten

Related articles.