[datensicherheit.de, 10.02.2026] Am 10. Februar 2026 wird der diesjährige Aktionstag „Safer Internet Day“ (SID) begangen – bei diesem sei es schon immer darum gegangen, eben Menschen im Internet zu schützen. Lothar Geuenich, „VP Central Europe/DACH“ bei Check Point Software Technologies, betont in seiner Stellungnahme zum SID 2026, dass in diesem Jahr dessen Mission eine neue Dringlichkeit erhalte, denn Künstliche Intelligenz (KI) sei immer tiefer in die Arbeits-, Lern-, Kommunikations- und Transaktionsprozesse eingebettet. KI sei nun keine Zukunftstechnologie mehr – sie präge bereits jetzt, „wie Entscheidungen getroffen werden aber auch zunehmend, wie Cyberkriminelle vorgehen“. Mit der Einbindung von KI in Browser gehe es bei der Online-Sicherheit nicht mehr nur um das Verhalten der Nutzer, „sondern darum, wie intelligent und verantwortungsbewusst KI selbst entwickelt, gesteuert und abgesichert wird“.

Foto: Check Point

Lothar Geuenich: „KI entwickelt sich rasch zu einem Co-Piloten für unser Lernen, Arbeiten und unsere Online-Kommunikation – doch Vertrauen in Technologie muss verdient und kann nicht vorausgesetzt werden. Der ,Safer Internet Day’ erinnert uns daran, dass kluge Technologieentscheidungen in Verbindung mit präventiven, KI-gestützten Sicherheitsmaßnahmen und einer soliden digitalen Kompetenz unerlässlich sind, um das Internet in einer KI-gesteuerten Welt sicher, widerstandsfähig und vertrauenswürdig zu halten.“

KI integraler Bestandteil des alltäglichen Online-Lebens

Von Schreibhilfen und Bildgenerierung bis hin zu Empfehlungsmaschinen und Chatbots sei KI heute in fast jeder digitalen Interaktion präsent: „KI ist zum Co-Piloten des täglichen digitalen Lebens geworden und beeinflusst im Hintergrund Entscheidungen, Inhalte und Vertrauenssignale.“

• Den Zahlen der Sicherheitsforscher von Check Point Research vom Dezember 2025 zufolge habe jede 27. KI-Eingabe aus Unternehmensnetzwerken ein hohes Risiko des Verlustes sensibler Daten dargestellt.

91 Prozent der KI-Tools verwendenden Unternehmen seien von Eingaben mit hohem Risiko betroffen gewesen. „Weitere 25 Prozent der Eingaben enthielten potenziell sensible Informationen, was verdeutlicht, wie leicht Nutzer bei der Interaktion mit KI-Tools zu viele Daten preisgeben können.“

Sichere KI-Nutzung erfordert vor allem Digital-Kompetenz

Geuenich hebt hervor: „Diese Ergebnisse untermauern eine Kernbotschaft: KI muss wie jedes andere kritische System gesichert werden – denn sie verarbeitet mittlerweile direkt sensible Daten und trifft Entscheidungen!“

• Diese Risiken seien indes nicht auf Unternehmen beschränkt. „Wenn Schüler, Familien oder Einzelpersonen KI-Tools für Hausaufgaben, Ratschläge oder die Erstellung von Inhalten nutzen, können dieselben Verhaltensweisen – das Kopieren und Einfügen persönlicher Informationen, das Hochladen von Bildern oder das Vertrauen in Ergebnisse ohne Überprüfung – sie Risiken in Bezug auf Datenschutz, Fehlinformationen oder Manipulation aussetzen.“

Die sichere Nutzung von KI beginne daher mit Digital-Kompetenz und nicht mit Einschränkungen.

KI gestaltet Cyberbedrohungs-Szenarien

Cyberkriminalität habe sich schon immer parallel zur Technologie weiterentwickelt, aber KI beschleunige diese Entwicklung in beispiellosem Tempo. Laut dem „Cyber Security Report 2026“ kombinierten Angreifer nun KI, Identitätsmissbrauch, Ransomware und „Social Engineering“ zu koordinierten, mehrstufigen Kampagnen, die schneller seien als herkömmliche Abwehrmaßnahmen.

• „Diese Angriffe passen sich zunehmend in Echtzeit an, lernen aus fehlgeschlagenen Versuchen und verfeinern automatisch ihre Techniken – ähnlich wie defensive KI funktioniert“, berichtet Geuenich.

Weltweit seien Unternehmen im Jahr 2025 durchschnittlich 1.968 Cyberangriffen pro Woche ausgesetzt gewesen, was einem Anstieg von 18 Prozent gegenüber dem Vorjahr und einem Anstieg von 70 Prozent seit 2023 entspreche. „In Deutschland zielten pro Woche 1.223 Angriffe auf Unternehmen was einen Anstieg von 14 Prozent im Vergleich zu Vorjahr bedeutet.“ Diese Angriffe seien keine Einzelfälle mehr – sie seien darüber hinaus hartnäckig, automatisiert und zunehmend personalisiert. Genau wegen dieses Ausmaßes könnten rein menschliche Sicherheitsmodelle nicht mehr mithalten.

Drei KI-Trends von besonderer Relevanz – am SID 2026 und darüber hinaus:

1. KI-gestütztes Social Engineering
   KI mache Phishing und Betrug überzeugender und skalierbarer. Angreifer könnten nun mehrsprachige, kulturell angepasste Nachrichten generieren, welche vertrauenswürdige Stimmen, Institutionen oder sogar Familienmitglieder imitierten. Der „Cyber Security Report 2026“ von Check Point zeige, dass E-Mails nach wie vor der wichtigste Übertragungsweg für schädliche Inhalte seien und 82 Prozent der Übertragung schädlicher Dateien ausmachten. „Die Zahlen zeigen aber auch, dass webbasierte und Multi-Channel-Angriffe rapide zunehmen. Dies verstärkt die Notwendigkeit einer KI-gesteuerten Bedrohungsprävention, die nicht nur bekannte Signaturen, sondern auch Absichten und Verhaltensweisen erkennen kann“, kommentiert Geuenich.
2. Ransomware in großem Maßstab
   Laut den Cyberstatistiken seien allein im Dezember 2025 945 Ransomware-Angriffe öffentlich gemeldet worden, was einem Anstieg von 60 Prozent gegenüber Dezember 2024 entspreche. Ransomware-Gruppen würden immer fragmentierter, automatisierter sowie aggressiver agieren und kombinierten häufig Datendiebstahl mit Erpressung und öffentlichem Druck. KI werde nun eingesetzt, um Targeting-, Aufklärungs- und Erpressungstaktiken zu beschleunigen.
3. Unkontrollierte KI-Nutzung als Risikomultiplikator
   „KI-Systeme selbst werden zunehmend zum Ziel“, warnt Geuenich. Eine von Check Point durchgeführte Untersuchung von rund 10.000 „Model Context Protocol“-Servern, habe ergeben, dass 40 Prozent davon Sicherheitslücken aufwiesen – „was zeigt, dass die KI-Infrastruktur mittlerweile Teil der Angriffsfläche ist“. Die Sicherung von KI-Pipelines, Modellen und Datenflüssen sei mittlerweile genauso wichtig wie die Sicherung von Endpunkten oder Netzwerken.

Anregungen für ein neues Rahmenwerk zur KI-flankierten Online-Sicherheit

Um sich in dieser Umgebung zurechtzufinden, benötigten Nutzer neue Gewohnheiten – eben solche, welche „KI als leistungsstarkes Werkzeug, aber nicht als unfehlbare Autorität anerkennen“. Nutzer sollten laut Geuenich:

• Nicht nur die Quelle, sondern auch das Ergebnis hinterfragen!
  KI-Antworten könnten selbst dann autoritär klingen, wenn sie falsch sind. Benutzer sollten dazu angehalten werden, zu fragen, „ob die Informationen aus einer anderen vertrauenswürdigen Quelle überprüfbar sind oder ob die KI Dringlichkeit, Angst oder Geheimhaltung suggeriert“.
• Persönliche und sensible Daten schützen!
  Laut den Cyberstatistiken vom Dezember 2025 verwendeten Mitarbeiter durchschnittlich elf verschiedene GenAI-Tools und generierten 56 KI-Eingabeaufforderungen pro Benutzer und Monat, was das Risiko einer versehentlichen Datenpreisgabe erhöhe. „KI-Sicherheit beginnt mit der Minimierung unnötiger Datenweitergabe!“

• Beachten, dass Inhalte synthetisch sein können!
  Von Bildern bis hin zu Stimmen könnten digitale Inhalte heute leicht gefälscht werden. „Daher sollten Nutzer alles, was Geld, Zugangsdaten oder sofortiges Handeln erfordert, mit Vorsicht behandeln, auch wenn es realistisch erscheint!“ Die Überprüfung von Informationen sei heute eine wichtige Internet-Kompetenz.

Wirksame KI-Sicherheit: Bringschuld der Organisationen und Web-Plattformen

Beim „Safer Internet Day“ gehe es nicht nur um die Verantwortung des Einzelnen. Plattformen, Schulen und Organisationen müssten Sicherheit von Anfang an in KI-Systeme integrieren. Geuenich fordert: „Sicherheit muss in die Entwicklung, Bereitstellung und Nutzung von KI eingebettet sein – und nicht nachträglich hinzugefügt werden!“

• Die „Cybersicherheitsstudie 2026“ von Check Point zeige, dass 90 Prozent der Organisationen innerhalb von drei Monaten mit riskanten KI-Aufforderungen konfrontiert gewesen seien – „was darauf hindeutet, dass ,Governance’ und Kontrollen hinter der Einführung zurückbleiben“.

Eine wirksame KI-Sicherheit erfordere nicht nur klare Richtlinien für die Nutzung von KI und eine konsequente Überwachung auf Datenlecks, sondern auch Aufklärung, „die mit den sich entwickelnden Bedrohungen Schritt hält“. Geuenichs Fazit: „Letztendlich muss sich die Sicherheit von reaktiven ,Tools‘ zu KI-gestützten, ,cloud’-basierten Plattformen entwickeln, die Schäden mit der Geschwindigkeit einer Maschine verhindern!“

Weitere Informationen zum Thema:

CHECK POINT
About Us / Check Point Software Technologies is a global leader in cyber security solutions, dedicated to protecting corporate enterprises and governments worldwide

connect professional, Michaela Wurm, 16.11.2020
Ex-Cisco-Manager / Neuer DACH-Chef bei Check Point: Check Point beruft Lothar Geuenich zum neuen Regional Director Central Europe/DACH. Er soll die Marktposition des IT-Security-Unternehmens in der wichtigen Region stärken und das Wachstum beschleunigen.

CHECK POINT, Check Point Research, 28.01.2026
The Trends Defining Cyber Security in 2026: Cyber Security Report 2026

CHECK POINT, Check Point Research, 13.01.2026
Latin America Sees Sharpest Rise in Cyber Attacks in December 2025 as Ransomware Activity Accelerates

Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit
Safer Internet Day 10.02.2026

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Gut 50.000 Jugendliche werden Umgang mit KI-Begleitern am 10. Februar 2026 diskutieren / Der diesjährige „Safer Internet Day“ stößt offenbar in ganz Deutschland auf große Resonanz: Mehr als 1.000 Schulen, Vereine, Bibliotheken, Unternehmen und Initiativen möchten sich mit eigenen Aktionen und Veranstaltungen engagieren

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Digitale Achtsamkeit und Skepsis angesichts der KI-Dominanz geboten / Das diesjährige Thema „Intelligente Technologie, sichere Entscheidungen – Erkundung der sicheren und verantwortungsvollen Nutzung von KI” unterstreicht die dringende Notwendigkeit neuer digitaler Kompetenzen bei Menschen jeden Alters

datensicherheit.de, 29.01.2026
Am Safer Internet Day 2026 DsiN-Talk zu Medienkompetenzen in der Schule / Deutschland sicher im Netz e.V. (DsiN) lädt zu einer Hybridveranstaltung am 10. Februar 2026 ein

[datensicherheit.de, 04.02.2026] Der Vortrag „Cybercrime: Zusammenarbeit von Ermittlern und Staatsanwaltschaft“ am ersten Kongresstag der „IT-DEFENSE 2026“ in Würzburg war einem praxisnahen Einblick in die aktuelle Entwicklung der organisierten Cyberkriminalität aus Sicht der Justiz und der kriminalpolizeilichen Strafverfolgung gewidmet.

Foto: Dirk Pinnow

Mirko Heim (l.) und Daniel Lorch (r.): Gemeinsam Prävention stärken und Cybercrime verdrängen…

Cybercrime-Zurückdrängung bedarf auch der Mitwirkung potenzieller Opfer

Als Ausgangspunkt für die beiden Referenten, Daniel Lorch, Ermittlungsleiter „Cybercrime“ bei der Kriminalpolizeidirektion Esslingen (Polizeipräsidium Reutlingen), und Mirko Heim, Oberstaatsanwalt bei der Generalstaatsanwaltschaft Karlsruhe (CZZ BW), diente eine nachträgliche Analyse zu dem Crime-as-a-Service-Verfahren „Dawnbreaker“ im Kontext der Ransomware-as-a-Service-Gruppierung „Hive“.

• Erörtert wurde, welche operativen und strategischen Lehren gezogen wurden, welche Ermittlungsansätze sich bewährt haben und wie sich sowohl Täterstrukturen als auch Strafverfolger nach internationalen Zerschlagungsmaßnahmen weiterentwickeln. Darauf aufbauend wurden laufende Ermittlungs- und Analyseansätze beleuchtet – von der Auswertung krimineller „Ökosysteme“ über internationale Kooperationen bis hin zu aktuellen Herausforderungen bei Attribution, Beweisführung und Vermögensabschöpfung.

Lorch riet Unternehmen, dass sie sich bei ihrem regionalen Landeskriminalamt (LKA) – Zentrale Ansprechstelle für Cybercrime in der Wirtschaft (ZAC) – melden und einen Ansprechpartner mit Kontaktdaten benennen sollten, welcher im Falle der Kenntnis eines bevorstehenden Cyberangriffs kurzfristig von den Behörden vorgewarnt werden könnte. Diese Benachrichtigung gestalte sich noch zu oft schwerfällig – so komme es durchaus vor, dass etwa bei gescheiterter telefonischer Benachrichtigung ein Funkwagen ans Werkstor entsendet werde, um den Ernst der Lage zu verdeutlichen.

Cybercrime-Akteure als Taktgeber durch konzertierte Prävention entthronen

Bislang gaben Cyberkriminelle das Tempo vor – Ermittler und vor allem Strafverfolger wurden erst dann aktiv, wenn bereits ein Cyberverbrechen begangen worden war. Mit Einrichtung von Baden-Württembergs „Cybercrime-Zentrum“ (CZZ BW) erfolgte demnach ein Paradigmenwechsel – es gelte, der Cyberkriminalität den Kampf anzusagen und auf Prävention zu setzen.

• Heim führte anhand einiger verstörender Beispiele auf, warum Cyberkriminalität – vor allem in Form von Sexualdelikten zum Nachteil von Minderjährigen des möglichst frühen Eingreifens bedarf: So erteilen etwa Cyberkriminelle perverse Anleitungen zur Misshandlung von Kindern in Fernost, welche online übertragen bzw. aufgezeichnet werden, oder aber Minderjährige werden verleitet, sich zu entblößen oder gar sich selbst zu verletzen. „Es gibt nichts, was es nicht gibt“, so Heim.

Aber auch Wirtschaftskriminalität im Cyberraum sollte nicht unterschätzt werden: Lorch führte aus, dass sich die Einschätzung der Entscheiderebene in Unternehmen häufig in zwei Phasen einteilen lässt: Mit Cybersecurity werde kein Stück mehr als zuvor verkauft – aber ohne Cybersecurity werde ggf. überhaupt kein Stück mehr verkauft… So seien dann betroffene Unternehmen quasi mit einem unfreiwilligen „Wartungsfenster“ im Schadensfall betroffen. Zwar seien die meisten Betriebe heute auf Notfälle eingerichtet, aber die Wiederanlaufzeit werde noch zu häufig unterschätzt (er nannte als ein Beispiel aus der Praxis eine Dauer von über 1.000 Tagen).

„Cybercrime-as-a-Service“: Arbeitsteilung im cyberkriminellen Milieu

Abschließend wurde der Blick nach vorn gerichtet: „Wohin entwickelt sich die Organisierte Cyberkriminalität, welche Trends sind bereits heute erkennbar und welche Anpassungen sind aufseiten von Wirtschaft, Polizei und Justiz erforderlich?“

• Ein Trend sei heute „Cybercrime-as-a-Service“ (CaaS): Es finde eine Arbeitsteilung im cyberkriminellen Milieu statt – über Hard- und Software-Schwachstellen, welche ja „24/7“ am Perimeter Angreifer anlockten – übernehme ein „Initial Service Broker“ quasi Türöffnerfunktion für Folgeangriffe. Inspiration für Angriffsflächen holten sich diese etwa über die Suchmaschine „Shodan“. Lorch unterstrich, dass man nicht den gesamten Betrieb rundum komplett absichern könnte und empfahl eine Fokussierung auf die „Kronjuwelen“ eines Unternehmens im Sinne von IT-Assets, welche so gezielt zu schützen seien, dass es Angreifern möglichst schwer gemacht werde.

Heim führte abschließend aus, dass bei der Ermittlung gegen Ransomware-Akteure, die sich zumeist im Ausland aufhielten, der Leitspruch „Follow the Money!“ richtungsweisend und zielführend sein könne. Geduld sei vonnöten. Beide Sprecher unterstrichen, dass es ein Mindestziel der gemeinsamen Prävention sein müsse, mittels hohem Verfolgungsdruck Cybercrime möglichst aus Deutschland zu verdrängen. Indes: Ermittlungen in ihrem Metier seien „kein Harmonieprojekt“.

Weitere Informationen zum Thema:

IT-DEFENSE 2026
Daniel Lorch

IT-DEFENSE 2026
Mirko Heim

Baden-Württemberg, 03.01.2024
Cybersicherheit: Cybercrime-Zentrum nimmt Arbeit auf

Baden-Württemberg, 26.01.2023
Cyberkriminalität: Schlag gegen organisierte Cyberkriminalität

WIKIPEDIA
Shodan (Suchmaschine)

datensicherheit.de, 04.02.2026
IT-DEFENSE: Ausgebuchte 20. Auflage in Würzburg gestartet / 2003 wurde das Kongressformat der „IT-DEFENSE“ mit der Überzeugung gestartet, frei von Sponsoring und Werbung hochkarätige Fachbeiträge anzubieten

datensicherheit.de, 30.01.2023
Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck / Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

datensicherheit.de, 30.01.2023
Hive: Zerschlagung des-Hacker-Netzwerks erheblicher Rückschlag für gefährliche kriminelle Organisation / Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 16.01.2026] Das Bundeskriminalamt (BKA) meldet, dass es zusammen mit der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – sowie mit Strafverfolgungsbehörden aus den Niederlanden, der Schweiz, der Ukraine und Großbritannien gegen Akteure der Ransomware-Gruppierung „Black Basta“ vorgegangen ist. In diesem Zusammenhang seien Wohnräume von zwei Beschuldigten in der Ukraine durchsucht und Beweismittel gesichert worden. Gegen den mutmaßlichen Kopf dieser Ransomware-Gruppierung wird durch ZIT und BKA öffentlich mit Haftbefehl gefahndet.

„Black Basta“-Erpressung von mehr als 100 Unternehmen bzw. Institutionen in Deutschland

Bei „Black Basta“ handele es sich um eine der aktivsten Ransomware-Gruppierungen der letzten Jahre. Zu ihrem Zielspektrum gehörten überwiegend Unternehmen westlicher Industrienationen. Unter Einsatz der gleichnamigen Schadsoftware und weiterer Malware habe „Black Basta“ Computernetzwerke kompromittiert, sensible Daten gestohlen, die Systeme verschlüsselt und Lösegelder für deren Entschlüsselung erpresst.

• „Im Zeitraum von März 2022 bis Februar 2025 war die Gruppierung für die Erpressung von mehr als 100 Unternehmen und Institutionen im Bundesgebiet sowie ca. 600 weiteren geschädigten Organisationen weltweit verantwortlich.“

Durch ihre illegalen Aktivitäten habe sie Geldbeträge im dreistelligen Millionenbereich erlangt – davon alleine in Deutschland mehr als 20 Millionen Euro. Zu den Opfern zählten überwiegend Unternehmen, aber auch Krankenhäuser, öffentliche Einrichtungen und Behörden.

Gewerbs- und bandenmäßige Erpressung sowie Computersabotage durch „Black Basta“

Gegen die beschuldigten Akteure der Ransomware-Gruppierung „Black Basta“ besteht laut BKA u.a. der Verdacht der „Bildung einer kriminellen Vereinigung“ sowie der „gewerbs- und bandenmäßigen Erpressung und Computersabotage“.

• Die Durchsuchungen in der Ukraine hätten sich gegen mutmaßliche Mitglieder der Ransomware-Gruppierung mit ukrainischer Staatsangehörigkeit gerichtet, denen sogenanntes Hash-Cracking vorgeworfen werde. „Hash-Cracking“ bezeichnet den Prozess, bei dem ein gesuchtes Passwort durch systematisches Berechnen eines erbeuteten Hash-Wertes bestimmt wird. Über die so erlangten Zugangsdaten könnten sich Angreifer über Account- und Systemgrenzen hinweg im Netzwerk des Opfers ausbreiten. Ziel dabei sei, Zugänge zu möglichst vielen relevanten Systemen und sensiblen Daten zu erhalten, um darauf die Ransomware ausführen zu können.

Die Maßnahmen gegen diese Beschuldigten seien von der ukrainischen Cyberpolizei, Teil der Nationalpolizei der Ukraine und der ukrainische Generalstaatsanwaltschaft (Office of the Prosecut-or General of Ukraine) in den ukrainischen Verwaltungsregionen Iwano-Frankiwsk und Lwiw umgesetzt worden. Dabei seien die Wohnräume der Beschuldigten durchsucht und Beweismittel gesichert worden.

ZIT und BKA sowie EUROPOL und INTERPOL fahnden nach „Black Basta“-Gründer

Im Zuge der Ermittlungen sei auch der mutmaßliche Rädelsführer dieser Tätergruppierung identifiziert worden: „Gegen diesen, einen russischen Staatsbürger, haben ZIT und BKA einen Haftbefehl erwirkt. Ihm wird vorgeworfen, die Gruppierung ,Black Basta’ gegründet und geleitet zu haben.“

• Zuvor sei er mutmaßlich bereits als Geschäftspartner der Ransomware-Gruppierung „Conti“ tätig gewesen.

ZIT und BKA fahnden öffentlich auch mit Unterstützung von EUROPOL und INTERPOL. Lichtbilder und Beschreibungen zu der gesuchten Person können online auf der betreffenden BKA-Webseite abgerufen werden. Die internationalen Fahndungen von EUROPOL und INTERPOL sind ebenfalls online abrufbar.

Fortsetzung einer andauernden Kooperation bei Ermittlungen gegen „Black Basta“

Bei den aktuellen Maßnahmen der deutschen und ukrainischen Behörden handele es sich um die Fortsetzung einer andauernden Kooperation. Bereits Ende August 2025 hätten ukrainische Beamte auf Ersuchen von ZIT und BKA die Wohnräume eines weiteren Mitglieds der Gruppierung in der Nähe von Charkiw durchsucht, Beweismittel gesichert und den Beschuldigten zum Tatvorwurf vernommen.

• Dieser stehe im Verdacht, als sogenannter Crypter dafür gesorgt zu haben, dass die eingesetzte Schadsoftware von Antiviren-Programmen nicht als solche erkannt worden sei.

Den Maßnahmen vorangegangen waren demnach gemeinsame, international koordinierte Ermittlungen der ZIT, des BKA, des Schweizer Bundesamts für Polizei (fedpol), der Schweizer Bundesanwaltschaft (BA), der niederländischen „National High Tech Crime Unit“ (NHTCU) und der britischen „South East Regional Organised Crime Unit“ (SEROCU) sowie eigenständige Ermittlungen der ukrainischen Nationalpolizei in Kiew und Charkiw und der ukrainischen Generalstaatsanwaltschaft.

Weitere Informationen zum Thema:

Bundeskriminalamt
Der gesetzliche Auftrag / Wie bei jeder Behörde ergeben sich Zuständigkeiten und Befugnisse des Bundeskriminalamtes aus gesetzlichen Regelungen. Der Auftrag des BKA ist im Grundgesetz und im Gesetz über das Bundeskriminalamt beschrieben.

Bundeskriminalamt
Erpressung im besonders schweren Fall, Bildung/Rädelsführerschaft einer kriminellen Vereinigung und weitere Straftaten

Staatsanwaltschaften Hessen
GStA / Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT)

EUROPOL
Governance & Accountability / Like any EU agency, Europol functions according to a system of controls, checks and balances

EU MOST WANTED
Europe’s most wanted fugitives

INTERPOL
What is INTERPOL?

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf

datensicherheit.de, 23.08.2024
Neuer WithSecure-Report zeigt: Jüngste Schläge gegen Ransomware-Gruppen hatten Wirkung / „Produktivität“ der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht weiter angestiegen

datensicherheit.de, 25.11.2023
Untersuchung zeigt: Neue Ransomware-Gruppen als Schrittmacher der Cyber-Angriffe / Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure drastisch gestiegen

[datensicherheit.de, 31.12.2025] Die Tage rund um Weihnachten und den Jahreswechsel gelten für Cyberkriminellen offenbar als besonders attraktive Zeiträume für Cyberangriffe auf Unternehmen. Vor allem mittelständische Unternehmen geraten dann verstärkt ins Visier Cyberkrimineller. Laut einer aktuellen Stellungnahme von Sophos lässt sich allerdings mit wenigen, gezielten Maßnahmen das Risiko deutlich senken:

Abbildung: Sophos

Dieser Report basiert laut Sophos auf den Ergebnissen einer unabhängigen Befragung von 3.400 IT-/Cybersecurity-Entscheidern, deren Unternehmen im letzten Jahr von Ransomware betroffen waren, darunter 300 aus Deutschland

Bevorzugt mittelständische Unternehmen zum Jahresende verstärkt im Visier Cyberkrimineller

Vor allem mittelständische Unternehmen geraten zum Jahresende verstärkt ins Visier Cyberkrimineller. Besonders betroffen sind demnach Handel, Logistik, Hotellerie und Gastronomie sowie Produktionsbetriebe. Mit wenigen, gezielten Maßnahmen lasse sich das Risiko jedoch deutlich senken.

• Analysen von Sophos sowie übereinstimmende Beobachtungen weiterer Sicherheitsanbieter und spezialisierter Notfallteams zeigten seit Jahren ein wiederkehrendes Muster:

Vor allem Ransomware-Angriffe – bei denen Daten verschlüsselt und Unternehmen erpresst werden – starteten bevorzugt außerhalb der regulären Arbeitszeiten, also in den späten Abendstunden, an Wochenenden und an Feiertagen.

Umfeld von Feiertagen als strategisches Zeitfenster für Attacken auf Unternehmen

Der Grund hierfür sei einfach und aus Sicht der Cyberkriminellen strategisch sinnvoll: Viele Unternehmen arbeiteten in dieser Zeit im Minimalbetrieb. IT- und Sicherheitsteams seien ausgedünnt, Entscheidungswege länger, Warnmeldungen würden später erkannt oder verzögert bearbeitet.

• Genau dieses Zeitfenster nutzten professionelle Angreifer gezielt aus. Hoher operativer Druck erhöhe dann nämlich den Erpressungshebel.

Besonders betroffen seien Branchen mit hohem Zeitdruck und großer Abhängigkeit von stabilen IT-Systemen. Hierzu zählten Handel und E-Commerce, Logistik, Hotellerie und Gastronomie sowie die produzierende Industrie – Branchen, die stark von reibungslos funktionierenden, oft digital gesteuerten Liefer- und Wertschöpfungsketten abhingen.

Cyberangriffe bewusst außerhalb der Kernzeiten der Unternehmen

Auch Finanzdienstleister im Mittelstand und Einrichtungen im Gesundheitswesen gerieten regelmäßig ins Visier Cyberkrimineller. In diesen Bereichen führten Systemausfälle schnell zu Lieferverzögerungen, Umsatzeinbußen oder Reputationsschäden und erhöhten somit beispielsweise den Druck, im Ernstfall auf Erpressungsforderungen einzugehen.

• Aus aktuellen Auswertungen von Sophos – unter anderem aus „Managed Detection and Response“ (MDR) sowie aus realen „Incident Response“-Einsätzen – ergebe sich ein klares Bild: „Ein erheblicher Teil erfolgreicher Ransomware-Angriffe wird gezielt außerhalb regulärer Arbeitszeiten ausgerollt.“

Diese Beobachtungen deckten sich mit den Ergebnissen des aktuellen „Sophos State of Ransomware Report“, welche jährlich die Erfahrungen von rund 5.000 Unternehmen weltweit auswerte.

Unternehmen des Mittelstands besonders herausgefordert

Feiertage und verlängerte Wochenenden seien dabei eben kein Zufall, sondern fester Bestandteil der Angriffsplanung. Sophos warnt daher regelmäßig davor, die Zeit zwischen Weihnachten und Neujahr sicherheitstechnisch als „ruhige Phase“ zu betrachten.

• „Im Gegenteil: Gerade dann sind eine verlässliche Überwachung, klar geregelte Zuständigkeiten und schnelle Entscheidungswege entscheidend!“ Viele mittelständische Unternehmen verfügten nicht über dauerhaft besetzte Sicherheitszentralen, sogenannte Security Operations Center (SOC) – also Teams, die IT-Systeme rund um die Uhr überwachen und bei Auffälligkeiten sofort eingreifen.

Auch klar definierte Abläufe für den Ernstfall, etwa bei einem Cyberangriff (Incident Response), seien oft weniger formalisiert als in großen Konzernen. Zwischen Weihnachten und Neujahr werde das IT-Personal zudem häufig weiter reduziert, so dass Vorfälle nicht immer sofort bearbeitet würden und Entscheidungen unter Zeitdruck getroffen werden müssten.

Saisonale Betrugsversuche verschärfen Bedrohungslage für Unternehmen

Erschwerend kämen saisonale Betrugsversuche hinzu: „Dazu zählen Phishing-Mails mit angeblichen Paketbenachrichtigungen, Informationen zu Bonuszahlungen, Weihnachtsaktionen oder Reiseunterlagen.“

• Diese Nachrichten seien oft täuschend echt gestaltet und spielten gezielt mit Zeitdruck, Gewohnheit und emotionaler Ansprache. Gerade in arbeitsreichen oder unruhigen Phasen steige so die Gefahr, dass Mitarbeiter auf solche E-Mails reagierten – und ungewollt Angreifern „Tür und Tor“ öffneten.

Laut SOPHOS können sich Unternehmen aber darauf vorbereiten – mit überschaubarem Aufwand lasse sich das Risiko für die Feiertage bzw. die Zeit „zwischen den Jahren“ deutlich reduzieren:

SOPHOS-Tipps für Unternehmen zur Vorbereitung auf drohende Cyberangriffe

• Klare Erreichbarkeit und Entscheidungswege sicherstellen!
  Für die Zeit vom 24. Dezember bis zum 6. Januar sollten verbindliche Rufbereitschaften definiert sein – inklusive Stellvertretungen, klarer Eskalationsstufen und aktueller Kontaktlisten.
  Dies gelte nicht nur intern, sondern auch für externe IT-Dienstleister, Versicherer und spezialisierte Notfallpartner.
• Technische Basis absichern, bevor der Betrieb runterfährt!
  Vor den Feiertagen sollten sicherheitsrelevante Updates eingespielt, unnötige Fernzugänge deaktiviert und Mehrfaktor-Authentifizierung für administrative sowie externe Zugriffe konsequent genutzt werden.
  Backups sollten nicht nur vorhanden, sondern auch getestet sein – also tatsächlich wiederhergestellt werden können. Wichtig sei zudem, dass Warnmeldungen aus der IT-Sicherheit zuverlässig an die Feiertags-Rufbereitschaft weitergeleitet würden.
• Mitarbeiter gezielt sensibilisieren!
  Eine kurze, prägnante Information kurz vor den Feiertagen zu typischen saisonalen Phishing-Maschen reiche oft aus, um die Aufmerksamkeit zu schärfen.
  Entscheidend sei dabei, den Meldeweg für verdächtige E-Mails klar und niedrigschwellig zu kommunizieren.
• Krisenfall einmal durchspielen!
  Eine kurze „Tabletop-Exercise“ – etwa die Frage „Was tun wir bei einem Ransomware-Angriff am 27. Dezember?“ – könne helfen, Rollen, Zuständigkeiten und Kommunikationswege zu klären.
  Bereits eine Stunde mit „Geschäftsführung“, „IT“ und „Kommunikation“ könne im Ernstfall wertvolle Zeit sparen.

Unternehmen sollten sich eben ganz gezielt auf die Zeit „zwischen den Jahren“ vorbereiten

„Cyberkriminelle planen Feiertage fest ein, und Unternehmen sollten das ebenfalls tun. Gerade zwischen Weihnachten und Neujahr entscheidet sich oft, ob ein Sicherheitsvorfall schnell gestoppt wird oder sich zu einem ernsthaften Krisenfall entwickelt“, erläutert Michael Veit, Cybersecurity-Experte bei Sophos.

• Er unterstreicht: „Klare Zuständigkeiten, verlässliche Überwachung und getestete Notfallpläne nehmen Angreifern genau den Vorteil, auf den sie spekulieren.“

Zudem sollten Unternehmen für eine langfristige Sicherheitsstrategie auch überlegen, externe Cybersecurity-Experten „an Bord“ zu holen. „Diese ,Managed Security Services’ sind sehr individuell applizierbar und sorgen für professionellen Schutz rund um die Uhr an 365 Tagen im Jahr“, so Veit abschließend.

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten. / Sophos stoppt Cyberangriffe mit einer adaptiven, KI-nativen offenen Plattform und hochkarätiger Sicherheits-Expertise.

SOPHOS
Ransomware-Report 2025 / Warum werden Unternehmen und andere Organisationen Opfer von Ransomware? Und wie stellen Sie den Normalbetrieb wieder her? Welche geschäftlichen Folgen und welche Auswirkungen auf Mitarbeitende hat ein Ransomware-Angriff?

SOPHOS, Juni 2025
RANSOMWARE-REPORT 2025: DEUTSCHLAND / Ergebnisse einer unabhängigen Befragung von 300 deutschen Unternehmen*, die im vergangenen Jahr von Ransomware betroffen waren.

heise business service
Experten: Michael Veit – Manager Sales Engineering, Sophos GmbH

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 29.08.2025
Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit / Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen

[datensicherheit.de, 04.10.2025] „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos, in seiner aktuellen Stellungnahme und verweist auf die nun vorliegende „Dragos Industrial Ransomware Analysis Q2 2025“ – demnach wurden im zweiten Quartal 2025 weltweit 657 Angriffe auf Industrieunternehmen registriert. Damit liege diese Zahl zwar leicht unter dem Niveau des Vorquartals (708 Angriffe), in Europa habe sich jedoch das Gegenteil gezeigt: „Die dokumentierten Fälle stiegen von 135 auf 173. Keine andere Region verzeichnete einen vergleichbar starken Anstieg.“ Besonders stark betroffen seien Deutschland, Großbritannien und Italien. „Dort treffen die Angriffe vor allem Branchen, die das industrielle Rückgrat der Wirtschaft bilden!“, warnt Alamri.

Foto: Dragos

Abdulrahman H. Alamri rät Unternehmen, sich bei ihren Verteidigungsstrategien an den „5 kritischen Maßnahmen“ des SANS Institute zu orientieren

Ransomware nimmt Kernbranchen der Industrie ins Visier

Die 173 Angriffe auf europäische Industrieunternehmen machten rund 26 Prozent aller weltweiten Ransomware-Vorfälle im zweiten Quartal 2025 aus. „Besonders betroffen sind Industriezweige, die in Deutschland eine zentrale Rolle spielen.“

• Die Bauindustrie habe weltweit 110 Angriffe verzeichnet, im Maschinen- und Anlagenbau seien 63 Fälle dokumentiert worden. In der Automobilindustrie seien es 38 Angriffe gewesen, in der Chemie 20. Insgesamt sei das produzierende Gewerbe mit 428 Angriffen weltweit am stärksten ins Visier geraten – „und stand damit für 65 Prozent aller dokumentierten Fälle“.

Zusätzlich seien 77 Angriffe auf Transport- und Logistikunternehmen gezählt worden. Im Bereich Industrielle Steuerungssysteme und „Engineering“hätten die Analysten 75 Attacken registriert – „mehr als doppelt so viele wie im ersten Quartal“. Besonders dieser Anstieg betreffe zahlreiche, in diesem Sektor international führende deutsche Unternehmen.

„Qilin“ als aktivste Gruppe der Ransomware-Unterwelt

„Im zweiten Quartal 2025 entwickelte sich ,Qilin’ zur aktivsten Ransomware-Gruppe im Industriesektor“, berichtet Alamri. Die Angreifer hätten 101 dokumentierte Attacken verübt und seien damit für rund 15 Prozent der weltweit bekannten Vorfälle verantwortlich. Im ersten Quartal 2025 habe die Zahl noch bei 21 gelegen. „Qilin“ habe sich damit als führender Akteur nach dem Rückgang etablierter Gruppen wie „LockBit“ und „RansomHub“ positioniert.

• Diese Gruppe betreibe eine Ransomware-as-a-Service-Plattform, über die sie erfahrene „Affiliates“ rekrutiere und unterstütze. „Teil des Angebots sind juristische Beratungsdienste, die Partner bei Verhandlungen stärken, sowie interne Medien- und PR-Teams, die gezielt den öffentlichen Druck auf betroffene Organisationen erhöhen.“

Auch technisch hebe sich „Qilin“ deutlich ab: „Die Gruppe nutzt automatisierte ,Tools’, um gezielt Schwachstellen in Fortinet-Produkten auszunutzen, etwa ,CVE-2024-21762‘ und ,CVE-2024-55591‘.“ Darüber gelinge rascher Zugriff auf interne Netzwerke, was tiefgreifende Angriffe ermögliche. „Für Unternehmen, die stark auf Fortinet-Systeme setzen, entsteht daraus ein erhebliches Risiko!“

Ransomware-Bedrohungslage verschärft sich weiter

Alamri führt aus: „Im März 2025 wurde ,Qilin’ operativ von der nordkoreanischen, staatlich unterstützten Hacker-Gruppe ,Moonstone Sleet’ übernommen. Seitdem steht nicht mehr nur finanzielle Erpressung im Vordergrund.“ Deren Aktivitäten zeigten zunehmend geopolitische Ausrichtung und zielten verstärkt auf Kritische Infrastrukturen (KRITIS).

• Die Zahl der Ransomware-Angriffe in Europa nehme weiter zu und Deutschland sei als industrialisiertes Land besonders häufig betroffen. „Stark im Fokus stehen Angriffe auf zentrale Industriezweige wie Bauwesen, Maschinenbau, Automobilindustrie, Chemie, Logistik und Industrielle Steuerungssysteme.“ Mit „Qilin“ habe sich zudem eine Ransomware-Gruppe etabliert, welche sowohl technisch als auch organisatorisch neue Maßstäbe setze.

Angesichts dieser Entwicklung reiche es nicht aus, sich auf etablierte Standards zu verlassen. Alamri gibt abschließend zu bedenken: „Unternehmen sollten sich bei ihren Verteidigungsstrategien an den ,5 kritischen Maßnahmen’ des SANS Institute orientieren!“ Dieser Rahmen helfe dabei, „Incident Response“, Architektur, Sichtbarkeit, Fernzugriff und Schwachstellen-Management systematisch umzusetzen. „So entsteht bereits in frühen Reifegraden eine belastbare Grundlage für Resilienz gegenüber Bedrohungen, die zunehmend industrielle Schlüsselbranchen und Kritische Infrastrukturen ins Visier nehmen.“

Weitere Informationen zum Thema:

DRAGOS
Our Mission: “To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day.“

DRAGOS
Abdulrahman H. Alamri / Abdulrahman H. Alamri is a Senior Intel Analyst II at Dragos. He holds a master’s degree in Cybersecurity and previously worked with the Saudi National Cybersecurity Authority (NCA) as a tactical threat intelligence team lead.

DRAGOS, Abdulrahman H. Alamri & Lexie Mooney, 14.08.2025
Dragos Industrial Ransomware Analysis: Q2 2025

DIGITAL BUSINESS, Stefan Girschner, 15.05.2025
Cyberangriffe Angriffstechniken: Die fünf gefährlichsten Vektoren

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 02.10.2025] Im Oktober 2025 findet erneut der „European Cybersecurity Month“ (ECSM) statt: Dieser Aktionsmonat soll seit 2012 europaweit Bürger und Organisationen auf einen bewussten und verantwortungsvollen Umgang im Digitalen Raum aufmerksam machen. Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse: „In der ersten Jahreshälfte blieb Ransomware weltweit die dominierende Bedrohung, während der Anteil von Phishing an allen E-Mail-Angriffen von neun Prozent im Vorjahr auf 25 Prozent stieg. Auch ,Hacktools’ sowie durch Maschinelles Lernen identifizierte Malware sind weiterhin weit verbreitet – ein klares Zeichen dafür, wie schnell sich Angreifer an neue Sicherheitsmaßnahmen anpassen.“

Abbildung: Screenshot v. „cybersecuritymonth.eu“

Seit 2020 ist die Warnung „Think Before U Click!“ das offizielle ECSM-Kampagnenmotto

Gerade im „European Cybersecurity Month 2025“ betont Acronis, wie entscheidend proaktive Schutzmaßnahmen sind

Markus Fritz, „General Manager DACH“ bei Acronis, betont in seiner aktuellen Stellungnahme die Bedeutung des ECSM sowie des Ergreifens proaktiver Schutzmaßnahmen – sowohl als Privatperson als auch Unternehmen:

• „Cyberangriffe gegen Privatpersonen und Unternehmen entwickeln sich ständig weiter – wer nur reagiert, ist immer einen Schritt zu spät. Gerade im ,European Cybersecurity Month’ möchten wir deshalb daran erinnern, wie entscheidend proaktive Schutzmaßnahmen sind.“

Unternehmen wie Privatpersonen sollten Sicherheitslücken nicht erst schließen, wenn es zu spät ist, sondern frühzeitig in entsprechende Schutzlösungen und kontinuierliche „Awareness“-Programme investieren. „Nur so lässt sich die Widerstandsfähigkeit nachhaltig stärken und die Risiken durch Ransomware, Phishing oder den Missbrauch legitimer ,Tools’ wirksam eindämmen“, erläutert Fritz.

Acronis-Tipps zum Schutz von Daten:

• Regelmäßige Backups
  Regelmäßig Backups durchführen und nach einem ersten Backup des gesamten Systems automatische, inkrementelle Backups einrichten, welche jeweils nur die geänderten oder hinzugefügten Daten sichern, um Speicherplatz und Zeit zu sparen!
• System-Backup
  Vor der Installation neuer Programme, Updates oder Treiber ein System-Backup erstellen, damit der letzte Datenstand gesichert ist!
• Sicherheitslösung für Unternehmen
  Eine umfassende Lösung für „Cyber Security“ und „Data Protection“ (wie z.B. „Acronis Cyber Protect Cloud“) implementieren, um sich vor Cyberbedrohungen zu schützen!
• Sicherheitslösung für Privatpersonen
  Sämtliche Geräte mit einer umfassenden Lösung für „Cyber Security“ und „Data Protection“ ausstatten (wie etwa mit „Acronis True Image“), um sich vor Cybergefahren wie Datendiebstahl, Phishing oder Ransomware zu schützen.

Weitere Informationen zum Thema:

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
The European Cybersecurity Month (ECSM) is the European Union’s annual campaign dedicated to promoting cybersecurity among EU citizens and organisations

EUROPEAN CYBERSECURITY MONTH
“Think Before U Click!“

Acronis
Die Vereinheitlichung von Data Protection und Cyber Security, um alle Daten, Applikationen und Systeme zu schützen / Acronis ist ein globales Technologie-Unternehmen mit Hauptsitzen in der Schweiz

IT-BUSINESS, Margrit Lingner, 12.06.2024
Neuer General Manager DACH bei Acronis Markus Fritz ist DACH-Chef von Acronis

Bundesamt für Sicherheit in der Informationstechnik
ECSM: European Cyber Security Month / Wir freuen uns, dass Sie mehr über den ECSM erfahren möchten. Nutzen Sie den jährlich im Oktober stattfindenden Aktionsmonat als Anlass und werden Sie für Cyber-Sicherheit aktiv.

datensicherheit.de, 10.10.2019
Cyber Security Month: Sieben typische Einfallstore für Hacker / Kenntnis der Vorgehensweise von Cyber-Kriminelle hilfreich zur Abwehr

datensicherheit.de, 23.10.2016
European Cyber Security Month: BSI möchte Bürger und Organisationen sensibilisieren / Jede ECSM-Aktionswoche mit eigenem Schwerpunktthema

datensicherheit.de, 01.10.2015
ECSM: Mitarbeiter können zur IT-Sicherheit im Unternehmen beitragen / Das BSI unterstützt den European Cyber Security Month

[datensicherheit.de, 29.08.2025] Laut einer aktuellen Warnung von ESET hat Schadsoftware quasi die nächste Stufe ihrer Evolution erreicht: ESET-Forscher haben nach eigenen Angaben kürzlich eine Ransomware entdeckt, welche mit Hilfe Künstlicher Intelligenz (KI) selbständig arbeitet. ESET hat deren technische Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft „PromptLock“ unter dem Namen „Filecoder.PromptLock.A“ ein. Diese Malware kann demnach autonom entscheiden, welche Dateien sie durchsucht, kopiert und verschlüsselt.

[eset-promptlock.jpg]
Abbildung: ESET

Ransomware entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden

ESET-Sicherheitsexperten haben nach eigenen Angaben eine neue Schadsoftware entdeckt, welche KI erstmals gezielt für Ransomware nutzt: „Das Programm mit dem Namen ,PromptLock’ verwendet ein lokal installiertes KI-Sprachmodell, um im laufenden Angriff automatisch Skripte zu erzeugen.“

• Genau dies mache es so besonders: „Die KI entscheidet selbst, welche Dateien durchsucht, kopiert oder verschlüsselt werden. Für IT-Sicherheitsforscher ist ,PromptLock’ ein deutliches Warnsignal!“ Diese Software generiere sogenannte Lua-Skripte, welche plattformübergreifend auf „Windows“, „Linux“ und „macOS“ funktionierten.

Je nach System durchsuche „PromptLock“ lokale Dateien, analysiere sie und entscheide anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien sei offenbar bereits vorbereitet, aber noch nicht aktiv.

Ransomware laut ESET nur ein Vorgeschmack auf das, was noch kommen könnte

„Für die Verschlüsselung verwendet ,PromptLock’ den ,SPECK’-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache ,Golang’. Erste Varianten sind auf der Analyseplattform ,VirusTotal’ aufgetaucht.“ Zwar geht ESET derzeit davon aus, „dass es sich um ein ,Proof-of-Concept’ handelt – also um eine Art Machbarkeitsstudie“ – doch die Gefahr sei real.

• „Das Aufkommen von Werkzeugen wie ,PromptLock ist eine bedeutende Veränderung in der Cyberbedrohungslandschaft. Mit Hilfe von KI ist es nun wesentlich einfacher geworden, komplexe Angriffe zu starten – ohne dass Teams aus erfahrenen Entwicklern erforderlich sind. Ein gut konfiguriertes KI-Modell reicht heute aus, um komplexe, sich selbst anpassende Malware zu erstellen“, kommentiert Anton Cherepanov, IT-Sicherheitsforscher bei ESET. Er gibt zu bedenken: „Bei ordnungsgemäßer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen.“

Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, welches lokal über eine API (Standardisierte Programmierschnittstelle) angesteuert wird. Die KI erstelle die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur „Cloud“. Selbst die „Bitcoin“-Adresse für die Erpressung sei im Prompt eingebaut – diese führe kurioserweise zu einer scheinbar dem „Bitcoin“-Erfinder Satoshi Nakamoto gehörenden „Wallet“.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Anton Cherepanov / Senior Malware Researcher

infosec.exchange, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes…

X, ESET Research, 26.08.2025
The PromptLock ransomware is written in #Golang, and we have identified both Windows and Linux variants uploaded to VirusTotal. IoCs:

X, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. / The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 29.08.2025] Sophos hat seine jährliche erscheinende internationale Studie zur aktuellen Bedrohung des Einzelhandels durch Ransomware publiziert: „The State of Ransomware in Retail 2025“. Diese Studie beschreibt die Entwicklung und den Status im Einzelhandel im Kontext von Cyberattacken mit Ransomware. „Die Ergebnisse sind teils alarmierend: Beispielsweise zahlen immer mehr Einzelhandelsunternehmen die Erpressungssummen, welche die Cyberkriminellen nach der Verschlüsselung oder dem Diebstahl der Daten fordern.“

Abbildung: Sophos

Einzelhandel: Häufigste operative Gründe für Cyberattacken

TOM-Standardursachen für Cyberangriffe auf Einzelhandel

Die internationale Sophos-Studie „The State of Ransomware in Retail 2025“ zeige, „wie sich Ursachen, Auswirkungen und Strategien im Umgang mit Ransomware verändern und mit welchen Konsequenzen IT- und Cybersicherheitsteams im Einzelhandel zu rechnen haben“.

• Nach den Vorgängerstudien aus den Jahren 2023 und 2024 hätten Einzelhändler ausgenutzte Schwachstellen zum dritten Mal in Folge als häufigste technische Ursache für Ransomware-Angriffe benannt. In 30 Prozent der Fälle sei diese Form der kriminellen Infiltration nach wie vor ausschlaggebend.

„Auch operative Faktoren trugen dazu bei, dass Einzelhandelsunternehmen Opfer von Ransomware werden.“ Am häufigsten habe fast die Hälfte (46%) der Befragten unbekannte Sicherheitslücken als initialen Einstiegspunkt für die Cyberkriminellen genannt. Dicht dahinter rangiere mangelnde Fachkenntnis, welche in 45 Prozent der Angriffe eine Rolle gespielt habe – „was dem höchsten Wert entspricht, der in irgendeiner der untersuchten Branchen festgestellt wurde“.

Abbildung: Sophos

Einzelhandel: Häufigste technische Gründe für Cyberattacken

Datenverschlüsselung geht zurück – Lösegeldforderungen nehmen dennoch zu

Die Datenverschlüsselung durch Cyberkriminelle habe im Einzelhandel deutlich abgenommen. „Nur noch 48 Prozent der Angriffe führten 2025 zu einer tatsächlichen Verschlüsselung der Daten, verglichen mit 71 Prozent im Jahr 2023.“

• Parallel dazu habe die Zahl der vereitelten Verschlüsselungsversuche ein Rekordhoch erreicht, was auf verbesserte Abwehrmechanismen der Unternehmen schließen lasse.

Doch Cyberkriminelle passten sich indes an: „Der Anteil reiner Erpressungsangriffe, bei denen keine Daten verschlüsselt, aber dennoch Lösegeld für die Nichtveröffentlichung sensibler Daten gefordert wird, hat sich innerhalb von zwei Jahren verdreifacht.“ Während 2023 lediglich zwei Prozent der Befragten betroffen gewesen seien, habe der Anteil 2025 bereits bei sechs Prozent gelegen.

Abbildung: Sophos

Einzelhandel: Entwicklung der Datenverschlüsselung nach Ransomware-Angriffen

Resignation: Nutzung von Backups als Strategie für Datenwiederherstellung nimmt ab

Die Art und Weise, wie Einzelhändler Daten nach einem Cyberangriff wiederherstellen, habe sich spürbar verändert: „Während 2021 noch 32 Prozent der Unternehmen das Lösegeld zahlten, um ihre Daten zurückzuerlangen, waren es 2025 bereits 58 Prozent – deutlich mehr als der branchenübergreifende Durchschnitt von 49 Prozent.“ Im Gegenzug sei die Nutzung von Backups auf ein Vierjahrestief gefallen. Zwar seien Backups nach wie vor die etwas häufiger gewählte Lösung, doch die abnehmende Tendenz deute auf eine zunehmende Abhängigkeit von anderen Wiederherstellungsmöglichkeiten hin.

• Die nun vorliegende Studie belege außerdem einen drastischen Anstieg der Lösegeldforderungen: „Im Jahr 2025 lag die durchschnittliche Forderung bei 1,71 Millionen Euro – doppelt so hoch wie noch im Jahr zuvor. Besonders stark zugenommen hat die Zahl der Forderungen von über 4,28 Millionen Euro, die von 17 Prozent im Jahr 2024 auf 27 Prozent im Jahr 2025 gestiegen sind.“

Verglichen mit dieser Entwicklung zeige sich der Einzelhandel im Durchschnitt widerstandsfähiger: „Die durchschnittliche Lösegeldzahlung erhöhte sich um fünf Prozent von 813.563 Euro im Jahr 2024 auf 856.382 Euro im Jahr 2025.“ Gleichzeitig seien die durchschnittlichen Kosten für die Wiederherstellung nach einem Angriff gesunken – ohne Lösegeldzahlungen – um 40 Prozent auf 1,41 Millionen Euro und damit auf den niedrigsten Wert seit drei Jahren.

Belastung für IT- und Sicherheitsteams geht an die Substanz

Die Studie mache zudem deutlich, dass die Folgen von Ransomware weit über finanzielle Schäden hinausgingen. Nahezu die Hälfte der Befragten (47%) habe von verstärktem Druck seitens des Managements berichtet, „wenn es infolge eines Angriffs zu einer Datenverschlüsselung kam“.

• Viele IT- und Cybersicherheitsverantwortliche hätten außerdem angegeben, unter erhöhter Angst oder Stress vor künftigen Angriffen zu leiden (43%). Auch krankheitsbedingte Abwesenheit aufgrund von Stress oder psychischen Belastungen (37%) sowie Schuldgefühle, den Angriff nicht verhindert zu haben (34%), seien häufig genannt worden.

Die o.g. Ergebnisse basierten auf einer unabhängigen, anbieterneutralen Befragung von 3.400 IT- und Cybersicherheitsverantwortlichen in 17 Ländern in Amerika, der „EMEA“- und der Asien-Pazifik-Region. „Darunter befanden sich 361 Teilnehmer aus dem Einzelhandel. Die befragten Unternehmen beschäftigen jeweils zwischen 100 und 5.000 Mitarbeiter.“ Die Erhebung sei von Vanson Bourne zwischen Januar und März 2025 durchgeführt worden – Grundlage seien die Erfahrungen der Befragten aus den vergangenen zwölf Monaten gewesen.

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten. / Sophos stoppt Cyberangriffe mit einer adaptiven, KI-nativen offenen Plattform und hochkarätiger Sicherheits-Expertise.

SOPHOS, Rajan Sanhotra , 19.08.2025
The State of Ransomware in Retail 2025 / 361 IT and cybersecurity leaders reveal the ransomware realities for retail businesses today

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 13.08.2025] Coveware by Veeam® hat am 12. August 2025 seinen Ransomware-Bericht für das zweite Quartal 2025 veröffentlicht. Die Daten zeigten eine Eskalation bei gezielten Social-Engineering-Angriffen und einen Anstieg der Lösegeldzahlungen durch ausgeklügelte Taktiken für Datenexfiltration. „Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind“, kommentiert Bill Siegel, CEO von Coveware by Veeam. Er führt aus: „Die Angreifer haben es nicht nur auf Backups abgesehen, sondern auch auf Mitarbeiter, Prozesse und die Integrität der Daten. Unternehmen müssen die Sensibilisierung ihrer Belegschaft in den Vordergrund stellen, Identitätskontrollen verstärken und Daten-Exfiltration nicht als potenziellen ,Worst Case’, sondern als dringliches Risiko behandeln!“

Zentrale Erkenntnisse aus dem Ransomware-Bericht für das zweite Quartal 2025:

• Social-Engineering Vorhut größerer Bedrohungen
  Drei große Ransomware-Gruppen – „Scattered Spider“, „Silent Ransom“ und „Shiny Hunters“ – dominierten dieses Quartal, wobei jede von ihnen sehr gezieltes Social-Engineering einsetze, um in Unternehmen aus Branchen aller Art einzudringen.
  Diese Gruppen hätten opportunistische Massenangriffe zugunsten von Präzisionsangriffen aufgegeben und setzten neuartige Taktiken zur Nachahmung von IT-Helpdesks, Mitarbeitern und Drittanbietern ein.
• Lösegeldzahlungen auf neuem Höchststand
  Sowohl der Durchschnitt als auch der Median der Lösegeldzahlungen seien auf 1,13 Millionen US-Dollar (+104% gegenüber Q1 2025) bzw. 400.000 US-Dollar (+100% gegenüber Q1 2025) gestiegen.
  Dieser Anstieg sei darauf zurückzuführen, dass größere Unternehmen (mit entsprechend mehr Budget) nach Vorfällen von Daten-Exfiltration Lösegeld gezahlt hätten. Die Gesamtrate der Unternehmen, die Lösegeld zahlten, bleibe mit 26 Prozent konstant.
• Datendiebstahl überholt Verschlüsselung als vorrangige Erpressungsmethode
  Exfiltration sei in 74 Prozent aller Fälle eine Angriffsmethode, wobei viele Hacker-Kampagnen nun dem Datendiebstahl Vorrang vor der traditionellen Systemverschlüsselung einräumten.
  Multi-Erpressungstaktiken und verzögerte Bedrohungen seien auf dem Vormarsch und sorgten dafür, dass Unternehmen auch lange nach einem ersten „Breach“ noch gefährdet seien.
• Professionelle Dienstleistungen, Gesundheitswesen und Verbraucherdienste am stärksten betroffen
  Professionelle Dienstleistungen (19,7%), das Gesundheitswesen (13,7%) und Verbraucherdienste (13,7%) seien anteilig am meisten von Angriffen betroffen.
  Mittelgroße Unternehmen (11 bis 1.000 Mitarbeiter) machten 64 Prozent der Opfer aus.
  Viele Angreifer bevorzugen KMU, da diese wegen tendenziell weniger ausgereiften Verteidigungsmöglichkeiten womöglich eine höhere Zahlungsbereitschaft zeigten.
• Angriffstechniken entwickeln sich weiter – „Faktor Mensch“ bleibt größte Schwachstelle
  Die Kompromittierung von Zugangsdaten, Phishing und die Ausnutzung von Remote-Diensten seien dominierende Taktiken für den Erstzugriff, wobei Angreifer zunehmend technische Kontrollen durch Social-Engineering umgingen.
  Hacker-Gruppen nutzten regelmäßig Schwachstellen in weitverbreiteten Plattformen („Ivanti“, „Fortinet“, „VMware“) aus – und „Einzelkämpfer“-Angriffe erfahrener, generische „Toolkits“ verwendender Erpresser nähmen zu.
• Neue Marktteilnehmer verändern Ransomware-Rangliste
  Die aktivsten Ransomware-Varianten im zweiten Quartal 2025 seien „Akira“ (19%), „Qilin“ (13%) und „Lone Wolf“ (9%), während „Silent Ransom“ und „Shiny Hunters“ zum ersten Mal unter die „Top 5“ gelangten.

Coveware by Veeam bündelt Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen

Der vierteljährliche Bericht von Coveware by Veeam basiert demnach auf Daten aus Erster Hand. Das Unternehmen bündele Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen.

• Dabei würden Echtzeit-Ereignisreaktionen, firmeneigene forensische „Tools“ (einschließlich „Recon Scanner“) und eine umfassende Dokumentation des Verhaltens von Bedrohungsakteuren sowie Angriffsvektoren und Verhandlungsergebnisse verwendet.

Durch die Zusammenstellung und Analyse fallspezifischer Daten anstelle von Drittquellen sei Coveware by Veeam in der Lage, aufkommende Trends zu erkennen, Taktiken, Techniken und Verfahren (TTPs) zu verfolgen und umsetzbare, erfahrungsbasierte Informationen über die sich schnell entwickelnde Ransomware-Landschaft zu liefern.

Weitere Informationen zum Thema:

COVEWARE
About Coveware

COVEWARE
Ransomware Quarterly Reports / Ransomware threats are constantly evolving

COVEWARE, 23.07.2025
Quarterly Report / Targeted social engineering is en vogue as ransom payment sizes increase

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Check Point deckt neue Phishing-Domains von Scattered Spider auf / Warnung vor Zunahme der Phishing-Bedrohung für Unternehmen allgemein und speziell für die Luftfahrt

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

[datensicherheit.de, 16.07.2025] Laut Medienberichten haben sich Angriffe mit sogenannter Ransomware im Jahr 2025 mehr als verdoppelt und stellen damit für 92 Prozent der Branchen eine der größten Bedrohungen dar. Auch die Zahl aktiver Ransomware-Banden sei im letzten Jahr – 2024 – sprunghaft angestiegen. Demnach sind derzeit 65 Gruppen aktiv, „wobei die aktivsten unter ihnen ihre Opferzahl im Vergleich zum Vorjahr um mehr als 200 Prozent gesteigert haben“. Kay Ernst von Zero Networks gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware.

Foto: Zero Networks

Kay Ernst: Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!

Ransomware auf den Punkt gebracht

Ernst erklärt: „Ransomware ist eine Art von Schadcode, der Dateien oder Systeme verschlüsselt und somit unzugänglich macht, bis ein Lösegeld gezahlt wird.“ Angreifer verlangten oft Zahlungen in „Krypto-Währungen“, um die Rückverfolgung zu erschweren.

• Das „Double Extortion“-Modell, also eine doppelte Erpressung mit Ransomware mache sie besonders gefährlich:

Zusätzlich zur Sperrung von Dateien exfiltrierten viele Ransomware-Varianten auch noch Daten – und die -Banden drohten dann mit deren Veröffentlichung oder Verkauf, wenn das Lösegeld nicht gezahlt wird.

Ransomware-Angriffe kaum zu stoppen

Da das Ransomware-Geschäft so profitabel sei, könnten Cyberkriminelle talentierte Top-Kräfte einstellen, um Zero-Day-Lücken zu finden, maßgeschneiderte „Tools“ (die schwerer zu erkennen sind) zu entwickeln und fortschrittliche Ausweichtechniken wie „Hypervisor Jackpotting“ und die Umgehung von EDR (Endpoint Detection and Response) zu erforschen.

• Mit anderen Worten: „Ransomware-Banden verfügen über Ressourcen und Fähigkeiten, die früher nur Nationalstaaten vorbehalten waren, so dass ihre Opfer militärische Abwehrmaßnahmen benötigen, um sich angemessen zu schützen!“

Ransomware-Angriffe seien in der Regel hochentwickelt – sie nutzten oft legitime Netzwerkfunktionen aus, was es unglaublich schwierig mache, sie zu erkennen, bevor es zu spät ist.

Ransomware-Funktionen im Phasenmodell

Es gebe zwar verschiedene Arten von Ransomware, aber in den meisten Fällen würden Dateien oder Systeme nach einer Phase der heimlichen Bewegung durch das Netzwerk verschlüsselt. Obwohl Ransomware-Angriffe viele Formen annehmen könnten, folgten sie im Allgemeinen dem gleichen Ablauf. Ransomware-Angriffe erfolgen laut Ernst in der Regel in sechs Phasen:

1. Aufklärungsphase
   Die Angreifer untersuchen das Netzwerk, identifizieren wertvolle Ressourcen und suchen nach Schwachstellen.
2. Infektionsphase
   Sie verschaffen sich ersten Zugriff – „häufig über Phishing-E-Mails, ,Exploit-Kits’ oder kompromittierte Anmeldedaten“.
3. Eskalationsphase
   Die Angreifer bewegen sich lateral durch das Netzwerk und erweiteren ihre Berechtigungen – „um an sensible Systeme zu gelangen“.
4. Scanphase
   Die Malware listet Dateien und Systeme auf, um Ziele für die Verschlüsselung zu identifizieren.
5. Verschlüsselungsphase
   Nach der Identifizierung der Ziele setzen die Angreifer Ransomware ein, um Dateien oder Systeme zu verschlüsseln – „oft begleitet von der Löschung von Backups oder Schattenkopien“.
6. Erpressungsphase:
   Die Angreifer verlangen eine Lösegeldzahlung für die Herausgabe des Entschlüsselungscodes – „oft werden diese Forderungen mit der Drohung verbunden, die Daten zu veröffentlichen“.

Ransomware-Typen im Überblick

Angreifer verwendeten bei Ransomware-Angriffen verschiedene Techniken und Monetarisierungsstrategien, darunter laut Ernst:

• Verschlüsselnde Ransomware
  Diese häufigste Kategorie von Ransomware verschlüsselt Dateien, so dass Angreifer Lösegeld für die Entschlüsselung verlangen können.
• Scareware
  Durch die Anzeige gefälschter Warnmeldungen oder Popups täuscht „Scareware“ den Benutzern vor, dass ihr System infiziert ist, um Geld zu erpressen.
• Screen Lockers
  Diese Bildschirmsperren verhindern, dass Benutzer auf ihren Bildschirm zugreifen können – „bis ein Lösegeld gezahlt wird“.
• DDoS-Erpressung
  Distributed-Denial-of-Service-Angriffe (DDoS) werden angedroht oder ausgeführt – „sofern keine Zahlung erfolgt“.
• Ransomware-as-a-Service (RaaS)
  Bei diesem immer beliebter werdenden Geschäftsmodell verkaufen oder vermieten Entwickler „Ransomware-Kits“ an andere Cyberkriminelle.

Umfassende Ransomware-Abwehr u.a. mittels proaktiver Sicherheitskontrollen

Ernst betont warnend: „Ransomware-Angriffe sind raffiniert, komplex und gut koordiniert. Das bedeutet, dass Unternehmen einen starken Schutz gegen jede Form von Angriff einrichten und akzeptieren müssen, dass es zu Sicherheitsverletzungen kommen wird.“

• Die besten Strategien zur Ransomware-Prävention behandelten Ransomware eben als unvermeidbar – „und nehmen ihr dann ihre Fähigkeit zur Verbreitung“.

Eine umfassende Ransomware-Abwehr sollte proaktive Sicherheitskontrollen und Maßnahmen zur Optimierung der Wiederherstellung umfassen.

Einsatz proaktiver Sicherheitskontrollen empfohlen

Da Ransomware-Angriffe so oft unentdeckt blieben, böten präventive Kontrollen laut Ernst den besten Schutz:

• Mikrosegmentierung
  Ransomware-Angriffe benötigen Netzwerkzugriff, um sich zu verbreiten. Dies gilt sowohl für die frühen Phasen eines Angriffs, „in denen das interne Netzwerk gescannt wird“, als auch für die späteren Phasen, „in denen Schwachstellen in exponierten Diensten ausgenutzt oder kompromittierte Anmeldedaten verwendet werden, um sich zu verbreiten“. Ein segmentiertes Netzwerk schneidet Angreifer ab, so dass sie fast nichts tun können, um sich zu verbreiten.
• Multi-Faktor-Authentifizierung (MFA)
  Anmeldedaten gehören zu den am häufigsten verwendeten „Waffen“ von Angreifern – „die sie oft nur allzu leicht stehlen oder knacken können“. Durch den Schutz privilegierter Zugriffe mit MFA können Verteidiger das Risiko erheblich begrenzen.
• Deaktivierung unnötiger Ports und Dienste
  Das Abschalten ungenutzter Fernzugriffsprotokolle (wie RDP und SMB) und die Durchsetzung strenger Zugriffskontrollen schränken die Angriffswege ein und reduzieren die Angriffsfläche für Ransomware.
• Robuste Perimeter-Abwehr
  Lösungen wie eine Next-Generation-Firewalls (NGFW) und granulare Zugriffskontrollen minimieren Bedrohungen durch eine verstärkte Absicherung des „Nord-Süd“-Datenverkehrs.

Empfohlene Maßnahmen zur Optimierung der Wiederherstellung

Die vollständige Verhinderung von Ransomware-Angriffen wäre zwar ideal, aber ebenso wichtig sei dennoch die Vorbereitung auf die Wiederherstellung. „Bewährte Verfahren zur Optimierung der Wiederherstellung sind Backup-Systeme sowie kontinuierliche Überwachung und Reaktion.“

• Das bedeutet: „Regelmäßige, verschlüsselte Backups in einer vom Hauptnetzwerk getrennten Umgebung vereinfachen die Wiederherstellung für den Fall, dass Ransomware wichtige Daten verschlüsselt.“

Unternehmen sollten zudem auf verdächtige Aktivitäten im Netzwerk achten und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten sei hierbei: „Endpoint Detection and Response“-Systeme (EDR) allein könnten laterale Bewegungen nicht blockieren und vor Ransomware schützen.

Tipps zur Eindämmung von Ransomware-Angriffen

Ernst führt weiter aus: „Sobald die Ransomware verbreitet ist, sind deren Entfernung und die Wiederherstellung verschlüsselter Daten von entscheidender Bedeutung. Schnelligkeit ist wichtig, aber Vorsicht auch!“ Zu schnelles Handeln ohne klare Strategie könne zu einer erneuten Infektion oder zu einer Beeinträchtigung der Wiederherstellungsmaßnahmen führen.

• Der erste Schritt zur Eindämmung von Ransomware bestehe darin, die Reichweite der Infektion zu begrenzen. Betroffene Systeme gelte es vom Netzwerk zu trennen – „um zu verhindern, dass die Malware andere Ressourcen scannt, verschlüsselt oder auf andere Ressourcen überspringt“. Wenn bereits eine Netzwerksegmentierung vorhanden ist, ließen sich infizierte Bereiche gezielter isolieren und so die Auswirkungen auf das gesamte Unternehmen reduzieren.

Nach einem Ransomware-Angriff müssten nicht nur Daten „wiederhergestellt“ werden – „auch alle Anmeldedaten, Geheimnisse, API-Schlüssel und privaten Schlüssel sind möglicherweise kompromittiert und müssen neu generiert werden, um einen erneuten Angriff zu verhindern“.

Ransomware-Angriffe stoppen, bevor sie sich ausbreiten

„Geschwindigkeit, Tarnung und Raffinesse sind die größten Waffen von Ransomware“, unterstreicht Ernst. Da sie sich innerhalb eines Netzwerks so schnell und oft unentdeckt verbreite, könnten herkömmliche Sicherheitslösungen einfach nicht Schritt halten.

• „Entscheidend ist eine Lösung, die laterale Bewegungen unmöglich macht.“ Durch die Kombination von Mikrosegmentierung und granularen identitätsbasierten Zugriffskontrollen könnten Unternehmen Ransomware-Angriffe stoppen, bevor sie sich ausbreiten, und so sicherstellen, dass Angreifer niemals Berechtigungen eskalieren oder kritische Systeme erreichen können.

„Selbst wenn Anmeldedaten kompromittiert werden, sorgt eine Just-in-Time-MFA auf Netzwerkebene dafür, dass diese Anmeldedaten nicht verwendet werden können.“ Mit anderen Worten: „Wenn Ransomware die Perimeter-Sicherheit durchbricht, bleibt sie an Ort und Stelle und kann sich nicht über den ursprünglichen Eintrittspunkt hinausbewegen.“ Abschließend gibt Ernst den Rat: „Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert!“

Weitere Informationen zum Thema:

ZERO NETWORKS
About Us / Radical Simplicity, Uncompromising Security

cybernews, Paulina Okunytė, 11.04.2025
Ransomware gangs go whale hunting with Fortune 500 companies

verizon business, 2024
2024 Data Breach Investigations Report

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 06/10/2025
OT Security in 2025: More Incidents, less Ransomware / Interview with Dr. Terence Liu, CEO of TXOne Networks at HANNOVER MESSE (HMI 2025) on OT Security and the situation in 2025

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS