Thought Leadership
Ransomware-Attacken stellen weiterhin eine erhebliche Gefahr für Unternehmen in Deutschland, Österreich und der Schweiz dar.
Bis September 2025 wurden in Deutschland 268 Ransomware-Angriffe registriert, damit übertrifft die Zahl bereits die Gesamtangriffe des Jahres 2024. In der Schweiz wurden 47 und in Österreich 24 Angriffe gezählt. Die Bedrohung ist jedoch nicht nur auf die eigentlichen Attacken beschränkt: Tausende kompromittierte Konten und offene Datenbanken im Darknet bilden die Grundlage für gezieltes Cyber-Profiling.
Darknet als organisierter Marktplatz
Viele Angriffe beginnen im Darknet, wo Cyberkriminelle Zugangsdaten, Malware oder komplette Angriffspakete handeln. Das Darknet funktioniert inzwischen wie ein Markt mit klaren Rollen: Initial Access Broker verkaufen kompromittierte Zugänge, andere Gruppen übernehmen die Ausführung von Verschlüsselungsangriffen oder bieten fertige Ransomware-as-a-Service-Lösungen an. Diese Arbeitsteilung ermöglicht auch technisch weniger versierten Akteuren effektive Angriffe.
Kompromittierte Konten als Grundlage für Angriffe
Obwohl die Zahl der kompromittierten Accounts in der DACH-Region rückläufig ist – Deutschland: rund 1,97 Millionen, Österreich: 322.671, Schweiz: 254.655 – bleiben sie für Angreifer wertvoll. Stealer-Logs mit Passwörtern oder Cookies werden dort bereits für wenige Dollar gehandelt. Selbst einzelne ungesicherte Konten können als Einstiegspunkt für größere Angriffe dienen.
Exponierte Datenbanken und Cyber-Profiling
Neben Zugangsdaten spielen ungesicherte Datenbanken eine wichtige Rolle. In Deutschland wurden bisher 118 Fälle offener Datenbanken gemeldet, in der Schweiz 5 und in Österreich 8. Cyberkriminelle kombinieren diese Daten mit bereits bekannten Leaks, um umfassende digitale Profile von Unternehmen zu erstellen. Diese Profile ermöglichen präzise Phishing-Attacken, Credential-Stuffing oder andere zielgerichtete Angriffe.
Digitale Angriffsfläche überwachen
Eine wirksame Abwehr beginnt bereits vor der Attacke. Lösungen wie Kaspersky Digital Footprint Monitoring helfen Unternehmen, ihre digitale Präsenz aus der Sicht potenzieller Angreifer zu analysieren. Dabei werden Informationen aus öffentlichen Quellen, Deep Web und Darknet berücksichtigt. Gefährdete Konten, exponierte Datenbanken, Phishing-Domains oder Sicherheitslücken werden so frühzeitig sichtbar. Unternehmen können Risiken priorisieren, bewerten und beseitigen, bevor sie ausgenutzt werden.
Fazit
Ransomware und Cyber-Profiling im Darknet zeigen deutlich: Die Bedrohung beginnt lange vor der eigentlichen Attacke. Kontinuierliche Überwachung der digitalen Angriffsfläche, das Schließen von Sicherheitslücken und frühzeitiges Erkennen kompromittierter Konten sind entscheidend, um Unternehmen vor den immer raffinierteren Angriffsmethoden zu schützen.
