Thought Leadership
Während 2024 als das Jahr der Rückkehr der Ransomware galt, verschob sich der Fokus im Jahr 2025 deutlich: Cyberkriminelle greifen zunehmend nicht mehr nur Netzwerke, sondern gezielt persönliche und berufliche Identitäten an.
Angriffe, die früher auf den Verschlüsselungsmechanismus von Daten setzten, nutzen heute Identitätsdiebstahl, Deepfakes und KI-gestützte Manipulationen, um Zugang zu internen Systemen zu erhalten.
Künstliche Intelligenz hat Phishing und Social Engineering auf ein neues Niveau gehoben. Stimmenklone, gefälschte Bewerbungsgespräche und KI-generierte E-Mails wirken authentisch genug, um selbst geschulte Fachkräfte zu täuschen. Der jährliche Malware-Bericht des Sicherheitsunternehmens OpenText zeigt, dass Ransomware im Jahr 2025 seltener auf rohe Verschlüsselung setzt, dafür aber gezielter agiert und strategischen Druck über gestohlene Daten ausübt.
Ransomware wird zur Industrie
Laut der OpenText-Analyse prägten sechs Gruppen das Jahr 2025 besonders stark. Sie stehen exemplarisch für eine Professionalisierung der kriminellen Szene, die zunehmend wie ein industrielles Ökosystem funktioniert.
Die Gruppe Qilin, auch bekannt als Agenda, verantwortete über 200 Angriffe auf Gesundheitseinrichtungen und Kommunen. Eine integrierte Chatfunktion in ihrem Kontrollzentrum erlaubte sogar direkte Verhandlungen zwischen Opfern und Erpressern. Damit standardisierte Qilin den Erpressungsprozess und machte selbst unerfahrene Täter zu „Dienstleistern“.
Akira setzte ihren Fokus auf finanzstarke Unternehmen und IT-Dienstleister. Die Gruppe nutzt bekannte VPN-Schwachstellen und bietet ihren Partnern klare Abläufe, Preisstrukturen und technische Unterstützung. Das Vorgehen erinnert eher an ein Unternehmen als an eine lose Hackervereinigung.
Scattered Spider wiederum perfektionierte die Manipulation von Identitäten. Mit Deepfake-Stimmen und gefälschten Kommunikationsprofilen infiltrierte die Gruppe Großunternehmen. Trotz Festnahmen im Herbst 2025 arbeiten Nachfolger mit ähnlichen Methoden weiter.
Tarnung, Täuschung und technischer Feinschliff
Besonders zerstörerisch agierte die Gruppe Play Ransomware, die mehr als 900 Dienstleister kompromittierte. Sie nutzte eine intermittierende Verschlüsselung, bei der nur Teile von Dateien betroffen sind. Dadurch verkürzte sich die Angriffszeit, während herkömmliche Schutzprogramme kaum reagierten.
ShinyHunters spezialisierte sich auf die Infiltration von Cloud-Plattformen großer Konzerne. Ihre Angriffe auf internationale Marken wie Google oder Salesforce zeigen, wie eng Cyberangriffe inzwischen mit gesetzlichen Meldepflichten verflochten sind. In Europa veröffentlichte die Gruppe gestohlene Daten oft parallel zu offiziellen DSGVO-Meldungen – ein gezielter Schlag gegen das Vertrauen in die betroffenen Unternehmen.
Die Malware Lumma Stealer gilt schließlich als zentrales Werkzeug vieler Ransomware-Kampagnen. Sie sammelt Anmeldedaten und Zugriffstoken, die anschließend im Darknet gehandelt und von anderen Gruppen weiterverwendet werden. In Kombination mit gefälschten Systemmeldungen oder angeblichen Sicherheitswarnungen verleitet Lumma Nutzer zur Ausführung infizierter Befehle – eine gefährliche Mischung aus Psychologie und Technik.
Ransomware bleibt lukrativ
Trotz verstärkter Schutzmaßnahmen und wachsender Weigerung vieler Unternehmen, Lösegeld zu zahlen, bleibt Ransomware ein äußerst profitables Geschäft. Die Forderungen haben sich auf hohem Niveau stabilisiert, und professionell organisierte Gruppen erzielen weiterhin Millionenbeträge durch ausgehandelte Vergleiche.
Die zunehmende Professionalisierung zeigt sich auch in der Infrastruktur: klare Rollenverteilungen, Kundenportale und sogar Supportstrukturen für Partnergruppen. Ransomware hat sich von einem technischen Angriff zu einem umfassenden Geschäftsmodell entwickelt.
Was jetzt zählt
Für die Verteidigung gegen diese Entwicklung sind bekannte Prinzipien entscheidend: konsequente Software-Updates, belastbare Backup-Strategien, starke Zugangskontrollen und Schulungen im Umgang mit Social Engineering. Entscheidend ist, diese Maßnahmen nicht nur zu kennen, sondern sie konsequent im Arbeitsalltag zu verankern.
Unternehmen, die technische Sicherheit mit menschlicher Wachsamkeit kombinieren, reduzieren ihre Angriffsfläche deutlich. Die Angriffe des Jahres 2025 machen klar: Die größte Schwachstelle liegt selten in der Hardware, sondern in der Identität hinter dem Bildschirm.
