Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung

Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

[datensicherheit.de, 11.07.2025] Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden. „Die Angreifer gehen heute immer gezielter, ausdauernder und strategischer vor“, berichtet Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos. Das wachsende Risiko betreffe besonders Industrieunternehmen auf der ganzen Welt. Die „Industrial Ransomware Analysis Q1“ von Dragos liefere nun fundierte Einblicke in diese anhaltenden Gefahren und zeige wichtige Entwicklungen, regionale Besonderheiten sowie jene durch die weltweite Bedrohungsbeobachtung erkannten Schwachstellen einzelner Branchen auf.

Deutschland weiterhin ein Ransomware-Hauptziel in Europa

Im ersten Quartal 2025 beobachtete Dragos demnach 708 Ransomware-Angriffe auf Industrieunternehmen weltweit. „Das entspricht einem deutlichen Anstieg im Vergleich zu rund 600 Fällen im vierten Quartal 2024. Nordamerika bleibt mit 413 gemeldeten Vorfällen, was etwa 58 Prozent aller weltweiten Aktivitäten ausmacht, die am stärksten betroffene Region.“ Europa folge mit 102 bis 135 Angriffen (etwa 19%), wobei Deutschland weiterhin zu den Hauptzielen zähle.

• Dieser Anstieg verdeutliche die zunehmende Häufigkeit und Komplexität von Ransomware-Angriffen, welche vor allem Branchen wie Fertigung, Transport, Industrielle Steuerungssysteme (ICS) und Maschinenbau träfen. Alamri führt aus: „Auch wenn viele der eingesetzten Techniken nicht neu oder besonders ausgefeilt sind, fallen Ransomware-Angriffe aufgrund ihrer gezielten Vorgehensweise, ihrer nachhaltigen Wirkung und ihrer wachsenden Verbreitung durch immer raffiniertere Akteure klar in die Kategorie der sogenannten ,Advanced Persistent Threats’ (APT).“

Mit 68 Prozent sei der Fertigungssektor im ersten Quartal 2025 weiterhin am stärksten betroffen gewesen, auch wenn der Anteil leicht unter den 70 Prozent im vierten Quartal 2024 liege. „Industrieunternehmen, die eine Schlüsselrolle in globalen Lieferketten und Infrastrukturen spielen, sind besonders gefährdet, da Ransomware-Gruppen ihre Taktiken stetig weiterentwickeln“, warnt Alamri.

Ransomware-Vorfälle zeigen auf, wie der Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigt werden können

Die zunehmende Vernetzung von IT und OT verstärke die betrieblichen Folgen zusätzlich, da sich IT-Störungen direkt auf operative Prozesse auswirken könnten. Zudem setzten Angreifer vermehrt auf irreführende Erpressungsmethoden, was die Verteidigung zusätzlich erschwere.

• So machten sie häufig unbegründete Behauptungen über angebliche Sicherheitsvorfälle und übten psychologischen Druck aus, etwa durch das erneute Veröffentlichen veralteter oder gefälschter Datenlecks. „Diese Täuschungen behindern nicht nur die Reaktion auf Vorfälle, sondern erschweren auch die Überprüfung und belasten die betroffenen Unternehmen erheblich“, kommentiert Alamri.

Zwar habe Dragos in diesem Zeitraum keine neuen Ransomware-Varianten identifiziert, „die speziell auf ICS-Umgebungen abzielen“, doch schwere Vorfälle wie der Angriff auf Unimicron – einen führenden Hersteller von Leiterplatten – zeigten, wie stark Ransomware den Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigen könne.

Trends, Muster und Beobachtungen zu Ransomware-Gruppen im ersten Quartal 2025

Im ersten Quartal 2025 hätten Ransomware-Gruppen ihre Taktiken weiter verfeinert. „Neben etablierten Akteuren traten auch neue Gruppen in Erscheinung, die unter anderem KI-gestützte Schadsoftware und ausgeklügelte Methoden zur Umgehung von EDR-Systemen einsetzten.“

• Ihre Angriffe hätten sich gezielt gegen Schwachstellen in IT-Infrastrukturen gerichtet, wie etwa in „Cleo“-Dateiübertragungsplattformen, Fernzugriffsanwendungen oder veralteter Software. „Hinzu kamen Versäumnisse beim Schutz von Remote-Zugängen, ein mangelhafter Umgang mit Anmeldedaten und Sicherheitslücken entlang der Lieferkette“, so Alamri. Diese Faktoren hätten zu erheblichen Störungen geführt und eine schnelle und koordinierte Reaktion auf die Angriffe erschwert.

Um dieser dynamischen Bedrohungslage wirksam zu begegnen, brauche es vorausschauende Sicherheitsstrategien, eine schnelle Erkennung verdächtiger Aktivitäten und kontinuierlich weiterentwickelte Schutzmaßnahmen. Dazu zählten der breite Einsatz robuster Multi-Faktor-Authentifizierung (MFA), die kontinuierliche Überwachung sensibler Netzwerkbereiche, zuverlässige Offline-Backups sowie ein sicherer und kontrollierter Fernzugriff.

Eigene Resilienz gegenüber wachsenden Bedrohungen hochentwickelter Ransomware-Gruppen stärken

Abschließend rät Alamri: „Ergänzend sollten Unternehmen ihre Mitarbeitenden gezielt schulen, ihre Netzwerkarchitektur regelmäßig überprüfen und moderne Erkennungssysteme einsetzen, die auch KI-gestützte Angriffsformen erkennen!“

• Er erläutert: „Da sich das Ransomware-Ökosystem zunehmend ausdifferenziert und dynamisch an neue Bedingungen anpasst, gewinnt die frühzeitige Erkennung von Bedrohungen, der zeitnahe Informationsaustausch und eine koordinierte Reaktion auf Angriffe enorm an Bedeutung.“ Nur durch ein entschlossenes und abgestimmtes Vorgehen ließen sich Kritische Infrastrukturen (Kritis) und industrielle Abläufe wirksam schützen.

Unternehmen müssten vor allem die Risiken der IT-OT-Konvergenz aktiv angehen, Schwachstellen in der Lieferkette absichern und Meldeprozesse für sicherheitsrelevante Vorfälle weiterentwickeln. „Wer hier systematisch ansetzt, stärkt die eigene Resilienz gegenüber den wachsenden Bedrohungen durch hochentwickelte Ransomware-Gruppen.“

Weitere Informationen zum Thema:

DRAGOS, The Dragos Blog, Abdulrahman H. Alamri & Lexie Mooney, 21.05.2025
Dragos Industrial Ransomware Analysis: Q1 2025

DRAGOS
Abdulrahman H. Alamri / Senior Intel Analyst II

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland