[datensicherheit.de, 13.08.2025] Coveware by Veeam® hat am 12. August 2025 seinen Ransomware-Bericht für das zweite Quartal 2025 veröffentlicht. Die Daten zeigten eine Eskalation bei gezielten Social-Engineering-Angriffen und einen Anstieg der Lösegeldzahlungen durch ausgeklügelte Taktiken für Datenexfiltration. „Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind“, kommentiert Bill Siegel, CEO von Coveware by Veeam. Er führt aus: „Die Angreifer haben es nicht nur auf Backups abgesehen, sondern auch auf Mitarbeiter, Prozesse und die Integrität der Daten. Unternehmen müssen die Sensibilisierung ihrer Belegschaft in den Vordergrund stellen, Identitätskontrollen verstärken und Daten-Exfiltration nicht als potenziellen ,Worst Case’, sondern als dringliches Risiko behandeln!“

Zentrale Erkenntnisse aus dem Ransomware-Bericht für das zweite Quartal 2025:

• Social-Engineering Vorhut größerer Bedrohungen
  Drei große Ransomware-Gruppen – „Scattered Spider“, „Silent Ransom“ und „Shiny Hunters“ – dominierten dieses Quartal, wobei jede von ihnen sehr gezieltes Social-Engineering einsetze, um in Unternehmen aus Branchen aller Art einzudringen.
  Diese Gruppen hätten opportunistische Massenangriffe zugunsten von Präzisionsangriffen aufgegeben und setzten neuartige Taktiken zur Nachahmung von IT-Helpdesks, Mitarbeitern und Drittanbietern ein.
• Lösegeldzahlungen auf neuem Höchststand
  Sowohl der Durchschnitt als auch der Median der Lösegeldzahlungen seien auf 1,13 Millionen US-Dollar (+104% gegenüber Q1 2025) bzw. 400.000 US-Dollar (+100% gegenüber Q1 2025) gestiegen.
  Dieser Anstieg sei darauf zurückzuführen, dass größere Unternehmen (mit entsprechend mehr Budget) nach Vorfällen von Daten-Exfiltration Lösegeld gezahlt hätten. Die Gesamtrate der Unternehmen, die Lösegeld zahlten, bleibe mit 26 Prozent konstant.
• Datendiebstahl überholt Verschlüsselung als vorrangige Erpressungsmethode
  Exfiltration sei in 74 Prozent aller Fälle eine Angriffsmethode, wobei viele Hacker-Kampagnen nun dem Datendiebstahl Vorrang vor der traditionellen Systemverschlüsselung einräumten.
  Multi-Erpressungstaktiken und verzögerte Bedrohungen seien auf dem Vormarsch und sorgten dafür, dass Unternehmen auch lange nach einem ersten „Breach“ noch gefährdet seien.
• Professionelle Dienstleistungen, Gesundheitswesen und Verbraucherdienste am stärksten betroffen
  Professionelle Dienstleistungen (19,7%), das Gesundheitswesen (13,7%) und Verbraucherdienste (13,7%) seien anteilig am meisten von Angriffen betroffen.
  Mittelgroße Unternehmen (11 bis 1.000 Mitarbeiter) machten 64 Prozent der Opfer aus.
  Viele Angreifer bevorzugen KMU, da diese wegen tendenziell weniger ausgereiften Verteidigungsmöglichkeiten womöglich eine höhere Zahlungsbereitschaft zeigten.
• Angriffstechniken entwickeln sich weiter – „Faktor Mensch“ bleibt größte Schwachstelle
  Die Kompromittierung von Zugangsdaten, Phishing und die Ausnutzung von Remote-Diensten seien dominierende Taktiken für den Erstzugriff, wobei Angreifer zunehmend technische Kontrollen durch Social-Engineering umgingen.
  Hacker-Gruppen nutzten regelmäßig Schwachstellen in weitverbreiteten Plattformen („Ivanti“, „Fortinet“, „VMware“) aus – und „Einzelkämpfer“-Angriffe erfahrener, generische „Toolkits“ verwendender Erpresser nähmen zu.
• Neue Marktteilnehmer verändern Ransomware-Rangliste
  Die aktivsten Ransomware-Varianten im zweiten Quartal 2025 seien „Akira“ (19%), „Qilin“ (13%) und „Lone Wolf“ (9%), während „Silent Ransom“ und „Shiny Hunters“ zum ersten Mal unter die „Top 5“ gelangten.

Coveware by Veeam bündelt Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen

Der vierteljährliche Bericht von Coveware by Veeam basiert demnach auf Daten aus Erster Hand. Das Unternehmen bündele Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen.

• Dabei würden Echtzeit-Ereignisreaktionen, firmeneigene forensische „Tools“ (einschließlich „Recon Scanner“) und eine umfassende Dokumentation des Verhaltens von Bedrohungsakteuren sowie Angriffsvektoren und Verhandlungsergebnisse verwendet.

Durch die Zusammenstellung und Analyse fallspezifischer Daten anstelle von Drittquellen sei Coveware by Veeam in der Lage, aufkommende Trends zu erkennen, Taktiken, Techniken und Verfahren (TTPs) zu verfolgen und umsetzbare, erfahrungsbasierte Informationen über die sich schnell entwickelnde Ransomware-Landschaft zu liefern.

Weitere Informationen zum Thema:

COVEWARE
About Coveware

COVEWARE
Ransomware Quarterly Reports / Ransomware threats are constantly evolving

COVEWARE, 23.07.2025
Quarterly Report / Targeted social engineering is en vogue as ransom payment sizes increase

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Check Point deckt neue Phishing-Domains von Scattered Spider auf / Warnung vor Zunahme der Phishing-Bedrohung für Unternehmen allgemein und speziell für die Luftfahrt

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

[datensicherheit.de, 16.07.2025] Laut Medienberichten haben sich Angriffe mit sogenannter Ransomware im Jahr 2025 mehr als verdoppelt und stellen damit für 92 Prozent der Branchen eine der größten Bedrohungen dar. Auch die Zahl aktiver Ransomware-Banden sei im letzten Jahr – 2024 – sprunghaft angestiegen. Demnach sind derzeit 65 Gruppen aktiv, „wobei die aktivsten unter ihnen ihre Opferzahl im Vergleich zum Vorjahr um mehr als 200 Prozent gesteigert haben“. Kay Ernst von Zero Networks gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware.

Foto: Zero Networks

Kay Ernst: Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!

Ransomware auf den Punkt gebracht

Ernst erklärt: „Ransomware ist eine Art von Schadcode, der Dateien oder Systeme verschlüsselt und somit unzugänglich macht, bis ein Lösegeld gezahlt wird.“ Angreifer verlangten oft Zahlungen in „Krypto-Währungen“, um die Rückverfolgung zu erschweren.

• Das „Double Extortion“-Modell, also eine doppelte Erpressung mit Ransomware mache sie besonders gefährlich:

Zusätzlich zur Sperrung von Dateien exfiltrierten viele Ransomware-Varianten auch noch Daten – und die -Banden drohten dann mit deren Veröffentlichung oder Verkauf, wenn das Lösegeld nicht gezahlt wird.

Ransomware-Angriffe kaum zu stoppen

Da das Ransomware-Geschäft so profitabel sei, könnten Cyberkriminelle talentierte Top-Kräfte einstellen, um Zero-Day-Lücken zu finden, maßgeschneiderte „Tools“ (die schwerer zu erkennen sind) zu entwickeln und fortschrittliche Ausweichtechniken wie „Hypervisor Jackpotting“ und die Umgehung von EDR (Endpoint Detection and Response) zu erforschen.

• Mit anderen Worten: „Ransomware-Banden verfügen über Ressourcen und Fähigkeiten, die früher nur Nationalstaaten vorbehalten waren, so dass ihre Opfer militärische Abwehrmaßnahmen benötigen, um sich angemessen zu schützen!“

Ransomware-Angriffe seien in der Regel hochentwickelt – sie nutzten oft legitime Netzwerkfunktionen aus, was es unglaublich schwierig mache, sie zu erkennen, bevor es zu spät ist.

Ransomware-Funktionen im Phasenmodell

Es gebe zwar verschiedene Arten von Ransomware, aber in den meisten Fällen würden Dateien oder Systeme nach einer Phase der heimlichen Bewegung durch das Netzwerk verschlüsselt. Obwohl Ransomware-Angriffe viele Formen annehmen könnten, folgten sie im Allgemeinen dem gleichen Ablauf. Ransomware-Angriffe erfolgen laut Ernst in der Regel in sechs Phasen:

1. Aufklärungsphase
   Die Angreifer untersuchen das Netzwerk, identifizieren wertvolle Ressourcen und suchen nach Schwachstellen.
2. Infektionsphase
   Sie verschaffen sich ersten Zugriff – „häufig über Phishing-E-Mails, ,Exploit-Kits’ oder kompromittierte Anmeldedaten“.
3. Eskalationsphase
   Die Angreifer bewegen sich lateral durch das Netzwerk und erweiteren ihre Berechtigungen – „um an sensible Systeme zu gelangen“.
4. Scanphase
   Die Malware listet Dateien und Systeme auf, um Ziele für die Verschlüsselung zu identifizieren.
5. Verschlüsselungsphase
   Nach der Identifizierung der Ziele setzen die Angreifer Ransomware ein, um Dateien oder Systeme zu verschlüsseln – „oft begleitet von der Löschung von Backups oder Schattenkopien“.
6. Erpressungsphase:
   Die Angreifer verlangen eine Lösegeldzahlung für die Herausgabe des Entschlüsselungscodes – „oft werden diese Forderungen mit der Drohung verbunden, die Daten zu veröffentlichen“.

Ransomware-Typen im Überblick

Angreifer verwendeten bei Ransomware-Angriffen verschiedene Techniken und Monetarisierungsstrategien, darunter laut Ernst:

• Verschlüsselnde Ransomware
  Diese häufigste Kategorie von Ransomware verschlüsselt Dateien, so dass Angreifer Lösegeld für die Entschlüsselung verlangen können.
• Scareware
  Durch die Anzeige gefälschter Warnmeldungen oder Popups täuscht „Scareware“ den Benutzern vor, dass ihr System infiziert ist, um Geld zu erpressen.
• Screen Lockers
  Diese Bildschirmsperren verhindern, dass Benutzer auf ihren Bildschirm zugreifen können – „bis ein Lösegeld gezahlt wird“.
• DDoS-Erpressung
  Distributed-Denial-of-Service-Angriffe (DDoS) werden angedroht oder ausgeführt – „sofern keine Zahlung erfolgt“.
• Ransomware-as-a-Service (RaaS)
  Bei diesem immer beliebter werdenden Geschäftsmodell verkaufen oder vermieten Entwickler „Ransomware-Kits“ an andere Cyberkriminelle.

Umfassende Ransomware-Abwehr u.a. mittels proaktiver Sicherheitskontrollen

Ernst betont warnend: „Ransomware-Angriffe sind raffiniert, komplex und gut koordiniert. Das bedeutet, dass Unternehmen einen starken Schutz gegen jede Form von Angriff einrichten und akzeptieren müssen, dass es zu Sicherheitsverletzungen kommen wird.“

• Die besten Strategien zur Ransomware-Prävention behandelten Ransomware eben als unvermeidbar – „und nehmen ihr dann ihre Fähigkeit zur Verbreitung“.

Eine umfassende Ransomware-Abwehr sollte proaktive Sicherheitskontrollen und Maßnahmen zur Optimierung der Wiederherstellung umfassen.

Einsatz proaktiver Sicherheitskontrollen empfohlen

Da Ransomware-Angriffe so oft unentdeckt blieben, böten präventive Kontrollen laut Ernst den besten Schutz:

• Mikrosegmentierung
  Ransomware-Angriffe benötigen Netzwerkzugriff, um sich zu verbreiten. Dies gilt sowohl für die frühen Phasen eines Angriffs, „in denen das interne Netzwerk gescannt wird“, als auch für die späteren Phasen, „in denen Schwachstellen in exponierten Diensten ausgenutzt oder kompromittierte Anmeldedaten verwendet werden, um sich zu verbreiten“. Ein segmentiertes Netzwerk schneidet Angreifer ab, so dass sie fast nichts tun können, um sich zu verbreiten.
• Multi-Faktor-Authentifizierung (MFA)
  Anmeldedaten gehören zu den am häufigsten verwendeten „Waffen“ von Angreifern – „die sie oft nur allzu leicht stehlen oder knacken können“. Durch den Schutz privilegierter Zugriffe mit MFA können Verteidiger das Risiko erheblich begrenzen.
• Deaktivierung unnötiger Ports und Dienste
  Das Abschalten ungenutzter Fernzugriffsprotokolle (wie RDP und SMB) und die Durchsetzung strenger Zugriffskontrollen schränken die Angriffswege ein und reduzieren die Angriffsfläche für Ransomware.
• Robuste Perimeter-Abwehr
  Lösungen wie eine Next-Generation-Firewalls (NGFW) und granulare Zugriffskontrollen minimieren Bedrohungen durch eine verstärkte Absicherung des „Nord-Süd“-Datenverkehrs.

Empfohlene Maßnahmen zur Optimierung der Wiederherstellung

Die vollständige Verhinderung von Ransomware-Angriffen wäre zwar ideal, aber ebenso wichtig sei dennoch die Vorbereitung auf die Wiederherstellung. „Bewährte Verfahren zur Optimierung der Wiederherstellung sind Backup-Systeme sowie kontinuierliche Überwachung und Reaktion.“

• Das bedeutet: „Regelmäßige, verschlüsselte Backups in einer vom Hauptnetzwerk getrennten Umgebung vereinfachen die Wiederherstellung für den Fall, dass Ransomware wichtige Daten verschlüsselt.“

Unternehmen sollten zudem auf verdächtige Aktivitäten im Netzwerk achten und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten sei hierbei: „Endpoint Detection and Response“-Systeme (EDR) allein könnten laterale Bewegungen nicht blockieren und vor Ransomware schützen.

Tipps zur Eindämmung von Ransomware-Angriffen

Ernst führt weiter aus: „Sobald die Ransomware verbreitet ist, sind deren Entfernung und die Wiederherstellung verschlüsselter Daten von entscheidender Bedeutung. Schnelligkeit ist wichtig, aber Vorsicht auch!“ Zu schnelles Handeln ohne klare Strategie könne zu einer erneuten Infektion oder zu einer Beeinträchtigung der Wiederherstellungsmaßnahmen führen.

• Der erste Schritt zur Eindämmung von Ransomware bestehe darin, die Reichweite der Infektion zu begrenzen. Betroffene Systeme gelte es vom Netzwerk zu trennen – „um zu verhindern, dass die Malware andere Ressourcen scannt, verschlüsselt oder auf andere Ressourcen überspringt“. Wenn bereits eine Netzwerksegmentierung vorhanden ist, ließen sich infizierte Bereiche gezielter isolieren und so die Auswirkungen auf das gesamte Unternehmen reduzieren.

Nach einem Ransomware-Angriff müssten nicht nur Daten „wiederhergestellt“ werden – „auch alle Anmeldedaten, Geheimnisse, API-Schlüssel und privaten Schlüssel sind möglicherweise kompromittiert und müssen neu generiert werden, um einen erneuten Angriff zu verhindern“.

Ransomware-Angriffe stoppen, bevor sie sich ausbreiten

„Geschwindigkeit, Tarnung und Raffinesse sind die größten Waffen von Ransomware“, unterstreicht Ernst. Da sie sich innerhalb eines Netzwerks so schnell und oft unentdeckt verbreite, könnten herkömmliche Sicherheitslösungen einfach nicht Schritt halten.

• „Entscheidend ist eine Lösung, die laterale Bewegungen unmöglich macht.“ Durch die Kombination von Mikrosegmentierung und granularen identitätsbasierten Zugriffskontrollen könnten Unternehmen Ransomware-Angriffe stoppen, bevor sie sich ausbreiten, und so sicherstellen, dass Angreifer niemals Berechtigungen eskalieren oder kritische Systeme erreichen können.

„Selbst wenn Anmeldedaten kompromittiert werden, sorgt eine Just-in-Time-MFA auf Netzwerkebene dafür, dass diese Anmeldedaten nicht verwendet werden können.“ Mit anderen Worten: „Wenn Ransomware die Perimeter-Sicherheit durchbricht, bleibt sie an Ort und Stelle und kann sich nicht über den ursprünglichen Eintrittspunkt hinausbewegen.“ Abschließend gibt Ernst den Rat: „Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!“

Weitere Informationen zum Thema:

ZERO NETWORKS
About Us / Radical Simplicity, Uncompromising Security

cybernews, Paulina Okunytė, 11.04.2025
Ransomware gangs go whale hunting with Fortune 500 companies

verizon business, 2024
2024 Data Breach Investigations Report

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 06/10/2025
OT Security in 2025: More Incidents, less Ransomware / Interview with Dr. Terence Liu, CEO of TXOne Networks at HANNOVER MESSE (HMI 2025) on OT Security and the situation in 2025

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

[datensicherheit.de, 13.07.2025] Dem neuen „Sophos State of Ransomware 2025“-Report zufolge steigt die Anzahl der Unternehmen, die nach einem Ransomware-Angriff eine Lösegeldsumme bezahlen. Der Druck, der aufgrund des Risikos auf Unternehmen lastet, hat demnach auch gravierende Auswirkungen auf die IT-Teams – so würden die Befragten über erhöhte Angst, Stress, psychische Probleme und einem daraus resultierenden Ausfall der IT- und Security-Spezialisten berichten.

Foto: Sophos

Chester Wisniewski rät dringend: Trotz der guten Gegenwehr müssen wir weiterhin kontinuierlich mehr tun, um die Abwehrmaßnahmen mit Prävention, Erkennung und Reaktion an allen Fronten zu verstärken!

60% der Unternehmen in Deutschland und 49% in der Schweiz von Ransomware angegriffen

Der Sophos-Report „State of Ransomware 2025“, bei dem laut Sophos Anfang des Jahres 2025 insgesamt 3.400 IT-Spezialisten aus Unternehmen mit 100 bis 5.000 Mitarbeitern befragt wurden, zeige, „dass 60 Prozent der Unternehmen in Deutschland und 49 Prozent in der Schweiz von Ransomware angegriffen wurden“.

• Beide Ergebnisse seien etwas unterdurchschnittlich, „denn weltweit sind 68 Prozent der Unternehmen von Ransomware attackiert worden“.

Im Vergleich zum Vorjahres-Report hätten diese Ergebnisse einen uneinheitlichen Trend bestätigt: „In Deutschland wurden zwölf Monate zuvor 58 Prozent und in der Schweiz 59 Prozent von Ransomware attackiert – der weltweite Durchschnitt lag in 2024 bei 59 Prozent.“

Entscheidend zur Bewertung ist, ob Cyberkriminelle Daten verschlüsseln oder stehlen konnten

Die entscheidende Frage bei der Bewertung von Cyberattacken sei, ob die Cyberkriminellen die Daten durch ihre Angriffe verschlüsseln oder stehlen konnten: „Dies bejahten im diesjährigen Report 51 Prozent in Deutschland und 53 Prozent in der Schweiz. Der weltweite Schnitt liegt mit 50 Prozent minimal darunter.“

• Die Entwicklung zeige in beiden Ländern ein ähnliches Bild hinsichtlich der Angriffsqualität.

Deutsche Unternehmen könnten im Vergleich zur Vorjahresumfrage mit 79 Prozent einen deutlichen Abwärtstrend an „erfolgreichen“ Ransomware-Attacken verzeichnen. Äquivalent sei die Rate der Datenverschlüsselungen und Diebstähle in der Schweiz von 68 Prozent entsprechend gesunken – „weltweit waren es 70 Prozent im Mittel“.

Anhaltende Ransomware-Bedrohung gestattet kein Aufatmen

Ein Aufatmen oder gar eine Entwarnung sei jedoch in keinem der beiden Länder gerechtfertigt: „Zwar erhielten 95 Prozent der deutschen und 97 Prozent der Schweizer Unternehmen ihre Daten nach einer Verschlüsselung auf unterschiedlichen Wegen wieder zurück.“

• Allerdings entschieden sich 63 Prozent der deutschen und 54 Prozent der Schweizer Unternehmen dazu, dies mit einer Lösegeldzahlung zu erreichen.

Diese Ergebnisse erscheinen laut Sophos im Vergleich zu 2024 besonders bedenklich, denn in der Vorjahresumfrage hätten nur 50 Prozent in beiden Ländern die Problemlösung in der Bezahlung der Erpressungssummen gesehen.

Cyberattacken mit Ransomware setzen IT-Security-Personal unter hohem Druck

Cyberattacken mit Ransomware hätten nicht ausschließlich produktive und wirtschaftliche Auswirkungen auf Organisationen, sondern ganz unmittelbar auch auf das IT-Security-Personal: „44 Prozent der in Deutschland Befragten berichten von einer erhöhten Angst oder Stress in Bezug auf zukünftige Angriffe. In der Schweiz scheint dieses Phänomen mit nur 28 Prozent deutlich geringer zu sein.“

• 44 Prozent der deutschen Unternehmen berichteten von Teammitgliedern, welche „aufgrund von Stress oder psychischen Problemen nicht im Unternehmen anwesend sein konnten“. Im Gegensatz dazu habe die Schweiz mit 64 Prozent bei diesem Aspekt deutlich mehr zu kämpfen als die Landesnachbarn.

Die Belastung komme jedoch nicht nur durch die Angreifer von außen, sondern auch aus den Reihen im Inneren: „41 Prozent in Deutschland bestätigen von erhöhtem Druck seitens der Führungskräfte; in der Schweiz sind es mit 31 Prozent zehn Prozentpunkte weniger.“ Allerdings seien beide Länder wieder gleichauf, wenn es um personelle Konsequenzen geht: „27 Prozent der deutschen und 26 der Schweizer bestätigen, dass die Führung des Teams bereits ausgewechselt wurde.“

Lukratives Geschäft: Ransomware-Angriffe auch in absehbarer Zukunft akute Gefahr

Chester Wisniewski, „Director ,Global Field CISO’“ bei Sophos, kommentiert: „Aus internationaler Perspektive werden 44 Prozent der Angriffe gestoppt, bevor Daten verschlüsselt werden und bei nur 50 Prozent der angegriffenen Unternehmen wurden Daten verschlüsselt. Dies verringert die Gesamtzahl der Opfer, die möglicherweise Lösegeld zahlen würden.“

• Positiv ausgedrückt bedeute dies, „dass wir über zunehmend sorgfältige und erfahrene Überwachungsfunktionen verfügen und dass wir immer besser darin sind, fortschrittlichere Tools zur Früherkennung wie XDR einzusetzen“. Wisniewski gibt indes zu bedenken: „Aber wenn wir ehrlich sind, ist die Tatsache, dass 49 Prozent der Ransomware-Opfer weltweit Lösegeld gezahlt haben und die durchschnittliche Lösegeldzahlung bei einer Million US-Dollar lag, kein positives Ergebnis.“

Denn aus Sicht der Kriminellen bedeuteten diese Ergebnisse, dass Angriffe auch in absehbarer Zukunft fortgesetzt würden und ein lukratives Geschäft darstellten. „Trotz der guten Gegenwehr müssen wir weiterhin kontinuierlich mehr tun, um die Abwehrmaßnahmen mit Prävention, Erkennung und Reaktion an allen Fronten zu verstärken!“ Solange Kriminelle am Spielautomatenhebel des „einarmigen Ransomware-Banditen“ zögen und jedes zweite Mal eine Million US-Dollar Gewinn locke, gebe es wenig, was sie von ihren Angriffen abhalten könnte.

Weitere Informationen zum Thema:

SOPHOS, 2025
Ransomware-Report 2025: Warum werden Unternehmen und andere Organisationen Opfer von Ransomware? Und wie stellen Sie den Normalbetrieb wieder her? Welche geschäftlichen Folgen und welche Auswirkungen auf Mitarbeitende hat ein Ransomware-Angriff? / Im Sophos Ransomware-Report 2025 mit aktuellen Statistiken finden Sie Antworten auf diese Fragen.

SOPHOS
Chester Wisniewski / Director, Global Field CISO

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 06/10/2025
OT Security in 2025: More Incidents, less Ransomware / Interview with Dr. Terence Liu, CEO of TXOne Networks at HANNOVER MESSE (HMI 2025) on OT Security and the situation in 2025

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

[datensicherheit.de, 13.07.2025] Check Point warnt in einer aktuellen Stellungnahme vor einer zunehmenden Bedrohung durch die berüchtigte Hacker-Gruppe „Scattered Spider“. Sicherheitsforscher berichteten demnach zuletzt im Mai 2025 davon, wie die mutmaßlich mit dem „DragonForce“-Ransomware-Kartell in Verbindung stehenden Gruppe den britischen Einzelhandel angriff. Nun hat Check Point Research (CPR), die IT-Forensiker der Check Point® Software Technologies Ltd., nach eigenen Angaben über 500 Phishing-Domains identifiziert, welche gezielt auf Unternehmen – insbesondere in der Luftfahrtbranche – zielen.

Typische Phishing-Domains als neue Indikatoren

„In den vergangenen Wochen wurden mehrere Vorfälle publik, die mit der Gruppe in Verbindung gebracht werden – darunter der massive Datenverlust bei Qantas im Juli 2025, bei dem Daten von rund sechs Millionen Kunden kompromittiert wurden.“ Auch Angriffe auf Hawaiian Airlines und WestJet unterstrichen die Dringlichkeit, Sicherheitslücken zu schließen, insbesondere bei Drittanbietern im Luftfahrtsektor. CPR habe ein konsistentes Muster in der Infrastruktur der Angreifer identifizieren können: „Domains, die Unternehmensportale täuschend echt nachahmen, um Mitarbeiter zur Herausgabe von Zugangsdaten zu bewegen.“ Typische Namensmuster sind laut CPR:

• victimname-sso.com
• victimname-servicedesk.com
• victimname-okta.com

CPR-Beispiele für entdeckte Phishing-Domains:

• chipotle-sso[.]com
• gemini-servicedesk[.]com
• hubspot-okta[.]com

Diese Domains richteten sich nicht nur gegen Technologie-, Einzelhandels- und Luftfahrtunternehmen, sondern auch gegen die Fertigung, Medizintechnik, Finanzdienstleistungen und Unternehmensplattformen – ein Hinweis auf die opportunistische Natur dieser Gruppe.

Phishing-Gruppe „Scattered Spider“ wohl seit 2022 aktiv

Diese Gruppe sei seit mindestens 2022 aktiv und bestehe aus jungen Akteuren aus den USA und Großbritannien. Ihre Taktiken umfassen laut CPR:

• Aggressive Social-Engineering-Methoden (u.a. Ausnutzung der Multi-Faktor-Authentifizierung-Ermüdung der Angestellten, Vishing, SIM-Swapping).
• Einsatz von Remote-Access-Tools wie „TeamViewer“, „Ngrok“ und „Tactical RMM“.
• Nutzung von Malware wie „WarZone RAT“ und „Raccoon Stealer“.
• Ransomware-Angriffe mit „BlackCat“/„ALPHV“.

Um sich der Angriffe und Methoden von „Scattered Spider“ effektiv zu erwehren, empfiehlt Check Point:

• Monitoring verdächtiger Domains und Blockieren passender Muster.
• Mitarbeiterschulungen zu MFA-Missbrauch und „Vishing“.
• Adaptive Authentifizierung mit Anomalie-Erkennung.
• Robuste Endpunkt-Sicherheitsmaßnahmen.
• Für Luftfahrtunternehmen: Striktes „Vendor Risk“-Management und branchenspezifische „Incident Response“-Playbooks.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 07.07.2025
Exposing Scattered Spider: New Indicators Highlight Growing Threat to Enterprises and Aviation

CHECK POINT Cyberint, Adi Bleih, 08.05.2025
Meet Scattered Spider: The Group Currently Scattering UK Retail Organizations

CHECK POINT, Check Point Research, 06.05.2025
DragonForce Ransomware: Redefining Hybrid Extortion in 2025

datensicherheit.de, 19.02.2025
Kleine und mittlere Flughäfen: BSI stellt IT-Grundschutz-Profil bereit / BSI-Empfehlungen für Mindestabsicherung kleiner und mittlerer Flughäfen in Deutschland

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf

[datensicherheit.de, 11.07.2025] Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden. „Die Angreifer gehen heute immer gezielter, ausdauernder und strategischer vor“, berichtet Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos. Das wachsende Risiko betreffe besonders Industrieunternehmen auf der ganzen Welt. Die „Industrial Ransomware Analysis Q1“ von Dragos liefere nun fundierte Einblicke in diese anhaltenden Gefahren und zeige wichtige Entwicklungen, regionale Besonderheiten sowie jene durch die weltweite Bedrohungsbeobachtung erkannten Schwachstellen einzelner Branchen auf.

Deutschland weiterhin ein Ransomware-Hauptziel in Europa

Im ersten Quartal 2025 beobachtete Dragos demnach 708 Ransomware-Angriffe auf Industrieunternehmen weltweit. „Das entspricht einem deutlichen Anstieg im Vergleich zu rund 600 Fällen im vierten Quartal 2024. Nordamerika bleibt mit 413 gemeldeten Vorfällen, was etwa 58 Prozent aller weltweiten Aktivitäten ausmacht, die am stärksten betroffene Region.“ Europa folge mit 102 bis 135 Angriffen (etwa 19%), wobei Deutschland weiterhin zu den Hauptzielen zähle.

• Dieser Anstieg verdeutliche die zunehmende Häufigkeit und Komplexität von Ransomware-Angriffen, welche vor allem Branchen wie Fertigung, Transport, Industrielle Steuerungssysteme (ICS) und Maschinenbau träfen. Alamri führt aus: „Auch wenn viele der eingesetzten Techniken nicht neu oder besonders ausgefeilt sind, fallen Ransomware-Angriffe aufgrund ihrer gezielten Vorgehensweise, ihrer nachhaltigen Wirkung und ihrer wachsenden Verbreitung durch immer raffiniertere Akteure klar in die Kategorie der sogenannten ,Advanced Persistent Threats’ (APT).“

Mit 68 Prozent sei der Fertigungssektor im ersten Quartal 2025 weiterhin am stärksten betroffen gewesen, auch wenn der Anteil leicht unter den 70 Prozent im vierten Quartal 2024 liege. „Industrieunternehmen, die eine Schlüsselrolle in globalen Lieferketten und Infrastrukturen spielen, sind besonders gefährdet, da Ransomware-Gruppen ihre Taktiken stetig weiterentwickeln“, warnt Alamri.

Ransomware-Vorfälle zeigen auf, wie der Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigt werden können

Die zunehmende Vernetzung von IT und OT verstärke die betrieblichen Folgen zusätzlich, da sich IT-Störungen direkt auf operative Prozesse auswirken könnten. Zudem setzten Angreifer vermehrt auf irreführende Erpressungsmethoden, was die Verteidigung zusätzlich erschwere.

• So machten sie häufig unbegründete Behauptungen über angebliche Sicherheitsvorfälle und übten psychologischen Druck aus, etwa durch das erneute Veröffentlichen veralteter oder gefälschter Datenlecks. „Diese Täuschungen behindern nicht nur die Reaktion auf Vorfälle, sondern erschweren auch die Überprüfung und belasten die betroffenen Unternehmen erheblich“, kommentiert Alamri.

Zwar habe Dragos in diesem Zeitraum keine neuen Ransomware-Varianten identifiziert, „die speziell auf ICS-Umgebungen abzielen“, doch schwere Vorfälle wie der Angriff auf Unimicron – einen führenden Hersteller von Leiterplatten – zeigten, wie stark Ransomware den Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigen könne.

Trends, Muster und Beobachtungen zu Ransomware-Gruppen im ersten Quartal 2025

Im ersten Quartal 2025 hätten Ransomware-Gruppen ihre Taktiken weiter verfeinert. „Neben etablierten Akteuren traten auch neue Gruppen in Erscheinung, die unter anderem KI-gestützte Schadsoftware und ausgeklügelte Methoden zur Umgehung von EDR-Systemen einsetzten.“

• Ihre Angriffe hätten sich gezielt gegen Schwachstellen in IT-Infrastrukturen gerichtet, wie etwa in „Cleo“-Dateiübertragungsplattformen, Fernzugriffsanwendungen oder veralteter Software. „Hinzu kamen Versäumnisse beim Schutz von Remote-Zugängen, ein mangelhafter Umgang mit Anmeldedaten und Sicherheitslücken entlang der Lieferkette“, so Alamri. Diese Faktoren hätten zu erheblichen Störungen geführt und eine schnelle und koordinierte Reaktion auf die Angriffe erschwert.

Um dieser dynamischen Bedrohungslage wirksam zu begegnen, brauche es vorausschauende Sicherheitsstrategien, eine schnelle Erkennung verdächtiger Aktivitäten und kontinuierlich weiterentwickelte Schutzmaßnahmen. Dazu zählten der breite Einsatz robuster Multi-Faktor-Authentifizierung (MFA), die kontinuierliche Überwachung sensibler Netzwerkbereiche, zuverlässige Offline-Backups sowie ein sicherer und kontrollierter Fernzugriff.

Eigene Resilienz gegenüber wachsenden Bedrohungen hochentwickelter Ransomware-Gruppen stärken

Abschließend rät Alamri: „Ergänzend sollten Unternehmen ihre Mitarbeitenden gezielt schulen, ihre Netzwerkarchitektur regelmäßig überprüfen und moderne Erkennungssysteme einsetzen, die auch KI-gestützte Angriffsformen erkennen!“

• Er erläutert: „Da sich das Ransomware-Ökosystem zunehmend ausdifferenziert und dynamisch an neue Bedingungen anpasst, gewinnt die frühzeitige Erkennung von Bedrohungen, der zeitnahe Informationsaustausch und eine koordinierte Reaktion auf Angriffe enorm an Bedeutung.“ Nur durch ein entschlossenes und abgestimmtes Vorgehen ließen sich Kritische Infrastrukturen (Kritis) und industrielle Abläufe wirksam schützen.

Unternehmen müssten vor allem die Risiken der IT-OT-Konvergenz aktiv angehen, Schwachstellen in der Lieferkette absichern und Meldeprozesse für sicherheitsrelevante Vorfälle weiterentwickeln. „Wer hier systematisch ansetzt, stärkt die eigene Resilienz gegenüber den wachsenden Bedrohungen durch hochentwickelte Ransomware-Gruppen.“

Weitere Informationen zum Thema:

DRAGOS, The Dragos Blog, Abdulrahman H. Alamri & Lexie Mooney, 21.05.2025
Dragos Industrial Ransomware Analysis: Q1 2025

DRAGOS
Abdulrahman H. Alamri / Senior Intel Analyst II

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

[datensicherheit.de, 08.07.2025] Das sogenannte DarkWeb ist offensichtlich längst kein mysteriöser Randbereich des Internets mehr – „es ist eine florierende Untergrundwirtschaft, die Identitätsdiebstahl, Ransomware und Datenschutzverletzungen weltweit antreibt“, warnt Panda Security in seiner aktuellen Stellungnahme und berichtet: „Laut einer aktuellen Analyse von Panda Security für 2025 gab es allein in den USA 880.418 Beschwerden wegen Internetkriminalität, mit einem Gesamtschaden von 12,5 Milliarden US-Dollar – ein Anstieg von 22 Prozent im Vergleich zu 2022.“

Abbildung: Panda Security

Überblick: „Tor“-Nutzer weltweit

60 Prozent der DarkWeb-Domains hosten illegale Inhalte

Zentrale Erkenntnisse aus dem Bericht „39 Eye-Opening Dark Web Statistics for 2025“:

• 15 Milliarden gestohlene Zugangsdaten kursierten auf DarkWeb-Marktplätzen
• Ransomware-Angriffe seien 2023 um 55,5 Prozent gestiegen, besonders stark betroffen gewesen sei der Gesundheitssektor
• 60 Prozent der Domains im DarkWeb hosteten illegale Inhalte
• Die USA und Deutschland machten gemeinsam 68 Prozent des globalen DarkWeb-Traffics im „Tor“-Netzwerk aus
• Über drei Millionen Menschen griffen täglich auf das DarkWeb zu (Stand per März 2025)

DarkWeb-Boost befördert Komplexität und Reichweite der Bedrohungen

Mit dem prognostizierten weiteren Wachstum des DarkWebs – Schätzungen zufolge werde der Markt bis 2032 auf 2,92 Milliarden US-Dollar zunehmen – stiegen auch die Komplexität und Reichweite der Bedrohungen.

Der Bericht „39 Eye-Opening Dark Web Statistics for 2025“ gibt demnach Einblicke, wie gestohlene Daten, Phishing-Kits und kriminelle Marktplätze in nahezu vollständiger Anonymität funktionieren.

Abbildung: Panda Security

Gegenüberstellung: „Web“ vs. „DarkWeb“

Panda Security gibt praktische Tipps zum Schutz – inklusive DarkWeb-Überwachung

Der vollständige Bericht umfasst laut Panda Security:

• Übersicht der „Tor“-Nutzung nach Ländern
• Aufschlussreiche Statistiken zu Identitätsdiebstahl, Phishing und Datenschutzverletzungen
• Wie Cyberkriminelle gehackte Zugangsdaten zu Geld machen
• Risiken durch Foren, „Telegram“-Gruppen und geleakte Mitarbeiterdaten
• Praktische Tipps zum Schutz – inklusive DarkWeb-Überwachung, VPNs und Sicherheitstools wie „Panda Dome“

Weitere Informationen zum Thema:

panda, 05.05.2025
39 Eye-Opening Dark Web Statistics for 2025

datensicherheit.de, 26.06.2025
Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang / BioCatch hat am 18. Juni 2025 seinen ersten „Dark Economy Report“ veröffentlicht – diesem liegt eine Umfrage unter 800 Experten in 17 Ländern auf fünf Kontinenten zugrunde

datensicherheit.de, 16.06.2025
BKA-Meldung zu Archetyp Market: Darknet-Handelsplattform abgeschaltet / Auf dieser ältesten kriminellen Handelsplattform im Darknet wurden laut BKA mindestens 250 Millionen Euro umgesetzt

datensicherheit.de, 18.11.2024
Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet / Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden Prüfung möglicher Ansprüche auf Schadensersatz

datensicherheit.de, 25.07.2024
Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich / Preise können je nach Qualität des jeweiligen Botnets auf bis zu 10.000 US-Dollar steigen

datensicherheit.de, 23.07.2022
HP: Gestohlene Zugangsdaten im DarkWeb günstiger als ein Döner / Laut neuer Studie von HP Wolf Security sind Cyber-Kriminelle bemüht, ihre Untergrund-Ökonomie zu professionalisieren

[datensicherheit.de, 18.06.2025] „Im Kampf gegen Cyberkriminelle können es sich Unternehmen nicht leisten, auf der Stelle zu treten!“, betont Andreas Müller, „Vice President Enterprise Sales CE“ bei Delinea, in seiner aktuellen Stellungnahme und führt aus, „warum sie insbesondere ihre Ransomware-Abwehr überdenken müssen und was es für den Schutz gegen die Cybererpresser braucht“.

Foto: Delinea

Andreas Müller prognostiziert: Das Thema „Agentic AI“ im Security-Bereich wird zunehmend an Bedeutung gewinnen

Betrüger veräußern Anmeldedaten im DarkWeb und treiben so das Wachstum des Ransomware-Marktes

Die Anzahl erfolgreicher Cyberangriffe gehe erneut durch die Decke, so der Bitkom. Demnach ist der Anteil der betroffenen Unternehmen im Jahr 2024 von 72 auf 81 Prozent gestiegen. Bei etwa einem Drittel (31%) davon habe Ransomware den größten Schaden angerichtet (2023: 23%).

• Müller erörtert, was den Erfolg von Ransomware-Angriffen begünstigt: „Wer über die Anmeldedaten von Personen aus einem Unternehmen verfügt, kann sich in der Regel ganz einfach im System anmelden und sich frei bewegen – sofern keine zusätzlichen Sicherheitsmechanismen wie Multifaktor-Authentifizierung oder eingeschränkte Zugriffsprivilegien aktiv sind.“

Für ein zusätzliches „Taschengeld“ verkauften viele Betrüger die Anmeldedaten im sogenannten DarkWeb, was zum Wachstum des Ransomware-Marktes beitrage (Initial Access Broker).

„Ransomware-as-a-Service“ als erfolgreiches Geschäftsmodell

Bekannt als „Ransomware-as-a-Service“-Modell böten kriminelle Gruppen und Einzelgänger darüber hinaus sowohl ihre Dienste als auch ihre „Tools“ gegen Zahlung im DarkWeb an. Damit könnten sogar Cybercrime-Laien ohne nennenswerte Hacking-Skills Unternehmen erpressen.

• „Ein weiteres rentables Geschäftsmodell bildet ,Double Extortion’ – also die doppelte Erpressung: zunächst durch Datenverschlüsselung und anschließend durch Veröffentlichung oder Verkauf der Daten an Höchstbietende.“

„And last, but not least“, so Müller: Cyberkriminellen stehe – wie allen anderen auch – die Welt zu neuen Technologien offen. Mithilfe von KI steigerten sie zum Beispiel die Erfolgsrate ihrer Phishing-Kampagnen, „indem sie damit unter anderem die Inhalte glaubwürdiger gestalten“.

Schwachstellen in IT-Abteilungen begünstigen Ransomware-Angriffe

Es gebe verschiedene Faktoren, welche es Cyberkriminellen unter günstigen Umständen besonders leicht machten, Unternehmen „Ransomware unterzujubeln und sich dadurch sensible Daten unter den Nagel zu reißen“. Diese Schwachstellen erklärten, „wieso Angriffe so häufig und erfolgreich sind und warum Unternehmen lange unter den Folgen von Ransomware-Attacken leiden müssen“.

1. Schwachstelle: Die Bereitschaft, nachzugeben
   Über die Hälfte der Unternehmen hätten sich laut einer aktuellen Studie gegen die allgemein bekannten Handlungsempfehlungen entschieden und das verlangte Lösegeld mit der Aussicht gezahlt, den Wiederherstellungsprozess zu beschleunigen.
   „Allerdings haben sie es mit Kriminellen zu tun, die nicht immer ihr Wort halten. 26 Prozent, die sich auf die Forderungen eingelassen haben, erhielten ihre Daten nicht zurück.“
   Somit gebe es keine Garantie, dass Angreifer die verschlüsselten Systeme und Daten wieder freigeben, geschweige denn darauf verzichten, ihre Ausbeute im DarkWeb zu Geld zu machen.
2. Schwachstelle: Alleiniges Vertrauen in die Basics
   Wenn es um Cybersicherheit geht, setzten sehr viele Unternehmen auf diese vier Top-Maßnahmen: regelmäßige Updates, Backups sensibler Daten, vorgeschriebene Passworthygiene sowie Anwendungskontrollen.
   „Robustere Mechanismen wie Identity- und Access-Management sucht man hier vergeblich.“
   So hilfreich die aufgezählten Maßnahmen auch seien – die steigende Anzahl von Ransomware-Opfern beweise, dass sie allein nicht ausreichten, um sich wirksam gegen Phishing-Angriffe und Datendiebstahl zu schützen.
3. Schwachstelle: Verschobener Fokus
   Auch wenn es in vielen Unternehmen an fortschrittlicheren Sicherheitsmaßnahmen fehle, seien die meisten von ihnen (90%) zumindest teilweise auf den Ernstfall vorbereitet.
   Dieser Anteil verfüge nach eigenen Aussagen nämlich über Incident-Response- und Backup-Pläne. Allerdings zeigten die Umfrageergebnisse auch hierbei, dass die Konzepte mit hoher Wahrscheinlichkeit ihre Lücken hätten.
   „Denn 75 Prozent der Unternehmen benötigten im Schnitt zwei Wochen, um sich von einem Ransomware-Angriff zu erholen und ihre Ressourcen wiederherzustellen. Lediglich 18 Prozent schafften das innerhalb von 24 Stunden.“
4. Schwachstelle: Reaktion statt Prävention
   „So lange es Sicherheitslücken gibt und Opfer bereitwillig das Lösegeld zahlen, bleibt die Bedrohung bestehen.“
   Gleichzeitig vergrößere sich aufgrund technologischer Innovationen die Angriffsfläche in Unternehmen, „was Cyberkriminellen in die Karten spielt und den Schutz vor Datendiebstahl verkompliziert“.
   Dies mache eine präventive, proaktive und mehrschichtige Abwehrstrategie unerlässlich, welche grundlegende und fortschrittliche Sicherheitsmaßnahmen sowie Incident-Response- und Recovery-Pläne miteinander verbindet.

Wissen erforderlich, welche Mitarbeiter und Geräte sich aktuell im Netzwerk befinden

„Dazu gehören zum einen die wichtigen Basics wie risikobasiertes Patching, regelmäßige Backups, Anwendungskontrollen, aber auch Security-Awareness-Schulungen für alle Mitarbeitenden.“

• Zum anderen spiele das Thema Access- und Identity-Management eine essenzielle Rolle. In diesem Kontext bildeten „Privileged Access Management“, „Least Privilege“, „Governance“ und „Zero Trust“ den Hauptbestandteil einer robusten Sicherheitsstrategie.

Denn nur wer ganz genau weiß, welche Mitarbeiter und Geräte sich im Netzwerk befinden und ihnen nur ein Mindestmaß an Privilegien zuschreibt, könne das Risiko durch ungewollte Dritte minimieren.

Einsatz von KI-Technologien zur zusätzlichen Stärkung der Ransomware-Abwehr

Der Einsatz von KI-Technologien könne die Ransomware-Abwehr zusätzlich stärken. Dabei gehe es vor allem darum, potenzielle Bedrohungen und aktive Angriffe so schnell wie möglich aufzudecken. „Dafür eignet sich ein KI-gestütztes Sicherheitssystem besonders gut, da es Unmengen an Daten durchgehend analysieren und Ausschau nach verdächtigen Mustern und Abweichungen halten kann (Indicators of Compromise).“

• Neben Bedrohungsdaten könne es auch nach Verhaltensauffälligkeiten, unerwartet überprivilegierten Identitäten und nach verdächtigen Inhalten in E-Mails – sowohl im Text als auch im Anhang – suchen.

Künftig werde zudem das Thema „Agentic AI“ im Security-Bereich zunehmend an Bedeutung gewinnen, „da ein solches System autonom Aufgaben wie ,Threat Hunting’ und ,Intelligent Policy Authorization’ übernehmen kann und somit bereits stark unterbesetzte und unterbudgetierte IT-Teams noch mehr entlastet“.

Weitere Informationen zum Thema:

DELINEA, 2025
REPORT: 2025 State of Ransomware Report / Adapting with agility to a fast-changing threat landscape

bitkom, 28.08.2024
Wirtschaftsschutz 2024 / Dr. Ralf Wintergerst, Bitkom-Präsident

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

[datensicherheit.de, 08.06.2025] Der eco – Verband der Internetwirtschaft e.V. geht in seiner Stellungnahme vom 3. Juni 2025 auf das aktuelle „Bundeslagebild Cybercrime 2024“ des Bundeskriminalamts (BKA) ein – demnach bleibt Ransomware die größte Bedrohung für Unternehmen und Kritische Infrastrukturen (KRITIS). Besonders beunruhigend sei, dass die Angriffe gezielter und komplexer erfolgten – und dies immer öfter mit dem Diebstahl sowie der Veröffentlichung sensibler Unternehmensdaten kombiniert. Der eco warnt eindringlich vor dieser Entwicklung und fordert ein strategisches Umdenken: Cyberresilienz müsse zum unternehmerischen Standard werden!

Weiterhin Zunahme der Bedrohung durch Ransomware

Angesichts der zunehmenden Bedrohung durch Ransomware fordert der eco eine konsequente Umsetzung von „Security by Design“ und ein deutliches Umdenken bei der Cyberresilienz in Unternehmen. Zwar leisteten Ermittlungsbehörden wertvolle Arbeit bei der Aufklärung von Cyberangriffen, doch seien auch privatwirtschaftliche Akteure gefordert, ihrer Verantwortung nachzukommen – nicht zuletzt im Sinne des Schutzes ihrer Kunden und Geschäftspartner.

• Das „Bundeslagebild Cybercrime 2024“ des BKA) zeige: „Cyberangriffe nehmen weiter zu – mit Ransomware als dominierender Bedrohung. Mehr als 130.000 Straftaten wurden registriert, dazu rund 200.000 Auslandstaten.“

Die Aufklärungsquote bleibe mit 32 Prozent besorgniserregend niedrig. Parallel warne das „Allianz Risk Barometer 2024“ weltweit vor Cybervorfällen als größtem Geschäftsrisiko – besonders durch Erpressungssoftware. Diese Zahlen zeigten: „Ohne präventive Maßnahmen und robuste Sicherheitskonzepte reicht der Schutz durch Versicherungen nicht aus!“

Ransomware als strukturelles Risiko für Wirtschaft, Gesellschaft und Staat

Prof. Dr. Norbert Pohlmann, eco-Vorstand für IT-Sicherheit, kommentiert: „Ransomware ist kein Randphänomen mehr – sie ist ein strukturelles Risiko für Wirtschaft, Gesellschaft und Staat. Unternehmen müssen nicht nur reaktiv auf Vorfälle reagieren, sondern proaktiv Sicherheitsarchitekturen etablieren!“ „Security by Design“ sei hierzu der Schlüssel – und der „Cyber Resilience Act“ mache deutlich, „dass dies künftig nicht mehr optional ist“.

• Ransomware-Angriffe führten nicht nur zur Verschlüsselung sensibler Daten, sondern zunehmend auch zum Ausfall von Produktionssystemen oder KRITIS. Datendiebstahl und das gezielte Veröffentlichen vertraulicher Unternehmensdaten seien dabei immer häufiger Bestandteil der Erpressungsstrategie.

Kriminelle Akteure setzten auch verstärkt auf KI, um Angriffstechniken zu automatisieren und gezielt Schwachstellen auszunutzen. Besonders die deutsche Industrie werde immer häufiger zum Ziel – oft mit erheblichen wirtschaftlichen Folgen.

Ransomware verstehen – Resilienz stärken: Einladung zur Veranstaltung am 2. Juli 2025

„Wie wird Ransomware entwickelt? Welche Rolle spielt KI bei modernen Angriffen? Und wie kann sich insbesondere der Mittelstand wirksam schützen?“ Um diese Fragen zu beleuchten, lädt der eco-Verband gemeinsam mit der Wirtschaftsförderung Rhein-Erft GmbH und der Kreissparkasse Köln am 2. Juli 2025 zur Veranstaltung „Ransomware – Aktuelle Bedrohungen, wirksame Schutzstrategien“ ein:

• „Ransomware – Aktuelle Bedrohungen, wirksame Schutzstrategien“
  Mittwoch, 02.07.2025, 16.00 – 19.00 Uhr
  Kreissparkasse Köln
  Hauptstraße 21
  50126 Bergheim
  Die Teilnahme ist kostenlos – eine Online-Anmeldung erforderlich.

Die eco-Initiative „Ransomware“ lädt in Kooperation mit der Wirtschaftsförderung Rhein-Erft GmbH und der Kreissparkasse Köln zu dieser „Roadshow (Anti-)Ransomware“ ein. Experten aus unterschiedlichen Bereichen der IT-Sicherheit werden spannende Einblicke und praktische Tipps geben – wie sich Unternehmen vor Ransomware-Attacken und sonstigen Cyberbedrohungen schützen können.

eco-Engagement für ein widerstandsfähiges digitales Deutschland

Der eco begleitet die Umsetzung des „Cyber Resilience Act“ (CRA) aktiv und steht Unternehmen mit Fachwissen, Leitfäden und Brancheninitiativen zur Seite – „für ein widerstandsfähiges digitales Deutschland“. In diesem Zusammenhing gibt er folgende Empfehlungen:

• „Security by Design“ als regulatorischer und technischer Standard
  Sicherheitsmechanismen müssten von Beginn an in die Entwicklung digitaler Systeme integriert werden – als Grundlage für eine wirksame Cyberresilienz und zur Erfüllung des CRA.
• Stärkere Investitionen in Prävention und Schulung
  Unternehmen sollten Sicherheitslücken frühzeitig erkennen, Mitarbeiter sensibilisieren und interne Prozesse sicher gestalten.
• Ausbau der Kooperation von Staat und Wirtschaft
  Nur durch koordiniertes Vorgehen und Austausch von Informationen könne die Bedrohung durch Ransomware wirksam eingedämmt werden.
• Stärkung der Verantwortung in der Privatwirtschaft
  Die Verantwortung für digitale Sicherheit liege nicht nur bei Ermittlungsbehörden – Unternehmen trügen eine aktive Mitverantwortung, um ihre Systeme und Kundendaten zu schützen.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Anti-Ransomware Initiative / Wie sich Unternehmen vor Ransomware-Attacken und Cyber-Bedrohungen schützen können

ALLIANZ, 24.01.2024
Allianz Risk Barometer: Die wichtigsten Geschäftsrisiken 2024 / Cybervorfälle wie Ransomware-Angriffe, Datenschutzverletzungen und IT-Unterbrechungen sind laut dem Allianz Risk Barometer im Jahr 2024 die größte Sorge für Unternehmen weltweit.

ALLIANZ COMMERCIAL
Allianz Risk Barometer / Identifying the major business risks for 2024

datensicherheit.de, 07.06.2025
Bundeslagebild Cybercrime 2024: BKA meldet zahlreiche Ermittlungserfolge bei anhaltend hoher Bedrohungslage / BKA-Präsident Münch berichtete am 3. Juni 2025, dass jeden Tag der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt werden

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

[datensicherheit.de, 07.06.2025] Laut einer aktuellen Stellungnahme des Bundeskriminalamts (BKA) ist die Bedrohungslage durch Cyberkriminalität in Deutschland anhaltend hoch – als Indikator dafür wird die Polizeiliche Kriminalstatistik (PKS) aufgeführt, welche demnach 131.391 in Deutschland verübte Cybercrime-Fälle für das Jahr 2024 ausweist. Bei weiteren 201.877 Straftaten handele es sich um sogenannte Auslandstaten, welche eben vom Ausland oder einem unbekannten Ort aus verübt wurden. Das aktuelle „Bundeslagebild Cybercrime 2024“ wurde am 3. Juni 2025 vom Bundesinnenminister, Alexander Dobrindt, und dem Präsidenten des BKA, Holger Münch, vorgestellt.

Abbildung: BKA

BKA-Poster zum „Bundeslagebild Cybercrime 2024“

Zunehmende Ausweitung geopolitischer Konflikte auch im Cyberraum

Bundesinnenminister Dobrindt führte aus: „Cyberangriffe besitzen ein enormes Schadenspotenzial und sind eine Bedrohung für Wirtschaft, Staat und Gesellschaft. Zudem beobachten wir eine zunehmende Ausweitung geopolitischer Konflikte in den digitalen Raum und stellen fest, dass die hybride Bedrohung in Deutschland erkennbar angestiegen ist. Dabei verschwimmen die Grenzen zwischen finanziell und politisch motivierten Cybergruppierungen immer mehr.“

Die deutschen Strafverfolgungsbehörden und das BKA hätten in den letzten Monaten aber immer wieder gezeigt: „Sie sind fähig und in der Lage, Cybercrime erfolgreich zu bekämpfen. Die Fähigkeiten, Cyberkriminalität zu verfolgen und aufzuklären, wollen wir angesichts der wachsenden Bedrohung ausbauen und weiter stärken!“

Ransomware-Angriffe bleiben große Bedrohung für Unternehmen und öffentliche Verwaltung

BKA-Präsident Münch berichtete: „Jeden Tag werden der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt. Sie können Unternehmen in ihrer Existenz bedrohen, die öffentliche Verwaltung lähmen oder auch Kunden von Verkehrsbetrieben betreffen.“ Mit ihren international koordinierten Maßnahmen hätten sie auch im vergangenen Jahr wieder gezeigt, „dass wir nicht nachlassen und der gesteigerten Bedrohungslage effektive polizeiliche Maßnahmen entgegensetzen“.

Dabei habe man den kriminellen Akteuren nicht nur ihre technischen Infrastrukturen und Finanzmittel entzogen, sondern auch Misstrauen in der „Underground Economy“ geschürt. „Diese Strategie werden wir auch in Zukunft fortsetzen und unsere Aktivitäten angesichts der bestehenden Bedrohungslage weiter ausbauen!“

2024 geprägt von „hacktivistischen“ DDoS-Kampagnen und Vielzahl schwerer Ransomware-Angriffe

Insgesamt sei die hohe Bedrohungslage für das Jahr 2024 geprägt von „hacktivistischen“ DDoS-Kampagnen und einer Vielzahl von schweren Ransomware-Angriffen, welche teils weitreichende Auswirkungen auf IT-Lieferketten gehabt hätten. Dabei seien sowohl Aktivitäten etablierter Täter als auch neuer Gruppierungen festgestellt worden. „Die Akteure hinter den ,hacktivistischen’ DDoS-Angriffen auf Ziele in Deutschland lassen sich vornehmlich in zwei Lager einordnen: pro-russisch oder anti-israelisch.“

Ziele der im Laufe des Jahres 2024 festgestellten Kampagnen seien primär öffentliche Einrichtungen und (Bundes-)Behörden gewesen. „Ebenso waren Logistikdienstleister und Unternehmen des verarbeitenden Gewerbes unter den Zielen der ausgeführten DDoS-Angriffe.“ Das BKA gehe gemeinsam mit internationalen Partnern z.B. in der „Operation PowerOff“ gegen sogenannte Stresserdienste vor, welche derartige Angriffe vereinfachten. „In diesem Kontext wurde zuletzt im Oktober 2024 die Plattform ,Dstat.CC’ abgeschaltet, die auch von ,hacktivistischen’ Gruppierungen genutzt worden war.“

Ransomware im Zentrum der BKA-Cyberbekämpfungsstrategie

Ransomware sei auch 2024 die prägende Bedrohung im Cyberraum geblieben – bundesweit hätten 950 Unternehmen und Institutionen Ransomware-Fälle bei der Polizei zur Anzeige gebracht. „Das sind besonders schwere Cyberstraftaten, bei denen Kriminelle z.B. Daten kopieren und verschlüsseln, um anschließend ein Lösegeld zu erpressen. Neben finanzstarken Unternehmen stehen auch Einrichtungen und Institutionen mit hoher Öffentlichkeitswirksamkeit im Fokus cyberkrimineller Akteure.“ Aber auch leicht verwundbare kleine und mittelständische Unternehmen (KMU) seien stark betroffen.

Da diese Form der Angriffe besonders hohe Schäden und Ausfälle von sensiblen technischen Infrastrukturen verursachen könnten, stünden diese im Zentrum der BKA-Cyberbekämpfungsstrategie. „Die in Deutschland durch Cyberattacken entstandenen Schäden betrugen gemäß einer im Jahr 2024 durchgeführten Erhebung des Verbandes Bitkom e.V. 178,6 Milliarden Euro und sind damit im Vergleich zum Erhebungsjahr 2023 deutlich angestiegen (+ 30,4 Mrd. Euro).“

Weitere cyberkriminelle Professionalisierung und zahlreiche Ermittlungserfolge

Auch 2024 sei das Geschäftsmodell „Cybercrime-as-a-Service“ von zentraler Bedeutung gewesen. Die sogenannte Underground Economy biete ihre kriminellen Dienstleistungen inzwischen in industriellen Maßstäben an. Entwicklungen im Bereich der KI dürften diesen Trend weiter verstärken.

Der steigenden Bedrohungslage seien 2024 intensive Ermittlungen und strafprozessuale Maßnahmen entgegengesetzt worden, darunter mehrere Festnahmen und die Abschaltung verschiedener krimineller Plattformen wie „AegisTools.pw“, „Dstat.CC“ und „Crimenetwork“ sowie der Beginn der internationalen Operation „Endgame“.

BKA nutzt „Infrastrukturansatz“, „Finanzansatz“ und „Disruptive Kommunikation“

Professionelle Tätergruppierungen agieren laut BKA häufig aus „Safe Havens“ heraus, also aus Staaten, die nicht oder nur sehr schlecht mit westlichen Strafverfolgungsbehörden zusammenarbeiten. Aus diesem Grund würden personenbezogene Ermittlungen mit einem koordinierten Vorgehen gegen kriminelle technische Infrastrukturen (sog. Infrastrukturansatz) und dem Entzug finanzieller Mittel (sog. Finanzansatz) kombiniert.

„Ergänzt werden diese Maßnahmen durch die öffentliche Benennung, Fahndung oder Sanktionierung identifizierter Cyberkrimineller (sog. Disruptive Kommunikation). Durch Abschaltung der größten deutschsprachigen Online-Marktplätze für illegale Waren und Dienstleistungen wurde deren Handel erheblich eingegrenzt.“ Gerade der überwiegend auf Deutsch kommunizierenden Täterschaft fehle dadurch nun eine wichtige Grundlage für weitere Straftaten.

Polizeilichen Maßnahmen haben 2024 Wirkung gezeigt

Durch Maßnahmen gegen die technische Infrastruktur cyberkrimineller Dienstleistungen wie Marktplätze, Malware-Varianten oder Exchange-Services, seien Cybertätern wichtige Bausteine ihrer Aktivitäten entzogen worden. „Der Wiederaufbau dieser Dienstleistungen dauert häufig mehrere Monate und bindet erhebliche Ressourcen bei den Kriminellen.“

Die polizeilichen Maßnahmen zeigten Wirkung: „Sie haben zu einem Rückgang der Ransomware-Angriffe geführt und auch Auswirkungen auf die Einnahmen der Täter gehabt.“ 2024 seien deutlich weniger Lösegeldzahlungen auf sogenannte Kryptowallets von Ransomware-Akteuren verzeichnet worden als im Vorjahr. „Darüber hinaus störten die Maßnahmen das Vertrauensverhältnis der Ransomware-Akteure untereinander erheblich.“

Weitere Informationen zum Thema:

Bundeskriminalamt BKA
Bundeslagebild Cybercrime 2024: BKA setzt anhaltend hoher Cyberbedrohung zahlreiche Ermittlungserfolge entgegen

Bundeskriminalamt BKA
2024 Bundeslagebild Cybercrime [Download]

Bundeskriminalamt BKA
Bundeslagebild Cybercrime / Berichtsjahr 2024 [Poster]

Bundeskriminalamt BKA
Polizeiliche Kriminalstatistik (PKS)

POLIZEI
Zentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen

datensicherheit.de, 14.05.2025
LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm / „First-Party-Fraud“ übertrifft Scams und wird zur häufigsten Form globaler Cybercrime-Angriffe – KI-gestützter Betrug wird voraussichtlich im Jahr 2025 zunehmen

[datensicherheit.de, 01.06.2025] Laut einer aktuellen Acronis-Meldung von Ende Mai 2025 hat sich die Bedrohungslage durch Cyberangriffe in Deutschland 2024 strukturell verändert: Wie aktuelle Zahlen von Acronis demnach zeigen, war Malware im vergangenen Jahr die dominierende Bedrohung – durchschnittlich 23,7 Prozent der Acronis-Nutzer in Deutschland waren monatlich betroffen, fast doppelt so viele wie noch 2023 mit zwölf Prozent. Dagegen hätten Angriffe mittels Ransomware im Januar 2024 im Vergleich zu Dezember 2023 einen Rückgang um 80 Prozent verzeichnet. „Dieser Trend hielt das ganze Jahr über an: In jedem Monat 2024 lagen die Ransomware-Erkennungen deutlich unter denen des gleichen Zeitraums im Vorjahr.“

Laut der „Acronis Threat Research Unit setzen Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken

Die Telemetriedaten von Acronis zeigten einen Anstieg der Malware-Angriffe in Deutschland im Jahr 2024 an. Die durchschnittliche Erkennungsrate habe im Jahresverlauf bei 23,7 Prozent gelegen, was fast eine Verdopplung im Vergleich zum Vorjahr darstelle, als nur zwölf Prozent der Acronis-Nutzer von Malware betroffen gewesen seien.

• „Diese Zunahme wurde durch verschiedene Faktoren beeinflusst und zeigt, dass Cyberkriminelle zunehmend auf subtile, schwerer erkennbare Angriffstechniken setzen.“

Laut der „Acronis Threat Research Unit“ (TRU) ist die veränderte Bedrohungslage auf eine Kombination aus verstärkten Abwehrmaßnahmen gegen Ransomware und einem strategischen Wandel aufseiten der Angreifer zurückzuführen:

• „Statt auffälliger Erpressungstaktiken setzen Cyberkriminelle zunehmend auf versteckte Infektionswege, ,Info-Stealer’ und dateilose Angriffe, die schwieriger zu erkennen und abzuwehren sind.“

Nach Acronis-Erkenntnissen bestimmten saisonale Schwankungen Malware-Bedrohungslage

Im Jahresverlauf 2024 seien saisonale Schwankungen bei den Malware-Erkennungsraten zu beobachten gewesen. „Der höchste Anstieg erfolgte im April, als die Erkennungsrate mit 27,5 Prozent den höchsten Punkt des Jahres erreichte. Ein Rückgang war im Juni zu verzeichnen, als die Erkennungsrate auf 22,5 Prozent sank.“

• Dies könnte durch die reduzierten Geschäftstätigkeiten während der Sommermonate sowie eine zunehmende Nutzung von versteckten Malware-Techniken wie sogenannten Info-Stealern und dateilosen Angriffen bedingt gewesen sein.

„Der Herbst und Winter 2024 brachten jedoch erneut einen deutlichen Anstieg. Im November stieg die Erkennungsrate auf 25,3 Prozent und im Dezember erreichte sie mit 26,7 Prozent ihren höchsten Wert des Jahres.“

• Dies könnte mit saisonalen Ereignissen wie „Black Friday“, dem Weihnachtsshopping und den häufigeren finanziellen Jahresabschlüssen zusammenhängen, bei denen Cyberkriminelle verstärkt auf gezielte Angriffe setzten, um von den erhöhten Online-Transaktionen und sensiblen Geschäftsdaten zu profitieren.

Acronis berichtet von Rückgang bei Ransomware-Erkennungen im Jahr 2024

Die Zahl der Ransomware-Erkennungen sei im Jahr 2024 deutlich zurückgegangen – „im Januar 2024 wurden lediglich 896 Angriffe registriert, im Vergleich zu 4.387 im Januar 2023, was einem Rückgang von fast 80 Prozent entspricht“. Dieser Trend habe sich über das gesamte Jahr fortgesetzt:

• „In jedem Monat 2024 waren die Ransomware-Erkennungen deutlich niedriger als in den entsprechenden Monaten des Vorjahres. Diese Entwicklung deutet auf einen signifikanten Rückgang der Ransomware-Aktivitäten hin, was möglicherweise auf verbesserte Cybersicherheitsmaßnahmen und verstärkte Strafverfolgungsmaßnahmen zurückzuführen ist.“

Gleichzeitig könnten Angreifer indes zunehmend auf subtilere Taktiken wie Lieferketten-Kompromittierungen und Daten-Erpressung setzen, um ihre Ziele zu erreichen. „Der deutliche Anstieg von Malware-Erkennungen bei gleichzeitiger Verlagerung der Angreiferstrategien weg von Ransomware zeigt: Cyberkriminalität wird leiser – aber keinesfalls harmloser“, so Markus Fitz, „DACH GM“ von Acronis.

• Unternehmen und Nutzer sollten ihre Schutzmaßnahmen anpassen, regelmäßige Updates durchführen, mehrstufige Authentifizierung nutzen und verdächtige Aktivitäten frühzeitig erkennen. „Die Bedrohungen entwickeln sich weiter – und Abwehrmaßnahmen müssen das auch!“, betont Fitz abschließend

Weitere Informationen zum Thema:

Acronis
Whitepaper: „Kurzfassung: Acronis Cyberthreats Report (2. Halbjahr 2024)“

Acronis
Whitepapers: „Acronis Cyberthreats Report, H2 2024: The rise of AI-driven threats“

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich