Ransomware im Wandel: Fokus auf Daten statt Verschlüsselung

Ransomware hat sich grundlegend verändert: Früher ging es um Verschlüsselung und Lösegeld. Heute geht es um Daten.

Aktuelle Reports zeigen, dass die Zahlungsbereitschaft massiv gesunken ist. Parallel dazu bestätigen staatliche Stellen wie ENISA und das BSI, dass Ransomware weiterhin zu den größten Cyberbedrohungen gehört und die Angriffsaktivität hoch bleibt. Die Angreifer haben ihre Strategie geändert – und die Verteidiger müssen nachziehen.

Warum klassische Ransomware-Strategien an Wirkung verlieren

Die sinkende Zahlungsbereitschaft der Ransomware-Opfer spiegelt einerseits die gestiegene technische Resilienz wider. Moderne Backup-Strategien, insbesondere nach dem sogenannten 3-2-1-1-0-Prinzip, ermöglichen eine zuverlässige Wiederherstellung: Es existieren mindestens drei Kopien der Daten, verteilt auf zwei unterschiedliche Speichertechnologien. Eine Kopie liegt außerhalb der eigenen Infrastruktur, und mindestens eine ist so abgelegt, dass sie nicht nachträglich verändert oder gelöscht werden kann (z. B. offline oder immutable). Die „0“ am Ende steht dafür, dass Backups nicht nur vorhanden sind, sondern fehlerfrei wiederherstellbar sein müssen.

Wenn die Wiederherstellungszeit (RTO – Recovery time objective) und der Datenverlust (RPO – Recovery point objective) in einem kalkulierbaren Rahmen bleiben, entfällt das ökonomische Argument für eine Zahlung.

Andererseits ist das Vertrauen in die Angreifer deutlich gesunken, da Daten immer wieder trotz Zahlung veröffentlicht wurden oder die Entschlüsselung fehlschlug. Auch strengere Anforderungen durch Cyberversicherungen sowie die Sanktionen gegen bestimmte Gruppen und deren Einstufung als sanktionierte Akteure machen Lösegeldzahlungen zunehmend problematisch.

Für Angreifer funktioniert das bisherige Modell daher nicht mehr zuverlässig.

Vom Verschlüsseln zum Datendiebstahl: Die neue Strategie der Angreifer

Anstatt primär Systeme zu verschlüsseln, konzentrieren sich Angreifer heute darauf, Daten zu stehlen und damit zu erpressen. ENISA beschreibt diesen Trend klar: Datenexfiltration und die anschließende Drohung mit Veröffentlichung sind inzwischen fester Bestandteil vieler Ransomware-Angriffe.

In diesem Zusammenhang haben sich Modelle wie „Double“ und „Triple Extortion“ etabliert. Das bedeutet: Es geht nicht mehr nur darum, Systeme lahmzulegen. Angreifer ziehen parallel Daten ab und nutzen diese als zusätzliches Druckmittel. In manchen Fällen wird der Druck weiter erhöht, indem Kunden oder Geschäftspartner direkt kontaktiert werden oder Daten gezielt „geleakt“ werden.

Die Drohung lautet jetzt nicht mehr: „Du kannst nicht mehr arbeiten“, sondern: „Wir veröffentlichen deine Geschäftsgeheimnisse, Kundendaten und internen Protokolle“.

Für die Angreifer hat das mehrere Vorteile. Der Aufwand kann geringer sein, vor allem wenn komplett auf Verschlüsselung verzichtet wird („Pure Data Theft“). Gleichzeitig müssen sie nicht mehr so lange im Netzwerk bleiben, was das Risiko reduziert, entdeckt zu werden. Und vor allem: Der Druck auf das Unternehmen ist deutlich höher, weil neben dem operativen Schaden auch rechtliche Konsequenzen und Reputationsrisiken im Raum stehen.

Wie moderne Ransomware-Angriffe tatsächlich ablaufen

Aktuelle Angriffe laufen strukturiert ab und bleiben oft über Tage oder sogar Wochen unentdeckt.

Der Einstieg passiert häufig über vergleichsweise einfache Wege: Phishing-Mails, schwache oder wiederverwendete Passwörter, öffentlich erreichbare Dienste wie VPN oder RDP. Sobald sie im Netzwerk sind, agieren Angreifer zunächst unauffällig. Sie verschaffen sich einen Überblick, sammeln Zugangsdaten und arbeiten sich Schritt für Schritt zu sensiblen Systemen vor.

Der eigentliche kritische Punkt, die Datenexfiltration, läuft in vielen Fällen über ganz normale Protokolle wie HTTPS oder über legitime Cloud-Dienste. Genau deshalb fällt sie im Alltag oft nicht sofort auf.

Erst, wenn die Daten das Unternehmen längst verlassen haben, folgt die Erpressung.

Was das für Ihre Sicherheitsstrategie bedeutet

Für die Praxis heißt das: Ein funktionierendes Backup ist wichtig, aber es löst nur einen Teil des Problems. Der Fokus verschiebt sich von „Recovery first“ auf einen „Data-Centric-Security“-Ansatz.

Entscheidend ist, zu erkennen, wenn Daten das Netzwerk verlassen – und es im Idealfall zu verhindern. Genau hier haben viele Umgebungen noch Lücken. Ein häufiger Grund dafür ist fehlende Sichtbarkeit. Ohne saubere Protokollierung und Auswertung von Netzwerk- und Systemaktivitäten bleibt auffälliges Verhalten oft unentdeckt. Dazu gehören beispielsweise ungewöhnliche Authentifizierungen, plötzliche Rechteausweitungen oder auffällige Datenbewegungen.

Hinzu kommt, dass der ausgehende Datenverkehr in vielen Umgebungen deutlich weniger strikt kontrolliert wird als eingehender Traffic. Genau das nutzen Angreifer gezielt aus. Besonders kritisch ist das im Zusammenspiel mit Cloud- und SaaS-Diensten, die im Alltag legitim genutzt werden und daher selten hinterfragt werden. Sie bieten eine ideale Möglichkeit, Daten unauffällig aus dem Netzwerk zu schleusen.

Konkrete Maßnahmen gegen Datenexfiltration

• Strikte Kontrollen der ausgehenden Datenkommunikation: Kontrollieren und limitieren Sie den ausgehenden Datenverkehr massiv. Achten Sie auf ungewöhnlich große Datenmengen, die nach außen übertragen werden, Verbindungen zu Diensten, die im Unternehmen eigentlich nicht genutzt werden, sowie auffällige Authentifizierungen oder Datenzugriffe, die nicht zum normalen Nutzerverhalten passen.
• Identitätsschutz und Mikrosegmentierung: Da die Exfiltration oft über kompromittierte privilegierte Konten erfolgt, sind die Härtung des Active Directory (oder anderer Identitäts- und Zugriffsverwaltungs-Systeme) sowie die Unterbindung von “Lateral Movement” (die seitliche Bewegung im Netzwerk) wichtiger denn je. Implementieren Sie Multi-Faktor-Authentifizierung überall dort, wo es möglich ist – insbesondere bei Admin-Zugängen, halten Sie Berechtigungen so eng wie möglich („least privilege“) und trennen Sie administrative und normale Benutzerkonten strikt. Sobald Angreifer über privilegierte Konten verfügen, ist die technische Hürde oft bereits überwunden.
• Vorbereitung auf den Ernstfall: Erstellen Sie einen Krisenplan, der explizit nicht nur den Systemausfall, sondern das Szenario eines Datenverlusts abdeckt. Berücksichtigen Sie das in Ihrer PR-Strategie, in der Abstimmung mit Behörden (rechtliche Meldepflichten nach DSGVO/NIS2), sowie in der Kommunikation mit Kunden und Partnern.

Fazit: Warum Daten heute das eigentliche Angriffsziel sind

Die Bedrohung durch Ransomware hat sich nicht verringert, sie hat sich verändert. Der Rückgang der Lösegeldzahlungen ist ein Erfolg der globalen Cybersecurity-Bemühungen, darf aber nicht als Sieg missverstanden werden. Die Dynamik der Angriffe hat sich lediglich transformiert und Cyberkriminelle zur weiteren Anpassung gezwungen. Während früher die IT-Infrastruktur im Fokus stand, ist es heute der Wert der Information selbst.

Die wirksamste Verteidigung gegen moderne Erpressungsangriffe liegt nicht in der Fähigkeit, Lösegeld zu verhandeln, sondern darin, Angriffe frühzeitig zu erkennen Angriffe frühzeitig zu erkennen und zu stoppen – oder zumindest den Abfluss sensibler Daten so weit wie möglich zu minimieren.

Entscheidend ist, den Aufwand für den Angreifer so weit zu erhöhen, dass sich ein Angriff wirtschaftlich nicht mehr lohnt.

Quellen:

ENISA (Threat Landscape Report):
https://www.enisa.europa.eu/sites/default/files/2026-01/ENISA%20Threat%20Landscape%202025_v1.2.pdf