Cyberkriminelle haben Ransomware-Attacken weiterentwickelt: Sie verzichten auf die aufwendige Verschlüsselung der erbeuteten Daten und drohen damit, diese zu veröffentlichen. So können sie schneller Lösegeld fordern. Unternehmen müssen darauf reagieren und die Einschleusung verschlüsselter Malware konsequent verhindern.
Cyberkriminelle überspringen bei Ransomware zunehmend den Prozess der Datenverschlüsselung und konzentrieren sich darauf, Zugang zu sensiblen Daten zu erhalten um Unternehmen damit zu erpressen.
(Bild: zephyr_p - stock.adobe.com)
Die Zahl der Ransomware-Opfer ist im ersten Quartal 2023 weltweit um 143 Prozent gestiegen. Das zeigt die Studie „Cybersecurity Trends 2023“ der Allianz-Versicherung. Demnach wird Ransomware ihre Opfer bis 2031 jährlich rund 265 Milliarden US-Dollar kosten.
Es herrschte vorsichtiger Optimismus. Doch 2023 schlug die harte Realität wieder zu. In der sich ständig weiterentwickelnden Bedrohungslandschaft richtete Ransomware weiterhin großen Schaden an und wurde sogar noch weiterentwickelt.
Entwicklung von Ransomware
Seit den Anfängen von Ransomware-Angriffen dringen Cyberkriminelle meist in das System eines Opfers ein, verschlüsseln wertvolle Daten mit starken Verschlüsselungsmethoden und fordern Lösegeld für deren Entschlüsselung. Das Dilemma des Opfers ist klar: entweder das Lösegeld zahlen oder den Zugriff auf wichtige Daten verlieren.
Um ihre Effektivität aufrechtzuerhalten, haben Ransomware-Banden verschiedene weitere Taktiken entwickelt. Zum Beispiel werden bei der doppelten Erpressung nicht nur die Daten verschlüsselt. Es wird auch damit gedroht, die gestohlenen Informationen zu veröffentlichen oder sie im Dark Web zu verkaufen. Den ersten größeren Fall mit dieser Methode gab es 2019.
Nur ein Jahr später sorgte die dreifache Erpressung für Schlagzeilen. Diese fügt der doppelten Erpressung noch einen Schritt hinzu. Denn hier werden sensible Informationen über Kunden, Mitarbeitende oder andere mit dem Opfer verbundene Personen genutzt, um diese ebenfalls zu erpressen.
Der neueste Schritt
Unternehmen haben sich inzwischen auf Ransomware-Attacken eingestellt. Sie erzeugen regelmäßig Backups ihrer Daten und entwickeln Entschlüsselungs-Tools, um kein Lösegeld zahlen zu müssen.
Entsprechend entwickeln aber auch die Ransomware-Gangs ihre Strategien immer weiter. Statt den zeitaufwändigen Prozess der Datenverschlüsselung zu durchlaufen, überspringen sie diesen ganz. Sie konzentrieren sich nun darauf, Zugang zu sensiblen Daten zu erhalten. Anschließend drohen sie damit, diese zu veröffentlichen oder zu versteigern.
Für betroffene Unternehmen ist es im Vergleich zur Verschlüsselung noch schwieriger zu überprüfen, ob die Angreifer wirklich wie behauptet die relevanten Daten erbeutet haben oder nicht. Es reicht also oft schon die Androhung, dass sie brisante Inhalte veröffentlichen werden. Zudem können Angreifer damit drohen, den Vorfall bei Behörden zu melden – gerade im Zuge von NIS2 eine erhebliche Gefahr.
Bei einem Angriff ohne Verschlüsselung wird daher mehr auf psychologischen Druck gesetzt, um die Opfer zur Zahlung des Lösegelds zu zwingen. Die Geschwindigkeit, Einfachheit und geringere technische Komplexität im Vergleich zu verschlüsselungsbasierten Angriffen machen diese Technik gefährlich. Mögliche Auswirkungen von verschlüsselungslosen Angriffen sind etwa:
Schnellere Lösegeldforderungen: Bei verschlüsselungslosen Angriffen können Cyberkriminelle schneller Lösegeld fordern, da sie den Verschlüsselungsschritt auslassen. Die Opfer sehen sich unter erheblichem Druck, das Lösegeld zu zahlen, um die Preisgabe ihrer Daten zu verhindern.
Rufschädigung: Die bloße Drohung der Offenlegung von Daten kann schwerwiegende Auswirkungen auf Unternehmen haben. Gestohlene sensible Informationen, darunter Kundendaten, Finanzunterlagen oder geistiges Eigentum, können zu erheblichen Vertrauensproblemen bei Kunden, Partnern und in der Öffentlichkeit führen.
Regulatorische Konsequenzen: Unternehmen, die mit persönlichen oder sensiblen Daten umgehen, unterliegen verschiedenen staatlichen und branchenspezifischen Datenschutzvorschriften. Im Falle eines Datenschutzverstoßes können hohe Geldstrafen und rechtliche Folgen die finanziellen Auswirkungen verstärken und die Bewältigung der Situation weiter erschweren.
Die Erpressergruppe BianLian
Ein Beispiel für eine Cybercrime-Bande, die sich auf Ransomware ohne Verschlüsselung umstellt, ist BianLian. Laut einem vom FBI, der CISA und dem Australian Cyber Security Centre veröffentlichten Cybersecurity Advisory hat BianLian seit Juni 2022 kritische Infrastrukturen und Organisationen in den USA und Australien ins Visier genommen.
Die Gang nutzte ursprünglich ein doppeltes Erpressungsmodell, ist aber seit Anfang 2023 vorwiegend auf Erpressung durch Exfiltration umgestiegen. In letzter Zeit hat sie wohl Save the Children ins Visier genommen. Die Gruppe behauptet, 6,8 TB an Daten von der gemeinnützigen Organisation gestohlen zu haben, darunter finanzielle, persönliche und medizinische Informationen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das Unternehmen schützen
Unternehmen können sich vor den noch schnelleren Lösegeldforderungen schützen, indem sie proaktiv handeln und dem Ansatz Zero-Trust folgen. Das Leitprinzip dahinter lautet: Vertraue nicht blind, sondern überprüfe immer.
Dies ist jedoch leichter gesagt als getan. Denn heute sind fast 90 Prozent des gesamten Internetverkehrs verschlüsselt – und die meisten Schadprogramme sind im verschlüsselten Datenverkehr versteckt. Wer Anwendungen, Daten und das Unternehmen vor Malware wie Ransomware schützen und eine umfassende Zero-Trust-Umgebung schaffen will, kann es sich aber nicht leisten, bei der Verschlüsselung blind zu sein.
So müssen Unternehmen geeignete Lösungen einsetzen, die eine leistungsstarke Entschlüsselung des ein- und ausgehenden verschlüsselten Datenverkehrs bieten. Dies ermöglicht es den bestehenden Sicherheitslösungen, Bedrohungen aufzudecken und Ransomware-Angriffsketten zu stoppen, bevor sie Server und Benutzergeräte erreichen. Damit sichern sich Unternehmen sowohl vor verschlüsselungslosen Angriffen als auch der sich weiterentwickelnden Ransomware ab.
Über den Autor: Stephan Schulz ist Senior Solutions Engineer bei F5.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/36/6c/366cd695200c41535c06b4179ee97852/0125498142v2.jpeg "Ransomware ist eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Sie wollen sich damit meist finanziell bereichern. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/27/5a/275a874f5bafd46751f710de9a977010/0122690001v2.jpeg "Ein Cyberkrimineller, der unter Verdacht steht, der Ransomware-Bande GrandCrab anzugehören, wurde nun festgenommen. (Bild: Arthur Kattowitz - stock.adobe.com)")