Thought Leadership
Am 12. Mai fand der Anti-Ransomware-Tag statt, eine von INTERPOL und Kaspersky ins Leben gerufene globale Sensibilisierungsinitiative, die an eine der erfolgreichsten Cyber-Attacken der Geschichte erinnert: die WannaCry-Attacke im Jahr 2017.
Innerhalb weniger Stunden fegte die Ransomware-Kampagne über den Globus, legte Krankenhäuser in Großbritannien lahm, stoppte Produktionsstraßen und unterbrach wichtige Dienste auf fast allen Kontinenten.
WannaCry war ein Wendepunkt. Die Ransomware zeigte, wie unvorbereitet selbst die fortschrittlichsten Systeme waren. Aber so schädlich dieser Angriff auch gewesen ist, er war nur ein Prolog.
Im Jahr 2025 ist die Bedrohungslandschaft wesentlich komplexer. Die Ransomware-Gruppen operieren eher wie digitale Kartelle als wie einzelne Hacker. Ihre Werkzeuge sind schärfer, ihre Ziele strategischer und ihre Taktiken von künstlicher Intelligenz durchdrungen. Anlässlich des diesjährigen Anti-Ransomware-Tags blicken wir nicht nur in die Vergangenheit, sondern schlagen auch Alarm für die Zukunft.
Von digitalem Vandalismus zu kriminellen Unternehmungen
Die Entwicklung von Ransomware ist eine ständige Neuerfindung. Was als plumpe Lock-and-Demand-Malware begann, hat sich zu mehrstufigen Erpressungsunternehmungen entwickelt. Die Angreifer verschlüsseln nicht mehr nur Daten – sie stehlen sie, lassen sie durchsickern und machen sie zu Druckmitteln. Allein im 1. Quartal 2025 wurden laut Check Point Research 2289 Ransomware-Opfer auf Datenleck-Seiten aufgelistet – ein Anstieg um 126 Prozent im Vergleich zum Vorjahr.
Neue Maschen von vertrauten Tätern
Die Cl0p-Gruppe, eine der aktivsten Ransomware-Banden, hat sich weitgehend von der Dateiverschlüsselung wegbewegt auf reine Datenerpressung verlagert. Ihre frühe Kampagne aus dem Jahr 2025, die auf die Dateiübertragungsplattform Cleo abzielte, kompromittierte mehr als 300 Unternehmen – 83 Prozent der Opfer sitzen in Nordamerika, insbesondere in der Fertigung und Logistik.
Mit diesen neuen Strategien können Cyber-Kriminelle eine Entdeckung besser vermeiden, Abwehrmaßnahmen umgehen und den psychologischen Druck auf die Opfer erhöhen. Wir erwarten, dass in den kommenden Monaten noch aggressivere Dreifach-Erpressungsmodelle auftauchen werden, die DDoS-Angriffe, gestohlene Daten und direkte Einschüchterung der Opfer durch Anrufe oder E-Mails an Kunden und Geschäftspartner kombinieren werden.
Ransomware-as-a-Service: Verbrechen der Profiklasse
Die Einstiegshürde für Ransomware ist gefallen. Ransomware-as-a-Service-(RaaS)-Modelle haben die Bedrohung industrialisiert, vereinfacht und die Cyber-Kriminalität in ein skalierbares Geschäft verwandelt. Jeder kann sich nun Ransomware im Baukastensatz mieten. Im Fall der jüngst von uns untersuchten Ransomware DragonForce kann der Mieter sogar einen Blanko-Bausatz erwerben und selbst etikettieren, um seine eigene Ransomware-Marke aufzubauen.
Im Jahr 2024 kamen 46 neue Ransomware-Gruppen ins Spiel – ein Anstieg von 48 Prozent gegenüber dem Vorjahr, angetrieben durch Plug-and-Play-Kits, Partnerprogramme und sogar Kundensupport-Portale.
Der Aufstieg von RansomHub
An der Spitze der Charts steht RansomHub, das für 531 bekannte Angriffe verantwortlich ist und damit sogar das berüchtigte LockBit übertrifft. Diese Gruppen spiegeln Startups wider – agil, kundenorientiert und beunruhigend effektiv.
Ihre Toolkits umfassen jetzt Dashboards, Telemetrie-Analysen und Lokalisierungsfunktionen. Es geht also nicht nur um Cyber-Kriminalität, sondern um Cybercommerce.
Der KI-Faktor: Ein Trumpf für Angreifer
2025 ist das Jahr, in dem KI in vollem Umfang in das Arsenal der Ransomware Einzug hält.
- KI-generierte Phishing-Köder, die Schreibstile und Sprachen imitieren.
- Benutzerdefinierte Malware wird mit generativen KI-Tools wenigen Minuten erstellt.
- Deepfake-Imitationen von Führungskräften, die bei BEC-Angriffen (Business Email Compromise) verwendet werden.
- Verwendung legitimer IT-Tools zur unbemerkten Deaktivierung von Sicherheitskontrollen bei Einbrüchen.
Hacker-Gruppierungen wie FunkSec machen sich diese Fähigkeiten bereits zunutze, um Entwicklungszyklen zu optimieren und Angriffe auszuweiten. In einer Kampagne nutzten die Angreifer KI-generierten Code, um die EDR-Erkennung zu umgehen, indem sie legitime Skripte aneinanderreihten, welche die Verhaltensanalyse-Engines umgingen.
Wir erleben also gerade die industrielle Revolution von Ransomware. KI macht es einfacher als je zuvor, Ransomware-Angriffe anzupassen, einzusetzen und zu skalieren – und die Auswirkungen sind nicht mehr nur technischer Natur. Sie sind operativ, finanziell und rufschädigend geworden. Unsere Sicherheitsforscher rechnen mit zwei bis drei groß angelegten Ransomware-Angriffen auf eine Lieferkette im Jahr 2025, bei denen KI nicht nur für die Erstellung der Nutzlast, sondern auch für die Automatisierung von Seitwärtsbewegungen, die Priorisierung von Zielen und sogar die Aushandlung des Lösegelds eingesetzt werden wird.
Desinformation und digitale Erpressung
Die psychologische Manipulationsebene von Ransomware ist genauso gefährlich geworden wie die Malware selbst.
Es gibt Banden, wie Babuk-Bjorka, die sich eine beunruhigende Taktik zu eigen gemacht haben: Sie veröffentlichen gefälschte oder recycelte Datenlecks, um ihre Glaubwürdigkeit zu erhöhen und Zahlungen von Leuten zu erzwingen, die in Wirklichkeit gar nicht betroffen sind. Dies verwirrt die Zuordnung, überfordert die Einsatzkräfte und untergräbt das Vertrauen in die Berichterstattung über Cyber-Attacken. Eine Ära der Fake-Hacks bricht an, in der die Wahrnehmung genauso schädlich sein kann wie die Realität.
Eine globale Bedrohung mit lokalen Folgen
Laut unserem External Risk Management (ERM) 2024 Annual Ransomware Report ergibt sich folgendes Lagebild:
- Die Vereinigten Staaten von Amerika blieben mit 50,2 Prozent aller Fälle das am häufigsten betroffene Land.
- In Indien stieg die Zahl der Ransomware-Angriffe im Vergleich zum Vorjahr um 38 Prozent – angetrieben von der raschen Digitalisierung, der Einführung hybrider Arbeitsformen und Lücken in der Infrastruktur.
- Zu den am stärksten betroffenen Branchen gehören Unternehmensdienstleistungen, die verarbeitende Industrie und der Einzelhandel – Sektoren, die operativ empfindlich und oft nicht ausreichend vorbereitet sind.
Wie man sich gegen moderne Ransomware wappnen kann
Die Zeiten, in denen man sich ausschließlich auf Backups und Patch-Zyklen verlassen konnte, sind vorbei. Um den heutigen Ransomware-Akteuren zuvorzukommen, müssen Unternehmen ihre Verteidigung überdenken:
Fünf schnelle Maßnahmen für CISOs:
- Zero Trust als Architektur: Einschränken von Querbewegungen, standardmäßig nichts und niemandem vertrauen und alles überprüfen.
- Härtung der Lieferkette: Kontinuierliche Prüfung der Risiken, die von Dritten ausgehen und stets bedenken, dass Partner Einfallstore sein können.
- Einsatz einer KI für die Cyber-Abwehr: KI-gestützte Bedrohungserkennung, SOC-Automatisierung und Echtzeit-Priorisierung nutzen, um Angriffen zuvorzukommen.
- Vorbereitung auf Datenerpressung: Alles an jedem Standort verschlüsseln und verstehen, was an Datensätzen wirklich sensibel ist. Den Ernstfall durchspielen.
- Anpassen an Cyber-Versicherung und Compliance: Sicherstellen, dass die Dokumentation und Kontrolle den jüngsten Standards entspricht, da die weltweiten Vorschriften und Anforderungen der Versicherungsgeber immer strenger werden.
Fazit
Ransomware-Angriffe dauern jetzt länger an, schlagen härter zu und hinterlassen tiefere Narben. Ransomware ist nicht mehr nur ein technologisches Problem – es ist ein Thema für die Vorstandsetage, denn es geht um betriebliche Kontinuität, Vertrauen und Widerstandsfähigkeit. Führungskräfte müssen Cyber-Sicherheit genauso behandeln wie rechtliche Risiken oder finanzielle – als nicht verhandelbaren Teil der Geschäftstätigkeit. Die Ransomware-Bedrohung ist weit über ihre Ursprünge aus dem Jahr 2017 hinaus gereift. Der Anti-Ransomware-Tag sollte daher dazu dienen, um sich einen Moment Zeit zu nehmen, über Schritte nachzudenken, die verhindern, dass man wegen einer künftigen Attacke in den Schlagzeilen der Zeitungen landet.
