Ransomware-Header

Die Zahl der Ransomware-Attacken hat sich 2024 vervierfacht, dahinter steckt laut Experten wohl der Trend von Großangriffen hin zu Ransomware-as-a-Service. Was das ist und was für die Bedrohungslage und Unternehmen bedeutet, haben wir für Sie zusammengefasst.

Cyberangriffe: Die Ransomware Attacke

Ransomware bleibt dominierende Bedrohung – mit maximalem Schaden

19. März 2026 Ransomware ist weiterhin der Angriff mit den größten wirtschaftlichen Auswirkungen und gehört zu den zentralen Cyberrisiken für Unternehmen.

  • Hohe Schadenswirkung trotz stabiler Fallzahlen
  • Durchschnittliche Ausfallzeit: ~22 Tage nach erfolgreichem Angriff
  • Cybercrime-Schäden in Deutschland: über 200 Mrd. € jährlich

Neue Entwicklung: Nicht die Häufigkeit steigt primär – sondern die Schadensintensität und Professionalität.

„Ransomware ist eine Schadsoftware, die die Nutzung von Rechnern oder Daten blockiert und für die Freigabe ein Lösegeld fordert. Es kommen Methoden wie die Verschlüsselung von Dateien zum Einsatz.“

definiert der Security Insider, deutsche Fachpublikation zum Thema IT-Sicherheit. Ransomware leitet sich vom englischen Wort „ransom“, Lösegeld, ab. Da die Schadprogramme häufig Daten durch Verschlüsselung blockieren, wird Ransomware auch Kryptotrojaner oder Verschlüsselungstrojaner genannt. Von der Malware können unterschiedlichste Betriebssysteme wie Windows, Linux, macOS oder Android und Hardwareplattformen wie Server, PCs, Tablets oder Smartphones betroffen sein.

Fokus klar auf Mittelstand (KMU)

Ein zentraler Trend: Angriffe verschieben sich massiv auf kleinere und mittlere Unternehmen.

  • Rund 80 % der Ransomware-Angriffe betreffen KMU
  • Hauptursachen:
    • schwächere Schutzmaßnahmen
    • fehlende Notfallpläne
    • falsche Risikoeinschätzung

Oftmalige Fehleinschätzung: „Wir sind zu klein, um Ziel zu sein“ ist faktisch widerlegt.

3. Professionalisierung: Ransomware-as-a-Service (RaaS)

Ransomware ist heute ein organisiertes Geschäftsmodell:

  • arbeitsteilige Strukturen (Initial Access, Verschlüsselung, Verhandlung)
  • Plattformökonomie: „Ransomware-as-a-Service“
  • nach Abschaltung großer Gruppen entstehen sofort neue (z. B. Nachfolger-Strukturen)

Trend: Cybercrime funktioniert zunehmend wie ein SaaS-Business (Software as a Service), also Hacker werden zu Dienstleistern.

Ransomware-as-a-Service (RaaS): Dieses Geschäftsmodell ermöglicht es auch technisch unerfahrenen Kriminellen, Zugang zu hoch entwickelter Ransomware-Technologie zu erhalten. Entwickler stellen ihre Malware gegen eine Gebühr zur Verfügung, was den Einstieg in die Welt der Cyberkriminalität erleichtert. Dabei sind unternehmerische Rollen wie Operatoren, Developer und Initial Access Broker sind offiziell etabliert.Das Modell fördert zudem die Professionalisierung und Skalierung von Ransomware-Angriffen weltweit.

Rollenverteilung in der RaaS Community by Bitdefender - Quelle:Bitdefender

Rollenverteilung in der RaaS Community Quelle:BitdefenderKünstliche Intelligenz und Ransomware

Künstliche Intelligenz (KI) wird bei Ransomware immer beliebter. Angreifergruppen nutzen KI etwa zur Aufklärung gegen Zielorganisationen, deren Aktivitäten und Mitarbeitende. Informationen können mit KI in hoher Geschwindigkeit ausgewertet werden, das war früher mit viel Zeit verbunden. Folgeaktivitäten wie die KI-gestützte Ausnutzung von Schwachstellen, Social Engineering und KI-unterstützte Desinformationskampagnen werden laut BSI (Bundesamt für Sicherheit und Informationstechnik) auch zunehmend beliebter.

Doppel- und Mehrfach-Erpressung (Double/Triple Extortion)

IT Hygiene Ransomware

Klassische Verschlüsselung reicht nicht mehr. Bisher wurden die Systeme meistens verschlüsselt, doch das nimmt immer weiter ab.

Neue Muster:

  • Double Extortion: Daten werden zusätzlich exfiltriert und veröffentlicht –> Unternehmen werden zusätzlich mit Veröffentlichung bedroht
  • Triple Extortion: Druck auf Kunden, Partner oder Öffentlichkeit

Konsequenz:

→ Backup allein schützt nicht mehr vor Erpressung.

Warum ändern sich die Attacken? Unser Erfahrung in den letzten Monaten zeigt, dass unsere Kunden zunehmend aufrüsten und besser auf potentielle Attacken vorbereitet sind und den Angreifern immer weniger Zeit für die Ransomware-Attacke bleibt. Verschlüsselung dauert und daher fokussieren sich die Angreifer auf das Abgreifen von Daten und drohen diese, ohne Lösegeldzahlung, zu veröffentlichen.

KI verändert die Angriffe massiv

Der Einsatz von Künstlicher Intelligenz beschleunigt und skaliert Angriffe:

  • realistischere Phishing-Kampagnen
  • automatisierte Angriffsketten
  • individuell angepasste Erpressungsstrategien

Neue Qualität: Angriffe werden

schneller -personalisierter – schwerer erkennbar

Wir beobachten in den letzen Monaten, dass die Anzahl gut gestalteter Phishing-Emails immer mehr zunimmt.

Ransomware Einstiegspunkt bleibt der Mensch (Social Engineering)

Technische Schwachstellen sind nicht mehr der einzige Hebel.

Zunehmend:

  • Phishing mit KI-generierten Inhalten
  • „CEO Fraud“ / Fake-Anweisungen
  • Mehrsprachige, perfekt formulierte Angriffe

In vielen Fällen beginnt ein Angriff ganz einfach:

  • Klick auf einen falschen Link
  • Öffnen eines infizierten Anhangs
  • Reaktion auf eine gut gemachte E-Mail

Wichtig: Technik allein schützt nicht – Mitarbeitende spielen eine zentrale Rolle. Der Mensch ist wieder der primäre Angriffsvektor.

Zahlen zum Thema Phishing - 400000 Emails wurden 2024 der Verbaucherzentrale NRW gemeldet.

IT-System werden immer komplexer

Angriffsflächen wachsen schneller als Schutzmaßnahmen

Unternehmen nutzen heute viele Systeme gleichzeitig:

  • Cloud-Dienste
  • vernetzte Software (Cloud, APIs, OT, IoT)
  • Schnittstellen zu Partnern

Dadurch entstehen mehr mögliche Schwachstellen.

Kurz gesagt: Je komplexer die IT, desto mehr Angriffspunkte.
Angreifer profitieren von strukturell steigender Komplexität.

Geopolitik & staatliche Akteure verstärken Bedrohung

Das erhöht die Professionalität und Zielgerichtetheit der Angriffe.

Doppelter Pfeil - SYSTAG GmbH - Business Applikationen, Enterprise Apps & Unified Endpoint ManagementRansomware ist heute kein „IT-Problem“ mehr, sondern Geschäftsrisiko für jedes Unternehmen.
Die Angriffe sind professionell organisiert, technisch ausgefeilt und oft erfolgreich, weil sie im Alltag ansetzen.

Cyber Security für Entscheider*innen Teil 2CyberSecurity für Entscheider Teil 2Was unterscheidet einen KI-Agent von einem KI-Assistent_1-1Was unterscheidet einen KI-Agenten von einem KI-Assistenten?
Zum Inhalt springen