Thought Leadership
Was früher nach Gelegenheitskriminalität aussah, hat sich zu einem professionellen Markt entwickelt.
Forschende und Sicherheitsexperten, darunter Ayman El Hajjar von der University of Westminster, beobachten: Ransomware-Banden arbeiten heute nach klaren Geschäftsprinzipien — inklusive Spezialisierung, Arbeitsteilung und Kundenservice. Malware, Zugangsdaten, Botnets und Erpressungsdienste werden angeboten, vermietet oder im Paket verkauft. Aus einzelnen Attacken ist eine Industrie entstanden (via Pressetext).
Die Akteure und ihre Rollen
Das kriminelle Ökosystem ist arbeitsteilig aufgebaut. Einige Gruppen schreiben Schadsoftware, andere bieten sie als Service an (Ransomware-as-a-Service). Initial Access Brokers verschaffen den ersten Zutritt zu Unternehmensnetzwerken und verkaufen diesen Zugang weiter. Wieder andere übernehmen die Verschlüsselung, die Lösegeldforderung oder den Vertrieb gestohlener Daten. Selbst Zahlungsabwicklung und Support für unerfahrene Nachahmer gehören zum Angebot. Dieses Modell senkt die Eintrittsbarrieren — auch technisch weniger versierte Täter können so schwere Angriffe starten.
Das System ist profitabel und vergleichsweise risikoarm für die Beteiligten: Gewinne werden geteilt, Aufwand und Fachwissen verteilt. Erpresserische Erträge sind hoch, Schutz- und Abschreckungsmaßnahmen noch nicht überall wirksam genug. Gleichzeitig sorgt die mediale Berichterstattung bisweilen für eine falsche Verharmlosung oder gar Verherrlichung von Hackern, was das Problem zusätzlich verschärft.
Konkrete Folgen für Wirtschaft und Gesellschaft
Ransomware greift nicht nur IT-Systeme an — sie trifft Geschäftsprozesse, Lieferketten und kritische Infrastruktur. Ausfallzeiten, Reputationsverlust und hohe Wiederherstellungskosten sind die unmittelbaren Folgen. Langfristig gefährdet ein florierender Untergrundmarkt das Vertrauen in digitale Geschäftsmodelle und erhöht die Gesamtkosten für Sicherheit und Compliance.
Was Unternehmen jetzt tun sollten
Zahlreiche einfache und wirkungsvolle Maßnahmen reduzieren das Risiko deutlich:
- Regelmäßige, getestete Backups und klare Wiederherstellprozesse
- Netzwerksegmentierung und Least-Privilege-Prinzipien
- Multi-Faktor-Authentifizierung und starke Zugangskontrollen
- Zeitnahe Patch- und Konfigurations-Management-Prozesse
- Monitoring, EDR/XDR-Lösungen und Threat-Hunting-Kapazitäten
- Schulungen gegen Social-Engineering und Phishing
- Notfallpläne, die auch juristische und kommunikative Aspekte umfassen
Wichtig ist zudem die Zusammenarbeit mit Strafverfolgung und Sicherheits-Communities sowie Transparenz gegenüber Partnern und Kunden.
Lösegeld: keine einfache Entscheidung
Experten warnen davor, Lösegeld als Standardlösung anzusehen. Bezahlen kann kurzfristig Betrieb wiederherstellen, stärkt aber das Geschäftsmodell der Täter und finanziert weitere Angriffe. Stattdessen sollten Unternehmen Prävention, Resilienz und schnelle Wiederherstellung priorisieren — als nachhaltige Alternative zu Zahlungen.
Ransomware ist längst kein Hobbykriminalitätsphänomen mehr, sondern eine industrielle Branche mit Marktmechanismen. Das macht sie besonders gefährlich, aber auch bekämpfbar: Mit proaktiver Cyberhygiene, geeigneter Technik, klaren Prozessen und Kooperation lässt sich das Risiko deutlich senken — und das wirtschaftliche Überleben sichern.
