Ransomware hat sich als globale digitale Pandemie zu einem ernsthaften Risiko für Unternehmen auf der ganzen Welt entwickelt. Ihr Einsatz ist inzwischen ein florierendes Geschäft, das durch die Nutzung von existierenden Frameworks auch durch weniger technisch versierte Kriminelle betrieben wird. Dem fühlen sich viele Unternehmen schutzlos ausgeliefert. Doch das muss nicht so sein.
Jede IT-Organisation sollte sich auf einen Ransomware-Angriff einstellen und vorbereiten.
Ransomware-Angriffe verursachen weltweit Kosten im zweistelligen Milliarden-Dollar-Bereich. Eine typische Attacke beginnt an einem einzigen Punkt in der IT-Infrastruktur eines Unternehmens. Hat die Ransomware sich erfolgreich auf einem ersten System aktivieren können, dann ist ihre zweite Funktion - neben der Verschlüsslung aller erreichbarer Daten - das Infizieren möglichst vieler anderer Systeme. Dazu werden oftmals bekannte Schwachstellen von verbreiteten Softwarepaketen oder aber auf Systemen gespeicherte Benutzerinformationen genutzt. Jede IT-Organisation muss sich darauf einstellen, Ziel eines solchen Angriffes zu werden.
Verteidigungsstrategie gegen Ransomware.
(Bild: Ginkgo Cybersecurity)
Eine erfolgreiche Verteidigungsstrategie gegen Ransomware sollte daher das Konzept „Defense in Depth“ aufgreifen und auf drei Ebenen wirksam sein:
1. Schutz: Verhindern von Infektionen
2. Begrenzung: Begrenzung der Ausbreitung von Infektionen
3. Wiederherstellung: Minimierung von Schäden
Neun Maßnahmen, um gezielten Ransomware-Attacken widerstehen zu können
1. Ebene: Schutz
Die Basis einer erfolgreichen Verteidigung gegen Ransomware muss die Schutz-Ebene bilden.
Awareness Training
Die schwächte Komponente innerhalb einer IT-Organisation ist meist nicht die Technik, sondern die Menschen, die diese nutzen. Viele Ransomware-Vorfälle beginnen mit Angriffen, die man als „Social Engineering“ bezeichnet. Dabei wird versucht, einen Benutzer durch Täuschung dazu zu bringen, bewusst gegen Sicherheitsrichtlinien zu verstoßen, also z.B. einer Person ohne die nötige Legitimation, Zutritt zu einem Bereich zu ermöglichen. Solche Angriffe lassen sich nur durch Schulung und Sensibilisierung der Benutzer verhindern.
Endpoint Protection
Die Sensibilisierung von Mitarbeitern für das Thema IT-Sicherheit kann nur eine Komponente im Kampf gegen Ransomware sein. Eine weitere Komponente zur Abwehr dieser Angriffe ist der Einsatz sogenannter Endpoint-Protection-Software. Oftmals immer noch gleichgesetzt mit Antiviren-Software, leisten moderne Lösungen in diesem Bereich deutlich mehr. Neben dem Schutz vor Malware aller Art bieten diese Lösungen auch Firewall-Funktionalitäten zum Einschränken von Netzwerkzugriffen und Data Loss Prevention (DLP) Funktionen zum Schutz vor Datenlecks.
Patch Management
Neben unvorsichtigen Benutzern sind Fehler in Softwarepaketen ein häufiges Einfallstor für Ransomware. Verfügbare sicherheitsrelevante Aktualisierungen von Software, sogenannte Patches, müssen daher schnellstmöglich auf alle betroffenen Systeme ausgerollt werden. Studien zeigen, dass bis zu 57 Prozent der IT-Sicherheitsvorfälle auf ein schlechtes Patch-Management zurückgeführt werden können.
In einer gut geführte IT-Organisation ist die Kompromittierung von Konten mit normalen Benutzerrechten ein Problem, dass ausschließlich den betroffenen Benutzer betrifft. Deutlich größere Auswirkungen hat sie bei Konten mit privilegierten Rechten, also z. B. Administratorkonten. Die Kompromittierung eines solches Accounts lässt sich in vielen Untersuchungen von IT-Sicherheitsvorfällen als entscheidender Schritt für einen erfolgreichen Angriff identifizieren. Privileged Access Management (PAM) ist ein Konzept zur Kontrolle und Überwachung aller privilegierten Benutzerkonten und Aktivitäten in einer IT-Umgebung.
2. Ebene: Begrenzung
Infektionen mit Ransomware vollständig verhindern zu können ist illusorisch. Einzelne Systeme werden immer wieder befallen werden. Die Verhinderung der Ausbreitung dieser Schadprogramme ist deshalb die zweite Ebene, auf der eine erfolgreiche Verteidigung basieren sollte.
Secure Network Architecture
Wurde ein System erst einmal von Ransomware befallen, dann werden andere Systeme in der Regel über das Netzwerk infiziert. Eine wichtige Maßnahme, um die Ausbreitung von Ransomware zu verhindern, ist die Implementierung einer sicheren Netzwerkinfrastruktur. Dabei sollte das Netzwerk in unterschiedliche Zonen unterteilt werden und Kommunikation zwischen diesen Zonen nur auf definierten Datenverkehr beschränkt werden.
Intrusion Detection Systems
Um die Ausbreitung von Ransomware zu verhindern sind nicht nur passive Maßnahmen, wie eine sichere Netzwerkarchitektur nützlich, sondern auch aktive, wie der Einsatz von „Intrusion Detection Systems“. Diese Systeme erkennen Angriffe sowohl auf System-, als auch auf Netzebene.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Security Information and Event Management
Das Konzept des Security Information and Event Managements (SIEM) setzt an einer Schwachstelle komplexer IT-Architekturen an. Unzählige Systeme generieren Daten. Aber oft lassen sich Angriffe erst durch die Kombination von verschiedenen Ereignissen erkennen. Solche Systeme aggregieren Daten aus verschiedenen Quellen und können diese in Kontext zueinander setzten und so Angriffe erkennen.
3. Ebene: Wiederherstellung
Auch wenn ein erfolgreicher Ransomware Angriff frühzeitig gestoppt wurde, sind dennoch die Daten einzelner Nutzer oder Systeme nicht mehr verfügbar. Die Fähigkeit zur Wiederherstellung bildet deshalb die dritte Ebene.
Das Thema Datensicherung ist durch Ransomware noch einmal bedeutender geworden. Leider versagen einige häufig genutzte Techniken zur Datensicherung beim Schutz gegen Ransomware. Datensicherungslösungen sind oft so konzipiert, dass sie vor Datenverlust durch ein lokales Ereignis schützen sollen. Etwa einem Brand oder einer Überschwemmung. Ransomware-Angriffe sind aber nicht auf einen physischen Standort begrenzt. Alle Technologien zur Datensicherung, die Daten zwischen unterschiedlichen Standorten über permanente Verbindungen sichern, können im Fall eines Ransomware-Angriffs versagen und sollten an diese neue Bedrohung angepasst werden.
Incident Response Management
Das Incident Response Management dient dazu, IT-Sicherheits-Vorfälle professionell und routiniert bewältigen zu können. Um dies zu erreichen, müssen Vorbereitungen getroffen werden. Es müssen zum Beispiel Verantwortliche benannt, Vorgehensweisen geplant und ggf. nötiges Material bereitgestellt und alles in einen Incident-Response-Plan dokumentiert werden.
Fazit
Ransomware wird auf absehbare Zeit ein Problem bleiben. Da leider alle Strategien zur Vermeidung von erfolgreichen Angriffen und zur Verhinderung einer Ausbreitung scheitern können, ist die Verfolgung eines „Defense in depth“ Ansatzes, wie er hier beschrieben wurde, unabdingbar.
Über den Autor: Paul Arndt ist Managing Director der 2020 gegründeten Ginkgo Cybersecurity GmbH, ein auf IT-Sicherheit spezialisiertes Beratungshaus und Tochterunternehmen der Ginkgo Management GmbH. In dieser Funktion berät er Kunden unterschiedlichster Branchen national und international zu den Themen Cybersecurity. Bereits seit seinem Informatik-Studium an der Technischen Universität Darmstadt beschäftigt Arndt sich mit dem Thema IT-Sicherheit. Vor seinem Start bei Ginkgo war der gebürtige Frankfurter in unterschiedlichen Positionen für die internationale Technologieberatung Invensity GmbH tätig - zuletzt als Leiter des Bereichs Cybersicherheit und Datenschutz.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/c2/55c2b2b35b3b40b5e7f64c15e5de79d3/0124954364v2.jpeg "Eine zukunftssichere Sicherheitsarchitektur integriert moderne Konzepte wie Zero Trust, KI-gestützte Bedrohungserkennung, Multi-Faktor-Authentifizierung und Cyber-Resilienz zu einem ganzheitlichen Schutzkonzept. (Bild: © Sikov - stock.adobe.com)")