Ransomware dient längst nicht mehr nur der Erpressung. Staatlich unterstützte Akteure nutzen sie zunehmend für Spionage, Datenmanipulation und strategische Destabilisierung. Während Unternehmen sich gegen Verschlüsselung schützen, kopieren Angreifer unbemerkt Daten oder manipulieren sie. Die Folgen reichen weit über Lösegeldzahlungen hinaus.
Ransomware dient staatlich unterstützten Akteuren zunehmend für Spionage und Destabilisierung. Verschlüsselung wird oft nur noch zur Tarnung eingesetzt.
Ransomware war lange ein finanziell motiviertes Massenphänomen. Unternehmen wurden verschlüsselt, anschließend mit Lösegeldforderungen konfrontiert. Doch die aktuellen Entwicklungen belegen einen deutlichen Wandel: Immer häufiger stehen nicht mehr rein finanzielle Interessen im Vordergrund, sondern politische, wirtschaftliche oder nachrichtendienstliche Ziele.
Nach Erkenntnissen zahlreicher Security-Analysen (z. B. Microsoft Digital Defense Report 2025 verschiebt sich der Fokus klassischer Ransomware-Gruppen hin zu komplexen Angriffskampagnen. Besonders russische und chinesische Akteure nutzen Ransomware inzwischen als Vehikel für verdeckte Datendiebstähle oder Manipulationen von Informationen. Der Verschlüsselungsteil ist häufig nur noch Tarnung.
Ein wesentlicher Trend der letzten zwei Jahre ist die Erosion der klaren Trennlinien zwischen Ransomware, Advanced Persistent Threats (APT) und Cybercrime-as-a-Service. Moderne Kampagnen folgen dem Prinzip „Silent Intrusion First“:
1. Initialer Zugang über Phishing, ungepatchte Systeme oder kompromittierte VPN-Zugänge.
2. Lateral Movement mit legitimen Tools („Living off the Land“).
3. Gezielter Datendiebstahl, häufig verschlüsselt oder fragmentiert, um forensische Erkennung zu erschweren.
4. Manipulation oder Sabotage kritischer Daten – ein wachsendes Risiko für Infrastruktur, Behörden und Unternehmen.
5. Erst am Ende, wenn überhaupt: Verschlüsselung zur Ablenkung oder nachgelagerten Monetarisierung.
Viele Angriffe bleiben über Wochen oder Monate unentdeckt. In unserer praktischen Arbeit mit Behörden, Ermittlern und Unternehmen sehen wir vermehrt Fälle, in denen Angreifer bewusst fehlerfreie Backups intakt lassen, um keinen Alarm auszulösen – während im Hintergrund sensible Daten abfließen oder verändert werden.
Staatlich oder staatsnah geführte Gruppen profitieren von Ransomware in mehrfacher Hinsicht:
Plausible Deniability: Ein Angriff kann als Cybercrime erscheinen, selbst wenn er geopolitische Ziele verfolgt.
Finanzielle Selbstfinanzierung: Lösegeldzahlungen tragen zur Finanzierung nachrichtendienstlicher Operationen bei.
Große Angriffsfläche: Unternehmen schützen sich primär vor Verschlüsselung – nicht vor verdeckter Datenmanipulation.
Überlagerung von Spionage und Sabotage: Der gezielte Einsatz von Ransomware ermöglicht es, Spuren zu verwischen und forensische Analysen zu erschweren.
Reports wie der „ENISA Threat Landscape 2023“ bestätigen diese Vermischung von Cybercrime und staatlich motivierten Operationen. Für Unternehmen bedeutet das: Die Bedrohung ist nicht mehr nur ökonomisch, sondern auch geopolitisch.
Die Verschlüsselung selbst ist oft das geringere Problem. Kritischer wird die Integrität der Daten. In mehreren Ermittlungsfällen, die wir im Rahmen von Incident Response oder forensischen Lehrgängen analysiert haben, zeigte sich:
Angreifer manipulierten Logs oder interne Datenbanken, um eigene Aktivitäten zu verschleiern.
Produktionssysteme wurden so verändert, dass Fehler erst Monate später sichtbar wurden.
In einzelnen Fällen fanden wir Hinweise auf gezielte Integritätsangriffe, die den Unternehmen schaden sollten, ohne dass Lösegeld gefordert wurde.
Die Wiederherstellung der Datenintegrität ist erheblich komplexer als das Einspielen von Backups. Insbesondere bei industrie-, energie- oder behördennahen Systemen ist Manipulation ein sicherheitskritischer Vorfall – häufig mit strafrechtlicher Relevanz.
Warum klassische Abwehrmaßnahmen nicht mehr ausreichen
Viele Sicherheitskonzepte konzentrieren sich weiterhin auf Prävention und Backup-Strategien. Diese bleiben essenziell, decken aber die aktuellen Angriffsformen nicht ausreichend ab. Moderne Ransomware-Operationen verlangen erweiterte Schutzmechanismen:
1. Threat Hunting und kontinuierliche Forensik Regelmäßige Log- und Speicheranalysen – wie sie in forensischen Trainings für Cybercrime-Ermittler etabliert werden – sind entscheidend, um stille Kompromittierungen zu erkennen.
2. Zero Trust statt Perimeterschutz Strenge Zugriffsmodelle und kontextbasierte Authentifizierung reduzieren die Bewegungsfreiheit von Angreifern.
3. Überwachung der Datenintegrität Checksums, Versioning und kryptografische Hashverfahren müssen systematisch eingesetzt werden, um Manipulationen nachvollziehbar zu machen.
4. Schulung von Ermittlern und Incident-Response-Teams In unseren Trainingsprogrammen, etwa im Bereich Apple-Forensik oder RAM-Analyse mit Volatility, sehen wir deutlich: Die Qualität der Incident Response entscheidet über den Unternehmenserfolg nach einem Angriff. Die Fähigkeit, ein manipuliertes System korrekt zu untersuchen, wird zunehmend zum kritischen Erfolgsfaktor.
5. Vorbereitung auf den Ernstfall Eine realistische Incident-Response-Übung, die Datendiebstahl, Spionage und Manipulation mit abdeckt, ist heute unverzichtbar. Viele Unternehmen testen nur das Szenario „Verschlüsselung“, nicht jedoch die viel häufiger vorkommende stille Kompromittierung.
Fazit: Ransomware ist heute ein strategisches Risiko
Unternehmen müssen Ransomware nicht mehr als isolierten Angriff sehen, sondern als Teil eines größeren, geopolitischen Bedrohungsbildes. Während die technische Umsetzung oft ähnlich bleibt, hat sich das Ziel der Angreifer fundamental verändert.
Datendiebstahl, Manipulation und langfristige Infiltration sind heute die eigentliche Gefahr – und die Erpressung oft nur eine Nebelkerze. Wer seine Organisation schützen will, muss diese Entwicklungen verstehen und Sicherheitsmaßnahmen anpassen. Die Zeiten des rein technischen Ransomware-Schutzes sind vorbei. Jetzt geht es um strategische Resilienz – technisch, organisatorisch und geopolitisch.
Über den Autor: Jan Schledzinski ist Leiter der Abteilung Digital Forensics & Incident Response (DFIR) bei msg. Er verfügt über mehr als 15 Jahre Erfahrung in IT-Forensik, Incident Response und IT-Sicherheitsanalysen in Behörden und Unternehmen. Vor seiner Tätigkeit in der Beratung war er IT-Kriminalist bei der Bayerischen Polizei sowie technischer Beamter bei verschiedenen Sicherheitsbehörden. Sein Schwerpunkt liegt auf der Analyse komplexer Cyberangriffe, der Entwicklung forensischer Methoden und der Erstellung gerichtsfester Gutachten.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/05/6b057f7347f9d5c97d474ade1d7b8a1f/0129674349v2.jpeg "Cyberkriminelle missbrauchen laut Sophos virtuelle Maschinen in legitimen Hosting-Infrastrukturen, nutzen identische Hostnamen und automatisierte Angriffe über RDP, während sie Verbindungen zu verdächtigen Hosting-Anbietern aufweisen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/17/9d/179dd778eea92469d222147b93062a79/0130236682v1.jpeg "Ransomware dient staatlich unterstützten Akteuren zunehmend für Spionage und Destabilisierung. Verschlüsselung wird oft nur noch zur Tarnung eingesetzt. (Bild: © concept w - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/cb/4bcb6d92bb8158bc9441217d9cf3e352/0130342511v2.jpeg "In Thüringen, Rheinland-Pfalz und Schleswig-Holstein hat die Polizei PTC-Kunden aufgrund einer Sicherheitslücke Hausbesuche abgestattet. (Bild: © Lila Patel - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/6f/c26f8917d9577d3647ac2b27106397d3/0130217833v2.jpeg "Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungeschützt. SAP-Systeme, das Herzstück kritischer Geschäftsprozesse, werden bei Penetrationstests häufig übersehen – ein fatales Versäumnis, das Angreifern Tür und Tor öffnet. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/ff/4fff5b549d403858f33d560c8c8f40dc/0130169139v2.jpeg "Der Vorsitz für die AdCo CRA wurde Anna Schwendicke am 19. März in Athen übertragen. Hier zu sehen sind (v.l.n.r): Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (ENISA), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern - Vice-Chair AdCo CRA), Anna Schwendicke (BSI - Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (ENISA). (Bild: ENISA)")
:quality(80)/p7i.vogel.de/wcms/83/12/8312bf00e110a5f83e9044d3530cee45/0130131441v1.jpeg "Schwachstellen in KI-Systemen nehmen schneller zu als im restlichen Software-Ökosystem, besonders in neuen Architekturen wie agentischer KI. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/84/1c/841c9f1c9ed65f5abb2cf89723d5084a/0130219449v2.jpeg "Quantencomputer können asymmetrische Verschlüsselung knacken. Post-Quanten-Kryptografie bietet Schutz mit NIST-Standards wie ML-KEM, ML-DSA und SLH-DSA. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/cf/4fcffe96d0f8532cf9672e943e5a7f2d/0130150503v2.jpeg "Node.js-Projekte sind durch kritische Schwachstellen gefährdet, die zu Denial-of-Service-Angriffen führen können. Dies bedeutet, dass Angreifer die Verfügbarkeit der Systeme beeinträchtigen und die Leistung durch gezielte Ressourcennutzung überlasten können. Davon ist auch die Lösung IBM App Connect Enterprise betroffen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/8f/e78f122fe24962e7b247f2b3cbb2b70f/0130172239v2.jpeg "Der Konflikt im Nahen Osten hat zu einer Zunahme von Cyberspionage-Kampagnen geführt, die von iranischen, chinesischen, belarussischen und pakistanischen Gruppen ausgehen, während der Verfassungsschutz seine Befugnisse zur Bekämpfung dieser digitalen Bedrohungen erweitern will. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c2/e0/c2e03b39a0398ad9bd3a9674ae813957/0127468957v2.jpeg "3,3 Prozent aller Cyberangriffe richten sich gegen Deutschland. Damit gehört Deutschland laut Microsoft zu den Top 4 Zielen von Cyberkriminellen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/1a/de1ae4cb156aee02c7e54345c6c91ec4/0129540842v2.jpeg "96 Prozent der Ransomware-Opfer verlieren ihre Backups, weil Angreifer Wiederherstellungssysteme gezielt angreifen. Immutability macht Backups technisch unveränderlich und schützt vor Manipulation. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/1e/851edf1734267d6a9573d11141c3d032/0127266496v2.jpeg "Distributed-Denial-of-Service-Angriffe machen europäischen Behörden und Unternehmen zu schaffen. Dabei ist das Ziel der Akteure meist nicht, sich finanziell zu bereichern, sondern Unruhe zu stiften. (Bild: bykst - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/1d/4d/1d4d18230dd6ea00a5b56151d22e7c09/0124273433v2.jpeg "Same Mistake, Different Company; Ransomware-Opfer sind sich oft so ähnlich, weil die selben Fehler in vielen unternehmen begangen werden. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/62/32620eb62e7bf8901adb3e3c64e6a101/0129882648v1.jpeg "Ransomware-Angriffe auf OT-Systeme stiegen 2025 um 64 Prozent bei 3.300 betroffenen Organisationen. Dragos identifizierte drei neue Angreifergruppen, die industrielle Prozesse analysieren, um physische Schäden zu verursachen. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/68/6968270f0a8cb0827bbb22e1046f3f2f/0122644286v2.jpeg "In jedem Unternehmen wird Ransomware vermutet. So hoch sind die Kosten eines tatsächlichen Datendiebstahls und so gehen die Betroffenen damit um. (Bild: jamdesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/aa/1faa8fd865ef3dc75a0ee709f85b0103/0127972102v2.jpeg "Angreifer setzten die Backdoor VShell ein, um vollumfängliche Fernsteuerung auf kompromittierten Systemen zu erhalten und so langfristig kritische Netzwerke auszuspionieren. (Bild: Dall-E / KI-generiert)")