Im letzten Jahr haben Ransomware-Angriffe extrem zugenommen und dabei verstärkt auf Datenexfiltration als Druckmittel gesetzt. Der jährliche ThreatLabz Ransomware-Report zeigt, dass 2023 die Lösegeldforderungen 1 Mrd. US-Dollar übertrafen und deckte das höchste bisher bekannte bezahlte Lösegeld in Höhe von 75 Mio US-Dollar auf.
Ransomware-Gruppen verändern ihre Taktiken laufend und passen ihre Methoden auch 2025 den neuesten technologischen Entwicklungen an.
(Bild: Creative_Bringer - stock.adobe.com)
Unter den fünf gefährlichsten Ransomware-Gruppen waren zuletzt nach dem Zscaler ThreatLabz 2024 Ransomware Report Dark Angels, Lockbit, BlackCat, Akira und Black Basta, die fast alle bereits bei deutschen Unternehmen zugeschlagen haben. Im letzten Jahr hat sich vor allem Dark Angels als eine der berüchtigsten Ransomware-Gruppierungen einen Namen gemacht. Diese Gruppe attackiert zwar nur eine überschaubare Menge an Konzernen, stiehlt aber große Datenbestände, um damit erhebliche Lösegelder zu erpressen. Das höchste bisher gezahlte Lösegeld von 75 Mio. US-Dollar wird vermutlich Nachahmer dieser Strategie auf den Plan rufen, die von diesem Erfolgsmodell profitieren wollen.
7 Trends der Ransomware-Industrie für das Jahr 2025
1. Gezielte Angriffsstrategien werden Schule machen
In den vergangenen zwölf Monaten war Dark Angels eine der erfolgreichsten und trotzdem am wenigsten bekannten Ransomware-Gruppen. Die Strategie dieser Bedrohungsakteure besteht darin, eine kleine Anzahl von Multimilliarden US-Dollar Unternehmen ins Visier zu nehmen und hohe Lösegelder zu erpressen. Diese Vorgehensweise beruht auf den folgenden Überlegungen: Aufgrund der überschaubaren Opferzahl ist die Aufmerksamkeit der Strafverfolgungsbehörden sowie der Sicherheitsforscher geringer. Gleichzeitig werden mehr Ressourcen für die Infiltration weniger großer Unternehmen investiert. Ist der Angriff erfolgreich, sind die Opfer aus Angst vor der Veröffentlichung der entwendeten Datenbestände oftmals bereit, hohe Lösegelder zu zahlen. Dies hat dazu geführt, dass die Gruppe die höchste bekannte Lösegeldzahlung in Höhe von 75 Millionen US-Dollar erpressen konnte, was zwangsläufig das Interesse anderer Ransomware-Akteure im Jahr 2025 wecken wird, die dieses Erfolgsmodell möglicherweise kopieren werden.
2. Sprachbasierte Social Engineering-Ansätze werden verbreiteter
Immer mehr gezielte Angriffe werden durch spezialisierte Initial Access-Broker ermöglicht. Diese Broker, wie die Aktivitäten von Qakbot und Scattered Spider verdeutlichen, setzen ausgefeilte Techniken auf Basis von sprachbasierten Social-Engineering ein (Voice-Phishing - "Vishing"), um sich Zugang zu Unternehmensumgebungen zu verschaffen. Sie verleiten Mitarbeitende durch sprachbasierte Angriffsmuster dazu, weniger Vorsicht walten zu lassen. Einmal in die Infrastruktur eingedrungen, exfiltrieren sie Daten und implementieren die eigentliche Ransomware. Dieser sich abzeichnende Trend verdeutlicht die Zusammenarbeit innerhalb des cyberkriminellen Ökosystems und unterstreicht die Notwendigkeit erhöhter Wachsamkeit und fortschrittlicher Sicherheitsmaßnahmen, um diesen modernen Bedrohungen zu begegnen.
Cyberkriminelle gehen dazu über, effektivere, personalisierte und lokalisierte Kampagnen GenKI einzusetzen. Der zunehmende Einsatz generativer KI im Jahr 2025 und darüber hinaus wird es Bedrohungsakteuren ermöglichen, Spam-E-Mails mit akkurater Grammatik und Rechtschreibung zu verfassen. Darüber hinaus werden sie Stimmen klonen, um sich als Mitarbeitende auszugeben und damit privilegierten Zugang zu erhalten. In den kommenden Jahren könnten KI-generierte Stimmen mit lokalen Akzenten und Dialekten versehen werden, um die Glaubwürdigkeit weiter zu erhöhen und die Erfolgswahrscheinlichkeit zu steigern. Der Einsatz der neuen Technologie ist ein Paradebeispiel dafür, wie Ransomware-Akteure Angriffe noch überzeugender und schwieriger zu erkennen gestalten werden.
4. Neue Vorschriften sorgen für mehr gemeldete Sicherheitsvorfälle
Mit der SEC-Entscheidung in den USA, die eine strengere Berichterstattung über Cybersicherheitsvorfälle vorschreibt, wird es im Jahr 2025 einen weiteren Anstieg von gemeldeten Ransomware-Vorfällen geben. Der gleiche Trend ist in Europa und Deutschland durch das Inkrafttreten von NIS2 zu erwarten. Das erhoffte Ergebnis dieser Auflagen ist einerseits eine höhere Transparenz und soll darüber hinaus eine Kultur der Verantwortlichkeit und der proaktiven Verteidigung fördern. In der Folge werden Organisationen die Notwendigkeit erkennen, auf präventive Cybersicherheitsmethoden auf Basis von KI zu setzen.
5. Große Datenmengen geraten ins Visier der Angreifenden
Angriffe, bei denen große Datenmengen exfiltriert werden, darunter auch mehr Vorfälle ohne Verschlüsselung, werden im kommenden Jahr deutlich zunehmen. Dieser Trend hat seit 2022 an Dynamik gewonnen, denn Bedrohungsakteure konzentrieren sich ausschließlich auf die Exfiltration von Daten, ohne Systeme zu verschlüsseln. Dieser Ansatz ermöglicht eine schnellere, opportunistische Vorgehensweise und nutzt die Angst vor der Veröffentlichung sensibler Daten aus, um die Opfer zur Zahlung von Lösegeld zu zwingen. Hier wird ersichtlich, dass sich die Ransomware-Strategien hin zu effizienteren und wirkungsvolleren Methoden verlagern, auf die Unternehmen mit Data Loss-Strategien reagieren müssen.
6. Das Gesundheitswesen bleibt ein attraktives Ziel
Gesundheitsdaten werden auch im Jahr 2025 aufgrund des Wertes der persönlichen Informationen attraktiv bleiben. Viele Organisationen des Gesundheitswesens hinken beim Austausch von Legacy-Systemen durch moderne, fortschrittliche Sicherheitsmaßnahmen hinterher, wodurch sie anfälliger für Angriffe aufgestellt sind. Infolgedessen werden diese Organisationen wahrscheinlich wiederholten Angriffen und Erpressungsversuchen ausgesetzt sein. Wird es versäumt, geeignete Maßnahmen wie Zero Trust-Verteidigungsstrategien zu priorisieren, macht sich das Gesundheitswesen verstärkt zur Zielscheibe von Ransomware-Gruppen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
7. Die internationale Zusammenarbeit gegen Cyberkriminalität wird steigen
Strafverfolgungsbehörden und Privatwirtschaft werden ihre Kooperation zur Bekämpfung von Ransomware-Angriffen intensivieren. Ziel der gemeinsamen Anstrengungen ist es, die Arbeit der großen Access-Broker und Ransomware-Gruppen zu erschweren. Die internationale Zusammenarbeit wird dabei wichtiger werden, da die Vernetzung derzeit den Cyberkriminellen in die Hände spielt, um grenzüberschreitend zu agieren. Der Austausch von Informationen und Fachwissen hilft, diese koordinierten Aktionen globaler Ransomware-Netzwerke effektiver zu durchbrechen. Zscaler ThreatLabz hat bereits bei mehreren dieser internationalen Operationen mitgewirkt und technische Unterstützung geleistet und wird diese Zusammenarbeit ausweiten.
Ransomware-Gruppen verändern ihre Taktiken laufend und passen ihre Methoden den neuesten technologischen Entwicklungen an. Das Katz- und Maus-Spiel setzt sich fort. Durch die grenzüberschreitende Zusammenarbeit beider Seiten und der Einsatz von KI im Kampf gegen KI-gesteuerte Angriffe wird die Auseinandersetzung skalieren. Die Rolle der IT-Sicherheit erhält angesichts der finanziellen Auswirkungen erfolgreicher Ransomware-Angriffe eine Aufwertung und es bleibt abzuwarten, wie schnell beide Seiten ihre Maßnahmen auch in 2025 an die Veränderungen anpassen können.
Über den Autor: Dr. Brett Stone-Gross ist Senior Director of Threat Intelligence bei Zscaler.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/14/3c/143cf3dfaa36f18b246e563e2327dbed/0120413199v1.jpeg "75 Prozent der deutschen Ransomware-Opfer entscheiden sich für eine Lösegeldzahlung. Das ist der niedrigste Wert im internationalen Vergleich, der Durchschnittswert liegt bei 78 Prozent. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/93/6d/936d36d69a0e3ce8b6c68424d78e415a/0120103379v2.jpeg "2023 verursachten Cyberangriffe einen Gesamtschaden von über 200 Milliarden Euro. Für das Jahr 2024 wird der Schaden auf 265 Milliarden Euro geschätzt. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/37/29376866eb7b926b414f9c5fe97239b4/0120162345v2.jpeg "Ransomware-Angriffe sind eine der am schnellsten wachsenden Bedrohungen im Bereich der Cybersicherheit und Deutschland ist dabei ein attraktives Ziel für Cyberkriminelle. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/24/70242b62329efaaf3bacfbe5640a0bfe/0120502768v2.jpeg "Ransomware-Angriffe auf Industrieunternehmen verdoppeln sich gegenüber dem ersten Quartal 2024 trotz internationaler Erfolge im Kampf gegen Cybercrime-Gruppen wie Lockbit. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/59/b859f4e4dee6dc3d15b3140e73b6849d/0126260774v2.jpeg "Immer mehr Ransomware-Gruppierungen setzen nicht mehr primär auf Verschlüsselung, sondern auf reine Datenexfiltration. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/55/f055aecd72f116f4d433082eae4bce83/0124682734v2.jpeg "trüger, Geldwäscher und Hacker nutzen zunehmend Krypto-Wallets und Krypto-Börsen, um illegale Aktivitäten zu verschleiern. Welche Art von Betrug steckt dahinter und aus welchem Grund sind Kryptowährungen und ihre Handelsplätze besonders anfällig für Wirtschaftskriminalität? (Bild: © Urupong - stock.adobe.com)")