[datensicherheit.de, 08.06.2025] Der eco – Verband der Internetwirtschaft e.V. geht in seiner Stellungnahme vom 3. Juni 2025 auf das aktuelle „Bundeslagebild Cybercrime 2024“ des Bundeskriminalamts (BKA) ein – demnach bleibt Ransomware die größte Bedrohung für Unternehmen und Kritische Infrastrukturen (KRITIS). Besonders beunruhigend sei, dass die Angriffe gezielter und komplexer erfolgten – und dies immer öfter mit dem Diebstahl sowie der Veröffentlichung sensibler Unternehmensdaten kombiniert. Der eco warnt eindringlich vor dieser Entwicklung und fordert ein strategisches Umdenken: Cyberresilienz müsse zum unternehmerischen Standard werden!

Weiterhin Zunahme der Bedrohung durch Ransomware

Angesichts der zunehmenden Bedrohung durch Ransomware fordert der eco eine konsequente Umsetzung von „Security by Design“ und ein deutliches Umdenken bei der Cyberresilienz in Unternehmen. Zwar leisteten Ermittlungsbehörden wertvolle Arbeit bei der Aufklärung von Cyberangriffen, doch seien auch privatwirtschaftliche Akteure gefordert, ihrer Verantwortung nachzukommen – nicht zuletzt im Sinne des Schutzes ihrer Kunden und Geschäftspartner.

• Das „Bundeslagebild Cybercrime 2024“ des BKA) zeige: „Cyberangriffe nehmen weiter zu – mit Ransomware als dominierender Bedrohung. Mehr als 130.000 Straftaten wurden registriert, dazu rund 200.000 Auslandstaten.“

Die Aufklärungsquote bleibe mit 32 Prozent besorgniserregend niedrig. Parallel warne das „Allianz Risk Barometer 2024“ weltweit vor Cybervorfällen als größtem Geschäftsrisiko – besonders durch Erpressungssoftware. Diese Zahlen zeigten: „Ohne präventive Maßnahmen und robuste Sicherheitskonzepte reicht der Schutz durch Versicherungen nicht aus!“

Ransomware als strukturelles Risiko für Wirtschaft, Gesellschaft und Staat

Prof. Dr. Norbert Pohlmann, eco-Vorstand für IT-Sicherheit, kommentiert: „Ransomware ist kein Randphänomen mehr – sie ist ein strukturelles Risiko für Wirtschaft, Gesellschaft und Staat. Unternehmen müssen nicht nur reaktiv auf Vorfälle reagieren, sondern proaktiv Sicherheitsarchitekturen etablieren!“ „Security by Design“ sei hierzu der Schlüssel – und der „Cyber Resilience Act“ mache deutlich, „dass dies künftig nicht mehr optional ist“.

• Ransomware-Angriffe führten nicht nur zur Verschlüsselung sensibler Daten, sondern zunehmend auch zum Ausfall von Produktionssystemen oder KRITIS. Datendiebstahl und das gezielte Veröffentlichen vertraulicher Unternehmensdaten seien dabei immer häufiger Bestandteil der Erpressungsstrategie.

Kriminelle Akteure setzten auch verstärkt auf KI, um Angriffstechniken zu automatisieren und gezielt Schwachstellen auszunutzen. Besonders die deutsche Industrie werde immer häufiger zum Ziel – oft mit erheblichen wirtschaftlichen Folgen.

Ransomware verstehen – Resilienz stärken: Einladung zur Veranstaltung am 2. Juli 2025

„Wie wird Ransomware entwickelt? Welche Rolle spielt KI bei modernen Angriffen? Und wie kann sich insbesondere der Mittelstand wirksam schützen?“ Um diese Fragen zu beleuchten, lädt der eco-Verband gemeinsam mit der Wirtschaftsförderung Rhein-Erft GmbH und der Kreissparkasse Köln am 2. Juli 2025 zur Veranstaltung „Ransomware – Aktuelle Bedrohungen, wirksame Schutzstrategien“ ein:

• „Ransomware – Aktuelle Bedrohungen, wirksame Schutzstrategien“
  Mittwoch, 02.07.2025, 16.00 – 19.00 Uhr
  Kreissparkasse Köln
  Hauptstraße 21
  50126 Bergheim
  Die Teilnahme ist kostenlos – eine Online-Anmeldung erforderlich.

Die eco-Initiative „Ransomware“ lädt in Kooperation mit der Wirtschaftsförderung Rhein-Erft GmbH und der Kreissparkasse Köln zu dieser „Roadshow (Anti-)Ransomware“ ein. Experten aus unterschiedlichen Bereichen der IT-Sicherheit werden spannende Einblicke und praktische Tipps geben – wie sich Unternehmen vor Ransomware-Attacken und sonstigen Cyberbedrohungen schützen können.

eco-Engagement für ein widerstandsfähiges digitales Deutschland

Der eco begleitet die Umsetzung des „Cyber Resilience Act“ (CRA) aktiv und steht Unternehmen mit Fachwissen, Leitfäden und Brancheninitiativen zur Seite – „für ein widerstandsfähiges digitales Deutschland“. In diesem Zusammenhing gibt er folgende Empfehlungen:

• „Security by Design“ als regulatorischer und technischer Standard
  Sicherheitsmechanismen müssten von Beginn an in die Entwicklung digitaler Systeme integriert werden – als Grundlage für eine wirksame Cyberresilienz und zur Erfüllung des CRA.
• Stärkere Investitionen in Prävention und Schulung
  Unternehmen sollten Sicherheitslücken frühzeitig erkennen, Mitarbeiter sensibilisieren und interne Prozesse sicher gestalten.
• Ausbau der Kooperation von Staat und Wirtschaft
  Nur durch koordiniertes Vorgehen und Austausch von Informationen könne die Bedrohung durch Ransomware wirksam eingedämmt werden.
• Stärkung der Verantwortung in der Privatwirtschaft
  Die Verantwortung für digitale Sicherheit liege nicht nur bei Ermittlungsbehörden – Unternehmen trügen eine aktive Mitverantwortung, um ihre Systeme und Kundendaten zu schützen.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Anti-Ransomware Initiative / Wie sich Unternehmen vor Ransomware-Attacken und Cyber-Bedrohungen schützen können

ALLIANZ, 24.01.2024
Allianz Risk Barometer: Die wichtigsten Geschäftsrisiken 2024 / Cybervorfälle wie Ransomware-Angriffe, Datenschutzverletzungen und IT-Unterbrechungen sind laut dem Allianz Risk Barometer im Jahr 2024 die größte Sorge für Unternehmen weltweit.

ALLIANZ COMMERCIAL
Allianz Risk Barometer / Identifying the major business risks for 2024

datensicherheit.de, 07.06.2025
Bundeslagebild Cybercrime 2024: BKA meldet zahlreiche Ermittlungserfolge bei anhaltend hoher Bedrohungslage / BKA-Präsident Münch berichtete am 3. Juni 2025, dass jeden Tag der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt werden

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

[datensicherheit.de, 07.06.2025] Laut einer aktuellen Stellungnahme des Bundeskriminalamts (BKA) ist die Bedrohungslage durch Cyberkriminalität in Deutschland anhaltend hoch – als Indikator dafür wird die Polizeiliche Kriminalstatistik (PKS) aufgeführt, welche demnach 131.391 in Deutschland verübte Cybercrime-Fälle für das Jahr 2024 ausweist. Bei weiteren 201.877 Straftaten handele es sich um sogenannte Auslandstaten, welche eben vom Ausland oder einem unbekannten Ort aus verübt wurden. Das aktuelle „Bundeslagebild Cybercrime 2024“ wurde am 3. Juni 2025 vom Bundesinnenminister, Alexander Dobrindt, und dem Präsidenten des BKA, Holger Münch, vorgestellt.

Abbildung: BKA

BKA-Poster zum „Bundeslagebild Cybercrime 2024“

Zunehmende Ausweitung geopolitischer Konflikte auch im Cyberraum

Bundesinnenminister Dobrindt führte aus: „Cyberangriffe besitzen ein enormes Schadenspotenzial und sind eine Bedrohung für Wirtschaft, Staat und Gesellschaft. Zudem beobachten wir eine zunehmende Ausweitung geopolitischer Konflikte in den digitalen Raum und stellen fest, dass die hybride Bedrohung in Deutschland erkennbar angestiegen ist. Dabei verschwimmen die Grenzen zwischen finanziell und politisch motivierten Cybergruppierungen immer mehr.“

Die deutschen Strafverfolgungsbehörden und das BKA hätten in den letzten Monaten aber immer wieder gezeigt: „Sie sind fähig und in der Lage, Cybercrime erfolgreich zu bekämpfen. Die Fähigkeiten, Cyberkriminalität zu verfolgen und aufzuklären, wollen wir angesichts der wachsenden Bedrohung ausbauen und weiter stärken!“

Ransomware-Angriffe bleiben große Bedrohung für Unternehmen und öffentliche Verwaltung

BKA-Präsident Münch berichtete: „Jeden Tag werden der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt. Sie können Unternehmen in ihrer Existenz bedrohen, die öffentliche Verwaltung lähmen oder auch Kunden von Verkehrsbetrieben betreffen.“ Mit ihren international koordinierten Maßnahmen hätten sie auch im vergangenen Jahr wieder gezeigt, „dass wir nicht nachlassen und der gesteigerten Bedrohungslage effektive polizeiliche Maßnahmen entgegensetzen“.

Dabei habe man den kriminellen Akteuren nicht nur ihre technischen Infrastrukturen und Finanzmittel entzogen, sondern auch Misstrauen in der „Underground Economy“ geschürt. „Diese Strategie werden wir auch in Zukunft fortsetzen und unsere Aktivitäten angesichts der bestehenden Bedrohungslage weiter ausbauen!“

2024 geprägt von „hacktivistischen“ DDoS-Kampagnen und Vielzahl schwerer Ransomware-Angriffe

Insgesamt sei die hohe Bedrohungslage für das Jahr 2024 geprägt von „hacktivistischen“ DDoS-Kampagnen und einer Vielzahl von schweren Ransomware-Angriffen, welche teils weitreichende Auswirkungen auf IT-Lieferketten gehabt hätten. Dabei seien sowohl Aktivitäten etablierter Täter als auch neuer Gruppierungen festgestellt worden. „Die Akteure hinter den ,hacktivistischen’ DDoS-Angriffen auf Ziele in Deutschland lassen sich vornehmlich in zwei Lager einordnen: pro-russisch oder anti-israelisch.“

Ziele der im Laufe des Jahres 2024 festgestellten Kampagnen seien primär öffentliche Einrichtungen und (Bundes-)Behörden gewesen. „Ebenso waren Logistikdienstleister und Unternehmen des verarbeitenden Gewerbes unter den Zielen der ausgeführten DDoS-Angriffe.“ Das BKA gehe gemeinsam mit internationalen Partnern z.B. in der „Operation PowerOff“ gegen sogenannte Stresserdienste vor, welche derartige Angriffe vereinfachten. „In diesem Kontext wurde zuletzt im Oktober 2024 die Plattform ,Dstat.CC’ abgeschaltet, die auch von ,hacktivistischen’ Gruppierungen genutzt worden war.“

Ransomware im Zentrum der BKA-Cyberbekämpfungsstrategie

Ransomware sei auch 2024 die prägende Bedrohung im Cyberraum geblieben – bundesweit hätten 950 Unternehmen und Institutionen Ransomware-Fälle bei der Polizei zur Anzeige gebracht. „Das sind besonders schwere Cyberstraftaten, bei denen Kriminelle z.B. Daten kopieren und verschlüsseln, um anschließend ein Lösegeld zu erpressen. Neben finanzstarken Unternehmen stehen auch Einrichtungen und Institutionen mit hoher Öffentlichkeitswirksamkeit im Fokus cyberkrimineller Akteure.“ Aber auch leicht verwundbare kleine und mittelständische Unternehmen (KMU) seien stark betroffen.

Da diese Form der Angriffe besonders hohe Schäden und Ausfälle von sensiblen technischen Infrastrukturen verursachen könnten, stünden diese im Zentrum der BKA-Cyberbekämpfungsstrategie. „Die in Deutschland durch Cyberattacken entstandenen Schäden betrugen gemäß einer im Jahr 2024 durchgeführten Erhebung des Verbandes Bitkom e.V. 178,6 Milliarden Euro und sind damit im Vergleich zum Erhebungsjahr 2023 deutlich angestiegen (+ 30,4 Mrd. Euro).“

Weitere cyberkriminelle Professionalisierung und zahlreiche Ermittlungserfolge

Auch 2024 sei das Geschäftsmodell „Cybercrime-as-a-Service“ von zentraler Bedeutung gewesen. Die sogenannte Underground Economy biete ihre kriminellen Dienstleistungen inzwischen in industriellen Maßstäben an. Entwicklungen im Bereich der KI dürften diesen Trend weiter verstärken.

Der steigenden Bedrohungslage seien 2024 intensive Ermittlungen und strafprozessuale Maßnahmen entgegengesetzt worden, darunter mehrere Festnahmen und die Abschaltung verschiedener krimineller Plattformen wie „AegisTools.pw“, „Dstat.CC“ und „Crimenetwork“ sowie der Beginn der internationalen Operation „Endgame“.

BKA nutzt „Infrastrukturansatz“, „Finanzansatz“ und „Disruptive Kommunikation“

Professionelle Tätergruppierungen agieren laut BKA häufig aus „Safe Havens“ heraus, also aus Staaten, die nicht oder nur sehr schlecht mit westlichen Strafverfolgungsbehörden zusammenarbeiten. Aus diesem Grund würden personenbezogene Ermittlungen mit einem koordinierten Vorgehen gegen kriminelle technische Infrastrukturen (sog. Infrastrukturansatz) und dem Entzug finanzieller Mittel (sog. Finanzansatz) kombiniert.

„Ergänzt werden diese Maßnahmen durch die öffentliche Benennung, Fahndung oder Sanktionierung identifizierter Cyberkrimineller (sog. Disruptive Kommunikation). Durch Abschaltung der größten deutschsprachigen Online-Marktplätze für illegale Waren und Dienstleistungen wurde deren Handel erheblich eingegrenzt.“ Gerade der überwiegend auf Deutsch kommunizierenden Täterschaft fehle dadurch nun eine wichtige Grundlage für weitere Straftaten.

Polizeilichen Maßnahmen haben 2024 Wirkung gezeigt

Durch Maßnahmen gegen die technische Infrastruktur cyberkrimineller Dienstleistungen wie Marktplätze, Malware-Varianten oder Exchange-Services, seien Cybertätern wichtige Bausteine ihrer Aktivitäten entzogen worden. „Der Wiederaufbau dieser Dienstleistungen dauert häufig mehrere Monate und bindet erhebliche Ressourcen bei den Kriminellen.“

Die polizeilichen Maßnahmen zeigten Wirkung: „Sie haben zu einem Rückgang der Ransomware-Angriffe geführt und auch Auswirkungen auf die Einnahmen der Täter gehabt.“ 2024 seien deutlich weniger Lösegeldzahlungen auf sogenannte Kryptowallets von Ransomware-Akteuren verzeichnet worden als im Vorjahr. „Darüber hinaus störten die Maßnahmen das Vertrauensverhältnis der Ransomware-Akteure untereinander erheblich.“

Weitere Informationen zum Thema:

Bundeskriminalamt BKA
Bundeslagebild Cybercrime 2024: BKA setzt anhaltend hoher Cyberbedrohung zahlreiche Ermittlungserfolge entgegen

Bundeskriminalamt BKA
2024 Bundeslagebild Cybercrime [Download]

Bundeskriminalamt BKA
Bundeslagebild Cybercrime / Berichtsjahr 2024 [Poster]

Bundeskriminalamt BKA
Polizeiliche Kriminalstatistik (PKS)

POLIZEI
Zentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen

datensicherheit.de, 14.05.2025
LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm / „First-Party-Fraud“ übertrifft Scams und wird zur häufigsten Form globaler Cybercrime-Angriffe – KI-gestützter Betrug wird voraussichtlich im Jahr 2025 zunehmen

[datensicherheit.de, 01.06.2025] Laut einer aktuellen Acronis-Meldung von Ende Mai 2025 hat sich die Bedrohungslage durch Cyberangriffe in Deutschland 2024 strukturell verändert: Wie aktuelle Zahlen von Acronis demnach zeigen, war Malware im vergangenen Jahr die dominierende Bedrohung – durchschnittlich 23,7 Prozent der Acronis-Nutzer in Deutschland waren monatlich betroffen, fast doppelt so viele wie noch 2023 mit zwölf Prozent. Dagegen hätten Angriffe mittels Ransomware im Januar 2024 im Vergleich zu Dezember 2023 einen Rückgang um 80 Prozent verzeichnet. „Dieser Trend hielt das ganze Jahr über an: In jedem Monat 2024 lagen die Ransomware-Erkennungen deutlich unter denen des gleichen Zeitraums im Vorjahr.“

Laut der „Acronis Threat Research Unit setzen Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken

Die Telemetriedaten von Acronis zeigten einen Anstieg der Malware-Angriffe in Deutschland im Jahr 2024 an. Die durchschnittliche Erkennungsrate habe im Jahresverlauf bei 23,7 Prozent gelegen, was fast eine Verdopplung im Vergleich zum Vorjahr darstelle, als nur zwölf Prozent der Acronis-Nutzer von Malware betroffen gewesen seien.

• „Diese Zunahme wurde durch verschiedene Faktoren beeinflusst und zeigt, dass Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken setzen.“

Laut der „Acronis Threat Research Unit“ (TRU) ist die veränderte Bedrohungslage auf eine Kombination aus verstärkten Abwehrmaßnahmen gegen Ransomware und einem strategischen Wandel aufseiten der Angreifer zurückzuführen:

• „Statt auffälliger Erpressungstaktiken setzen Cyberkriminelle zunehmend auf versteckte Infektionswege, ,Info-Stealer’ und dateilose Angriffe, die schwieriger zu erkennen und abzuwehren sind.“

Nach Acronis-Erkenntnissen bestimmten saisonale Schwankungen Malware-Bedrohungslage

Im Jahresverlauf 2024 seien saisonale Schwankungen bei den Malware-Erkennungsraten zu beobachten gewesen. „Der höchste Anstieg erfolgte im April, als die Erkennungsrate mit 27,5 Prozent den höchsten Punkt des Jahres erreichte. Ein Rückgang war im Juni zu verzeichnen, als die Erkennungsrate auf 22,5 Prozent sank.“

• Dies könnte durch die reduzierten Geschäftstätigkeiten während der Sommermonate sowie eine zunehmende Nutzung von versteckten Malware-Techniken wie sogenannten Info-Stealern und dateilosen Angriffen bedingt gewesen sein.

„Der Herbst und Winter 2024 brachten jedoch erneut einen deutlichen Anstieg. Im November stieg die Erkennungsrate auf 25,3 Prozent und im Dezember erreichte sie mit 26,7 Prozent ihren höchsten Wert des Jahres.“

• Dies könnte mit saisonalen Ereignissen wie „Black Friday“, dem Weihnachtsshopping und den häufigeren finanziellen Jahresabschlüssen zusammenhängen, bei denen Cyberkriminelle verstärkt auf gezielte Angriffe setzten, um von den erhöhten Online-Transaktionen und sensiblen Geschäftsdaten zu profitieren.

Acronis berichtet von Rückgang bei Ransomware-Erkennungen im Jahr 2024

Die Zahl der Ransomware-Erkennungen sei im Jahr 2024 deutlich zurückgegangen – „im Januar 2024 wurden lediglich 896 Angriffe registriert, im Vergleich zu 4.387 im Januar 2023, was einem Rückgang von fast 80 Prozent entspricht“. Dieser Trend habe sich über das gesamte Jahr fortgesetzt:

• „In jedem Monat 2024 waren die Ransomware-Erkennungen deutlich niedriger als in den entsprechenden Monaten des Vorjahres. Diese Entwicklung deutet auf einen signifikanten Rückgang der Ransomware-Aktivitäten hin, was möglicherweise auf verbesserte Cybersicherheitsmaßnahmen und verstärkte Strafverfolgungsmaßnahmen zurückzuführen ist.“

Gleichzeitig könnten Angreifer indes zunehmend auf subtilere Taktiken wie Lieferketten-Kompromittierungen und Daten-Erpressung setzen, um ihre Ziele zu erreichen. „Der deutliche Anstieg von Malware-Erkennungen bei gleichzeitiger Verlagerung der Angreiferstrategien weg von Ransomware zeigt: Cyberkriminalität wird leiser – aber keinesfalls harmloser“, so Markus Fitz, „DACH GM“ von Acronis.

• Unternehmen und Nutzer sollten ihre Schutzmaßnahmen anpassen, regelmäßige Updates durchführen, mehrstufige Authentifizierung nutzen und verdächtige Aktivitäten frühzeitig erkennen. „Die Bedrohungen entwickeln sich weiter – und Abwehrmaßnahmen müssen das auch!“, betont Fitz abschließend

Weitere Informationen zum Thema:

Acronis
Whitepaper: „Kurzfassung: Acronis Cyberthreats Report (2. Halbjahr 2024)“

Acronis
Whitepapers: „Acronis Cyberthreats Report, H2 2024: The rise of AI-driven threats“

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 14.05.2025] Es spanne sich ein Bogen der Bedrohung von „WannaCry“ im Jahr 2017 bis zu bösartiger Künstlicher Intelligenz (KI) unserer Tage und der nahen Zukunft: „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“ vom 12. Mai 2025 – dieser ist eine von INTERPOL und Kaspersky ins Leben gerufene globale Sensibilisierungsinitiative, um warnend an eine der erfolgreichsten Cyberattacken der Geschichte zu erinnern, eben an die „WannaCry“-Attacke von 2017. Eggerling ruft die damaligen Folgen in Erinnerung: „Innerhalb weniger Stunden fegte die Ransomware-Kampagne über den Globus, legte Krankenhäuser in Großbritannien lahm, stoppte Produktionsstraßen und unterbrach wichtige Dienste auf fast allen Kontinenten.“ „WannaCry“ sei sozusagen ein Wendepunkt – diese Ransomware hat demnach gezeigt, wie unvorbereitet selbst die zu jener Zeit fortschrittlichsten Systeme waren. „Aber so schädlich dieser Angriff auch gewesen ist, er war nur ein Prolog!“, so Eggerlings Prognose.

Foto: Check Point Software

Marco Eggerling: Der „Anti-Ransomware-Tag“ sollte daher dazu dienen, um sich einen Moment Zeit zu nehmen, über Schritte nachzudenken, die verhindern, dass man wegen einer künftigen Attacke in den Schlagzeilen der Zeitungen landet

Ransomware-Gruppen operieren eher wie digitale Kartelle denn als einzelne Hacker

Im Jahr 2025 ist die Bedrohungslandschaft laut Eggerling „wesentlich komplexer“: Die Ransomware-Gruppen operierten eher wie digitale Kartelle denn als einzelne Hacker. Ihre Werkzeuge seien schärfer, ihre Ziele strategischer und ihre Taktiken von KI durchdrungen. „Anlässlich des diesjährigen ,Anti-Ransomware-Tags’ blicken wir nicht nur in die Vergangenheit, sondern schlagen auch Alarm für die Zukunft.“

Die Entwicklung von Ransomware sei eine ständige Neuerfindung. „Was als plumpe ,Lock-and-Demand’-Malware begann, hat sich zu mehrstufigen Erpressungsunternehmungen entwickelt. Die Angreifer verschlüsseln nicht mehr nur Daten – sie stehlen sie, lassen sie durchsickern und machen sie zu Druckmitteln. Allein im ersten Quartal 2025 wurden laut ,Check Point Research’ 2.289 Ransomware-Opfer auf Datenleck-Seiten aufgelistet – ein Anstieg um 126 Prozent im Vergleich zum Vorjahr.“

In den kommenden Monaten noch aggressivere Dreifach-Erpressungsmodelle bei Ransomware-Angriffen möglich

Die „Cl0p-Gruppe“, eine der aktivsten Ransomware-Banden, habe sich z.B. weitgehend von der Dateiverschlüsselung wegbewegt auf reine Datenerpressung verlagert. Ihre frühe, auf die Dateiübertragungsplattform „Cleo“ abzielende Kampagne aus dem laufenden Jahr, 2025, habe mehr als 300 Unternehmen kompromittiert – „83 Prozent der Opfer sitzen in Nordamerika, insbesondere in der Fertigung und Logistik“.

Mit diesen neuen Strategien könnten Cyberkriminelle eine Entdeckung besser vermeiden, Abwehrmaßnahmen umgehen und den psychologischen Druck auf die Opfer erhöhen. „Wir erwarten, dass in den kommenden Monaten noch aggressivere Dreifach-Erpressungsmodelle auftauchen werden, die DDoS-Angriffe, gestohlene Daten und direkte Einschüchterung der Opfer durch Anrufe oder E-Mails an Kunden und Geschäftspartner kombinieren werden.“

Cyberverbrechen der Profiklasse mittels „Ransomware-as-a-Service“

Die Einstiegshürde für Ransomware sei gefallen. Sogenannte RaaS-Modelle (Ransomware-as-a-Service) hätten die Bedrohung industrialisiert, vereinfacht und die Cyberkriminalität in ein skalierbares Geschäft verwandelt. „Jeder kann sich nun Ransomware im Baukastensatz mieten. Im Fall der jüngst von uns untersuchten ,Ransomware DragonForce’ kann der Mieter sogar einen Blanko-Bausatz erwerben und selbst etikettieren, um seine eigene Ransomware-Marke aufzubauen.“

Im Jahr 2024 seien 46 neue Ransomware-Gruppen ins Spiel gekommen – ein Anstieg von 48 Prozent gegenüber dem Vorjahr (2023), angetrieben durch „Plug-and-Play“-Kits, Partnerprogramme und sogar Kundensupport-Portale.

Der Aufstieg von „RansomHub“: Krimineller Cybercommerce

„An der Spitze der Charts steht ,RansomHub’, das für 531 bekannte Angriffe verantwortlich ist und damit sogar das berüchtigte ,LockBit’ übertrifft.“ Diese Gruppen spiegelten Startups wider – „agil, kundenorientiert und beunruhigend effektiv“.

Ihre Toolkits umfassten jetzt Dashboards, Telemetrie-Analysen und Lokalisierungsfunktionen. „Es geht also nicht nur um Cyberkriminalität, sondern um Cybercommerce!“

KI als Trumpf für Ransomware-Angreifer

2025 sei nun das Jahr, in dem KI in vollem Umfang in das Arsenal der Ransomware Einzug halte:

• KI-generierte Phishing-Köder, welche Schreibstile und Sprachen imitieren.
• Benutzerdefinierte Malware wird mit Generativen KI-Tools wenigen Minuten erstellt.
• Deepfake-Imitationen von Führungskräften, die bei BEC-Angriffen („Business eMail Compromise“) verwendet werden.
• Verwendung legitimer IT-Tools zur unbemerkten Deaktivierung von Sicherheitskontrollen bei Einbrüchen.

Hacker-Gruppierungen wie „FunkSec“ machten sich diese Fähigkeiten bereits zunutze, um Entwicklungszyklen zu optimieren und Angriffe auszuweiten. „In einer Kampagne nutzten die Angreifer KI-generierten Code, um die EDR-Erkennung zu umgehen, indem sie legitime Skripte aneinanderreihten, welche die Verhaltensanalyse-Engines umgingen.“

„Industrielle Revolution“ der Ransomware im Gange

Eggerling kommentiert: „Wir erleben also gerade die ,Industrielle Revolution von Ransomware’. KI macht es einfacher als je zuvor, Ransomware-Angriffe anzupassen, einzusetzen und zu skalieren – und die Auswirkungen sind nicht mehr nur technischer Natur. Sie sind operativ, finanziell und rufschädigend geworden.“

Ihre Sicherheitsforscher rechneten mit zwei bis drei groß angelegten Ransomware-Angriffen auf eine Lieferkette im Jahr 2025, „bei denen KI nicht nur für die Erstellung der Nutzlast, sondern auch für die Automatisierung von Seitwärtsbewegungen, die Priorisierung von Zielen und sogar die Aushandlung des Lösegelds eingesetzt werden wird“.

Psychologische Manipulationsebene der Ransomware: Desinformation und digitale Erpressung

Die psychologische Manipulationsebene der Ransomware sei genauso gefährlich geworden wie die Malware selbst: „Es gibt Banden, wie ,Babuk-Bjorka’, die sich eine beunruhigende Taktik zu eigen gemacht haben: Sie veröffentlichen gefälschte oder recycelte Datenlecks, um ihre Glaubwürdigkeit zu erhöhen und Zahlungen von Leuten zu erzwingen, die in Wirklichkeit gar nicht betroffen sind.“ Dies verwirre die Zuordnung, überfordere die Einsatzkräfte und untergrabe das Vertrauen in die Berichterstattung über Cyberattacken. „Eine Ära der Fake-Hacks bricht an, in der die Wahrnehmung genauso schädlich sein kann wie die Realität!“

Die globale Bedrohung habe lokale Folgen: „Laut unserem ,External Risk Management (ERM) 2024 Annual Ransomware Report’ ergibt sich folgendes Lagebild:

• Die Vereinigten Staaten von Amerika blieben mit 50,2 Prozent aller Fälle das am häufigsten betroffene Land.
• In Indien stieg die Zahl der Ransomware-Angriffe im Vergleich zum Vorjahr um 38 Prozent – angetrieben von der raschen Digitalisierung, der Einführung hybrider Arbeitsformen und Lücken in der Infrastruktur.
• Zu den am stärksten betroffenen Branchen gehören Unternehmensdienstleistungen, die verarbeitende Industrie und der Einzelhandel – Sektoren, die operativ empfindlich und oft nicht ausreichend vorbereitet sind.“

Abwehrmaßnahmen gegen moderne Ransomware

Eggerling hebt hervor: „Die Zeiten, in denen man sich ausschließlich auf Backups und Patch-Zyklen verlassen konnte, sind vorbei.“ Um den heutigen Ransomware-Akteuren zuvorzukommen, müssten Unternehmen ihre Verteidigung überdenken – fünf schnelle Maßnahmen für „CISOs“:

• „Zero Trust“ als Architektur: Einschränken von Querbewegungen, standardmäßig nichts und niemandem vertrauen und alles überprüfen.
• Härtung der Lieferkette: Kontinuierliche Prüfung der Risiken, die von Dritten ausgehen und stets bedenken, dass Partner Einfallstore sein können.
• Einsatz einer KI für die Cyberabwehr: KI-gestützte Bedrohungserkennung, SOC-Automatisierung und Echtzeit-Priorisierung nutzen, um Angriffen zuvorzukommen.
• Vorbereitung auf Datenerpressung: Alles an jedem Standort verschlüsseln und verstehen, was an Datensätzen wirklich sensibel ist. Den Ernstfall durchspielen.
• Anpassen an Cyberversicherung und „Compliance“: Sicherstellen, dass die Dokumentation und Kontrolle den jüngsten Standards entspricht, da die weltweiten Vorschriften und Anforderungen der Versicherungsgeber immer strenger werden.

Fazit: Ransomware mehr als nur ein technologisches Problem – ein Thema für die Vorstandsetage

Ransomware-Angriffe dauerten jetzt länger an, schlügen härter zu und hinterließen tiefere Narben. Ransomware sei nicht mehr nur ein technologisches Problem – „es ist ein Thema für die Vorstandsetage, denn es geht um betriebliche Kontinuität, Vertrauen und Widerstandsfähigkeit!“

Führungskräfte müssten Cybersicherheit genauso behandeln wie rechtliche Risiken oder finanzielle – als nicht verhandelbaren Teil der Geschäftstätigkeit. Zum Abschluss gibt Eggerling den Entscheidern zu bedenken: „Die Ransomware-Bedrohung ist weit über ihre Ursprünge aus dem Jahr 2017 hinaus gereift. Der ,Anti-Ransomware-Tag’ sollte daher dazu dienen, um sich einen Moment Zeit zu nehmen, über Schritte nachzudenken, die verhindern, dass man wegen einer künftigen Attacke in den Schlagzeilen der Zeitungen landet.“

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 22.04.2025
The State of Ransomware in the First Quarter of 2025: Record-Breaking 126% Spike in Public Extortion Cases

CHECK POINT, Cyberint, 2024
Ransomware Annual Report 2024

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

datensicherheit.de, 15.05.2017
Cyber-Angriff mit WannaCry: DsiN fordert mehr digitale Aufklärung / Vorfälle vom 12. Mai 2017 als „Weckruf“ für alle Akteure in Wirtschaft, Behörden und Gesellschaft

[datensicherheit.de, 12.05.2025] Laut einer Stellungnahme von KnowBe4 in Zusammenhang mit dem „Internationalen Anti-Ransomware-Tag“ ist in naher Zukunft mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden. Die Ransomware-Forderungen und -Zahlungen seien im Jahr 2024 auf durchschnittlich 2,73 Millionen US-Dollar angestiegen. Der „Internationale Anti-Ransomware-Tag“ soll weltweit das Bewusstsein eben für die Gefahren von Ransomware und die besten Methoden zu deren Eindämmung schärfen. KnowBe4 stellt mehrere Ressourcen online zur Verfügung – darunter Tipps, welche Unternehmen bei der Bekämpfung von Ransomware helfen sollen, sowie ein Handbuch zur Rettung von Ransomware-Opfern.

Foto: KnowBe4

Roger Grimes warnt vor dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt

Mittels KI-gestützter agentenbasierter Ransomware verschaffen sich Cyberkriminelle zunächst Zugang…

Roger Grimes, „Data-Driven Defense Evangelist“ bei KnowBe4, erläutert: „,Agentic AI Ransomware’ ist eine Sammlung von KI-Bots, die alle Schritte ausführen, die für einen erfolgreichen Ransomware-Angriff erforderlich sind, nur schneller und besser.“

Er führt weiter aus: „Mit der KI-gestützten agentenbasierten Ransomware verschafft sich der Cyberkriminelle zunächst Zugang, analysiert die Umgebung, ermittelt den Gewinn und führt die Angriffe aus.“ Dabei werde es sich nicht um einen einzigen Angriff handeln, sondern um eine Reihe eskalierender Angriffe, um den Gewinn des böswilligen Hackers zu maximieren.

Höchste Zeit, mit dem Einsatz agentenbasierter KI in der Cybersicherheitsabwehr zu beginnen

„Wir haben bereits gesehen, wie KI seit einigen Jahren beim Hacken eingesetzt wird. Die nahe Zukunft lässt sich am besten anhand des Verhaltens in der Vergangenheit vorhersagen“, so Grimes. Die Geschichte zeigt demnach, dass die bösen Akteure etwa sechs bis zwölf Monate hinter dem zurückbleiben, was die Verteidiger finden und entdecken.

So lange brauchten die bösen Akteure, um zu lernen, was die andere Seite entwickelt hat. „Sie finden dann heraus, wie sie es nicht nur böswillig nutzen, sondern auch in bestehende Hacker-Tools und -Kits einbauen können“, warnt Grimes. Dadurch könne sie eine breite Palette von Hackern nutzen. Er gibt abschließend zu bedenken: „Jetzt ist es an der Zeit, mit dem Einsatz von agentenbasierter KI in der Cybersicherheitsabwehr zu beginnen – bevor sie zu einer echten Bedrohung wird.“

Weitere Informationen zum Thema:

KnowBe4
Hostage Rescue Manual / How to Remove Ransomware

cyberdaily.au, David Hollingworth, 09.05.2025
The industry speaks: International Anti-ransomware Day 2025 / Today, 12 May, is International Anti-ransomware Day, established in 2017 on the anniversary of the crippling WannaCry cyber attack. Ten years later, however, the threat looms larger than ever.

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

datensicherheit.de, 28.03.2025
Medusa: Ransomware-as-a-Service seit 2021 aktiv – aktuell mit verstärkter Aktivität / FBI und CISA informieren über Ransomware-Bedrohung in den USA

datensicherheit.de, 27.03.2025
Ransomware-Gruppe RansomHub übernimmt kriminelles Erbe von LockBit & Co. / ESET Forscher decken Verbindungen zwischen rivalisierenden Gruppen auf / Neue Angriffs-Werkzeuge im Umlauf

[datensicherheit.de, 20.04.2025] Object First hat eine neue Studie veröffentlicht, welche demnach das „alarmierende Ausmaß“ von Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland zeigt: „Zwei Drittel der befragten Unternehmen sind in den letzten zwei Jahren Ransomware-Angriffen zum Opfer gefallen; 45 Prozent waren gleich mehreren Angriffen ausgesetzt.“ Die Angreifer hätten dabei zunehmend Backup-Daten im Visier: „Rund drei Viertel (74%) der befragten IT-Experten gaben an, dass die Ransomware mindestens die Hälfte der Zeit auch auf Backups abzielte, um die Datenwiederherstellung zu behindern.“ Object First beauftragte die „Enterprise Strategy Group“ von Informa TechTarget mit der Durchführung einer Umfrage unter IT-Entscheidungsträgern, die mit ihren jeweiligen Backup-Umgebungen vertraut sind, sowie unter Backup-Experten. Im Rahmen dieser Studie seien 200 IT-Mitarbeiter in Unternehmen mit 1.000 bis 9.999 Angestellten in verschiedenen Branchen befragt worden – darunter Finanzwesen, Technologie, Fertigung und Einzel-/Großhandel. Die Umfrageteilnehmer stammten zu gleichen Teilen aus Nordamerika (USA und Kanada) und Westeuropa (Großbritannien und Deutschland).

Abbildung: ESG / OBJECT FIRST

In Zusammenarbeit mit der „Informa TechTarget Enterprise Strategy Group“ erstellte Ransomware-Studie rät: IT-Teams sollten verstärkt Zero-Trust-Prinzipien auf Backup-Umgebungen anwenden

Bei fast jedem Ransomware-Angriff auch Datensicherungen im Visier

Die in Zusammenarbeit mit der „Informa TechTarget Enterprise Strategy Group“ erstellte Studie macht deutlich, dass IT-Teams verstärkt Zero-Trust-Prinzipien auf ihre Backup-Umgebungen anwenden müssten. „81 Prozent der befragten IT-Experten halten unveränderliche Backup-Speicher auf der Grundlage von Zero-Trust-Prinzipien für den besten Schutz vor Ransomware.“

Anthony Cusimano, „Director of Solutions Marketing“, kommentiert: „Laut der Umfrage waren bei fast jedem Unternehmen (96%), das in den vergangenen zwei Jahren einem Ransomware-Angriff zum Opfer gefallen ist, mindestens einmal die Datensicherungen Ziel des Angriffs.“ Dies unterstreiche, wie dringend Unternehmen ihre Resilienz mithilfe von robusten und unveränderlichen Backup-Speicherlösungen priorisieren müssten, um vor neuen Bedrohungen geschützt zu sein.

Absicherung der Backup-Umgebungen für Wiederherstellung nach Ransomware-Angriffen erforderlich

Bei vielen Unternehmen gebe es nach wie vor große Lücken in der Backup-Strategie. Unter anderem hebt der Bericht der „Enterprise Strategy Group“ hervor, wie wichtig die Absicherung von Backup-Umgebungen ist, um die effektive Wiederherstellung nach Ransomware-Angriffen zu gewährleisten:

• Die meisten Unternehmen fallen Ransomware zum Opfer – und eine Wiederherstellung ist nicht garantiert
  Die Wiederherstellung habe bei der Hälfte der betroffenen Unternehmen mehr als fünf Werktage gedauert – und in den meisten Fällen hätten nicht alle Daten wiederhergestellt werden können. „43 Prozent der Befragten konnten weniger als drei Viertel ihrer Daten wiederherstellen. Und nur 9 Prozent der Unternehmen gelang eine Wiederherstellung innerhalb eines Tages.“
• Unveränderliche Backups sind unverzichtbar für den Schutz vor Ransomware
  94 Prozent der IT-Entscheidungsträger sagten, unveränderliche Backups seien unverzichtbarer Bestandteil einer Ransomware-Abwehrstrategie.
• Moderne Sicherheitsprinzipien funktionieren besser in Kombination
  Über 90 Prozent der IT-Entscheidungsträger seien sich einig, dass Zero-Trust-Prinzipien, die Speicherung von Sicherungskopien an mehreren Standorten und die Segmentierung von Backup-Software und -Speicher den besten Schutz vor Ransomware-Bedrohungen böten.
• Mehrere unveränderliche Sicherungskopien sein entscheidend für die Wiederherstellung
  Herkömmliche Methoden seien längst nicht mehr ausreichend im Kampf gegen Ransomware: „Für den zuverlässigen Datenschutz braucht es heute eine mehrschichtige Sicherheitsstrategie mit unveränderlichen Speichern.“ Allerdings befolgten derzeit nur 58 Prozent der befragten Unternehmen die „3-2-1-Regel“ für Backups (drei Kopien der Daten werden auf zwei unterschiedlichen Datenträgertypen gesichert, wobei sich eine Kopie an einem externen Standort befindet) und nur 59 Prozent setzten unveränderlichen Speicher ein.

Ransomware zwingt Unternehmen, Backup-Strategien und Datenschutz zu überdenken

„Ransomware zwingt Unternehmen dazu, ganz neu über ihre Backup-Strategien und den Datenschutz nachzudenken. Angesichts wachsender Bedrohungen für Backup-Infrastrukturen kommen immer mehr IT-Teams zu dem Schluss, dass Unveränderlichkeit der Schlüssel zu effektiver Datensicherheit ist“, erläutert Simon Robinson, „Principal Analyst“ bei der „Enterprise Strategy Group“.

Abschließend gibt er zu bedenken: „Unternehmen sollten verstärkt auf Ziel-Appliances setzen, bei denen Zero-Trust-Prinzipien zur Anwendung kommen. IT-Leiter müssen nach Lösungen Ausschau halten, die umfassende, auf die eigenen Anforderungen zugeschnittene Sicherheitsmerkmale bieten!“

Weitere Informationen zum Thema:

OBJECT FIRST
eBook von Enterprise Strategy Group (ESG): Zero Trust und Ransomware-Schutz.

datensicherheit.de, 27.03.2025
World Backup Day 2025: Regelmäßige Datensicherung laut BSI unverzichtbar / Datenverluste können unerwartet und in den unterschiedlichsten Formen auftreten – etwa durch technische Defekte, Cyber-Angriffe oder Unfälle

datensicherheit.de, 25.03.2025
World Backup Day: Datensicherung zum Schutz vor Cyber-Angriffen unzureichend / Backups sind zweifellos ein essenzieller Bestandteil jeder IT-Sicherheitsstrategie – gleichzeitig vermitteln sie oft eine trügerische Sicherheit

datensicherheit.de, 31.03.2023
World Backup Day: Schlüsselfaktoren moderner Datensicherung in Unternehmen / Datensicherungsstrategien müssen auch in hybriden Strukturen funktionieren

datensicherheit.de, 22.03.2022
Ransomware-Attacken: Wirkung von Backups oft überschätzt / Wiederherstellung nach Ransomware-Vorfall kann sehr lange dauern

datensicherheit.de, 23.12.2021
Backup und Disaster Recovery für die kritische Infrastruktur / Vorbereitung auf den Ernstfall

[datensicherheit.de, 28.03.2025] Die Check Point Software Technologies Ltd. hat weitere Informationen über die „Medusa“-Ransomware veröffentlicht. Seit Februar 2025 haben die Operationen dieser Gruppe demnach zugenommen und sich mehr als 300 Opfer bei den US-Behörden gemeldet. Die betroffenen Branchen reichten von Technologie über die Fertigung bis hin zum Bildungs- und Versicherungswesen. Die CISA hat hierzu eine Liste von Empfehlungen veröffentlicht, die Sicherheitsverantwortliche bei der Erkennung unterstützen soll.

Foto: Check Point Software

Marco Eggerling zur Ransomware-Bedrohung: E-Mail-Sicherheitsmaßnahmen sollten nicht länger optional sein, denn sie sind unerlässlich geworden!

Ransomware-Hacker wenden Taktik der Doppelten Erpressung an

Der Hauptinfektionsvektor sind laut Check Point Phishing-Kampagnen, die darauf abzielen, Anmeldedaten von Benutzern zu sammeln. „Sobald diese Anmeldedaten vorliegen, erhalten die Angreifer den Zugriff auf das System und beginnen mit der Übernahme der Systeme.“

In den bekanntgewordenen Fällen hätten die Hacker die Taktik der sogenannten Doppelten Erpressung verwendet: „Dafür haben sie eine Website für Datenlecks eingerichtet, auf der die Opfer neben Countdown-Timern aufgelistet sind.“ Diese Timer gäben an, wann die gestohlenen Informationen veröffentlicht werden sollten.

Diese Website enthalte auch Informationen über spezifische Lösegeldforderungen und direkte Links zu sogenannten Crypto-Wallets. „Für Unternehmen, die bereits angegriffen werden, bietet ,Medusa’ die Möglichkeit für 10.000 US-Dollar in ,Krypto-Währung’ die Zahlungsfrist zu verlängern, droht aber auch mit dem Verkauf der Daten an Dritte.“

Tipps zum Schutz vor „Medusa“-Ransomware und ähnlichen Bedrohungen

Um sich gegen die „Medusa“-Ransomware und ähnliche Bedrohungen zu schützen, sollten Unternehmen laut Check Point die folgenden vier Maßnahmen ergreifen:

1. Fortschrittlicher Schutz vor Phishing
   Fortschrittliche E-Mail-Security-Lösungen identifizierten und blockierten automatisch verdächtige E-Mails, bevor sie Mitarbeiter erreichen und neutralisierten damit die Hauptinfektionsmethode.
2. Zero-Day-Schutz
   Einsatz KI-basierter „Engines“, um bisher unbekannte Phishing-Versuche und bösartige Anhänge zu erkennen.
3. E-Mail-Authentifizierung
   Diese helfe bei der Verifizierung der Identität des Absenders, um E-Mail-Spoofing zu verhindern (diese Taktik werde häufig bei Kampagnen zum Sammeln von Zugangsdaten angewendet).
4. „Security Awareness“
   Unternehmen sollten die Widerstandsfähigkeit der Mitarbeiter durch automatisierte Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein stärken.

Bedrohung durch Ransomware vor allem im Phishing-Kontext

Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, kommentiert: „Die Erfahrung zeigt, dass in den USA aktive Malware auch früher oder später bei europäischen Unternehmen in den Systemen gefunden wird. Das Teilen der Informationen von Unternehmen mit den zuständigen Behörden und dieser wiederum mit der Öffentlichkeit ist deshalb umso wichtiger.“

Für Firmen gelte einmal mehr, dass die Bedrohung durch Ransomware vor allem eine Bedrohung durch Phishing sei. „E-Mail-Sicherheitsmaßnahmen sollten deshalb nicht länger optional sein, denn sie sind unerlässlich geworden“, betont Eggerling abschließend.

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY CISA, 12.03.2025
#StopRansomware: Medusa Ransomware

datensicherheit.de, 27.03.2025
Ransomware-Gruppe RansomHub übernimmt kriminelles Erbe von LockBit & Co. / ESET Forscher decken Verbindungen zwischen rivalisierenden Gruppen auf / Neue Angriffs-Werkzeuge im Umlauf

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 12.02.2025] „Mehr als jedes zehnte OT-Gerät in den Bereichen Produktion, Transport und Logistik sowie natürliche Ressourcen verfügt über bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerability / KEV)“ – so eine zentrale Erkenntnis des aktuellen Reports „State of CPS Security 2025“ von Claroty zur Sicherheit sogenannter Cyber-Physischer Systeme (CPS), für den demnach knapp eine Million OT-Geräte analysiert wurde. Claroty-Sicherheitsforscher hätten dabei über 110.000 KEVs entdeckt, von denen mehr als zwei Drittel (68%) von Ransomware-Gruppen ausgenutzt würden.

Abbildung: Claroty

Der komplette OT-Report „State of CPS Security 2025“ mit vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen steht zum Download bereit (s.u.)

Claroty-Report zeigt auch Bedrohungen auf, denen Kritische Sektoren durch OT-Anlagen ausgesetzt sind, welche mit bösartigen Domänen kommunizieren

„Sicherheitsverantwortliche stehen vor großen Herausforderungen bei der Priorisierung von Schwachstellen. Sie müssen hierfür die Zusammenhänge zwischen Schwachstellen und Angriffsvektoren wie Ransomware oder unsicherem Fernzugriff erkennen, um die Risiken proaktiv und effizient zu minimieren.“

Dies gelte umso mehr, da Aktivitäten staatlich unterstützter Angreifer immer weiter zunähmen. Deshalb zeige dieser Report auch die Bedrohungen auf, denen Kritische Sektoren durch OT-Anlagen ausgesetzt seien, „die mit bösartigen Domänen kommunizieren, einschließlich solcher aus China, Russland und dem Iran“.

Aktuelle OT-Bedrohungen im Überblick

Die wichtigsten Ergebnisse des Reports lt. Claroty:

• Bei den 940.000 analysierten Geräten seien 110.000 KEVs identifiziert worden. Zwölf Prozent der Geräte seien also über Schwachstellen angreifbar. Hiervon sei fast jedes zweite (40%) zudem unsicher mit dem Internet verbunden.
• Zwölf Prozent der untersuchten Unternehmen verfügten über OT-Assets, welche mit bösartigen Domains kommunizierten. „Dies zeigt, dass es sich um eine reale Bedrohung handelt!“
• In der Produktion fänden sich prozentual die meisten Schwachstellen (13%), gefolgt von natürlichen Ressourcen (7%) sowie Transport und Logistik (2%).

OT-Infrastrukturen grundsätzlich schwer zu schützen

OT-Infrastrukturen seien aufgrund ihrer Art grundsätzlich schwer zu schützen, kommentiert Thorsten Eckert, „Regional Vice President Sales Central“ von Claroty. Er führt hierzu weiter aus: „Angreifer können Schwachstellen ausnützen und damit nicht nur Technik, sondern auch die Umwelt und Menschenleben gefährden!“

Durch die zunehmende Vernetzung infolge der Digitalen Transformation würden die Herausforderungen noch weiter zunehmen. Deshalb müssten Sicherheitsverantwortliche umdenken: „Weg von einem klassischen Schwachstellen-Management hin zu einem modernen ,Exposure Management’!“, rät Eckert abschließend. Nur damit seien sie in der Lage, die wachsende Anzahl von Schwachstellen in ihren Infrastrukturen zu priorisieren und gezielt zu adressieren.

Weitere Informationen zum Thema:

CLAROTY, Team82
Report: State of CPS Security: OT Exposures 2025 / Team82’s analysis of the riskiest operational technology (OT) exposures putting critical infrastructure organizations in the crosshairs of adversaries

datensicherheit.de, 19.12.2024
OT-Prognose 2025: Schutz industrieller Systeme entscheidend / OT-Sicherheit fokussiert auf Aufrechterhaltung physischer Prozesse und Vermeidung von Ausfällen

datensicherheit.de, 03.12.2024
Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen / Alt-Systeme in OT-Umgebungen weisen zwar Schwachstellen auf, können aber dennoch geschützt werden

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

[datensicherheit.de, 12.11.2024] Laut einer Mitteilung von Kaspersky hat das eigene „Global Emergency Response Team“ eine neue Ransomware-Variante entdeckt, welche im Rahmen eines zielgerichteten Angriffs nach dem Diebstahl von Mitarbeiterzugangsdaten zum Einsatz gekommen sei: „,Ymir’ nutzt fortschrittliche Verschleierungs- und Verschlüsselungsmethoden; so verschlüsselt sie bestimmte Dateien auf einer Whitelist nicht, um einer Entdeckung zu entgehen.“ Weiterhin wendet sie demnach eine Kombination von Speicher-Manipulationstechniken an, um Schadcode direkt im Speicher auszuführen.

„Ymir“-Angriff ging Einsatz eines „Infostealers“ voraus

Die „Ymir“-Ransomware kombiniere besondere technische Merkmale und Taktiken, welche ihre Wirksamkeit steigerten. „Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – ,malloc’, ,memmove’ und ,memcmp’ –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der ,–path’-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht.“ Dateien auf der Whitelist würden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermögliche.

Dem Ransomware-Angriff sei ein Einsatz eines „Infostealers“ vorausgegangen: „Im von Kaspersky beobachteten Angriff nutzten die Angreifer ,RustyStealer’, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren.“ Diese Art von Angriff sei als „Initial Access Brokerage“ bekannt, „bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen“. Normalerweise verkauften „Initial Access Broker“ solch einen Zugang im sogenannten DarkWeb an andere Cyber-Kriminelle weiter; in diesem Fall schienen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.

„Ymir“-Ransomware-Gruppe bislang noch nicht identifiziert

Die Ransomware verwende „ChaCha20“, ein modernes Strom-Chiffre-Verfahren, welches für seine Geschwindigkeit und Sicherheit bekannt sei und sogar den „Advanced Encryption Standard“ (AES) in einigen Aspekten übertreffe. „Wenn die ,Initial Access Broker’ tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service-(RaaS)-Gruppen auskommt“, so Cristian Souza, „Incident Response Specialist“ im „Kaspersky Global Emergency Response“-Team.

Sie führt weiter aus: „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei ,Ymir’ ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“

Neue Ransomware nach „irregulärem“ Saturnmond Ymir benannt

Bei der Namenswahl für diese neue Ransomware entschieden sich die Kaspersky-Experten nach eigenen Angaben für den Saturnmond Ymir. Dieser sei ein „irregulärer“ Mond, welcher sich entgegen der Rotation des Planeten bewege – ein Merkmal, „das auf den unkonventionellen Einsatz von Speicherverwaltungsfunktionen in der neuen Ransomware widerspiegelt“. Kaspersky-Produkte sollen diese Ransomware als „Trojan-Ransom.Win64.Ymir.gen“ erkennen.

Kaspersky-Empfehlungen zur Prävention von Ransomware-Angriffen:

• Regelmäßig Backups erstellen und diese testen!
• Mitarbeiterschulungen zur Cyber-Sicherheit durchführen, um das Bewusstsein für Bedrohungen wie Daten stehlende Malware zu erhöhen und effektive Schutzstrategien zu vermitteln!
• Bei einem Ransomware-Befall und fehlender Entschlüsselungsmöglichkeit sollten kritische, verschlüsselte Dateien aufbewahrt werden. Eine Lösung zur Entschlüsselung könnte später durch fortlaufende Forschungsbemühungen oder die Ergreifung der Täter durch Behörden verfügbar werden!
• Es wird empfohlen, kein Lösegeld zu zahlen, da dies die Täter zu weiteren Angriffen ermutigen könnte und keine Garantie für die sichere Wiederherstellung der Daten bietet!
• Umfassende Lösungen (wie z.B. „Kaspersky Next“) bieten Echtzeitschutz, Transparenz von Bedrohungen, Untersuchungen und die Reaktionsmöglichkeiten von EDR und XDR für Unternehmen jeder Größe und Branche!
• „Managed Security Services“ nutzen, welche alle Bereiche eines Angriffs abdecken – von der Entdeckung bis zur Beseitigung (Kaspersky bietet beispielsweise „Compromise Assessment“, „Managed Detection and Response“ und „Incident Response“ an)!

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Cristian Souza & Ashley Muñoz & Eduardo Ovalle, 11.11.2024
Ymir: new stealthy ransomware in the wild

golem.de, Hanno Böck, 23.06.2016
RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

[datensicherheit.de, 31.10.2024] „Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern ist unerlässlich, um Patientendaten zu sichern, die Betriebskontinuität zu gewährleisten und die Patienten bestmöglich behandeln zu können“, betont Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Im Zuge moderner Ransomware-Methoden, wie sie jüngst beim „Trinity“-Angriff auf den US-amerikanischen Gesundheitssektor zum Einsatz gekommen seien, würden zunehmend sensible Daten vor ihrer Verschlüsselung exfiltriert. Dieser Ansatz ziele verstärkt auf Kritische Branchen wie das Gesundheitswesen und verdeutliche die Notwendigkeit einer starken Sicherheitskultur. Dr. Krämer führt hierzu aus: „Hierbei ist nicht nur die Technik gefordert, sondern auch das Sicherheitsbewusstsein der Geschäftsführung und die Schulung aller Mitarbeitenden, um die Sicherheit im Umgang mit solchen Bedrohungen zu erhöhen.“

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt u.a. regelmäßige Trainings – etwa Phishing-Simulationen

Cyber-Angreifer nehmen Gesundheitssektor ins Visier

Die Häufigkeit von Cyber-Angriffen nehme zu, besonders im Gesundheitswesen, wie der aktuelle Bericht „Hacked Healthcare: A Global Crisis in Cybersecurity“ von KnowBe4 demnach verdeutlicht. Nach einem Ransomware-Angriff auf 140 Krankenhäuser habe das Health-ISAC (Health Information Sharing and Analysis Center) im Mai 2024 eine dringliche Empfehlung herausgegeben, welche auf eine deutliche Zunahme gezielter Angriffe im Gesundheitsbereich hinweise.

„Die Empfehlung verwies auf schwere Betriebsstörungen in Gesundheitsorganisationen in Europa und den USA“, so Dr. Krämer. Laut „Check Point Research“ seien die weltweiten Cyber-Angriffe im Jahr 2023 um drei Prozent gestiegen, wobei das Gesundheitswesen mit einem Zuwachs von elf Prozent und durchschnittlich 1.613 Angriffen pro Woche den globalen Durchschnitt deutlich übertroffen habe.

Cyber-Resilienz des Gesundheitswesens entscheidend für Stabilität und Schutz der gesamten Gesellschaft

Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern sei unerlässlich, um Patientendaten zu schützen und die Betriebskontinuität aufrechtzuerhalten. Die Gesundheitsbranche sehe sich zunehmend mit Angriffen wie Ransomware, Datenschutzverletzungen und Malware konfrontiert, die Patientendaten, Diagnosegeräte und Kritische Systeme gefährdeten.

„Diese Angriffe riskieren nicht nur die Privatsphäre der Patienten, sondern können medizinische Dienste extrem stören und Behandlungen verzögern oder ganz ausfallen lassen – im Extremfall mit lebensbedrohlichen Konsequenzen“, warnt Dr. Krämer. Cyber-Resilienz in diesen Bereichen sei daher entscheidend für die Stabilität und den Schutz der gesamten Gesellschaft.

Aufbau einer umfassenden Sicherheitskultur auch im Gesundheitswesen erfordert gezielte Schulungen

Ransomware-Angriffe wie „Trinity“ zeigten, dass Organisationen auf eine Balance zwischen technischen Schutzmaßnahmen und einem informierten Team setzen müssten. „Eine starke Sicherheitskultur verwandelt potenzielle Schwachstellen in wertvolle Ressourcen, die zur Cyber-Resilienz der Organisation beitragen können“, rät Dr. Krämer.

Der Aufbau einer umfassenden Sicherheitskultur beginne mit gezielten Schulungen, kontinuierlichen Sensibilisierungsprogrammen und klarer Führungskompetenz. Regelmäßige Trainings, wie etwa Phishing-Simulationen, könnten Mitarbeiter helfen, Bedrohungen zu erkennen und richtig darauf zu reagieren. „Verstehen alle Mitglieder die Bedeutung ihrer Rolle für die Cyber-Sicherheit, können sie aktiv zum Schutz der gesamten Organisation beitragen!“, unterstreicht Dr. Krämer abschließend.

Weitere Informationen zum Thema:

U.S. Department of Health and Human Services, Health Sector Cybersecurity Coordination Center (HC3), 04.10.2024
Trinity Ransomware

KnowBe4, 2024
Hacked Healthcare: A Global Crisis in Cybersecurity