
Ist Ransomware nach wie vor das größte Risiko? Gibt es aktuelle Studien oder Cybervorfälle, die das bestätigen?
Ransomware war leider auch 2024 eine der größten Bedrohungen für die Cybersicherheit. Obwohl die Zahl der Angriffe leicht zurückgegangen ist, sind die dadurch verursachten Kosten gestiegen und die Auswirkungen der Angriffe haben sich verstärkt. So wurden im vergangenen Jahr beispielsweise 59 % der Unternehmen Opfer von Ransomware, wobei die durchschnittlichen Kosten für die Datenwiederherstellung auf 2,73 Millionen US-Dollar stiegen, was ein deutlicher Sprung gegenüber den 1,82 Millionen US-Dollar aus dem Jahr 2023 ist. Besonders hervorzuheben ist dabei, dass aktuell mehr als die Hälfte der betroffenen Unternehmen Lösegeld zahlen, um ihre Daten zurückzubekommen.
Gibt es bei Ransomware auch einen Trend in Richtung organisierte Cyberkriminalität? Gab es bestimmte Gruppen, die hier besonders in Erscheinung getreten sind?
Es gab einige Gruppen, die im Jahr 2024 besonders aufgefallen sind, darunter LockBit, BlackBasta und Alphv. LockBit ist weiterhin eine der aktivsten und gefährlichsten Gruppen, und das trotz umfangreicher Maßnahmen seitens der Strafverfolgungsbehörden, zu denen auch die Zerschlagung ihrer Websites und die Verhaftung wichtiger Mitglieder gehörten. Ihre Ransomware-as-a-Service (RaaS)-Plattform ermöglicht es auch technisch weniger versierten Kriminellen, Ransomware-Angriffe auszuführen, was zu deren weiteren Verbreitung beiträgt. 2024 traten auch neue Ransomware-Gruppen wie Mogilevich und RansomHub in Erscheinung, was die zunehmende Professionalisierung und Ausweitung der Internetkriminalität verdeutlicht.
Mehrfacherpressung, Krypto-Ransomware, Locker-Ransomware und mehr – welche Arten von Angriffen waren letztes Jahr besonders beliebt?
2024 war Mehrfacherpressung unter Cyberkriminellen weit verbreitet. Die Angreifer beschränken sich nicht mehr nur auf die Verschlüsselung von Daten, sondern drohen auch mit der Freigabe sensibler Informationen, wenn kein Lösegeld gezahlt wird – eine Strategie, die als doppelte Erpressung bekannt ist. Krypto-Ransomware, mit deren Hilfe Dateien verschlüsselt und unbrauchbar gemacht werden, ist nach wie vor die häufigste Variante. Im Gegensatz dazu ist Locker-Ransomware, die den Zugriff auf das gesamte System blockiert, weniger verbreitet, da sie leichter erkannt und entfernt werden kann.
Wie reagieren Unternehmen, die Opfer von Ransomware werden? Zahlen sie das Lösegeld, oder gehen sie nicht auf die Forderungen der Täter ein?
Trotz ausdrücklicher Warnungen, kein Lösegeld zu zahlen, zeigen Studien, dass die Mehrheit der betroffenen Unternehmen dies weiterhin tut. 2024 zahlten rund 76 % der geschädigten Unternehmen das geforderte Lösegeld, was auf den anhaltenden finanziellen Druck im Zusammenhang mit Cybervorfällen hinweist. Es zeichnet sich jedoch der Trend ab, dass immer mehr Unternehmen das Lösegeld nicht zahlen. Die Gründe dafür sind folgende:
- Verbesserte Backup-Strategien, die eine Datenwiederherstellung erlauben, ohne dass eine Zahlung notwendig ist
- Rechtliche und ethische Überlegungen, da eine Zahlung zu kriminellen Handlungen anregt
- Unterstützung durch Behörden und Cybersecurity-Expert:innen bei der Lösung des Problems

Trotz ausdrücklicher Warnungen, kein Lösegeld zu zahlen, zeigen Studien, dass die Mehrheit der betroffenen Unternehmen dies weiterhin tut.
Wenn ein Unternehmen Opfer eines Ransomware-Angriffs wird, sollte es dann transparent sein und die Details des Angriffs bekannt geben, damit andere Unternehmen diese Informationen nutzen und sich besser schützen können, oder ist es ratsamer, den Vorfall vertraulich zu behandeln, um den eigenen Ruf zu schützen?
In manchen Situationen kann es obligatorisch sein, einen Vorfall innerhalb der Branche auf sichere Weise zu melden. So schreibt beispielsweise die NIS-2-Richtlinie vor, dass bestimmte Vorfälle bekannt gegeben werden müssen. Wenn das betroffene Unternehmen der Ansicht ist, dass der Vorfall Auswirkungen auf die gesamte Branche haben könnte, besteht außerdem eine ethische Verantwortung, dafür zu sorgen, dass entsprechende Details auf sichere Weise über die etablierten Kommunikationskanäle verbreitet werden, um einen breiter angelegten Angriff zu verhindern. Das Wichtigste dabei ist die sichere Weitergabe von Informationen, um den Ruf des Unternehmens nicht zu schädigen und potenziellen Nachahmungstätern keine detaillierten Informationen zu liefern, während gleichzeitig demonstriert wird, dass die Situation ernst genommen wird.
Was sind die häufigsten Fehler, die Unternehmen im Umgang mit Ransomware-Angriffen nach wie vor machen?
- Keine oder unzureichende Backups: Das Versäumnis, Sicherungskopien auf dem aktuellen Stand zu halten oder sie auf einem separaten System zu speichern.
- Unzureichende Schulung von Mitarbeitenden: Mitarbeitende erkennen Phishing-E-Mails nicht als solche.
- Veraltete Systeme: Software, die nicht gepatcht ist, bietet Angriffsflächen.
- Keine Störfallpläne: Unklarheit über die Schritte, die im Falle eines Angriffs zu unternehmen sind.
- Zahlung von Lösegeld: Es gibt keine Garantie dafür, dass das Unternehmen den Zugriff auf seine Daten oder seinen Computer zurückerhält. Zudem haben die Angreifer weiterhin Zugriff auf die gestohlenen Daten, und es ist wahrscheinlicher, dass das Unternehmen in Zukunft erneut angegriffen wird.
Welche Rolle spielt Künstliche Intelligenz bei der Optimierung von Ransomware?
Künstliche Intelligenz (KI) beeinflusst zunehmend sowohl Cyberangriffe als auch Abwehrstrategien. Cyberkriminelle nutzen KI, um Angriffe zu automatisieren und Sicherheitslücken schneller zu erkennen. Dazu scannen sie Netzwerke und Systeme oder analysieren Informationen mit einer Geschwindigkeit, die weit über menschliche Fähigkeiten hinausgeht. KI verbessert darüber hinaus die Flexibilität von Cyberangriffen, da sie die Entwicklung von polymorpher Malware möglich macht. Das ist Malware, die sich in Echtzeit weiterentwickelt, um Sicherheitsmechanismen zu umgehen. Und auch wenn wir alle wissen, dass KI nicht perfekt ist, hilft sie Angreifern, überzeugendere und persönlichere Phishing-E-Mails zu verfassen, die schwerer als solche zu erkennen sind. Infolgedessen sind viele der typischen Erkennungszeichen von Phishing-E-Mails nicht mehr so offensichtlich, was das Risiko erfolgreicher Cyberangriffe erhöht. Auf der Kehrseite wird KI bei der Abwehr dazu eingesetzt, Anomalien schneller zu erkennen und Bedrohungen proaktiv abzuwehren.
Gibt es neue Technologien, die helfen können, Ransomware-Angriffe effektiver abzuwehren, oder sind solche in der Entwicklung?
Ja, es gibt eine Reihe neuer Technologien und Innovationen, die die Abwehr von Ransomware-Angriffen verbessern und in Zukunft eine wichtige Rolle spielen dürften. Systeme zur Verhaltenserkennung analysieren beispielsweise das typische Benutzerverhalten und erkennen Anomalien, die auf einen in Gang befindlichen Ransomware-Angriff hindeuten können. Deception-Technologien, einschließlich Honeypots und Fake Data, werden eingesetzt, um Angreifer irrezuführen und ihre Aktionen zu verlangsamen, wobei sie gleichzeitig wertvolle Erkenntnisse über deren Taktiken liefern. Secure Access Service Edge (SASE) bietet eine Cloud-basierte Lösung, die Netzwerk- und Sicherheitsfunktionen kombiniert und so einen sicheren, skalierbaren Zugang bietet und Angriffsflächen verkleinert. Darüber hinaus gibt es homomorphe Verschlüsselung, mit deren Hilfe Daten in ihrer verschlüsselten Form ohne Entschlüsselung bearbeitet werden können, wodurch das Risiko der Datenpreisgabe selbst dann verringert wird, wenn das System angegriffen wird. Diese Technologien stellen einen proaktiven, mehrschichtigen Ansatz für eine effektivere Abwehr von Ransomware dar.
Glauben Sie, dass Ransomware auch 2025 weiterhin die größte Bedrohung darstellen wird?
Ja, der Trend zeigt, dass Kriminelle, die Ransomware nutzen, immer professioneller werden und ihre Angriffe ständig perfektionieren, was darauf hindeutet, dass diese Bedrohung in absehbarer Zeit nicht verschwinden wird. Ein weiterer Grund ist die hohe Rentabilität dieser Angriffe, da immer mehr Unternehmen Lösegeld zahlen. Darüber hinaus erleichtert Ransomware-as-a-Service (RaaS) den Zugang zu komplexen Tools, mit denen auch technisch weniger versierte Kriminelle erfolgreiche Ransomware-Angriffe durchführen können. Und schließlich spielen geopolitische Spannungen eine immer größere Rolle, da staatlich gesponserte Hackergruppen Ransomware als Mittel zur Verfolgung strategischer Ziele einsetzen.
Sie möchten unsere Fakten und Zahlen überprüfen?
ENISA Threat Landscape 2024 - ENISA
The State of Ransomware 2024 - Sophos News
Most Popular Ransomware Groups to Watch (Updated 2025)- Recorded Future
Six ransomware gangs behind over 50% of 2024 attacks - The Register
Behavioral patterns of ransomware groups are changing - Help Net Security
Malwarebytes Releases “ThreatDown 2024 State of Ransomware”- Malwarebytes Press Center
The Ransomware Threat in 2024 is Growing: Report - SecurityWeek
Sie möchten Ihre Ransomware-Resilienz erhöhen? Wir stehen dabei gerne an Ihrer Seite!
