Seit dem COVID-Lockdown ziehen Cybertäter unverschämt ganz neue Saiten auf; unter Androhung einer Datenschutzkatastrophe greift das eine oder andere Opfer schon mal in die Krypto-Wallet und das Geld ist futsch. Gegen Ransomware ist niemand immun. Doch Prävention wirkt Wunder.
Gegen die Plage der Cyber-Erpressung hilft nur eins: Der Aufbau einer unternehmensweiten „Cyber-Immunität“, die selbstverständlich auch das Home-Office aller Betroffenen mit einbeziehen muss.
Entwicklung der durchschnittlichen Ransomware-Forderung im COVID-Lockdown.
(Bild: CoveWare)
Ransomware spült jährlich erhebliche Summen in die Kassen organisierter Cyber-Kriminalität hinein. Zu Beginn des Lockdowns hat die durchschnittliche Forderung 111.605 USD erreicht (ein hundert elf tausend Dollar und ein paar Gequetschte), ein Anstieg um 33 Prozent in nur rund drei Monaten (laut Coveware rund 84.116 USD im vierten Quartal des vergangenen Jahres). Die Corona-Krise hat die Täter noch weiter ermutigt: die durchschnittliche Lösegeldforderung explodierte im Lockdown um weitere 60 Prozent auf 178.254 USD.
Die Gesamtkosten für die Wirtschaft und Gesellschaft sind noch um Einiges höher; sie belaufen sich schätzungsweise im globalen Maßstab bereits auf knapp 20 Milliarden USD pro Jahr. Auch Angriffe auf deutsche Unternehmen spitzen sich zu.
Spam ist nach wie vor ein beliebtes Distributionsvehikel für Ransomware. Nur die Betrugsmaschen haben sich geändert.
Schnell mal eben: ein Klick mehr oder weniger
Ist das denn wirklich eine E-Mail von der Deutschen Bundesregierung oder noch so ein Malware-Köder getarnt als eine offizielle Mitteilung? „Auf Grund der COVID-19-Pandemie müssen sie Ihre gewerbliche Tätigkeit mit sofort Wirkung einstellen,“ heißt es in gebrochenem Deutsch unter Androhung von Strafen. Ohne die paar Grammatik- und Rechtschreibungs-Schnitzer hätte niemand so leicht Verdacht geschöpft. Denn das Logo ist ja da, selbst die Adresse scheint zu stimmen.
Ein Klick mehr oder weniger bedeutet jetzt den Unterschied zwischen einem produktiven Arbeitstag und dem ganzen Netzwerk in Geiselhaft mit Ausblick auf DSGVO-Strafen für eine drohende Datenschutzverletzung. Denn die Täter können ja unternehmenskritische Datenbestände nicht „nur“ verschlüsseln und vernichten, sondern vielmehr personenbezogene Informationen Dritter entwenden und dann veröffentlichen. Da hilft auch ein Backup nichts.
Was dann passieren kann, macht bereits der Titel des Art. 83 der DSGVO deutlich: „Allgemeine Bedingungen für die Verhängung von Geldbußen“. Art. 25, „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, definiert einen solchen Verstoß unter anderem im Absatz 2 mit den Worten: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen (...). Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“ Die Veröffentlichung personenbezogener Daten von Kunden oder Mitarbeitern durch Cyber-Täter nach Verstreichen der Zahlungsfrist fällt sicherlich in diese Kategorie und qualifiziert sich für das Bestrafen des Opfers. Das wird für viele noch teurer als das Lösegeld.
Rein formal kann die zuständige Behörde de facto sowohl eine Strafe verhängen als auch gleichzeitig die Auszahlung der Lösegeldforderungen veranlassen, indem sie „die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation“ gemäß Art. 58 Absatz 2 Buchstabe j anordnet, sofern sie dies als „wirksam, verhältnismäßig und abschreckend“ einstuft.
Einen Präzedenzfall gab es in Nordrhein-Westfallen. Der Landesbeauftragte für NRW soll eine Strafe gegen das Opfer einer Hacker-Attacke verhängt haben. Die Täter sollen aus dem Webshop des Unternehmens Kundendaten entwendet haben und kamen dennoch ungeschoren davon. Hier ist der Knaller: Den betroffenen, namentlich bekannten Webshop-Kunden steht von dem gezahlten Bußgeld kein Schadensersatz zu.
Im Übrigen ist ein Mausklick als ein „mechanischer Zünder“ zum Auslösen einer Malware gar nicht erforderlich. Mit Drive-by-Hacking in einem Webbrowser können sich die Täter auch wirksam herum mogeln und so eine lauernde Ransomware-Attacke lostreten. JavaScript lässt grüßen.
Die Cyber-Plage der Erpressung
Crypto-Währungen schützen die Anonymität der Täter besser als jede Gesichtsmaske. Das Ganze funktioniert oft nach dem Schneeballprinzip. Die wahren Drahtzieher schicken Mittelsmänner/-frauen in den Malware-„Vertrieb“ vor und ziehen sich selbst aus dem Geschehen zurück, um keinerlei Spuren zu hinterlassen. Wann immer ein Opfer der jeweiligen Lösegeldforderung nachkommen sollte, kassieren sie fröhlich eine Provision ab.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Folgen eines Ransomware-Befalls reichen für die Opfer von sehr unangenehm bis hin zu katastrophal. Selbst ein GAU ist nicht ausgeschlossen.
Wenn die IT im Koma liegt...
Ein Aluminium-Hersteller namens Norsk Hydro ASA fiel vergangenes Jahr einer Ransomware-Attacke mit der Malware LockerGoga zum Opfer. Automatisierte Fertigungslinien in den Werken wurden heruntergefahren, um eine Beschädigung der fernsteuerbaren Anlagen zu verhindern. Das Unternehmen wollte dann zeitweise auf manuell gesteuerte Fertigung umstellen. Einziges Problem: Ohne Zugriff auf Auftragsdaten, das geheime „Kochrezept“ und automatisierte Anlagen zur Qualitätskontrolle per Ultraschall war es mit dem Aluminium nicht so weit her. Die Effekte bekam unter anderem die deutsche Autoindustrie zu spüren.
Norsk Hydro hat sich auf die Zahlung von Lösegeld nicht eingelassen; das Unternehmen konnte auf Sicherheitsbackups zurückgreifen und habe die übrigen Systeme „desinfiziert“. Das Management beziffert den unmittelbaren wirtschaftlichen Schaden in den ersten zehn Tagen nach dem Vorfall auf rund 40 bis 45 Millionen Euro. Es hätte viel schlimmer kommen können.
Eine Frage der Cyber-Immunität
Die Corona-Krise scheint die Kreativität der Cyber-Täter beinahe zu beflügeln. Dennoch können bereits einfache Sicherheitsmaßnahmen das Risiko einer Ransomware-Attacke erheblich reduzieren. Gute „Cyber-Hygiene“ ist schon mal der erste Schritt.
Der Katalog der Schutzmaßnahmen beginnt mit Tipps aus der Kategorie „gesunder Menschenverstand“ und geht in hochentwickelte Datenschutzvorkehrungen zum Aufbau einer unternehmensweiten „Cyber-Immunität“ über:
keine dubiosen Webseiten besuchen,
keine dubiosen Links anklicken,
fremde WiFi-Netze nicht benutzen,
personenbezogene Daten stets unter Schloss und Riegel handhaben; niemals unverschlüsselt übertragen, niemals unverschlüsselt sichern, niemals unverschlüsselt archivieren und niemals an Unbefugte aus der Hand geben,
alle Sicherheitsupdates nach Möglichkeit ohne Verzögerung einspielen,
eine robuste Sicherheitssoftware zur System- und Netzwerküberwachung installieren und aktiv betreiben,
regelmäßige Risikobewertungsprüfungen und Sicherheitsaudits durchführen,
Best-Practices, also praxiserprobte Handlungsempfehlungen, nach dem neuesten Stand der Technik implementieren
neue Möglichkeiten kontinuierlich evaluieren und die resultierenden Erkenntnisse verzögerungsfrei umsetzen.
Auf der Webseite NoMoreRansom.org haben sich Strafverfolgungsbehörden wie Europol und EC3 sowie IT-Security-Unternehmen wie Kaspersky und McAfee zu einer Allianz zusammengeschlossen, um mit gebündelten Kräften gegen die Plage der Cyber-Erpressung vorzugehen. Betroffene finden dort neben nützlichen Tipps zur Vorbeugung unter anderem nützliche Entschlüsselungswerkzeuge und Links zu den zuständigen Behörden.
Fazit
Gegen die Plage der Cyber-Erpressung hilft nur eins: Der Aufbau einer unternehmensweiten „Cyber-Immunität“, die selbstverständlich auch das Home-Office aller Betroffenen mit einbeziehen muss. Diese Initiative beginnt mit einer guten Cyber-Hygiene und bedarf einer kontinuierlichen Disziplin.
Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/3c/81/3c816de4665303cb43526b1d708a5e7c/0126935090v1.jpeg "Die neue Ransomware-Bedrohung namens „Yurei“ ist an einen Begriff aus der japanischen Folklore für „rastlose Geister“ angelehnt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ae/31/ae31c5350df3e19cf329094d85a06503/0127047183v2.jpeg "Am 8. September 2025 griffen Cyberkriminelle die kommunale Wohnungsgesellschaft in Senftenberg mit Ransomware an. (Bild: Dall-E / KI-generiert)")