[datensicherheit.de, 02.10.2025] Im Oktober 2025 findet erneut der „European Cybersecurity Month“ (ECSM) statt: Dieser Aktionsmonat soll seit 2012 europaweit Bürger und Organisationen auf einen bewussten und verantwortungsvollen Umgang im Digitalen Raum aufmerksam machen. Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse: „In der ersten Jahreshälfte blieb Ransomware weltweit die dominierende Bedrohung, während der Anteil von Phishing an allen E-Mail-Angriffen von neun Prozent im Vorjahr auf 25 Prozent stieg. Auch ,Hacktools’ sowie durch Maschinelles Lernen identifizierte Malware sind weiterhin weit verbreitet – ein klares Zeichen dafür, wie schnell sich Angreifer an neue Sicherheitsmaßnahmen anpassen.“

Abbildung: Screenshot v. „cybersecuritymonth.eu“

Seit 2020 ist die Warnung „Think Before U Click!“ das offizielle ECSM-Kampagnenmotto

Gerade im „European Cybersecurity Month 2025“ betont Acronis, wie entscheidend proaktive Schutzmaßnahmen sind

Markus Fritz, „General Manager DACH“ bei Acronis, betont in seiner aktuellen Stellungnahme die Bedeutung des ECSM sowie des Ergreifens proaktiver Schutzmaßnahmen – sowohl als Privatperson als auch Unternehmen:

• „Cyberangriffe gegen Privatpersonen und Unternehmen entwickeln sich ständig weiter – wer nur reagiert, ist immer einen Schritt zu spät. Gerade im ,European Cybersecurity Month’ möchten wir deshalb daran erinnern, wie entscheidend proaktive Schutzmaßnahmen sind.“

Unternehmen wie Privatpersonen sollten Sicherheitslücken nicht erst schließen, wenn es zu spät ist, sondern frühzeitig in entsprechende Schutzlösungen und kontinuierliche „Awareness“-Programme investieren. „Nur so lässt sich die Widerstandsfähigkeit nachhaltig stärken und die Risiken durch Ransomware, Phishing oder den Missbrauch legitimer ,Tools’ wirksam eindämmen“, erläutert Fritz.

Acronis-Tipps zum Schutz von Daten:

• Regelmäßige Backups
  Regelmäßig Backups durchführen und nach einem ersten Backup des gesamten Systems automatische, inkrementelle Backups einrichten, welche jeweils nur die geänderten oder hinzugefügten Daten sichern, um Speicherplatz und Zeit zu sparen!
• System-Backup
  Vor der Installation neuer Programme, Updates oder Treiber ein System-Backup erstellen, damit der letzte Datenstand gesichert ist!
• Sicherheitslösung für Unternehmen
  Eine umfassende Lösung für „Cyber Security“ und „Data Protection“ (wie z.B. „Acronis Cyber Protect Cloud“) implementieren, um sich vor Cyberbedrohungen zu schützen!
• Sicherheitslösung für Privatpersonen
  Sämtliche Geräte mit einer umfassenden Lösung für „Cyber Security“ und „Data Protection“ ausstatten (wie etwa mit „Acronis True Image“), um sich vor Cybergefahren wie Datendiebstahl, Phishing oder Ransomware zu schützen.

Weitere Informationen zum Thema:

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
The European Cybersecurity Month (ECSM) is the European Union’s annual campaign dedicated to promoting cybersecurity among EU citizens and organisations

EUROPEAN CYBERSECURITY MONTH
“Think Before U Click!“

Acronis
Die Vereinheitlichung von Data Protection und Cyber Security, um alle Daten, Applikationen und Systeme zu schützen / Acronis ist ein globales Technologie-Unternehmen mit Hauptsitzen in der Schweiz

IT-BUSINESS, Margrit Lingner, 12.06.2024
Neuer General Manager DACH bei Acronis Markus Fritz ist DACH-Chef von Acronis

Bundesamt für Sicherheit in der Informationstechnik
ECSM: European Cyber Security Month / Wir freuen uns, dass Sie mehr über den ECSM erfahren möchten. Nutzen Sie den jährlich im Oktober stattfindenden Aktionsmonat als Anlass und werden Sie für Cyber-Sicherheit aktiv.

datensicherheit.de, 10.10.2019
Cyber Security Month: Sieben typische Einfallstore für Hacker / Kenntnis der Vorgehensweise von Cyber-Kriminelle hilfreich zur Abwehr

datensicherheit.de, 23.10.2016
European Cyber Security Month: BSI möchte Bürger und Organisationen sensibilisieren / Jede ECSM-Aktionswoche mit eigenem Schwerpunktthema

datensicherheit.de, 01.10.2015
ECSM: Mitarbeiter können zur IT-Sicherheit im Unternehmen beitragen / Das BSI unterstützt den European Cyber Security Month

[datensicherheit.de, 29.08.2025] Laut einer aktuellen Warnung von ESET hat Schadsoftware quasi die nächste Stufe ihrer Evolution erreicht: ESET-Forscher haben nach eigenen Angaben kürzlich eine Ransomware entdeckt, welche mit Hilfe Künstlicher Intelligenz (KI) selbständig arbeitet. ESET hat deren technische Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft „PromptLock“ unter dem Namen „Filecoder.PromptLock.A“ ein. Diese Malware kann demnach autonom entscheiden, welche Dateien sie durchsucht, kopiert und verschlüsselt.

[eset-promptlock.jpg]
Abbildung: ESET

Ransomware entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden

ESET-Sicherheitsexperten haben nach eigenen Angaben eine neue Schadsoftware entdeckt, welche KI erstmals gezielt für Ransomware nutzt: „Das Programm mit dem Namen ,PromptLock’ verwendet ein lokal installiertes KI-Sprachmodell, um im laufenden Angriff automatisch Skripte zu erzeugen.“

• Genau dies mache es so besonders: „Die KI entscheidet selbst, welche Dateien durchsucht, kopiert oder verschlüsselt werden. Für IT-Sicherheitsforscher ist ,PromptLock’ ein deutliches Warnsignal!“ Diese Software generiere sogenannte Lua-Skripte, welche plattformübergreifend auf „Windows“, „Linux“ und „macOS“ funktionierten.

Je nach System durchsuche „PromptLock“ lokale Dateien, analysiere sie und entscheide anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien sei offenbar bereits vorbereitet, aber noch nicht aktiv.

Ransomware laut ESET nur ein Vorgeschmack auf das, was noch kommen könnte

„Für die Verschlüsselung verwendet ,PromptLock’ den ,SPECK’-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache ,Golang’. Erste Varianten sind auf der Analyseplattform ,VirusTotal’ aufgetaucht.“ Zwar geht ESET derzeit davon aus, „dass es sich um ein ,Proof-of-Concept’ handelt – also um eine Art Machbarkeitsstudie“ – doch die Gefahr sei real.

• „Das Aufkommen von Werkzeugen wie ,PromptLock ist eine bedeutende Veränderung in der Cyberbedrohungslandschaft. Mit Hilfe von KI ist es nun wesentlich einfacher geworden, komplexe Angriffe zu starten – ohne dass Teams aus erfahrenen Entwicklern erforderlich sind. Ein gut konfiguriertes KI-Modell reicht heute aus, um komplexe, sich selbst anpassende Malware zu erstellen“, kommentiert Anton Cherepanov, IT-Sicherheitsforscher bei ESET. Er gibt zu bedenken: „Bei ordnungsgemäßer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen.“

Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, welches lokal über eine API (Standardisierte Programmierschnittstelle) angesteuert wird. Die KI erstelle die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur „Cloud“. Selbst die „Bitcoin“-Adresse für die Erpressung sei im Prompt eingebaut – diese führe kurioserweise zu einer scheinbar dem „Bitcoin“-Erfinder Satoshi Nakamoto gehörenden „Wallet“.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Anton Cherepanov / Senior Malware Researcher

infosec.exchange, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes…

X, ESET Research, 26.08.2025
The PromptLock ransomware is written in #Golang, and we have identified both Windows and Linux variants uploaded to VirusTotal. IoCs:

X, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. / The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 29.08.2025] Sophos hat seine jährliche erscheinende internationale Studie zur aktuellen Bedrohung des Einzelhandels durch Ransomware publiziert: „The State of Ransomware in Retail 2025“. Diese Studie beschreibt die Entwicklung und den Status im Einzelhandel im Kontext von Cyberattacken mit Ransomware. „Die Ergebnisse sind teils alarmierend: Beispielsweise zahlen immer mehr Einzelhandelsunternehmen die Erpressungssummen, welche die Cyberkriminellen nach der Verschlüsselung oder dem Diebstahl der Daten fordern.“

Abbildung: Sophos

Einzelhandel: Häufigste operative Gründe für Cyberattacken

TOM-Standardursachen für Cyberangriffe auf Einzelhandel

Die internationale Sophos-Studie „The State of Ransomware in Retail 2025“ zeige, „wie sich Ursachen, Auswirkungen und Strategien im Umgang mit Ransomware verändern und mit welchen Konsequenzen IT- und Cybersicherheitsteams im Einzelhandel zu rechnen haben“.

• Nach den Vorgängerstudien aus den Jahren 2023 und 2024 hätten Einzelhändler ausgenutzte Schwachstellen zum dritten Mal in Folge als häufigste technische Ursache für Ransomware-Angriffe benannt. In 30 Prozent der Fälle sei diese Form der kriminellen Infiltration nach wie vor ausschlaggebend.

„Auch operative Faktoren trugen dazu bei, dass Einzelhandelsunternehmen Opfer von Ransomware werden.“ Am häufigsten habe fast die Hälfte (46%) der Befragten unbekannte Sicherheitslücken als initialen Einstiegspunkt für die Cyberkriminellen genannt. Dicht dahinter rangiere mangelnde Fachkenntnis, welche in 45 Prozent der Angriffe eine Rolle gespielt habe – „was dem höchsten Wert entspricht, der in irgendeiner der untersuchten Branchen festgestellt wurde“.

Abbildung: Sophos

Einzelhandel: Häufigste technische Gründe für Cyberattacken

Datenverschlüsselung geht zurück – Lösegeldforderungen nehmen dennoch zu

Die Datenverschlüsselung durch Cyberkriminelle habe im Einzelhandel deutlich abgenommen. „Nur noch 48 Prozent der Angriffe führten 2025 zu einer tatsächlichen Verschlüsselung der Daten, verglichen mit 71 Prozent im Jahr 2023.“

• Parallel dazu habe die Zahl der vereitelten Verschlüsselungsversuche ein Rekordhoch erreicht, was auf verbesserte Abwehrmechanismen der Unternehmen schließen lasse.

Doch Cyberkriminelle passten sich indes an: „Der Anteil reiner Erpressungsangriffe, bei denen keine Daten verschlüsselt, aber dennoch Lösegeld für die Nichtveröffentlichung sensibler Daten gefordert wird, hat sich innerhalb von zwei Jahren verdreifacht.“ Während 2023 lediglich zwei Prozent der Befragten betroffen gewesen seien, habe der Anteil 2025 bereits bei sechs Prozent gelegen.

Abbildung: Sophos

Einzelhandel: Entwicklung der Datenverschlüsselung nach Ransomware-Angriffen

Resignation: Nutzung von Backups als Strategie für Datenwiederherstellung nimmt ab

Die Art und Weise, wie Einzelhändler Daten nach einem Cyberangriff wiederherstellen, habe sich spürbar verändert: „Während 2021 noch 32 Prozent der Unternehmen das Lösegeld zahlten, um ihre Daten zurückzuerlangen, waren es 2025 bereits 58 Prozent – deutlich mehr als der branchenübergreifende Durchschnitt von 49 Prozent.“ Im Gegenzug sei die Nutzung von Backups auf ein Vierjahrestief gefallen. Zwar seien Backups nach wie vor die etwas häufiger gewählte Lösung, doch die abnehmende Tendenz deute auf eine zunehmende Abhängigkeit von anderen Wiederherstellungsmöglichkeiten hin.

• Die nun vorliegende Studie belege außerdem einen drastischen Anstieg der Lösegeldforderungen: „Im Jahr 2025 lag die durchschnittliche Forderung bei 1,71 Millionen Euro – doppelt so hoch wie noch im Jahr zuvor. Besonders stark zugenommen hat die Zahl der Forderungen von über 4,28 Millionen Euro, die von 17 Prozent im Jahr 2024 auf 27 Prozent im Jahr 2025 gestiegen sind.“

Verglichen mit dieser Entwicklung zeige sich der Einzelhandel im Durchschnitt widerstandsfähiger: „Die durchschnittliche Lösegeldzahlung erhöhte sich um fünf Prozent von 813.563 Euro im Jahr 2024 auf 856.382 Euro im Jahr 2025.“ Gleichzeitig seien die durchschnittlichen Kosten für die Wiederherstellung nach einem Angriff gesunken – ohne Lösegeldzahlungen – um 40 Prozent auf 1,41 Millionen Euro und damit auf den niedrigsten Wert seit drei Jahren.

Belastung für IT- und Sicherheitsteams geht an die Substanz

Die Studie mache zudem deutlich, dass die Folgen von Ransomware weit über finanzielle Schäden hinausgingen. Nahezu die Hälfte der Befragten (47%) habe von verstärktem Druck seitens des Managements berichtet, „wenn es infolge eines Angriffs zu einer Datenverschlüsselung kam“.

• Viele IT- und Cybersicherheitsverantwortliche hätten außerdem angegeben, unter erhöhter Angst oder Stress vor künftigen Angriffen zu leiden (43%). Auch krankheitsbedingte Abwesenheit aufgrund von Stress oder psychischen Belastungen (37%) sowie Schuldgefühle, den Angriff nicht verhindert zu haben (34%), seien häufig genannt worden.

Die o.g. Ergebnisse basierten auf einer unabhängigen, anbieterneutralen Befragung von 3.400 IT- und Cybersicherheitsverantwortlichen in 17 Ländern in Amerika, der „EMEA“- und der Asien-Pazifik-Region. „Darunter befanden sich 361 Teilnehmer aus dem Einzelhandel. Die befragten Unternehmen beschäftigen jeweils zwischen 100 und 5.000 Mitarbeiter.“ Die Erhebung sei von Vanson Bourne zwischen Januar und März 2025 durchgeführt worden – Grundlage seien die Erfahrungen der Befragten aus den vergangenen zwölf Monaten gewesen.

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten. / Sophos stoppt Cyberangriffe mit einer adaptiven, KI-nativen offenen Plattform und hochkarätiger Sicherheits-Expertise.

SOPHOS, Rajan Sanhotra , 19.08.2025
The State of Ransomware in Retail 2025 / 361 IT and cybersecurity leaders reveal the ransomware realities for retail businesses today

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 13.08.2025] Coveware by Veeam® hat am 12. August 2025 seinen Ransomware-Bericht für das zweite Quartal 2025 veröffentlicht. Die Daten zeigten eine Eskalation bei gezielten Social-Engineering-Angriffen und einen Anstieg der Lösegeldzahlungen durch ausgeklügelte Taktiken für Datenexfiltration. „Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind“, kommentiert Bill Siegel, CEO von Coveware by Veeam. Er führt aus: „Die Angreifer haben es nicht nur auf Backups abgesehen, sondern auch auf Mitarbeiter, Prozesse und die Integrität der Daten. Unternehmen müssen die Sensibilisierung ihrer Belegschaft in den Vordergrund stellen, Identitätskontrollen verstärken und Daten-Exfiltration nicht als potenziellen ,Worst Case’, sondern als dringliches Risiko behandeln!“

Zentrale Erkenntnisse aus dem Ransomware-Bericht für das zweite Quartal 2025:

• Social-Engineering Vorhut größerer Bedrohungen
  Drei große Ransomware-Gruppen – „Scattered Spider“, „Silent Ransom“ und „Shiny Hunters“ – dominierten dieses Quartal, wobei jede von ihnen sehr gezieltes Social-Engineering einsetze, um in Unternehmen aus Branchen aller Art einzudringen.
  Diese Gruppen hätten opportunistische Massenangriffe zugunsten von Präzisionsangriffen aufgegeben und setzten neuartige Taktiken zur Nachahmung von IT-Helpdesks, Mitarbeitern und Drittanbietern ein.
• Lösegeldzahlungen auf neuem Höchststand
  Sowohl der Durchschnitt als auch der Median der Lösegeldzahlungen seien auf 1,13 Millionen US-Dollar (+104% gegenüber Q1 2025) bzw. 400.000 US-Dollar (+100% gegenüber Q1 2025) gestiegen.
  Dieser Anstieg sei darauf zurückzuführen, dass größere Unternehmen (mit entsprechend mehr Budget) nach Vorfällen von Daten-Exfiltration Lösegeld gezahlt hätten. Die Gesamtrate der Unternehmen, die Lösegeld zahlten, bleibe mit 26 Prozent konstant.
• Datendiebstahl überholt Verschlüsselung als vorrangige Erpressungsmethode
  Exfiltration sei in 74 Prozent aller Fälle eine Angriffsmethode, wobei viele Hacker-Kampagnen nun dem Datendiebstahl Vorrang vor der traditionellen Systemverschlüsselung einräumten.
  Multi-Erpressungstaktiken und verzögerte Bedrohungen seien auf dem Vormarsch und sorgten dafür, dass Unternehmen auch lange nach einem ersten „Breach“ noch gefährdet seien.
• Professionelle Dienstleistungen, Gesundheitswesen und Verbraucherdienste am stärksten betroffen
  Professionelle Dienstleistungen (19,7%), das Gesundheitswesen (13,7%) und Verbraucherdienste (13,7%) seien anteilig am meisten von Angriffen betroffen.
  Mittelgroße Unternehmen (11 bis 1.000 Mitarbeiter) machten 64 Prozent der Opfer aus.
  Viele Angreifer bevorzugen KMU, da diese wegen tendenziell weniger ausgereiften Verteidigungsmöglichkeiten womöglich eine höhere Zahlungsbereitschaft zeigten.
• Angriffstechniken entwickeln sich weiter – „Faktor Mensch“ bleibt größte Schwachstelle
  Die Kompromittierung von Zugangsdaten, Phishing und die Ausnutzung von Remote-Diensten seien dominierende Taktiken für den Erstzugriff, wobei Angreifer zunehmend technische Kontrollen durch Social-Engineering umgingen.
  Hacker-Gruppen nutzten regelmäßig Schwachstellen in weitverbreiteten Plattformen („Ivanti“, „Fortinet“, „VMware“) aus – und „Einzelkämpfer“-Angriffe erfahrener, generische „Toolkits“ verwendender Erpresser nähmen zu.
• Neue Marktteilnehmer verändern Ransomware-Rangliste
  Die aktivsten Ransomware-Varianten im zweiten Quartal 2025 seien „Akira“ (19%), „Qilin“ (13%) und „Lone Wolf“ (9%), während „Silent Ransom“ und „Shiny Hunters“ zum ersten Mal unter die „Top 5“ gelangten.

Coveware by Veeam bündelt Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen

Der vierteljährliche Bericht von Coveware by Veeam basiert demnach auf Daten aus Erster Hand. Das Unternehmen bündele Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen.

• Dabei würden Echtzeit-Ereignisreaktionen, firmeneigene forensische „Tools“ (einschließlich „Recon Scanner“) und eine umfassende Dokumentation des Verhaltens von Bedrohungsakteuren sowie Angriffsvektoren und Verhandlungsergebnisse verwendet.

Durch die Zusammenstellung und Analyse fallspezifischer Daten anstelle von Drittquellen sei Coveware by Veeam in der Lage, aufkommende Trends zu erkennen, Taktiken, Techniken und Verfahren (TTPs) zu verfolgen und umsetzbare, erfahrungsbasierte Informationen über die sich schnell entwickelnde Ransomware-Landschaft zu liefern.

Weitere Informationen zum Thema:

COVEWARE
About Coveware

COVEWARE
Ransomware Quarterly Reports / Ransomware threats are constantly evolving

COVEWARE, 23.07.2025
Quarterly Report / Targeted social engineering is en vogue as ransom payment sizes increase

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Check Point deckt neue Phishing-Domains von Scattered Spider auf / Warnung vor Zunahme der Phishing-Bedrohung für Unternehmen allgemein und speziell für die Luftfahrt

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

[datensicherheit.de, 16.07.2025] Laut Medienberichten haben sich Angriffe mit sogenannter Ransomware im Jahr 2025 mehr als verdoppelt und stellen damit für 92 Prozent der Branchen eine der größten Bedrohungen dar. Auch die Zahl aktiver Ransomware-Banden sei im letzten Jahr – 2024 – sprunghaft angestiegen. Demnach sind derzeit 65 Gruppen aktiv, „wobei die aktivsten unter ihnen ihre Opferzahl im Vergleich zum Vorjahr um mehr als 200 Prozent gesteigert haben“. Kay Ernst von Zero Networks gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware.

Foto: Zero Networks

Kay Ernst: Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!

Ransomware auf den Punkt gebracht

Ernst erklärt: „Ransomware ist eine Art von Schadcode, der Dateien oder Systeme verschlüsselt und somit unzugänglich macht, bis ein Lösegeld gezahlt wird.“ Angreifer verlangten oft Zahlungen in „Krypto-Währungen“, um die Rückverfolgung zu erschweren.

• Das „Double Extortion“-Modell, also eine doppelte Erpressung mit Ransomware mache sie besonders gefährlich:

Zusätzlich zur Sperrung von Dateien exfiltrierten viele Ransomware-Varianten auch noch Daten – und die -Banden drohten dann mit deren Veröffentlichung oder Verkauf, wenn das Lösegeld nicht gezahlt wird.

Ransomware-Angriffe kaum zu stoppen

Da das Ransomware-Geschäft so profitabel sei, könnten Cyberkriminelle talentierte Top-Kräfte einstellen, um Zero-Day-Lücken zu finden, maßgeschneiderte „Tools“ (die schwerer zu erkennen sind) zu entwickeln und fortschrittliche Ausweichtechniken wie „Hypervisor Jackpotting“ und die Umgehung von EDR (Endpoint Detection and Response) zu erforschen.

• Mit anderen Worten: „Ransomware-Banden verfügen über Ressourcen und Fähigkeiten, die früher nur Nationalstaaten vorbehalten waren, so dass ihre Opfer militärische Abwehrmaßnahmen benötigen, um sich angemessen zu schützen!“

Ransomware-Angriffe seien in der Regel hochentwickelt – sie nutzten oft legitime Netzwerkfunktionen aus, was es unglaublich schwierig mache, sie zu erkennen, bevor es zu spät ist.

Ransomware-Funktionen im Phasenmodell

Es gebe zwar verschiedene Arten von Ransomware, aber in den meisten Fällen würden Dateien oder Systeme nach einer Phase der heimlichen Bewegung durch das Netzwerk verschlüsselt. Obwohl Ransomware-Angriffe viele Formen annehmen könnten, folgten sie im Allgemeinen dem gleichen Ablauf. Ransomware-Angriffe erfolgen laut Ernst in der Regel in sechs Phasen:

1. Aufklärungsphase
   Die Angreifer untersuchen das Netzwerk, identifizieren wertvolle Ressourcen und suchen nach Schwachstellen.
2. Infektionsphase
   Sie verschaffen sich ersten Zugriff – „häufig über Phishing-E-Mails, ,Exploit-Kits’ oder kompromittierte Anmeldedaten“.
3. Eskalationsphase
   Die Angreifer bewegen sich lateral durch das Netzwerk und erweiteren ihre Berechtigungen – „um an sensible Systeme zu gelangen“.
4. Scanphase
   Die Malware listet Dateien und Systeme auf, um Ziele für die Verschlüsselung zu identifizieren.
5. Verschlüsselungsphase
   Nach der Identifizierung der Ziele setzen die Angreifer Ransomware ein, um Dateien oder Systeme zu verschlüsseln – „oft begleitet von der Löschung von Backups oder Schattenkopien“.
6. Erpressungsphase:
   Die Angreifer verlangen eine Lösegeldzahlung für die Herausgabe des Entschlüsselungscodes – „oft werden diese Forderungen mit der Drohung verbunden, die Daten zu veröffentlichen“.

Ransomware-Typen im Überblick

Angreifer verwendeten bei Ransomware-Angriffen verschiedene Techniken und Monetarisierungsstrategien, darunter laut Ernst:

• Verschlüsselnde Ransomware
  Diese häufigste Kategorie von Ransomware verschlüsselt Dateien, so dass Angreifer Lösegeld für die Entschlüsselung verlangen können.
• Scareware
  Durch die Anzeige gefälschter Warnmeldungen oder Popups täuscht „Scareware“ den Benutzern vor, dass ihr System infiziert ist, um Geld zu erpressen.
• Screen Lockers
  Diese Bildschirmsperren verhindern, dass Benutzer auf ihren Bildschirm zugreifen können – „bis ein Lösegeld gezahlt wird“.
• DDoS-Erpressung
  Distributed-Denial-of-Service-Angriffe (DDoS) werden angedroht oder ausgeführt – „sofern keine Zahlung erfolgt“.
• Ransomware-as-a-Service (RaaS)
  Bei diesem immer beliebter werdenden Geschäftsmodell verkaufen oder vermieten Entwickler „Ransomware-Kits“ an andere Cyberkriminelle.

Umfassende Ransomware-Abwehr u.a. mittels proaktiver Sicherheitskontrollen

Ernst betont warnend: „Ransomware-Angriffe sind raffiniert, komplex und gut koordiniert. Das bedeutet, dass Unternehmen einen starken Schutz gegen jede Form von Angriff einrichten und akzeptieren müssen, dass es zu Sicherheitsverletzungen kommen wird.“

• Die besten Strategien zur Ransomware-Prävention behandelten Ransomware eben als unvermeidbar – „und nehmen ihr dann ihre Fähigkeit zur Verbreitung“.

Eine umfassende Ransomware-Abwehr sollte proaktive Sicherheitskontrollen und Maßnahmen zur Optimierung der Wiederherstellung umfassen.

Einsatz proaktiver Sicherheitskontrollen empfohlen

Da Ransomware-Angriffe so oft unentdeckt blieben, böten präventive Kontrollen laut Ernst den besten Schutz:

• Mikrosegmentierung
  Ransomware-Angriffe benötigen Netzwerkzugriff, um sich zu verbreiten. Dies gilt sowohl für die frühen Phasen eines Angriffs, „in denen das interne Netzwerk gescannt wird“, als auch für die späteren Phasen, „in denen Schwachstellen in exponierten Diensten ausgenutzt oder kompromittierte Anmeldedaten verwendet werden, um sich zu verbreiten“. Ein segmentiertes Netzwerk schneidet Angreifer ab, so dass sie fast nichts tun können, um sich zu verbreiten.
• Multi-Faktor-Authentifizierung (MFA)
  Anmeldedaten gehören zu den am häufigsten verwendeten „Waffen“ von Angreifern – „die sie oft nur allzu leicht stehlen oder knacken können“. Durch den Schutz privilegierter Zugriffe mit MFA können Verteidiger das Risiko erheblich begrenzen.
• Deaktivierung unnötiger Ports und Dienste
  Das Abschalten ungenutzter Fernzugriffsprotokolle (wie RDP und SMB) und die Durchsetzung strenger Zugriffskontrollen schränken die Angriffswege ein und reduzieren die Angriffsfläche für Ransomware.
• Robuste Perimeter-Abwehr
  Lösungen wie eine Next-Generation-Firewalls (NGFW) und granulare Zugriffskontrollen minimieren Bedrohungen durch eine verstärkte Absicherung des „Nord-Süd“-Datenverkehrs.

Empfohlene Maßnahmen zur Optimierung der Wiederherstellung

Die vollständige Verhinderung von Ransomware-Angriffen wäre zwar ideal, aber ebenso wichtig sei dennoch die Vorbereitung auf die Wiederherstellung. „Bewährte Verfahren zur Optimierung der Wiederherstellung sind Backup-Systeme sowie kontinuierliche Überwachung und Reaktion.“

• Das bedeutet: „Regelmäßige, verschlüsselte Backups in einer vom Hauptnetzwerk getrennten Umgebung vereinfachen die Wiederherstellung für den Fall, dass Ransomware wichtige Daten verschlüsselt.“

Unternehmen sollten zudem auf verdächtige Aktivitäten im Netzwerk achten und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten sei hierbei: „Endpoint Detection and Response“-Systeme (EDR) allein könnten laterale Bewegungen nicht blockieren und vor Ransomware schützen.

Tipps zur Eindämmung von Ransomware-Angriffen

Ernst führt weiter aus: „Sobald die Ransomware verbreitet ist, sind deren Entfernung und die Wiederherstellung verschlüsselter Daten von entscheidender Bedeutung. Schnelligkeit ist wichtig, aber Vorsicht auch!“ Zu schnelles Handeln ohne klare Strategie könne zu einer erneuten Infektion oder zu einer Beeinträchtigung der Wiederherstellungsmaßnahmen führen.

• Der erste Schritt zur Eindämmung von Ransomware bestehe darin, die Reichweite der Infektion zu begrenzen. Betroffene Systeme gelte es vom Netzwerk zu trennen – „um zu verhindern, dass die Malware andere Ressourcen scannt, verschlüsselt oder auf andere Ressourcen überspringt“. Wenn bereits eine Netzwerksegmentierung vorhanden ist, ließen sich infizierte Bereiche gezielter isolieren und so die Auswirkungen auf das gesamte Unternehmen reduzieren.

Nach einem Ransomware-Angriff müssten nicht nur Daten „wiederhergestellt“ werden – „auch alle Anmeldedaten, Geheimnisse, API-Schlüssel und privaten Schlüssel sind möglicherweise kompromittiert und müssen neu generiert werden, um einen erneuten Angriff zu verhindern“.

Ransomware-Angriffe stoppen, bevor sie sich ausbreiten

„Geschwindigkeit, Tarnung und Raffinesse sind die größten Waffen von Ransomware“, unterstreicht Ernst. Da sie sich innerhalb eines Netzwerks so schnell und oft unentdeckt verbreite, könnten herkömmliche Sicherheitslösungen einfach nicht Schritt halten.

• „Entscheidend ist eine Lösung, die laterale Bewegungen unmöglich macht.“ Durch die Kombination von Mikrosegmentierung und granularen identitätsbasierten Zugriffskontrollen könnten Unternehmen Ransomware-Angriffe stoppen, bevor sie sich ausbreiten, und so sicherstellen, dass Angreifer niemals Berechtigungen eskalieren oder kritische Systeme erreichen können.

„Selbst wenn Anmeldedaten kompromittiert werden, sorgt eine Just-in-Time-MFA auf Netzwerkebene dafür, dass diese Anmeldedaten nicht verwendet werden können.“ Mit anderen Worten: „Wenn Ransomware die Perimeter-Sicherheit durchbricht, bleibt sie an Ort und Stelle und kann sich nicht über den ursprünglichen Eintrittspunkt hinausbewegen.“ Abschließend gibt Ernst den Rat: „Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!“

Weitere Informationen zum Thema:

ZERO NETWORKS
About Us / Radical Simplicity, Uncompromising Security

cybernews, Paulina Okunytė, 11.04.2025
Ransomware gangs go whale hunting with Fortune 500 companies

verizon business, 2024
2024 Data Breach Investigations Report

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 06/10/2025
OT Security in 2025: More Incidents, less Ransomware / Interview with Dr. Terence Liu, CEO of TXOne Networks at HANNOVER MESSE (HMI 2025) on OT Security and the situation in 2025

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

[datensicherheit.de, 13.07.2025] Dem neuen „Sophos State of Ransomware 2025“-Report zufolge steigt die Anzahl der Unternehmen, die nach einem Ransomware-Angriff eine Lösegeldsumme bezahlen. Der Druck, der aufgrund des Risikos auf Unternehmen lastet, hat demnach auch gravierende Auswirkungen auf die IT-Teams – so würden die Befragten über erhöhte Angst, Stress, psychische Probleme und einem daraus resultierenden Ausfall der IT- und Security-Spezialisten berichten.

Foto: Sophos

Chester Wisniewski rät dringend: Trotz der guten Gegenwehr müssen wir weiterhin kontinuierlich mehr tun, um die Abwehrmaßnahmen mit Prävention, Erkennung und Reaktion an allen Fronten zu verstärken!

60% der Unternehmen in Deutschland und 49% in der Schweiz von Ransomware angegriffen

Der Sophos-Report „State of Ransomware 2025“, bei dem laut Sophos Anfang des Jahres 2025 insgesamt 3.400 IT-Spezialisten aus Unternehmen mit 100 bis 5.000 Mitarbeitern befragt wurden, zeige, „dass 60 Prozent der Unternehmen in Deutschland und 49 Prozent in der Schweiz von Ransomware angegriffen wurden“.

• Beide Ergebnisse seien etwas unterdurchschnittlich, „denn weltweit sind 68 Prozent der Unternehmen von Ransomware attackiert worden“.

Im Vergleich zum Vorjahres-Report hätten diese Ergebnisse einen uneinheitlichen Trend bestätigt: „In Deutschland wurden zwölf Monate zuvor 58 Prozent und in der Schweiz 59 Prozent von Ransomware attackiert – der weltweite Durchschnitt lag in 2024 bei 59 Prozent.“

Entscheidend zur Bewertung ist, ob Cyberkriminelle Daten verschlüsseln oder stehlen konnten

Die entscheidende Frage bei der Bewertung von Cyberattacken sei, ob die Cyberkriminellen die Daten durch ihre Angriffe verschlüsseln oder stehlen konnten: „Dies bejahten im diesjährigen Report 51 Prozent in Deutschland und 53 Prozent in der Schweiz. Der weltweite Schnitt liegt mit 50 Prozent minimal darunter.“

• Die Entwicklung zeige in beiden Ländern ein ähnliches Bild hinsichtlich der Angriffsqualität.

Deutsche Unternehmen könnten im Vergleich zur Vorjahresumfrage mit 79 Prozent einen deutlichen Abwärtstrend an „erfolgreichen“ Ransomware-Attacken verzeichnen. Äquivalent sei die Rate der Datenverschlüsselungen und Diebstähle in der Schweiz von 68 Prozent entsprechend gesunken – „weltweit waren es 70 Prozent im Mittel“.

Anhaltende Ransomware-Bedrohung gestattet kein Aufatmen

Ein Aufatmen oder gar eine Entwarnung sei jedoch in keinem der beiden Länder gerechtfertigt: „Zwar erhielten 95 Prozent der deutschen und 97 Prozent der Schweizer Unternehmen ihre Daten nach einer Verschlüsselung auf unterschiedlichen Wegen wieder zurück.“

• Allerdings entschieden sich 63 Prozent der deutschen und 54 Prozent der Schweizer Unternehmen dazu, dies mit einer Lösegeldzahlung zu erreichen.

Diese Ergebnisse erscheinen laut Sophos im Vergleich zu 2024 besonders bedenklich, denn in der Vorjahresumfrage hätten nur 50 Prozent in beiden Ländern die Problemlösung in der Bezahlung der Erpressungssummen gesehen.

Cyberattacken mit Ransomware setzen IT-Security-Personal unter hohem Druck

Cyberattacken mit Ransomware hätten nicht ausschließlich produktive und wirtschaftliche Auswirkungen auf Organisationen, sondern ganz unmittelbar auch auf das IT-Security-Personal: „44 Prozent der in Deutschland Befragten berichten von einer erhöhten Angst oder Stress in Bezug auf zukünftige Angriffe. In der Schweiz scheint dieses Phänomen mit nur 28 Prozent deutlich geringer zu sein.“

• 44 Prozent der deutschen Unternehmen berichteten von Teammitgliedern, welche „aufgrund von Stress oder psychischen Problemen nicht im Unternehmen anwesend sein konnten“. Im Gegensatz dazu habe die Schweiz mit 64 Prozent bei diesem Aspekt deutlich mehr zu kämpfen als die Landesnachbarn.

Die Belastung komme jedoch nicht nur durch die Angreifer von außen, sondern auch aus den Reihen im Inneren: „41 Prozent in Deutschland bestätigen von erhöhtem Druck seitens der Führungskräfte; in der Schweiz sind es mit 31 Prozent zehn Prozentpunkte weniger.“ Allerdings seien beide Länder wieder gleichauf, wenn es um personelle Konsequenzen geht: „27 Prozent der deutschen und 26 der Schweizer bestätigen, dass die Führung des Teams bereits ausgewechselt wurde.“

Lukratives Geschäft: Ransomware-Angriffe auch in absehbarer Zukunft akute Gefahr

Chester Wisniewski, „Director ,Global Field CISO’“ bei Sophos, kommentiert: „Aus internationaler Perspektive werden 44 Prozent der Angriffe gestoppt, bevor Daten verschlüsselt werden und bei nur 50 Prozent der angegriffenen Unternehmen wurden Daten verschlüsselt. Dies verringert die Gesamtzahl der Opfer, die möglicherweise Lösegeld zahlen würden.“

• Positiv ausgedrückt bedeute dies, „dass wir über zunehmend sorgfältige und erfahrene Überwachungsfunktionen verfügen und dass wir immer besser darin sind, fortschrittlichere Tools zur Früherkennung wie XDR einzusetzen“. Wisniewski gibt indes zu bedenken: „Aber wenn wir ehrlich sind, ist die Tatsache, dass 49 Prozent der Ransomware-Opfer weltweit Lösegeld gezahlt haben und die durchschnittliche Lösegeldzahlung bei einer Million US-Dollar lag, kein positives Ergebnis.“

Denn aus Sicht der Kriminellen bedeuteten diese Ergebnisse, dass Angriffe auch in absehbarer Zukunft fortgesetzt würden und ein lukratives Geschäft darstellten. „Trotz der guten Gegenwehr müssen wir weiterhin kontinuierlich mehr tun, um die Abwehrmaßnahmen mit Prävention, Erkennung und Reaktion an allen Fronten zu verstärken!“ Solange Kriminelle am Spielautomatenhebel des „einarmigen Ransomware-Banditen“ zögen und jedes zweite Mal eine Million US-Dollar Gewinn locke, gebe es wenig, was sie von ihren Angriffen abhalten könnte.

Weitere Informationen zum Thema:

SOPHOS, 2025
Ransomware-Report 2025: Warum werden Unternehmen und andere Organisationen Opfer von Ransomware? Und wie stellen Sie den Normalbetrieb wieder her? Welche geschäftlichen Folgen und welche Auswirkungen auf Mitarbeitende hat ein Ransomware-Angriff? / Im Sophos Ransomware-Report 2025 mit aktuellen Statistiken finden Sie Antworten auf diese Fragen.

SOPHOS
Chester Wisniewski / Director, Global Field CISO

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 06/10/2025
OT Security in 2025: More Incidents, less Ransomware / Interview with Dr. Terence Liu, CEO of TXOne Networks at HANNOVER MESSE (HMI 2025) on OT Security and the situation in 2025

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

[datensicherheit.de, 13.07.2025] Check Point warnt in einer aktuellen Stellungnahme vor einer zunehmenden Bedrohung durch die berüchtigte Hacker-Gruppe „Scattered Spider“. Sicherheitsforscher berichteten demnach zuletzt im Mai 2025 davon, wie die mutmaßlich mit dem „DragonForce“-Ransomware-Kartell in Verbindung stehenden Gruppe den britischen Einzelhandel angriff. Nun hat Check Point Research (CPR), die IT-Forensiker der Check Point® Software Technologies Ltd., nach eigenen Angaben über 500 Phishing-Domains identifiziert, welche gezielt auf Unternehmen – insbesondere in der Luftfahrtbranche – zielen.

Typische Phishing-Domains als neue Indikatoren

„In den vergangenen Wochen wurden mehrere Vorfälle publik, die mit der Gruppe in Verbindung gebracht werden – darunter der massive Datenverlust bei Qantas im Juli 2025, bei dem Daten von rund sechs Millionen Kunden kompromittiert wurden.“ Auch Angriffe auf Hawaiian Airlines und WestJet unterstrichen die Dringlichkeit, Sicherheitslücken zu schließen, insbesondere bei Drittanbietern im Luftfahrtsektor. CPR habe ein konsistentes Muster in der Infrastruktur der Angreifer identifizieren können: „Domains, die Unternehmensportale täuschend echt nachahmen, um Mitarbeiter zur Herausgabe von Zugangsdaten zu bewegen.“ Typische Namensmuster sind laut CPR:

• victimname-sso.com
• victimname-servicedesk.com
• victimname-okta.com

CPR-Beispiele für entdeckte Phishing-Domains:

• chipotle-sso[.]com
• gemini-servicedesk[.]com
• hubspot-okta[.]com

Diese Domains richteten sich nicht nur gegen Technologie-, Einzelhandels- und Luftfahrtunternehmen, sondern auch gegen die Fertigung, Medizintechnik, Finanzdienstleistungen und Unternehmensplattformen – ein Hinweis auf die opportunistische Natur dieser Gruppe.

Phishing-Gruppe „Scattered Spider“ wohl seit 2022 aktiv

Diese Gruppe sei seit mindestens 2022 aktiv und bestehe aus jungen Akteuren aus den USA und Großbritannien. Ihre Taktiken umfassen laut CPR:

• Aggressive Social-Engineering-Methoden (u.a. Ausnutzung der Multi-Faktor-Authentifizierung-Ermüdung der Angestellten, Vishing, SIM-Swapping).
• Einsatz von Remote-Access-Tools wie „TeamViewer“, „Ngrok“ und „Tactical RMM“.
• Nutzung von Malware wie „WarZone RAT“ und „Raccoon Stealer“.
• Ransomware-Angriffe mit „BlackCat“/„ALPHV“.

Um sich der Angriffe und Methoden von „Scattered Spider“ effektiv zu erwehren, empfiehlt Check Point:

• Monitoring verdächtiger Domains und Blockieren passender Muster.
• Mitarbeiterschulungen zu MFA-Missbrauch und „Vishing“.
• Adaptive Authentifizierung mit Anomalie-Erkennung.
• Robuste Endpunkt-Sicherheitsmaßnahmen.
• Für Luftfahrtunternehmen: Striktes „Vendor Risk“-Management und branchenspezifische „Incident Response“-Playbooks.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 07.07.2025
Exposing Scattered Spider: New Indicators Highlight Growing Threat to Enterprises and Aviation

CHECK POINT Cyberint, Adi Bleih, 08.05.2025
Meet Scattered Spider: The Group Currently Scattering UK Retail Organizations

CHECK POINT, Check Point Research, 06.05.2025
DragonForce Ransomware: Redefining Hybrid Extortion in 2025

datensicherheit.de, 19.02.2025
Kleine und mittlere Flughäfen: BSI stellt IT-Grundschutz-Profil bereit / BSI-Empfehlungen für Mindestabsicherung kleiner und mittlerer Flughäfen in Deutschland

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf

[datensicherheit.de, 11.07.2025] Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden. „Die Angreifer gehen heute immer gezielter, ausdauernder und strategischer vor“, berichtet Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos. Das wachsende Risiko betreffe besonders Industrieunternehmen auf der ganzen Welt. Die „Industrial Ransomware Analysis Q1“ von Dragos liefere nun fundierte Einblicke in diese anhaltenden Gefahren und zeige wichtige Entwicklungen, regionale Besonderheiten sowie jene durch die weltweite Bedrohungsbeobachtung erkannten Schwachstellen einzelner Branchen auf.

Deutschland weiterhin ein Ransomware-Hauptziel in Europa

Im ersten Quartal 2025 beobachtete Dragos demnach 708 Ransomware-Angriffe auf Industrieunternehmen weltweit. „Das entspricht einem deutlichen Anstieg im Vergleich zu rund 600 Fällen im vierten Quartal 2024. Nordamerika bleibt mit 413 gemeldeten Vorfällen, was etwa 58 Prozent aller weltweiten Aktivitäten ausmacht, die am stärksten betroffene Region.“ Europa folge mit 102 bis 135 Angriffen (etwa 19%), wobei Deutschland weiterhin zu den Hauptzielen zähle.

• Dieser Anstieg verdeutliche die zunehmende Häufigkeit und Komplexität von Ransomware-Angriffen, welche vor allem Branchen wie Fertigung, Transport, Industrielle Steuerungssysteme (ICS) und Maschinenbau träfen. Alamri führt aus: „Auch wenn viele der eingesetzten Techniken nicht neu oder besonders ausgefeilt sind, fallen Ransomware-Angriffe aufgrund ihrer gezielten Vorgehensweise, ihrer nachhaltigen Wirkung und ihrer wachsenden Verbreitung durch immer raffiniertere Akteure klar in die Kategorie der sogenannten ,Advanced Persistent Threats’ (APT).“

Mit 68 Prozent sei der Fertigungssektor im ersten Quartal 2025 weiterhin am stärksten betroffen gewesen, auch wenn der Anteil leicht unter den 70 Prozent im vierten Quartal 2024 liege. „Industrieunternehmen, die eine Schlüsselrolle in globalen Lieferketten und Infrastrukturen spielen, sind besonders gefährdet, da Ransomware-Gruppen ihre Taktiken stetig weiterentwickeln“, warnt Alamri.

Ransomware-Vorfälle zeigen auf, wie der Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigt werden können

Die zunehmende Vernetzung von IT und OT verstärke die betrieblichen Folgen zusätzlich, da sich IT-Störungen direkt auf operative Prozesse auswirken könnten. Zudem setzten Angreifer vermehrt auf irreführende Erpressungsmethoden, was die Verteidigung zusätzlich erschwere.

• So machten sie häufig unbegründete Behauptungen über angebliche Sicherheitsvorfälle und übten psychologischen Druck aus, etwa durch das erneute Veröffentlichen veralteter oder gefälschter Datenlecks. „Diese Täuschungen behindern nicht nur die Reaktion auf Vorfälle, sondern erschweren auch die Überprüfung und belasten die betroffenen Unternehmen erheblich“, kommentiert Alamri.

Zwar habe Dragos in diesem Zeitraum keine neuen Ransomware-Varianten identifiziert, „die speziell auf ICS-Umgebungen abzielen“, doch schwere Vorfälle wie der Angriff auf Unimicron – einen führenden Hersteller von Leiterplatten – zeigten, wie stark Ransomware den Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigen könne.

Trends, Muster und Beobachtungen zu Ransomware-Gruppen im ersten Quartal 2025

Im ersten Quartal 2025 hätten Ransomware-Gruppen ihre Taktiken weiter verfeinert. „Neben etablierten Akteuren traten auch neue Gruppen in Erscheinung, die unter anderem KI-gestützte Schadsoftware und ausgeklügelte Methoden zur Umgehung von EDR-Systemen einsetzten.“

• Ihre Angriffe hätten sich gezielt gegen Schwachstellen in IT-Infrastrukturen gerichtet, wie etwa in „Cleo“-Dateiübertragungsplattformen, Fernzugriffsanwendungen oder veralteter Software. „Hinzu kamen Versäumnisse beim Schutz von Remote-Zugängen, ein mangelhafter Umgang mit Anmeldedaten und Sicherheitslücken entlang der Lieferkette“, so Alamri. Diese Faktoren hätten zu erheblichen Störungen geführt und eine schnelle und koordinierte Reaktion auf die Angriffe erschwert.

Um dieser dynamischen Bedrohungslage wirksam zu begegnen, brauche es vorausschauende Sicherheitsstrategien, eine schnelle Erkennung verdächtiger Aktivitäten und kontinuierlich weiterentwickelte Schutzmaßnahmen. Dazu zählten der breite Einsatz robuster Multi-Faktor-Authentifizierung (MFA), die kontinuierliche Überwachung sensibler Netzwerkbereiche, zuverlässige Offline-Backups sowie ein sicherer und kontrollierter Fernzugriff.

Eigene Resilienz gegenüber wachsenden Bedrohungen hochentwickelter Ransomware-Gruppen stärken

Abschließend rät Alamri: „Ergänzend sollten Unternehmen ihre Mitarbeitenden gezielt schulen, ihre Netzwerkarchitektur regelmäßig überprüfen und moderne Erkennungssysteme einsetzen, die auch KI-gestützte Angriffsformen erkennen!“

• Er erläutert: „Da sich das Ransomware-Ökosystem zunehmend ausdifferenziert und dynamisch an neue Bedingungen anpasst, gewinnt die frühzeitige Erkennung von Bedrohungen, der zeitnahe Informationsaustausch und eine koordinierte Reaktion auf Angriffe enorm an Bedeutung.“ Nur durch ein entschlossenes und abgestimmtes Vorgehen ließen sich Kritische Infrastrukturen (Kritis) und industrielle Abläufe wirksam schützen.

Unternehmen müssten vor allem die Risiken der IT-OT-Konvergenz aktiv angehen, Schwachstellen in der Lieferkette absichern und Meldeprozesse für sicherheitsrelevante Vorfälle weiterentwickeln. „Wer hier systematisch ansetzt, stärkt die eigene Resilienz gegenüber den wachsenden Bedrohungen durch hochentwickelte Ransomware-Gruppen.“

Weitere Informationen zum Thema:

DRAGOS, The Dragos Blog, Abdulrahman H. Alamri & Lexie Mooney, 21.05.2025
Dragos Industrial Ransomware Analysis: Q1 2025

DRAGOS
Abdulrahman H. Alamri / Senior Intel Analyst II

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

[datensicherheit.de, 08.07.2025] Das sogenannte DarkWeb ist offensichtlich längst kein mysteriöser Randbereich des Internets mehr – „es ist eine florierende Untergrundwirtschaft, die Identitätsdiebstahl, Ransomware und Datenschutzverletzungen weltweit antreibt“, warnt Panda Security in seiner aktuellen Stellungnahme und berichtet: „Laut einer aktuellen Analyse von Panda Security für 2025 gab es allein in den USA 880.418 Beschwerden wegen Internetkriminalität, mit einem Gesamtschaden von 12,5 Milliarden US-Dollar – ein Anstieg von 22 Prozent im Vergleich zu 2022.“

Abbildung: Panda Security

Überblick: „Tor“-Nutzer weltweit

60 Prozent der DarkWeb-Domains hosten illegale Inhalte

Zentrale Erkenntnisse aus dem Bericht „39 Eye-Opening Dark Web Statistics for 2025“:

• 15 Milliarden gestohlene Zugangsdaten kursierten auf DarkWeb-Marktplätzen
• Ransomware-Angriffe seien 2023 um 55,5 Prozent gestiegen, besonders stark betroffen gewesen sei der Gesundheitssektor
• 60 Prozent der Domains im DarkWeb hosteten illegale Inhalte
• Die USA und Deutschland machten gemeinsam 68 Prozent des globalen DarkWeb-Traffics im „Tor“-Netzwerk aus
• Über drei Millionen Menschen griffen täglich auf das DarkWeb zu (Stand per März 2025)

DarkWeb-Boost befördert Komplexität und Reichweite der Bedrohungen

Mit dem prognostizierten weiteren Wachstum des DarkWebs – Schätzungen zufolge werde der Markt bis 2032 auf 2,92 Milliarden US-Dollar zunehmen – stiegen auch die Komplexität und Reichweite der Bedrohungen.

Der Bericht „39 Eye-Opening Dark Web Statistics for 2025“ gibt demnach Einblicke, wie gestohlene Daten, Phishing-Kits und kriminelle Marktplätze in nahezu vollständiger Anonymität funktionieren.

Abbildung: Panda Security

Gegenüberstellung: „Web“ vs. „DarkWeb“

Panda Security gibt praktische Tipps zum Schutz – inklusive DarkWeb-Überwachung

Der vollständige Bericht umfasst laut Panda Security:

• Übersicht der „Tor“-Nutzung nach Ländern
• Aufschlussreiche Statistiken zu Identitätsdiebstahl, Phishing und Datenschutzverletzungen
• Wie Cyberkriminelle gehackte Zugangsdaten zu Geld machen
• Risiken durch Foren, „Telegram“-Gruppen und geleakte Mitarbeiterdaten
• Praktische Tipps zum Schutz – inklusive DarkWeb-Überwachung, VPNs und Sicherheitstools wie „Panda Dome“

Weitere Informationen zum Thema:

panda, 05.05.2025
39 Eye-Opening Dark Web Statistics for 2025

datensicherheit.de, 26.06.2025
Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang / BioCatch hat am 18. Juni 2025 seinen ersten „Dark Economy Report“ veröffentlicht – diesem liegt eine Umfrage unter 800 Experten in 17 Ländern auf fünf Kontinenten zugrunde

datensicherheit.de, 16.06.2025
BKA-Meldung zu Archetyp Market: Darknet-Handelsplattform abgeschaltet / Auf dieser ältesten kriminellen Handelsplattform im Darknet wurden laut BKA mindestens 250 Millionen Euro umgesetzt

datensicherheit.de, 18.11.2024
Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet / Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden Prüfung möglicher Ansprüche auf Schadensersatz

datensicherheit.de, 25.07.2024
Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich / Preise können je nach Qualität des jeweiligen Botnets auf bis zu 10.000 US-Dollar steigen

datensicherheit.de, 23.07.2022
HP: Gestohlene Zugangsdaten im DarkWeb günstiger als ein Döner / Laut neuer Studie von HP Wolf Security sind Cyber-Kriminelle bemüht, ihre Untergrund-Ökonomie zu professionalisieren

[datensicherheit.de, 18.06.2025] „Im Kampf gegen Cyberkriminelle können es sich Unternehmen nicht leisten, auf der Stelle zu treten!“, betont Andreas Müller, „Vice President Enterprise Sales CE“ bei Delinea, in seiner aktuellen Stellungnahme und führt aus, „warum sie insbesondere ihre Ransomware-Abwehr überdenken müssen und was es für den Schutz gegen die Cybererpresser braucht“.

Foto: Delinea

Andreas Müller prognostiziert: Das Thema „Agentic AI“ im Security-Bereich wird zunehmend an Bedeutung gewinnen

Betrüger veräußern Anmeldedaten im DarkWeb und treiben so das Wachstum des Ransomware-Marktes

Die Anzahl erfolgreicher Cyberangriffe gehe erneut durch die Decke, so der Bitkom. Demnach ist der Anteil der betroffenen Unternehmen im Jahr 2024 von 72 auf 81 Prozent gestiegen. Bei etwa einem Drittel (31%) davon habe Ransomware den größten Schaden angerichtet (2023: 23%).

• Müller erörtert, was den Erfolg von Ransomware-Angriffen begünstigt: „Wer über die Anmeldedaten von Personen aus einem Unternehmen verfügt, kann sich in der Regel ganz einfach im System anmelden und sich frei bewegen – sofern keine zusätzlichen Sicherheitsmechanismen wie Multifaktor-Authentifizierung oder eingeschränkte Zugriffsprivilegien aktiv sind.“

Für ein zusätzliches „Taschengeld“ verkauften viele Betrüger die Anmeldedaten im sogenannten DarkWeb, was zum Wachstum des Ransomware-Marktes beitrage (Initial Access Broker).

„Ransomware-as-a-Service“ als erfolgreiches Geschäftsmodell

Bekannt als „Ransomware-as-a-Service“-Modell böten kriminelle Gruppen und Einzelgänger darüber hinaus sowohl ihre Dienste als auch ihre „Tools“ gegen Zahlung im DarkWeb an. Damit könnten sogar Cybercrime-Laien ohne nennenswerte Hacking-Skills Unternehmen erpressen.

• „Ein weiteres rentables Geschäftsmodell bildet ,Double Extortion’ – also die doppelte Erpressung: zunächst durch Datenverschlüsselung und anschließend durch Veröffentlichung oder Verkauf der Daten an Höchstbietende.“

„And last, but not least“, so Müller: Cyberkriminellen stehe – wie allen anderen auch – die Welt zu neuen Technologien offen. Mithilfe von KI steigerten sie zum Beispiel die Erfolgsrate ihrer Phishing-Kampagnen, „indem sie damit unter anderem die Inhalte glaubwürdiger gestalten“.

Schwachstellen in IT-Abteilungen begünstigen Ransomware-Angriffe

Es gebe verschiedene Faktoren, welche es Cyberkriminellen unter günstigen Umständen besonders leicht machten, Unternehmen „Ransomware unterzujubeln und sich dadurch sensible Daten unter den Nagel zu reißen“. Diese Schwachstellen erklärten, „wieso Angriffe so häufig und erfolgreich sind und warum Unternehmen lange unter den Folgen von Ransomware-Attacken leiden müssen“.

1. Schwachstelle: Die Bereitschaft, nachzugeben
   Über die Hälfte der Unternehmen hätten sich laut einer aktuellen Studie gegen die allgemein bekannten Handlungsempfehlungen entschieden und das verlangte Lösegeld mit der Aussicht gezahlt, den Wiederherstellungsprozess zu beschleunigen.
   „Allerdings haben sie es mit Kriminellen zu tun, die nicht immer ihr Wort halten. 26 Prozent, die sich auf die Forderungen eingelassen haben, erhielten ihre Daten nicht zurück.“
   Somit gebe es keine Garantie, dass Angreifer die verschlüsselten Systeme und Daten wieder freigeben, geschweige denn darauf verzichten, ihre Ausbeute im DarkWeb zu Geld zu machen.
2. Schwachstelle: Alleiniges Vertrauen in die Basics
   Wenn es um Cybersicherheit geht, setzten sehr viele Unternehmen auf diese vier Top-Maßnahmen: regelmäßige Updates, Backups sensibler Daten, vorgeschriebene Passworthygiene sowie Anwendungskontrollen.
   „Robustere Mechanismen wie Identity- und Access-Management sucht man hier vergeblich.“
   So hilfreich die aufgezählten Maßnahmen auch seien – die steigende Anzahl von Ransomware-Opfern beweise, dass sie allein nicht ausreichten, um sich wirksam gegen Phishing-Angriffe und Datendiebstahl zu schützen.
3. Schwachstelle: Verschobener Fokus
   Auch wenn es in vielen Unternehmen an fortschrittlicheren Sicherheitsmaßnahmen fehle, seien die meisten von ihnen (90%) zumindest teilweise auf den Ernstfall vorbereitet.
   Dieser Anteil verfüge nach eigenen Aussagen nämlich über Incident-Response- und Backup-Pläne. Allerdings zeigten die Umfrageergebnisse auch hierbei, dass die Konzepte mit hoher Wahrscheinlichkeit ihre Lücken hätten.
   „Denn 75 Prozent der Unternehmen benötigten im Schnitt zwei Wochen, um sich von einem Ransomware-Angriff zu erholen und ihre Ressourcen wiederherzustellen. Lediglich 18 Prozent schafften das innerhalb von 24 Stunden.“
4. Schwachstelle: Reaktion statt Prävention
   „So lange es Sicherheitslücken gibt und Opfer bereitwillig das Lösegeld zahlen, bleibt die Bedrohung bestehen.“
   Gleichzeitig vergrößere sich aufgrund technologischer Innovationen die Angriffsfläche in Unternehmen, „was Cyberkriminellen in die Karten spielt und den Schutz vor Datendiebstahl verkompliziert“.
   Dies mache eine präventive, proaktive und mehrschichtige Abwehrstrategie unerlässlich, welche grundlegende und fortschrittliche Sicherheitsmaßnahmen sowie Incident-Response- und Recovery-Pläne miteinander verbindet.

Wissen erforderlich, welche Mitarbeiter und Geräte sich aktuell im Netzwerk befinden

„Dazu gehören zum einen die wichtigen Basics wie risikobasiertes Patching, regelmäßige Backups, Anwendungskontrollen, aber auch Security-Awareness-Schulungen für alle Mitarbeitenden.“

• Zum anderen spiele das Thema Access- und Identity-Management eine essenzielle Rolle. In diesem Kontext bildeten „Privileged Access Management“, „Least Privilege“, „Governance“ und „Zero Trust“ den Hauptbestandteil einer robusten Sicherheitsstrategie.

Denn nur wer ganz genau weiß, welche Mitarbeiter und Geräte sich im Netzwerk befinden und ihnen nur ein Mindestmaß an Privilegien zuschreibt, könne das Risiko durch ungewollte Dritte minimieren.

Einsatz von KI-Technologien zur zusätzlichen Stärkung der Ransomware-Abwehr

Der Einsatz von KI-Technologien könne die Ransomware-Abwehr zusätzlich stärken. Dabei gehe es vor allem darum, potenzielle Bedrohungen und aktive Angriffe so schnell wie möglich aufzudecken. „Dafür eignet sich ein KI-gestütztes Sicherheitssystem besonders gut, da es Unmengen an Daten durchgehend analysieren und Ausschau nach verdächtigen Mustern und Abweichungen halten kann (Indicators of Compromise).“

• Neben Bedrohungsdaten könne es auch nach Verhaltensauffälligkeiten, unerwartet überprivilegierten Identitäten und nach verdächtigen Inhalten in E-Mails – sowohl im Text als auch im Anhang – suchen.

Künftig werde zudem das Thema „Agentic AI“ im Security-Bereich zunehmend an Bedeutung gewinnen, „da ein solches System autonom Aufgaben wie ,Threat Hunting’ und ,Intelligent Policy Authorization’ übernehmen kann und somit bereits stark unterbesetzte und unterbudgetierte IT-Teams noch mehr entlastet“.

Weitere Informationen zum Thema:

DELINEA, 2025
REPORT: 2025 State of Ransomware Report / Adapting with agility to a fast-changing threat landscape

bitkom, 28.08.2024
Wirtschaftsschutz 2024 / Dr. Ralf Wintergerst, Bitkom-Präsident

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden