Ransomware
Ransomware ist Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Entsperrung ein Lösegeld fordert. Sie ist eine der kostspieligsten Cyberbedrohungen weltweit.
Inhaltsverzeichnis (6 Abschnitte)
Ransomware ist eine Kategorie von Schadsoftware (Malware), die darauf ausgerichtet ist, Dateien oder gesamte Systeme zu verschlüsseln und anschließend ein Lösegeld (Ransom) für den Entschlüsselungsschlüssel zu fordern. Moderne Ransomware-Gruppen operieren mit professionellen Unternehmensstrukturen, Support-Teams und sogar SLA-Garantien für die Entschlüsselung nach Zahlung.
Geschichte
1989 - AIDS Trojan (PC Cyborg) Die erste dokumentierte Ransomware verbreitete sich per Diskette auf AIDS-Forschungskonferenzen. Sie verschlüsselte Dateinamen und forderte $189 an eine Postfachadresse in Panama.
2013 - CryptoLocker Beginn der modernen Ransomware-Ära. CryptoLocker nutzte erstmals starke RSA-2048-Verschlüsselung und Bitcoin für anonyme Zahlungen. Innerhalb weniger Monate wurden mehrere Millionen Dollar erpresst.
2017 - WannaCry Die bislang verheerendste globale Ransomware-Attacke. WannaCry nutzte den NSA-Exploit EternalBlue für die SMB-Protokollschwachstelle (CVE-2017-0144) und infizierte binnen Stunden über 200.000 Systeme in 150 Ländern - darunter den britischen NHS und die Deutsche Bahn.
2017 - NotPetya Technisch als Ransomware getarnt, aber tatsächlich ein Wiper (Sabotage). NotPetya verursachte laut Schätzungen Schäden von über $10 Milliarden - der teuerste Cyberangriff der Geschichte.
2019-heute - Ransomware-as-a-Service (RaaS) Professionalisierung des Geschäftsmodells: Entwickler (Core Teams) stellen ihre Ransomware-Plattformen an Affiliates bereit, die die eigentlichen Angriffe durchführen und einen Anteil (typisch 20-30%) der Lösegelder zahlen.
Technischer Ablauf eines Ransomware-Angriffs
Schritt 1: Initial Access
Häufigste Einfallstore:
- Phishing-E-Mails mit Malware-Anhängen oder Links zu Drive-by-Downloads
- Ausnutzung öffentlicher Dienste: RDP-Ports (3389), VPN-Gateways mit bekannten Schwachstellen
- Kompromittierte Zugangsdaten: Gekaufte oder geleakte Credentials für VPNs und Remote-Zugangs-Systeme
- Supply-Chain-Kompromittierung: Angriff über Software-Updates (wie bei SolarWinds)
Schritt 2: Persistence und Privilege Escalation
Nach dem initialen Zugang etablieren Angreifer persistente Backdoors und eskalieren ihre Rechte auf Domänenadministrator-Niveau. Dies geschieht typisch über:
- Ausnutzung von Active-Directory-Schwachstellen (Pass-the-Hash, Kerberoasting)
- Missbrauch legitimer Tools (LOLBins: PowerShell, WMI, PsExec)
- Lateral Movement: Ausbreitung auf andere Systeme im Netzwerk
Schritt 3: Discovery und Exfiltration (Double Extortion)
Moderne Ransomware-Gruppen exfiltrieren vor der Verschlüsselung sensible Daten. Dies ermöglicht eine doppelte Erpressung: Zahlung für den Entschlüsselungsschlüssel UND für die Nicht-Veröffentlichung der Daten.
Schritt 4: Impact - Verschlüsselung
Die Verschlüsselung erfolgt mit modernen Algorithmen (AES-256 für Dateien, RSA-2048/4096 für den Schlüsselaustausch). Ziele werden sorgfältig ausgewählt:
- Shadow Copies und Backups werden gezielt gelöscht
- Domänencontroller werden zuletzt verschlüsselt (maximale Schadenswirkung)
- Dateitypen mit hohem Wert (Datenbanken, E-Mail-Archive, CAD-Dateien) werden priorisiert
Ransomware-as-a-Service (RaaS)
Das RaaS-Modell hat Ransomware demokratisiert: Technisch weniger versierte Angreifer (Affiliates) können professionelle Schadsoftware mieten und Infrastruktur für Zahlungsabwicklung, Verhandlungen und Entschlüsselung nutzen.
Bekannte RaaS-Gruppen (historisch):
- LockBit (2019-2024): Größte bekannte Ransomware-Gruppe, bis zu 1.000 Opfer/Monat
- BlackCat/ALPHV (2021-2024): Erste größere Gruppe mit Go-basierter, plattformübergreifender Ransomware
- Cl0p (2019-aktiv): Bekannt für Exploitation von Zero-Days in MOVEit, GoAnywhere
- REvil/Sodinokibi (2019-2021): Verantwortlich für Kaseya-Angriff ($70 Mio. Lösegeld gefordert)
Schutzmaßnahmen
Technisch
- Offline-Backups (3-2-1-Regel): 3 Kopien, 2 verschiedene Medien, 1 offsite - und regelmäßiger Wiederherstellungstest
- Netzwerksegmentierung: Mikrosegmentierung verhindert laterale Ausbreitung
- Patch-Management: Kritische CVEs müssen innerhalb von 72 Stunden gepatcht werden
- MFA auf allen Remote-Zugängen: Kompromittierte Credentials allein reichen dann nicht
- Privilegien-Minimierung: Kein normaler Nutzer benötigt Domänenadministrator-Rechte
- EDR/XDR-Lösungen: Endpoint Detection and Response für Verhaltensanalyse
- E-Mail-Filtering: Anti-Phishing, DMARC/DKIM/SPF-Enforcement
Organisatorisch
- Incident Response Plan: Schriftlich dokumentiert, regelmäßig geübt (Tabletop Exercises)
- Sicherheitsbewusstsein: Mitarbeiterschulungen und simulierte Phishing-Tests
- Krisenmanagement-Team: Wer entscheidet im Ernstfall über Zahlung/Nicht-Zahlung?
Sollte man Lösegeld zahlen?
Offizielle Empfehlung von BSI, BKA und Europol: Nein. Gründe:
- Zahlung finanziert weitere kriminelle Aktivitäten
- Keine Garantie auf Entschlüsselung (ca. 20% erhalten nie funktionierende Schlüssel)
- Statistische Wahrscheinlichkeit eines Folgeangriffs steigt
- Mögliche OFAC-Sanktionsverletzung bei Zahlung an gelistete Gruppen
In der Praxis zahlen ca. 46% der betroffenen Organisationen (Coveware 2024). Die durchschnittliche Lösegeldforderung lag 2024 bei $2,73 Millionen.
Im Angriffsfall: Sofortmaßnahmen
- Systeme vom Netz trennen - nicht ausschalten (forensische Beweise erhalten)
- BSI/BKA benachrichtigen (bei KRITIS-Betreibern verpflichtend nach NIS2)
- Incident Response Team aktivieren (intern oder extern)
- Backups überprüfen - sind sie kompromittiert?
- Keine eigenständige Verhandlung - Hinzuziehen von Spezialisten
Weiterführende Informationen: AWARE7 Notfallhilfe bei Cyberangriffen
Quellen & Referenzen
- [1] BSI-Lagebericht zur IT-Sicherheit in Deutschland 2024 - Bundesamt für Sicherheit in der Informationstechnik
- [2] Ransomware Task Force - Comprehensive Framework for Action - Institute for Security and Technology
- [3] ENISA Threat Landscape 2024 - European Union Agency for Cybersecurity
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
17 Publikationen
- Understanding the Privacy Implications of Browser Extensions (2025)
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Security Awareness Trainings - A Scientometric Analysis (2024)
- Understanding Dark Patterns in Chatbots (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Analyzing Cybersecurity Risk with a Phishing Simulation Website (2024)
- The Elephant in the Background: A Quantitative Approach to Empower Users Against Web Browser Fingerprinting (2023)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- Building a Cybersecurity Awareness Program for SMEs (2022)
- Rethinking Cookie Banners: How to Comply with the GDPR and Still not Annoy Users (2022)
- An Empirical Analysis on the Use and Reporting of National Security Letters (2022)
- Comparing Approaches for Secure Communication in E-Mail-Based Business Processes (2022)
- Phish and Chips: Experiences from an Automated Phishing System (2022)
- Digital Risk Management (DRM) (2020)
- Social Media Scraper im Einsatz (2021)
- People, Processes, Technology — The Cybersecurity Triad (2023)
- New Work — Die Herausforderungen eines modernen ISMS (2024)
