Nach einem Ransomware-Angriff beginnt für viele Unternehmen eine Phase, auf die sie kaum vorbereitet sind: die Kommunikation mit den Angreifern. Während Ransomware-Gruppen diese Verhandlungen routiniert führen, ist es für Unternehmen meist das erste Mal. Forderungen sind verhandelbar, aber selbst eine Zahlung garantiert keine vollständige Wiederherstellung.
Ein Ransomware-Angriff trifft Unternehmen meist unvorbereitet. Die Kommunikation mit den Angreifern beginnt, während Betroffene noch unter Schock stehen.
Nach einem erfolgreichen Angriff hinterlassen die Angreifer in der Regel eine Nachricht auf den betroffenen Systemen. Die sogenannte „Ransom Note“. Diese wird in unterschiedlichen Formen bereitgestellt, zum Beispiel als Textdatei (.txt /.html) in betroffenen Verzeichnissen, als automatisch geöffnetes Dokument nach dem Login oder als veränderter Desktop-Hintergrund. Ziel ist es, sicherzustellen, dass die Nachricht von den Betroffenen schnell gesehen wird. In einigen Fällen wird die Ransom Note bewusst mehrfach im System abgelegt. Damit stellen Angreifer sicher, dass die Nachricht auch dann sichtbar bleibt, wenn einzelne Systeme bereits isoliert oder neu gestartet wurden. Inhaltlich enthält die Ransom Note typischerweise:
eine eindeutige Kennung für das betroffene Unternehmen
einen Link zu einer speziellen Webseite
Anweisungen zur Kontaktaufnahme
häufig auch erste Fristen
Der Zugriff erfolgt meist über anonymisierte Netzwerke wie Tor. Unternehmen werden dort in eine geschlossene Kommunikationsumgebung geleitet.
Die Kommunikation mit Ransomware-Gruppen erfolgt heute über unterschiedliche Kanäle. Welche genutzt werden, hängt stark von der Professionalität der Gruppe ab. Viele etablierte Ransomware-Gruppen betreiben eigene Plattformen im Tor-Netzwerk. Diese funktionieren ähnlich wie ein Chat- oder Ticket-System und dienen als zentrale Anlaufstelle für die Kommunikation. Dort können Unternehmen:
Nachrichten mit den Hackern austauschen
Lösegeldforderungen einsehen
über Zahlungsbedingungen sprechen
Dateien zur Test-Entschlüsselung bereitstellen
Diese Portale ermöglichen standardisierte Abläufe und werden daher häufig von professionellen Gruppen genutzt. Auffällig ist, dass viele dieser Plattformen technisch stabil und sehr professionell aufgebaut sind. Einige Gruppen betreiben ihre Infrastruktur wie klassische Online-Dienste - mit Login-Bereichen, festen Ablaufstrukturen und wiederkehrenden Kommunikationsmustern. Teilweise nutzen Angreifer jedoch auch Messenger-Dienste wie Telegram, Tox oder Jabber. Diese werden vor allem für direkte Kommunikation eingesetzt. Da diese Kanäle weniger strukturiert sind, kommen sie seltener bei groß angelegten Kampagnen zum Einsatz.
Die Kommunikation mit Ransomware-Gruppen folgt oft bestimmten Mustern. Ziel ist es, den Druck auf das betroffene Unternehmen zu erhöhen und eine schnelle Entscheidung herbeizuführen. Dazu gehören unter anderem:
klare Zeitvorgaben für eine Zahlung
Hinweise auf mögliche Veröffentlichung von Daten
schrittweise Offenlegung von Informationen
Anpassung der Forderung im Verlauf der Kommunikation
In vielen Fällen ist die initiale Forderung nicht final, sondern Teil eines Verhandlungsprozesses. Auswertungen realer Fälle zeigen, dass Forderungen häufig verhandelbar sind. Preisnachlässe sind keine Seltenheit und können je nach Situation deutlich ausfallen. Gleichzeitig orientieren sich viele Angreifer bei der Festlegung der Forderung an wirtschaftlichen Kennzahlen wie Umsatz, Branche oder Größe des Unternehmens.
Neben der Verschlüsselung setzen viele Gruppen zusätzlich auf die Androhung der Veröffentlichung von Daten. Diese Vorgehensweise wird häufig als „Double Extortion“ bezeichnet. Dabei werden Daten aus dem Unternehmen extrahiert, Systeme verschlüsselt und dann mit der Veröffentlichung der Daten gedroht. Einige Gruppen betreiben eigene Webseiten, auf denen betroffene Unternehmen gelistet werden. Erfolgt keine Reaktion, werden dort teilweise erste Datenausschnitte veröffentlicht. In einigen Fällen werden bereits vor Ablauf von Fristen gezielt kleine Datenpakete veröffentlicht. Diese „Samples“ dienen dazu, den Druck auf das Unternehmen zu erhöhen und die Glaubwürdigkeit der Drohung zu unterstreichen.
Einblicke in reale Abläufe
Ein besseres Verständnis solcher Prozesse ermöglichen Plattformen wie Ransomware.live oder RansomCh.at. Dort werden Aktivitäten von Ransomware-Gruppen sowie teilweise anonymisierte Kommunikationsverläufe dokumentiert.
Die veröffentlichten Verläufe zeigen auch, dass Verhandlungen teilweise über mehrere Tage oder Wochen geführt werden. Auch wenn die Kommunikation mit den Angreifern in vielen Fällen notwendig erscheint, bietet sie keine Garantie für eine erfolgreiche Lösung. Selbst bei einer Zahlung bestehen Risiken:
Daten werden nicht vollständig entschlüsselt
gestohlene Informationen werden dennoch veröffentlicht
Die Kommunikation ist daher nur ein Teil der Gesamtbewältigung eines Sicherheitsvorfalls. Ein oft unterschätzter Aspekt ist, dass Unternehmen in dieser Situation meist zum ersten Mal mit solchen Verhandlungen konfrontiert sind, während die Angreifer diese Prozesse routiniert durchführen. Diese ungleiche Ausgangslage erschwert Entscheidungen zusätzlich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Vorbereitung ist entscheidend
Ein Ransomware-Angriff stellt für jedes Unternehmen eine Ausnahmesituation dar. Umso wichtiger ist es, im Vorfeld klare Abläufe und Verantwortlichkeiten zu definieren. Dazu gehören unter anderem:
definierte Incident-Response-Prozesse
klare Kommunikationswege
regelmäßige Datensicherungen
Überprüfung der eigenen Sicherheitsmaßnahmen
Die zunehmende Professionalität von Angreifern zeigt, dass Ransomware längst ein strukturiertes Geschäftsmodell ist. Unternehmen sollten daher ebenfalls strukturiert vorbereitet sein, um im Ernstfall angemessen reagieren zu können.
Über den Autor: Günther Wirrer ist Geschäftsführer der XSOC GmbH. XSOC ist ein deutsches Cybersecurity-Unternehmen mit klarem Fokus auf Security Operations Center (SOC) Services, Incident Response, Schwachstellenmanagement sowie Penetrationstests. XSOC ist Teil der Unternehmensgruppe der XNET Solutions, die seit über 20 Jahren Erfahrung im Aufbau, Betrieb und der Weiterentwicklung komplexer IT- und Sicherheitsumgebungen verfügt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/39/4239ef260c7f9ba72203747d0fd19114/0131367424v1.jpeg "Wer steckt dahinter? Deepfake-basierter Identitätsbetrug zielt laut Gartner zunehmend auf Behörden, die ihre digitale Kommunikation mit proaktiven Vertrauensmechanismen absichern müssten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/92/b0920e65dc13b130ffc25539e8b26a2b/0131642231v2.jpeg "Ein Ransomware-Angriff trifft Unternehmen meist unvorbereitet. Die Kommunikation mit den Angreifern beginnt, während Betroffene noch unter Schock stehen. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/93/3e93ebac78f49cc19dab6772372a2b8d/0131642048v2.jpeg "KI wird in Unternehmen wie ein Werkzeug behandelt, wirkt im Betrieb aber wie kritische Infrastruktur. Fehlentscheidungen entstehen, bevor jemand eingreifen kann. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/56/08561843729867306d1012c2c5434fbb/0122408422v1.jpeg "Schatten-IT ist ein bekanntes Problem, doch jetzt kommt mit Schatten-KI eine neue Bedrohung für Datenschutz und Sicherheit in Unternehmen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/71/637176238911765ea7930198ee3ab584/0131573032v2.jpeg "Dashboards, Bedrohungskarten und Analysten rund um die Uhr: Ein SOC beeindruckt optisch. Wer kein Bedrohungsmodell hat, produziert damit aber nur Alerts, die niemand bearbeitet. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e1/d5/e1d556ba48e0ffa97941d48bf14c109d/0131002676v1.jpeg "Artesca+ Veeam HA kombiniert die Veeam Software Appliance v13 HA mit Artesca-HA auf Speicherebene und automatisiertem Failover – für durchgängige Ausfallsicherheit im gesamten Backup-Stack. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/b7/a2/b7a22f7118a608d260e239c11954fe2c/0131612860v2.jpeg "Am 12. Januar 2027 verlieren Windows Server 2016 und Windows 10 LTSC 2021 ihre Updateversorgung. Offene Schwachstellen bleiben danach dauerhaft ungepatcht. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/ed/ededae2833951bada9fcf41cabd46313/0131612903v2.jpeg "Die Malware Megalodon kompromittierte 5.561 GitHub-Repositories in sechs Stunden und griff AWS-, Google-Cloud- und Azure-Zugänge aus CI/CD-Pipelines ab. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/82/04823bb75d3e2cbe43eb9d6de41daea6/0131023976v1.jpeg "Laut Wire-Geschäftsführer Benjamin Schilz bringe die VS-NfD-Zulassung das Unternehmen dem Ziel digitaler Souveränität einen Schritt näher. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/69/98/69981ea4553403feb570210fde1627fc/0131560890v4.jpeg "CVE-2026-9082 erlaubt anonymen Angreifern SQL-Injection in Drupal Core. Updates für alle gepflegten Zweige schließen die hochkritische Lücke. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cd/6f/cd6f731c0ed680d9d410827b6c3df012/0131361357v1.jpeg "2025 gab es viele Themen und Aufgaben, die die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beschäftigt haben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/38/71388e518548f6491397ba579d7798e5/0131570993v2.jpeg "CVE-2026-41615 verleitet den Microsoft Authenticator zur Token-Weitergabe an Angreifer. Kein Exploit ist nötig, ein Nutzerklick genügt für eine Kontoübernahme. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/cc/1ccc422b9b4cff266216d930d7f251ce/0131030971v1.jpeg "Mit eIDAS 2.0 schafft die EU eine interoperable Wallet- und Vertrauensinfrastruktur mit Vertrauensdiensten, auf deren Basis KI‑Agenten mittels digitaler Vollmachten kryptografisch signierte, auditierbare Aktionen ausführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/e0/5c/e05c335bc24d37bb7fe0d52cdee9a1fc/0131004053v2.jpeg "Die meisten Ransomware-Angriffe treffen den Mittelstand. Unternehmen wie Fasana und Einhaus wurden durch Cyberangriffe in die Insolvenz getrieben. (Bild: © fresnel6 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/68/6968270f0a8cb0827bbb22e1046f3f2f/0122644286v2.jpeg "In jedem Unternehmen wird Ransomware vermutet. So hoch sind die Kosten eines tatsächlichen Datendiebstahls und so gehen die Betroffenen damit um. (Bild: jamdesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/31/fc31a6b03fc269e18c9c7ac47364b22c/0126586207v2.jpeg "Krisenkommunikation entscheidet im Ernstfall: Bei Cyberangriffen kommt es auf schnelle, klare und vertrauensbildende Botschaften an. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/c6/1ac63ffc66b280858cf7d7a0bfddf128/0125841252v2.jpeg "Dem State of Ransomware Report von Sophos zufolge gab es im Vergleich zum Vorjahresreport zwar weniger Cyberattacken, dafür wurde aber mehr Lösegeld bezahlt. (Bild: Thomas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/2a/192a8d8c0b5cbafd2470af4b3fef7d76/0130667250v2.jpeg "Ransomware-Gruppen greifen gezielt Branchen an, in denen Stillstand sofort Geld kostet. Drei professionalisierte RaaS-Gruppen dominieren die deutsche Bedrohungslandschaft. (Bild: © Shutter2U - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/6c/366cd695200c41535c06b4179ee97852/0125498142v2.jpeg "Ransomware ist eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Sie wollen sich damit meist finanziell bereichern. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/19/2a/192a8d8c0b5cbafd2470af4b3fef7d76/0130667250v2.jpeg "Ransomware-Gruppen greifen gezielt Branchen an, in denen Stillstand sofort Geld kostet. Drei professionalisierte RaaS-Gruppen dominieren die deutsche Bedrohungslandschaft. (Bild: © Shutter2U - stock.adobe.com)")