Endgeräte als Einfallstor Recovery nach Ransomware gelang keinem Unternehmen in 24 Stunden

Ein Gastbeitrag von Thomas Lo Coco 3 min Lesedauer

Anbieter zum Thema

57 Prozent aller Ransomware-Angriffe nehmen ihren Ausgang an einem mobilen, remote genutzten oder hybriden Endgerät. Die durchschnittliche Wiederherstellung dauert fünf Tage, in Einzelfällen bis zu zwei Wochen. Immer mehr Unternehmen zahlen im Ernstfall Lösegeld, statt Fähigkeiten zu entwickeln, Angriffe operativ zu verkraften.

Der Laptop im Homeoffice wird selten als Sicherheitsrisiko behandelt, ist aber Ausgangspunkt der meisten Ransomware-Angriffe. Ist der Ernstfall da, dauert die Wiederherstellung im Schnitt fünf Tage.(Bild: ©  Thomas - stock.adobe.com)
Der Laptop im Homeoffice wird selten als Sicherheitsrisiko behandelt, ist aber Ausgangspunkt der meisten Ransomware-Angriffe. Ist der Ernstfall da, dauert die Wiederherstellung im Schnitt fünf Tage.
(Bild: © Thomas - stock.adobe.com)

Daten verschlüsseln, Lösegeld fordern und auf eine Zahlung hoffen. Was ursprünglich als vergleichsweise einfache Methode von Cyberkriminellen begann, zählt heute zu den komplexesten, am besten skalierbaren und finanziell folgenschwersten Bedrohungen für Unternehmen: Ransomware.

Von der Verschlüsselung zur Erpressung: das RaaS-Modell

Ransomware-as-a-Service (RaaS) hat aus einer einst spezialisierten Form der Cyberkriminalität ein skalierbares Geschäftsmodell gemacht, das inzwischen auch von Akteuren mit geringem technischem Know-how genutzt werden kann. Die Betreiber der Ransomware stellen Schadsoftware, Infrastruktur und sogar Verhandlungsservices bereit, während ihre Partner gezielt Opfer auswählen und Angriffe durchführen – gegen eine Beteiligung an den erpressten Einnahmen. So ist ein professionell organisiertes kriminelles Ökosystem entstanden, das in Struktur, Effizienz und Skalierung zunehmend wie ein reguläres Unternehmen funktioniert.

Phishen mit KI

Die folgenreichste Entwicklung in der aktuellen Ransomware-Landschaft ist der Einsatz künstlicher Intelligenz (KI) durch Angreifer. Mithilfe von KI lassen sich täuschend echte Phishing-Kampagnen in großem Umfang erstellen, Schwachstellen automatisiert identifizieren, laterale Bewegungen innerhalb von Netzwerken beschleunigen und neue Malware-Varianten entwickeln, die klassische signaturbasierte Schutzmechanismen umgehen können.

To pay or not to pay …

Die Frage, ob im Fall eines Ransomware-Angriffs Lösegeld gezahlt werden sollte, beantworten viele CISOs inzwischen mit „ja“. Laut der aktuellen Umfrage The Ransomware Reality: Zero Days to Recover unter 750 CISOs aus den Vereinigten Staaten und dem Vereinigten Königreich ziehen 58 Prozent in Betracht, auf die Forderungen von Cyberkriminellen einzugehen, um einen Angriff zu beenden. Gleichzeitig sehen 46 Prozent der Befragten Betriebsunterbrechungen als die gravierendste mögliche Folge eines Ransomware-Vorfalls für ihr Unternehmen an.

Am Anfang steht der Endpunkt

Die Sorge vor Ransomware hängt eng mit der Frage zusammen, über welche Wege Angriffe heute erfolgen und wo sie den größten Schaden anrichten. Da mittlerweile viele Mitarbeiter vollständig remote arbeiten oder hybride Arbeitsmodelle nutzen, haben sich verteilte Endgeräte zu einer zentralen Angriffsfläche entwickelt.

55 Prozent der befragten CISOs berichteten, dass ihr Unternehmen innerhalb der vergangenen zwölf Monate von einem schwerwiegenden Cyberangriff oder Sicherheitsvorfall betroffen war, der Endgeräte außer Betrieb setzte. Im Durchschnitt dauerte die kostenintensive Wiederherstellung fünf Tage, in einzelnen Fällen sogar bis zu zwei Wochen. Keinem der befragten Unternehmen gelang eine vollständige Wiederherstellung innerhalb von 24 Stunden.

Besonders deutlich wird die Problematik beim Blick auf konkrete Ransomware-Fälle: 57 Prozent der CISOs gaben an, dass der Angriff über ein mobiles, remote genutztes oder hybrides Endgerät seinen Ausgang nahm. Gelangt Ransomware über ein solches Gerät in die Unternehmensumgebung, führt dies häufig zum Ausfall des betroffenen Systems – insbesondere dann, wenn keine integrierten Resilienz- und Schutzmechanismen auf Geräteebene vorhanden sind.

Backup ja – aber nicht exklusiv

Die eingangs beschriebene doppelte Erpressung, also die Kombination aus Datenverschlüsselung und dem Diebstahl sensibler Informationen, ist inzwischen zum Standardvorgehen vieler Angreifer geworden. Zunehmend verbreitet sind zudem sogenannte Dreifach-Erpressungen, bei denen zusätzlich DDoS-Angriffe durchgeführt oder gezielt Kunden und Geschäftspartner der betroffenen Organisation unter Druck gesetzt werden. Durch diese mehrstufigen Angriffsmethoden reicht eine reine Wiederherstellung aus Backups heute nicht mehr aus, auch wenn sie weiterhin ein zentraler Bestandteil der Reaktion bleibt.

Für Sicherheitsverantwortliche bedeutet diese Entwicklung, ihre bisherigen Strategien neu auszurichten. Unternehmen mit der höchsten Widerstandsfähigkeit gegen Ransomware sind nicht zwangsläufig jene mit den komplexesten Erkennungs- und Präventionslösungen. Entscheidend ist vielmehr die Fähigkeit, Angriffe operativ zu verkraften, Ausfälle zu begrenzen und geschäftskritische Systeme schnell wiederherzustellen, bevor die Auswirkungen eines Angriffs das Unternehmen umfassend beeinträchtigen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Methodik

Zur Erstellung des Berichts „The Ransomware Reality: Zero Days to Recover“ führte Absolute Security in Zusammenarbeit mit Censuswide eine unabhängige Umfrage unter 750 CISOs durch: 500 in den Vereinigten Staaten und 250 im Vereinigten Königreich. Die Befragten stammen aus Großunternehmen mit 5.000 oder mehr Mitarbeitern. Die Umfrage wurde im November 2025 abgeschlossen und lieferte Erkenntnisse von Führungskräften aus sieben verschiedenen Bereichen: Gesundheitswesen, Finanzdienstleistungen, Bildung, Öffentlicher Sektor, Einzelhandel, Fachdienstleistungen und Energie.

Zum Report

Über den Autor: Thomas Lo Coco ist Regional Sales Director Central Europe bei Absolute Security.

(ID:50891860)