Eine Analyse von Sophos zeigt, dass Ransomware-Gruppen oft opportunistisch handeln und häufig kleine Unternehmen mit schwachen Sicherheitsressourcen angreifen. Stark regulierte Branchen wie das Bankwesen seien weniger anfällig.
Ransomware-Gruppen wählen ihre Ziele überwiegend opportunistisch aus, indem sie häufig kleine Unternehmen mit schwachen Sicherheitsressourcen angreifen und vorhandene Zugriffsrechte ausnutzen, anstatt spezifische Branchen oder Regionen gezielt ins Visier zu nehmen.
(Bild: mikkelwilliam via Getty Images)
Cyberkriminelle machen es sich leicht. Das bestätigt eine Studie der Threat Intelligence Unit von Sophos, die untersuchte, wie Ransomware-Akteure ihre Ziele auswählen. Dabei sei deutlich geworden, dass Cyberkriminelle gerne den Weg des geringsten Widerstands gehen. Laut Sophos sei die überwiegende Mehrheit der untersuchten Ransomware-Angriffe opportunistisch und nicht gezielt erfolgt. Die Analyse der Telemetriedaten belege zudem, dass Angreifer in den meisten Fällen ihre vorhandenen Zugriffsrechte ausnutzen, anstatt Opfer nach Branche, Standort oder strategischer Bedeutung auszuwählen.
Obwohl nach wie vor einige Gruppen gezielt versuchen, über den Zugang zu umsatzstarken Unternehmen höhere Lösegeldforderungen durchzusetzen, hätten die Untersuchungsergebnisse gezeigt, dass die Mehrheit der Ransomware-Angriffe kleine Unternehmen treffe. Der Grund hierfür ist den Analysten zufolge, dass in den betroffenen Unternehmen begrenzte Budgets und fehlende eigene Ressourcen für Cybersicherheit die Verwundbarkeit erhöhen. Sie würden von Angreifern als besonders leicht erreichbare Ziele wahrgenommen.
Ausgangspunkt der Untersuchung sei die wiederkehrende Frage an die Sophos-Forscher gewesen, ob bestimmte Ransomware-Gruppen gezielt einzelne Branchen oder Regionen ins Visier nehmen würden. Auch wenn diese Sorge den Experten nach nachvollziehbar ist, greife eine rein gruppen- oder täterbezogene Abwehr zu kurz. Entscheidend sei vielmehr zu verstehen, dass die meisten Ransomware-Angriffe opportunistisch erfolgen würden. Sophos empfiehlt Organisationen ihren Fokus weniger auf einzelne Akteure zu richten, sondern darauf, wie sie sich grundsätzlich und wirksam gegen Ransomware- und Datendiebstahlangriffe wappnen können. Dabei sei die Verteidigung unabhängig davon, wer hinter den Angriffen stecke. Zuverlässige Sicherheitsupdates, phishing-resistente Multi-Faktor-Authentifizierung (MFA), Endpoint Detection and Response (EDR) sowie unveränderliche Backups seien weiterhin eine kluge Strategie gegen Ransomware-Angriffe. In der Praxis habe sich jedoch gezeigt, dass viele betroffene Unternehmen diese Maßnahmen nicht konsequent umsetzen.
Gesamtanalyse aller Ransomware-Gruppen: In der Gesamtanalyse sind Bildung und Gesundheit mit lediglich vier Prozent und sieben Prozent weniger stark betroffen, während die Angriffe auf den Industriesektor 23 Prozent ausmachen.
(Bild: Sophos)
Als Beispiel für den opportunistischen Charakter von Ransomware-Angriffen nennen die Analysten der Bankensektor. Banken sind umsatzstarke Unternehmen, und durch Ransomware verursachte Betriebsstörungen könnten einen starken Anreiz zur Lösegeldzahlung darstellen. Dennoch hätten die Sophos-Forscher nur sehr wenige Finanzinstitute beobachtet, die tatsächlich Opfer solcher Angriffe wurden. Grund hierfür sei vermutlich vor allem der hohe Regulierungsgrad der Branche. Verbindliche und strenge Anforderungen für die Finanzbranche würden dafür sorgen, dass alle Institute vergleichbare Standards für Cybersicherheit umsetzen müssen, was zu einem einheitlichen Schutzniveau führe und die Wettbewerbsbedingungen nicht verzerre. Entsprechend seien Kontrollrahmen etabliert, Perimeter gut geschützt und Netzwerke so gestaltet, dass Angriffsflächen minimiert würden. Folglich seien Banken widerstandsfähiger gegenüber Ransomware-Angriffen, was sie zu weniger attraktiven Zielen für Cyberkriminelle mache.
Im Gegensatz dazu seien Organisationen in unregulierten Sektoren anfälliger für Cyberangriffe, da sie möglicherweise nicht die gleichen Sicherheitsstandards und -investitionen umsetzen würden. Wenn Unternehmen in weniger regulierten Branchen, wie dem Fertigungssektor, ihre Sicherheitsmaßnahmen verbessern, könnten die damit verbundenen Kosten ihre Wettbewerbsfähigkeit beeinträchtigen, da die höheren Sicherheitsausgaben die Preise ihrer Produkte erhöhen und sie im Vergleich zu günstigeren, jedoch weniger sicheren Konkurrenzprodukten weniger attraktiv machen. Dies zeigt, dass ein ausgewogenes Verhältnis zwischen Cybersicherheitsinvestitionen und Wettbewerbsfähigkeit für Unternehmen entscheidend ist, um sowohl sicher als auch konkurrenzfähig zu bleiben.
Gezielte Angriffe auf bestimmte Branchen sind Ausnahme
Organisationen in einem bestimmten Sektor werden laut Sophos häufig Opfer spezifischer Angreifer, weil diese Gruppen eine Schwachstelle in einem verbreiteten Dienst innerhalb dieses Sektors ausnutzen. Da Unternehmen desselben Sektors oft ähnliche Sicherheitskonzepte hätten, seien sie anfällig für vergleichbare Angriffe. Es gebe jedoch Ausnahmen, denn manche Angreifer würden gezielt auf Sektoren abzielen, von denen sie annehmen, dass sie eher bereit sind, Lösegeld zu zahlen.
Ein Beispiel sind Mitglieder der „Conti“-Ransomware-Bande, die während der Covid-19-Pandemie gezielt Krankenhäuser angegriffen, um die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen. Auch der Ransomware-Angreifer „Gold Victor“, der Initiator hinter den Angriffen von „Vice Society“ und „Rhysida“ steckt, schien eine Vorliebe für Organisationen im Gesundheits- und Bildungswesen zu haben, vermutlich aus demselben Grund. Im zweiten Halbjahr 2025 machten die Angriffe von Rhysida jedoch weniger als ein Prozent aller Opfer aus, die auf Leak-Websites verzeichnet waren, was darauf hinweist, dass Ransomware-Opfer insgesamt oft zufällig ausgewählt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/c0/63c0f896ef959b17a4fc7b81709066d8/0129625089v2.jpeg "Ransomware-Gruppen wählen ihre Ziele überwiegend opportunistisch aus, indem sie häufig kleine Unternehmen mit schwachen Sicherheitsressourcen angreifen und vorhandene Zugriffsrechte ausnutzen, anstatt spezifische Branchen oder Regionen gezielt ins Visier zu nehmen. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/4e/af/4eaf075b7fac2661a82b6a720a8685a4/0129940952v1.jpeg "Diskussionsrunde zu Digitaler Souveränität: Dr. Alexander Schellong, Dr Constanze Kurz, Dr. Fabian Mehring, Claudia Plattner, Marc-Julain Siewert und Moderatorin Carmen Hentschel (Bild: Marie Pietruschka/Ftapi)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/bb/ddbb0955ff0ba8cc3fa5d238d8e494ae/0129916222v2.jpeg "„KI-Agenten werden künftig weniger einzelne Sicherheitsprobleme lösen, sondern vielmehr bestimmte Aktivitäten im Security Operations Center unterstützen – und in manchen Bereichen sogar vollständig übernehme.“, sagt Andreas Gaetje, CISO bei Körber. (Bild: Körber AG)")
:quality(80)/p7i.vogel.de/wcms/bf/96/bf9640a9d61d881a728190dca834aa68/0129773904v2.jpeg "Gartner warnt, dass bis 2028 eine fehlkonfigurierte KI in cyber-physischen Systemen wie Stromnetzen, Industrieanlagen/ICS oder IIoT-Sensorik durch falsche Entscheidungen Blackouts, Produktionsstopps und physische Schäden verursachen und damit Sicherheit und Wirtschaft stark gefährden kann. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108543f2d90eb885b978ddfe9a41e01/0129915774v4.jpeg "KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/27/2f/272f0bcd671f98318ec55afbe21054cf/0129576418v1.jpeg "Die Forschungsgruppe der TH Köln des DREAM-Projekts (v.l.): Prof. Dr. Hoai Viet Nguyen, Vimal Seetohul, Prof. Dr. Matthias Böhmer und Selim Perk. (Bild: TH Köln, Monika Probst)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f58c5fdc82409d32656596b85f091/0129978261v2.jpeg "Das Centro in Oberhausen sowie das Westfield in Hamburg sind auf ähnliche Weisen attackiert worden. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b1/ef/b1effa2ad962e22191fc3b7a4c70cff9/0129922413v2.jpeg "Acht Jahre nach Inkrafttreten der DSGVO bleiben deutliche Lücken zwischen regulatorischem Anspruch und Realität – ist das European Trusted Data Framework die Lösung? (Bild: © DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/84/2d/842d026bf3174323aa23509dd63708ef/0122847080v2.jpeg "Moderne Ransomware-Kampagnen werden hochprofessionell durchgeführt und kombinieren verschiedenste Angriffsvektoren und Techniken. (Bild: Afiq Sam - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/fa/65fac0e7d0218d8ab2255a1fefcf4ec8/0124956647v1.jpeg "Group-IB veröffentlicht eine Liste mit den aktivsten Cybercrime-Gruppen des Jahres. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8c/80/8c8048b504e4a02fb30253b5ba98ad89/0125602912v1.jpeg "Führungskräfte im Finanzsektor sind jetzt gefragt, das Thema Cybersicherheit aus der operativen Nische zu holen – und in den Mittelpunkt digitaler Transformation zu rücken. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/a8/07a8e7836c77063dfda9c74aa97874db/0123280239v2.jpeg "Trotz verstärkter Strafverfolgung dominieren Ransomware-Angriffe mit 44 Prozent aller erfassten Incidents weiterhin das Cybercrime-Ökosystem. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/59/b859f4e4dee6dc3d15b3140e73b6849d/0126260774v2.jpeg "Immer mehr Ransomware-Gruppierungen setzen nicht mehr primär auf Verschlüsselung, sondern auf reine Datenexfiltration. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/4c/b74c0a8e1cc7def4fc8188cc5ab5001e/0126383379v2.jpeg "Cyberkriminelle nehmen die Fertigungsindustrie verstärkt ins Visier. Ransomware, Datendiebstahl und OT-Angriffe bedrohen Produktion und Versorgungssicherheit. (Bild: © panuwat - stock.adobe.com)")