Ransomware und die damit verbundenen Attacken begleiten Cybersecurity-Experten bereits seit einigen Jahren und stellt mittlerweile eine der größten Cyberbedrohungen der Gegenwart dar. Für Cybersecurity-Experten besonders alarmierend ist die jüngste Entwicklung, dass Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten.
Unternehmen kämpfen zunehmend nicht nur mit Ransomware, sondern zeitgleich auch mit erpresserischem Datendiebstahl.
Solche Lösegeldforderungen können Unternehmen wirtschaftlich schwer treffen. Aktuelle Forderungen reichen von ein paar hundert Euro bis in die Millionen – der Schaden, der durch den Ausfall der Daten entstehen kann sowie die möglicherweise schwerwiegenden Reputationsverluste, sind hier noch nicht eingerechnet. Hinzu kommt, dass selbst wenn betroffene Unternehmen Lösegeld bezahlen, keinerlei Garantie besteht, dass die Daten schlussendlich auch freigegeben werden. Zusammengefasst ist die Verschlüsselung von Daten für Unternehmen weitaus bedrohlicher als ein simpler Datendiebstahl. Umfassender Schutz vor Ransomware-Attacken sollte dementsprechend die oberste Priorität für jedes Unternehmen sein.
Organisationen mit sensiblen Daten sind besonders gefährdet
Ransomware-Angriffe können auf verschiedene Arten gestartet werden. Besonders beliebt sind Phishing-E-Mails, die einen schädlichen Anhang beherbergen, auf den ersten Blick allerdings wie eine legitim wirkenden Geschäfts-E-Mail aussehen. Einmal heruntergeladen und geöffnet, greift der Virus den Computer des Opfers an und bekommt dabei in einigen Fällen sogar Admin-Zugang. Opfer ahnen zu diesem Zeitpunkt von der Gefahr und dem durchgeführten Angriff oft noch nichts. Unerkannt bahnt sich der Virus auf diese Weise seinen Weg von einem PC zum nächsten, bis schlussendlich das gesamte Netzwerk infiziert ist. Besonders aggressive Formen wie Petrwrap/Petya umgehen Nutzer komplett und infizieren Systeme über bestehende Sicherheitslücken.
Sobald die Malware Zugriff auf den Computer des Opfers erhalten hat, folgt die Verschlüsselung einiger oder aller sensibler Daten und ein Reboot des Systems wird erzwungen. Erst im Rahmen dieses Reboots wird der Nutzer über den erfolgten Angriff sowie die Lösegeldforderung informiert. Das Lösegeld wird dabei üblicherweise in Form von nicht nachverfolgbaren Bitcoins und per Vorauszahlung gefordert. Teil dieser Informationen ist auch, dass der Erpresste den Entschlüsselungscode nach der Zahlung erhalten wird. Darauf verlassen kann man sich allerdings nicht und im schlimmsten Fall bleiben die Daten dauerhaft verschlüsselt.
Während theoretisch jedes Unternehmen Ransomware-Angriffen zum Opfer fallen kann, suchen sich die Angreifer ihre Ziele oftmals aufgrund bestimmter Merkmale aus. Besonders sensible Daten, die Angst vor Reputationsverlusten durch entsprechende Attacken und unzureichende Sicherheitsvorkehrungen reichen bereits aus, um ins Fadenkreuz der Kriminellen zu geraten. Universitäten verfügen beispielsweise oftmals nur über einen geringen Schutz gegen Ransomware und andere Cyber-Attacken, arbeiten zugleich aber häufig mit verschiedenen Filesharing-Diensten. Sie sind daher leichte Beute für Phishing-E-Mails und daher häufig im Fokus von Cyberkriminellen. Kommunen und andere staatliche Einrichtungen hingegen müssen die Verfügbarkeit ihrer Computersysteme rund um die Uhr gewährleisten, schließlich basieren darauf essentielle öffentliche Dienstleistungen. Erfolgt keine schnelle Wiederherstellung der Daten, können beispielsweise polizeiliche Stellen, Notfalleinrichtungen, der öffentlichen Nahverkehr oder das Justizsystem nicht wie gewohnt arbeiten. Entsprechend dringend sind im Umkehrschluss auch die Bemühungen zur Wiederherstellung aller Daten zu gestalten. Für Krankenhäuser und andere Gesundheitseinrichtungen macht der Zugang zu Patientendaten den Unterschied zwischen Leben und Tod aus. Aber auch Finanzinstitute, Anwaltskanzleien und große Unternehmen zahlen zum Teil lieber Lösegeld, als mit einer Ransomware-Attacke in Verbindung gebracht zu werden – vorausgesetzt, sie verfügen über die nötigen Ressourcen.
Die genannten Beispiele zeigen eindeutig, dass Ransomware-Angriffe weitaus gefährlicher sind als einfacher Datendiebstahl. Letzterer ist für Opfer zwar ebenfalls unangenehm, aber immerhin bleibt der Zugriff auf die gestohlenen Daten erhalten. Bei einer Ransomware-Attacke hingegen sind die Daten zunächst verschwunden, was einen normalen Geschäftsbetrieb effektiv unmöglich macht.
Gefährliche Kombination aus Ransomware, Datendiebstahl und Daten-Exfiltration
Ransomware-Attacken werden hinsichtlich ihrer Technologie und Vorgehensweise laufend weiterentwickelt und dadurch immer gefährlicher. Für Cybersecurity-Experten ist dabei insbesondere die jüngste Entwicklung alarmierend, da Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten. Die Kombination dieser drei Vorgehensweisen stellt eine besonders große Gefahr für Unternehmen und Cybersecurity-Verantwortliche dar.
Konventionelle Daten-Exfiltration ist eine Vermischung aus Datendiebstahl und Erpressung. Dabei dringt ein Hacker in die Sicherheitsstruktur eines Unternehmens ein und filtert Daten nach deren geschätztem Wert. Finanzbelege, geistiges Eigentum eines Unternehmens und sensible Geschäftsinformationen können genauso dazu gehören wie vertrauliche Nachrichten oder geplante Marktaktivitäten. Nachdem der Angreifer die Daten gesichert hat, bestimmt er ihren jeweiligen Wert, indem er sie auf dem Schwarzmarkt potentiellen Interessenten anbietet. Ist dieser Schritt abgeschlossen, kontaktiert der Erpresser das angegriffene Unternehmen und verlangt ein Lösegeld, um den Verkauf der Daten an Dritte zu verhindern. Verantwortliche stehen dadurch vor der schwierigen Situation einen erheblichen Imageschaden, mögliche Strafen von behördlichen Stellen oder andere negative Auswirkungen zu riskieren, sollten die gestohlenen Daten veröffentlicht werden. Die Daten selbst bleiben aber für die Opfer jederzeit zugänglich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im Laufe des letzten Jahres ergänzten die Varianten Maze und DopplePaymer traditionelle Ransomware-Attacken um die Dimension der Daten-Exfiltration. Weigert sich bei einer Attacke ein Opfer das Lösegeld zu bezahlen, veröffentlicht der Hacker einen Teil der erbeuteten und verschlüsselten Daten, macht den Angriff damit publik und erhöht den Druck zur Kooperation. Die dadurch entstehende Kombination aus Imageschaden und Datendiebstahl, in Verbindung mit dem operativen Ausfall während der Ransomware-Attacke ist ebenso effektiv wie gefährlich. Das Backup von Daten stellt gegen diese Doppelgefahr keinen alleinigen Schutz mehr dar.
Ransomware-Angriffe in 2020
Mehrere größere Ransomware-Attacken haben die Cybersecurity-Experten im Jahr 2020 aufhorchen lassen und zum Teil sogar überrascht. Garmin, ein großer Technologie-Konzern mit einem weitreichenden Portfolio von GPS-Geräten für Branchen von der zivilen Luftfahrt bis hin zu Personal Fitness, war Ziel eines WastedLocker-Angriffs, der den Zugriff von Millionen Nutzern auf Online-Dienste vorübergehend einfror. Übereinstimmenden Berichten zufolge zahlte Garmin Lösegeld in Höhe von 10 Millionen US-Dollar und erhielt erst dann einen funktionierenden Entschlüsselungscode.
Eine Ransomware-Attacke auf den australischen Getränkekonzern Lion verzögerte zum einen den Ablauf im operativen Geschäft, limitierte aber zugleich auch die Transparenz und Nachverfolgbarkeit innerhalb der Produktion drastisch.
Das weltweit tätige Unternehmen Toll Group mit Sitz in Australien war gleich zwei Ransomware-Angriffen in nur sechs Monaten ausgesetzt. Die Attacken beinhalteten einen massiven Datendiebstahl, der auch Finanzdaten und Rechnungen betraf, und sorgten für monatelange Unterbrechungen im operativen Geschäft. Hatte das Unternehmen anfänglich noch Lösegeldzahlungen abgelehnt, bezeugt die Veröffentlichung von gestohlenen Daten im Dark Web den Einsatz von Daten-Exfiltration.
Und auch der Erpessungstrojaner Emotet feierte im Jahr 2020 sein Comeback mit zahlreichen neuen Angriffen in verschiedenen Ländern. In Frankreich infizierte der Trojaner beispielsweise die PCs im Netzwerk des Pariser Justizsystems.
Gegen diese aggressiven Formen von Ransomware-Angriffen sind konventionelle Cybersecurity-Maßnahmen oft machtlos. Haben Angreifer erst einmal Zugriff auf die Systeme und Daten verschlüsselt, leidet das operative Geschäft durch den Ausfall und Folgeschäden sind unausweichlich. Es gilt, Angreifer gar nicht erst so weit kommen zu lassen – die Etablierung eines umfassenden Zero-Trust-Modells schützt Unternehmen auch gegen die zukünftige Entwicklung von Ransomware und Daten-Exfiltration.
Über den Autor: Heiko Frank ist Principal System Engineer bei A10 Networks.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/42/d5/42d5a0800513dd0b19a03586d452da1f/94741636.jpeg "Auf seinen Kaffee musste Peter Schmitz im Live-Podcast zwar verzichten, nicht jedoch auf eine lebhafte Diskussion. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/fc/bb/fcbb735b3e294352a45edfb698a02b52/0124445162v2.jpeg "LummaStealer zeigt: Cyberkriminalität hat dank Malware-as-a-Service (MaaS) das Potenzial, zum Geschäft für jedermann zu werden. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/3b/dd3ba883d41b1bf4523b7040c157f133/0123358480v2.jpeg "Cyberangriffe werden sich niemals ganz vermeiden lassen und irgendwann trifft es jeden. Entscheidend ist dann, wie gut Unternehmen auf den Ernstfall vorbereitet sind. (Bild: StockUp - stock.adobe.com)")