Neue Versionen von bekannten Schadsoftwares fluten bereits seit einiger Zeit das Darknet. Mit dem Geschäftsmodell Ransomware as a Service (RaaS) haben sich Kriminelle einen neuen, lukrativen Markt geschaffen. Nicht nur um sich selbst, sondern auch um Geschäftspartner und Kunden zu schützen, müssen Unternehmen ihre Cyber Security priorisieren und professionalisieren.
Die Entwicklung von Ransomware wird immer vielfältiger und besonders das Modell RaaS verbreitet sich rasant, da keine besonderen Kenntnisse nötig sind, um Kriminalität als Dienstleistung in Anspruch zu nehmen.
(Bild: vchalup - stock.adobe.com)
Bei Cyberangriffen kommen immer professionellere Geschäftsmodelle zum Einsatz, wie Ransomware as a Service (RaaS). Dadurch steigt die Zahl der Angriffe erheblich, da auch Kriminelle ohne technisches Know-how Ransomware als Dienstleistung nutzen können. Laut dem von Sophos lag zum Stand Februar 2022 die Zahl von Angriffen in diesem Jahr um 78 Prozent höher als noch 2021. Den befragten Unternehmen sind durch Ransomware-Attacken durchschnittlich Kosten in Höhe von 1,4 Millionen US-Dollar entstanden, um die Angriffsfolgen zu beheben. Vor allem kleine und mittelständische Unternehmen (KMU) sind sich der aktuellen Bedrohungslage oft nicht bewusst, wie aus dem Bericht „IT-Sicherheit in Deutschland 2021“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) hervorgeht.
Warum KMU zunehmend ins Visier geraten
Dass RaaS-Nutzer KMU bevorzugen, liegt nicht nur an der oft schwachen Cyber Security in kleineren Unternehmen. Es geht auch darum, möglichst wenig Aufmerksamkeit zu erregen – bei großen Betrieben ist das kaum möglich. Besonders, wenn ein Unternehmen global vernetzt ist und auch Kunden und Geschäftspartner als Zielscheibe dienen können, erhöht sich die Attraktivität für Angreifer und Angreiferinnen, und die Lösegeldforderungen steigen. Welche Auswirkungen eine Ransomware-Attacke auf globaler Ebene haben kann, zeigt sich am Beispiel des US-amerikanischen Softwareunternehmens Kaseya aus 2021. Die Hackerinnen und Hacker hatten es auf die Supply Chain abgesehen und auf ihrem Weg mindestens weitere 1.000 Betriebe aus 17 Ländern geschädigt. Auch deutsche Unternehmen waren betroffen. Darunter unter anderem der Betriebs- und Lagerausstatter Berger.
Daten – die Währung im Darknet
RaaS-Nutzern geht es nicht primär darum, den Ruf eines Unternehmens zu schädigen, sondern um das Erbeuten von Daten. Je sensibler die Daten sind, desto wertvoller sind sie und desto höhere Lösegeldforderungen fallen an. Dass viele Unternehmen sich trotz einer rasant steigenden Anzahl von Cyberangriffen immer noch in Sicherheit wiegen, zeigt der Deloitte Cyber Security Report 2021. Datenbetrug befindet sich auf der Liste der Gefahren durch Cyberkriminalität bereits seit acht Jahren unter den Top drei. Dabei gibt es eine Vielzahl an Schadprogrammen, die für Datendiebstahl eingesetzt werden. Derzeit sind mehr als 35 Ransomware-Familien bekannt, so Microsoft Security. Zu den bekanntesten zählen unter anderem Icedld, Dridex, Qbot oder auch Tickbot.
Genauso wie beispielsweise Software as a Service wird auch Ransomware als Dienstleistung angeboten. Der Vorteil für Angreifer: Sie bekommen einen Anteil des Lösegeldes, führen die Attacke aber nicht selbst aus. Ransomware as a Service kombiniert die im Darknet angebotenen Dienstleistungen Phishing und Malware. Da sich das kriminelle As-a-Service-Modell an den Modellen seriöser Software-Anbieter orientiert, gibt es auch hier unterschiedliche Preisstufen. Sogar Zusatzleistungen lassen sich hinzubuchen. Dazu gehören etwa technische Unterstützung, das Aufbereiten von Dashboards oder Informationen zu Zahlungssummen und geglückten Angriffen. Ein passendes RaaS-Kit können sich Angreifer und Angreiferinnen anhand ihres Vorhabens individuell zusammenstellen. Die Zahlung erfolgt dann in Kryptowährungen, zum Beispiel Bitcoin.
Zwar gelingt den Behörden hin und wieder ein Gegenschlag, wie im Fall der RaaS-Software Emotet, deren Infrastruktur 2021 zerschlagen werden konnte. Laut einem Lagebericht des BSI hatte allein diese spezielle Software vor ihrer Zerschlagung weltweit einen Schaden von etwa 2,5 Milliarden US-Dollar verursacht. Leider sind solche Erfolge oft nur von kurzer Dauer – die Nachahmer der Emotet-Architektur strömen bereits auf den Markt.
Gegen professionelle Angriffe schützt die Professionalisierung der Abwehr
Wie können sich Unternehmen also am besten schützen, welche Strategie ist die richtige?
Um den zunehmend professionellen Geschäftsmodellen der Cyberkriminalität entgegenzutreten, ist eine Kombination aus verschiedenen Sicherheitsmaßnahmen erforderlich – wie etwa Netzwerk-Segmentierung, Mail Security und Anti-Phishing, Endpoint Protection (oder XDR-Endpunktsicherheit), Schwachstellen-Management und Pentesting. Dazu gehören grundsätzlich regelmäßige Programm- und Systemupdates. Da Credentials – also Zugangsdaten – für Hackerinnen und Hacker ein Türöffner sind, muss hier unternehmensweit ein sicherer Umgang erfolgen. Zugangsdaten sollten nicht für mehrere Konten gleichzeitig verwendet und in regelmäßigen Abständen geändert werden. Jedes Unternehmen benötigt hierfür eine Credential-Hygiene und Richtlinien zum sorgfältigen Umgang mit Kennwörtern. Regelmäßige Backups sind ebenso wichtig wie Sicherheits-Checks, um Erpressungsversuchen vorzubeugen. Neben den technischen Maßnahmen sind Awareness Trainings für Mitarbeitende erforderlich, um sie im verantwortungsvollen Umgang mit typischen Angriffsmethoden zu schulen. Vor allem bei KMU werden im Rahmen der ständig zu aktualisierenden Cyber-Security-Maßnahmen finanzielle und personelle Ressourcen erforderlich, die im Unternehmen meist anderweitig gebunden sind. Angesichts des aktuellen Mangels an IT-Fachkräften sind entsprechende Expertinnen und Experten kurzfristig auch nur schwer rekrutierbar. Spezialisierte Managed Security Service Provider (MSSP) wie beispielsweise Axians können hier als externe Partner bei der Professionalisierung der Cyber Security unterstützen und die unternehmensinterne IT-Abteilung entlasten. Sie helfen dabei, eine zeitgemäße IT-Sicherheitsarchitektur einzuführen und zu managen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wenn sich besonders kleine und mittelständische Unternehmen nicht bewusst sind, welche Gefahr von Hackerangriffen ausgeht, nehmen sie hohe finanzielle Risiken in Kauf. Und sie riskieren das Vertrauen ihrer Kunden und Geschäftspartner. Die Entwicklung von Ransomware wird immer vielfältiger und besonders das Modell RaaS verbreitet sich rasant, da keine besonderen Kenntnisse nötig sind, um Kriminalität als Dienstleistung in Anspruch zu nehmen. Das Absichern der IT-Infrastruktur muss daher höchste Priorität haben und mit der Professionalität der Angreifer und Angreiferinnen Schritt halten.
Über die Autorin: Parisa Kahani hat ihr Studium als Programmiererin abgeschlossen und anschließend 5 Jahre Erfahrungen als Netzwerk-Administratorin gesammelt. Ihre Fachkenntnisse betreffen SIEM, Mail Security Gateway und Schwachstellen Management Systeme. Seit August 2021 ist Parisa Kahani als Security Consultant bei Axians IT Security tätig, ihr Fachgebiet ist der Bereich Schwachstellen Management.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f0/a9/f0a984c4641061d070b15d25f6837382/99551979.jpeg "Ausgabe 60 des Security-Insider Podcast liefert retrospektive Einblicke und vorausschauende Ausblicke. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/45/09/45094460c96046afd4f9b57be6cb1d6e/0106836712.jpeg "Bis Anfang 2021 zählte Emotet zu den gefährlichsten Computer-Schadprogrammen weltweit. Zehn Monate später war die Malware wieder im Umlauf. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/6c/366cd695200c41535c06b4179ee97852/0125498142v2.jpeg "Ransomware ist eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Sie wollen sich damit meist finanziell bereichern. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/e9/ef/e9ef9b00f85f7c6852cb2ff8a3c4b3fa/0122902103v1.jpeg "KMU stehen durch die zunehmenden Bedrohungen der Cybersicherheit vor erhebliche Herausforderungen, die häufig durch begrenzte Ressourcen, fehlerhafte Risikoeinschätzung und lückenhafte IT-Infrastrukturen verschärft werden. (Bild: Deemerwha studio - stock.adobe.com)")