Angriffe mit Ransomware sind auf einem neuen Langzeithoch. So verursachten entsprechende Attacken im Jahr 2020 geschätzte Schäden in Höhe von rund 20 Milliarden US-Dollar. Hauptgrund dafür war, dass Millionen Arbeitnehmer sich – in den meisten Fällen aufgrund von Lockdowns und anderen Maßnahmen zur Eindämmung der Corona-Pandemie – aus schlecht gesicherten Heimnetzwerken bei Unternehmens- und Regierungsnetzen anmeldeten und so Cyberkriminellen Tür und Tor öffneten. Dabei wird es immer schwieriger, Schadsoftware wirklich von wichtigen Ressourcen fern zu halten.
Zero Trust und verwandte Security-Strategien eignen sich optimal dafür, die Schäden zu minimieren, die Ransomware und andere Schadprogramme anrichten können.
Angesichts der wachsenden Bedrohung durch Ransomware müssen die Verantwortlichen in den Unternehmen aktuell oftmals auf die harte Tour lernen, wie durchtrieben Hacker mittlerweile sind. Denn obwohl sie ihre Sicherheitsfachleute nach bestem Wissen und Gewissen unterstützen, sehen die sich immer ausdauernderen Angreifern, Schwachstellen in den eigenen Cybersicherheitsmaßnahmen und stetig steigenden Kosten für Datenwiederherstellungen nach Angriffen gegenüber.
Ransomware ist eine eigene Industrie
Die sich am schnellsten ausbreitende aller Malwares, Ransomware, ist immer lukrativer, schwer zu verfolgen und einfach zu handhaben. Tatsächlich bieten Cyberkriminelle Hackern mittlerweile Ransomware als Service an, damit selbst Personen mit geringen technischen Kenntnissen einfach Angriffe starten können.
Ransomware-Angreifer wählen ihre Ziele strategisch aus. Dazu gehören medizinische Einrichtungen, in denen Leben auf dem Spiel stehen und die daher unter Druck gesetzt werden können, für eine schnellere Wiederherstellung zu zahlen. Ein weiteres beliebtes Ziel sind Anbieter von Managed Services, die mit großen Kundenorganisationen mit riesigen Speichern wertvoller Daten vernetzt sind. Regierungsbehörden sind ebenfalls attraktiv, da sie oft über alte, leicht zu infiltrierende Systeme und wenig IT-Personal verfügen. Auch Finanzinstitute stellen für Angreifer eine wahre Goldgrube dar, da sie über wertvolle Vermögenswerte und Bankkonto-, Sozialversicherungs- und Routing-Nummern verfügen. Allerdings ist keine Branche wirklich immun.
Angreifer arbeiten effizient, indem sie Software außerhalb der normalen Geschäftszeiten und an Wochenenden einsetzen, wenn das Personal unterbesetzt und möglicherweise weniger wachsam ist. Ransomware-Angreifer haben ihre durchschnittliche „Verweildauer“ – die Zeitspanne zwischen dem Eindringen und dem Einsatz der Ransomware – erhöht, um unerkannt im Netzwerk umherzustreifen, weitere Geräte zu beschädigen und Daten zu entdecken und möglicherweise zu exfiltrieren. Und sie haben ihre „Pausenzeit“ reduziert - die Zeit zwischen dem Einbruch und dem Zeitpunkt, an dem sie sich seitwärts im Netzwerk bewegen können.
Perimetersicherheit reicht nicht
Führungskräfte neigen dazu, ihrem Schutz vor Ransomware zu vertrauen, weil sie in der Vergangenheit in die Cybersicherheit investiert haben. Jahrelang haben sie viel Geld für die Absicherung des Perimeters ausgegeben, um den Missbrauch ihres Netzwerks und ihrer Daten zu verhindern.
Aber das reicht längst nicht mehr. Schließlich waren an 34 % der Datenverletzungen interne Akteure beteiligt. Und deutsche Unternehmen waren im vergangenen Jahr besonders häufig Ziele von Cyber-Kriminellen – vor allem aufgrund pandemiebedingter Entwicklungen: So brachten die Einschränkungen rund um Covid-19 eine neue Kategorie von Phishing-Zielen hervor – unvorsichtige Mitarbeiter, die von zu Hause aus arbeiten und ihren Rechner mit dem Firmennetzwerk verbinden. Dies ist problematisch, vor allem wenn man die Kosten für erfolgreiche Phishing-Attacken bedenkt – die bereits 2018 Milliarden von Dollar betrugen.
Abgesicherte Perimeter müssen durch grundlegende Maßnahmen ergänzt werden, die den Schaden im nicht unwahrscheinlichen Fall eines Eindringens begrenzen. So sollten Verantwortliche:
Endpunkte sowohl „on Premise“ als auch in der Cloud tarnen, um Assets für „Bad Actors“ unauffindbar zu machen. Dadurch werden diese Assets vor Hackern versteckt, die auf der Suche nach verwundbaren Zielen sind. Im Rahmen einer Zero-Trust-Strategie lassen sich hier sogenannte COIs (Communities of Interest) definieren, innerhalb derer auf Grundlage einer „Need to Know“-Basis Geräte definiert werden. Alle Geräte außerhalb einer bestimmten COI sind dabei immer komplett unsichtbar. Gibt es hingegen einen regulären Authentifizierungsmechanismus (selbst wenn es sich dabei um eine vermeintlich sichere Zwei-Faktor-Authentifizierung handelt), steht einem Angreifer nach erfolgreichem Login das komplette Netzwerk offen.
Verbindungen per Ende-zu-Ende-Verschlüsselung absichern. Das stellt die Integrität und Vertraulichkeit der Daten sicher und reduziert die verfügbare Angriffsfläche.
„Bad Actors“, die sich Zugang zum Firmennetzwerk verschafft haben, möglichst schnell erkennen und eindämmen, bevor Ransomware eingeschleust werden kann und weitere Endpunkte kompromittiert werden können. Mikroperimeter helfen dabei, indem sie kritische Daten-Workloads isolieren, sie schützen, wenn sie in Bewegung sind, und Eindringlinge daran hindern, sich lateral innerhalb des Netzwerks zu bewegen, wenn der äußere Perimeter einmal durchdrungen ist. Im Idealfall gibt es dabei, auch basierend auf einem SIEM (Security Information and Event Management), einen Automatismus, der Geräte innerhalb von Sekunden isoliert, sobald diese unerwartete Verhaltensweisen zeigen.
Die Erholung nach einer Ransomware-Attacke ist teuer und heikel
Ransomware-Angriffe können Systeme lahmlegen, Kunden verärgern, den Ruf eines Unternehmens schädigen, Datenlecks verursachen und Verantwortliche vor die Entscheidung stellen, ob sie das Lösegeld zahlen sollen oder nicht – eine schwierige Abwägung für die meisten Unternehmen.
Manchmal ist der Druck immens, dennoch raten die meisten Experten davon ab, auf die Forderungen der Erpresser einzugehen. Die Zahlung eines Lösegelds ermutigt die Kriminellen nur und macht Unternehmen noch anfälliger für weitere Angriffe. Außerdem kann es sein, dass Angreifer mit terroristischen Organisationen in Verbindung stehen. In diesem Fall könnte die Zahlung des Lösegelds sogar mit einer Geldstrafe geahndet werden. Zu guter Letzt gibt es auch keinerlei Gewähr, dass die Zahlung des Lösegelds den Zugriff auf die Daten tatsächlich wiederherstellt.
Selbst wenn Unternehmen zahlen, ist ihr IT-Team möglicherweise nicht in der Lage, die betroffenen Geräte einfach neu zu sichern. Bei neuerer Ransomware kann die Malware auf der Hardware-Ebene verbleiben, zusammen mit ihrer Fähigkeit, erneut zu korrumpieren. Das bedeutet, dass Unternehmen zusätzliche Server und Hardware zur Verfügung haben müssen, um die betroffenen Geräte auszutauschen.
Und selbst Backups könnten durch neuartige Ransomware beschädigt werden. Um sich dagegen zu schützen, sollten Verantwortliche auf eine sogenannte "goldene Wiederherstellung" setzen, die es ermöglicht, im schlimmsten Fall innerhalb weniger Stunden eine Wiederherstellung auf Bare Metal durchzuführen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Und was ist, wenn Unternehmen nicht zahlen? Haben sie die Backup-Dateien und die Ressourcen, um eine mühsame und zeitaufwendige Wiederherstellung durchzuführen? Haben sie eine Möglichkeit, die Server, Laptops, Tablets und anderen Endpunkte neu zu beschaffen, damit ihre Mitarbeiter schnell wieder online gehen können?
Sind ihre Sicherheitsteams, ihre Incident-Response-Teams und ihre Sicherheitsanbieter der ständigen Herausforderung gewachsen, ihr Netzwerk vor der nächsten Attacke widerstandsfähiger zu machen? Werden sie das Vertrauen ihrer Kunden verlieren? Wird ihre Marke auf dem Markt unter der unerwünschten Publicity leiden, die diese großen Angriffe mit sich bringen?
Dies sind die erschreckenden Ungewissheiten und Kosten, mit denen Unternehmen konfrontiert werden, wenn sie von Ransomware betroffen sind. Daher sollten Verantwortliche sich darüber im Klaren sein, dass sie eine Wiederherstellung nach einem Angriff wesentlich teurer zu stehen kommt, als im Vorfeld in Sicherungsmaßnahmen zu investieren, um im Ernstfall besser gewappnet zu sein.
Generell lässt sich sagen, dass gerade Zero Trust und verwandte Security-Strategien sich optimal dafür eignen, die Schäden zu minimieren, die Ransomware und andere Schadprogramme anrichten können. Denn gerade Maßnahmen wie COIs, Mikrosegmentierung und -perimeter sorgen dafür, dass Angreifern sprichwörtlich die Puste ausgeht, bevor sie echten Schaden verursachen können.
Über den Autor: Martin Ninnemann ist Director Business Development DACH – Security bei Unisys.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/dd/3b/dd3ba883d41b1bf4523b7040c157f133/0123358480v2.jpeg "Cyberangriffe werden sich niemals ganz vermeiden lassen und irgendwann trifft es jeden. Entscheidend ist dann, wie gut Unternehmen auf den Ernstfall vorbereitet sind. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/95/6495b1577cfbf797b3d3e7e411672fa0/0123108871v1.jpeg "Unternehmen verlassen sich oft auf regelmäßige Backups als Schutz vor Ransomware, aber Cyberkriminelle haben ihre Strategie angepasst. (Bild: Art_spiral - stock.adobe.com)")