17. Juli 2025 Kay Ernst *

Ransomware in ihre Schranken weisen: Angriffsphasen und Tipps zur Prävention

Geschwindigkeit, Tarnung und Raffinesse sind die größten Waffen von Ransomware. Da sie sich innerhalb eines Netzwerks so schnell und oft unentdeckt verbreitet, können herkömmliche Sicherheitslösungen einfach nicht Schritt halten. Entscheidend ist eine Lösung, die laterale Bewegungen unmöglich macht. [...]

Ransomware-Banden verfügen über Ressourcen und Fähigkeiten, die früher nur Nationalstaaten vorbehalten waren, sodass ihre Opfer militärische Abwehrmaßnahmen benötigen, um sich angemessen zu schützen. (c) stock.adobe.com/kaptn

Ransomware-Angriffe haben sich im Jahr 2025 mehr als verdoppelt und stellen damit für 92 Prozent der Branchen eine der größten Bedrohungen dar. Auch die Zahl der aktiven Ransomware-Banden ist im letzten Jahr sprunghaft angestiegen. Derzeit sind 65 Gruppen aktiv, wobei die aktivsten unter ihnen ihre Opferzahl im Vergleich zum Vorjahr um mehr als 200 Prozent gesteigert haben.

Ransomware ist eine Art von Schadcode, der Dateien oder Systeme verschlüsselt und somit unzugänglich macht, bis ein Lösegeld gezahlt wird. Angreifer verlangen oft Zahlungen in Kryptowährungen, um die Rückverfolgung zu erschweren. Das „Double Extortion“-Modell, also der doppelten Erpressung mit Ransomware macht sie besonders gefährlich: Zusätzlich zur Sperrung von Dateien exfiltrieren viele Ransomware-Varianten Daten und drohen mit deren Veröffentlichung oder Verkauf, wenn das Lösegeld nicht gezahlt wird.

Warum sind Ransomware-Angriffe so schwer zu stoppen?

Da das Ransomware-Geschäft so profitabel ist, können Cyberkriminelle talentiert Top-Kräfte einstellen, um Zero-Day-Lücken zu finden, maßgeschneiderte Tools (die schwerer zu erkennen sind) zu entwickeln und fortschrittliche Ausweichtechniken wie Hypervisor Jackpotting und die Umgehung von EDRs zu erforschen. Mit anderen Worten: Ransomware-Banden verfügen über Ressourcen und Fähigkeiten, die früher nur Nationalstaaten vorbehalten waren, sodass ihre Opfer militärische Abwehrmaßnahmen benötigen, um sich angemessen zu schützen. Ransomware-Angriffe sind in der Regel hochentwickelt; sie nutzen oft legitime Netzwerkfunktionen aus, was es unglaublich schwierig macht, Ransomware zu erkennen, bevor es zu spät ist.

Wie funktioniert Ransomware?

Es gibt zwar verschiedene Arten von Ransomware, aber in den meisten Fällen werden Dateien oder Systeme nach einer Phase der heimlichen Bewegung durch das Netzwerk verschlüsselt. Obwohl Ransomware-Angriffe viele Formen annehmen können, folgen sie im Allgemeinen dem gleichen Ablauf. Ransomware-Angriffe erfolgen in der Regel in sechs Phasen:

  1. Aufklärung: Die Angreifer untersuchen das Netzwerk, identifizieren wertvolle Ressourcen und suchen nach Schwachstellen.
  2. Infektion: Sie verschaffen sich ersten Zugriff – häufig über Phishing-E-Mails, Exploit-Kits oder kompromittierte Anmeldedaten.
  3. Eskalation: Die Angreifer bewegen sich lateral durch das Netzwerk und erweitern ihre Berechtigungen, um an sensible Systeme zu gelangen.
  4. Scannen: Die Malware listet Dateien und Systeme auf, um Ziele für die Verschlüsselung zu identifizieren.
  5. Verschlüsselung: Nach der Identifizierung der Ziele setzen die Angreifer Ransomware ein, um Dateien oder Systeme zu verschlüsseln, oft begleitet von der Löschung von Backups oder Schattenkopien.
  6. Lösegeld: Die Angreifer verlangen eine Zahlung für die Herausgabe des Entschlüsselungscodes; oft werden diese Forderungen mit der Drohung verbunden, die Daten zu veröffentlichen.

Arten von Ransomware

Angreifer verwenden bei Ransomware-Angriffen verschiedene Techniken und Monetarisierungsstrategien, darunter:

  1. Verschlüsselnde Ransomware: Diese häufigste Kategorie von Ransomware verschlüsselt Dateien, sodass Angreifer Lösegeld für die Entschlüsselung verlangen können.
  2. Scareware: Durch die Anzeige gefälschter Warnmeldungen oder Popups täuscht Scareware den Benutzern vor, dass ihr System infiziert ist, um Geld zu erpressen.
  3. Screen Lockers: Diese Bildschirmsperren verhindern, dass Benutzer auf ihren Bildschirm zugreifen können, bis ein Lösegeld gezahlt wird.
  4. DDoS-Erpressung: Distributed-Denial-of-Service-Angriffe (DDoS) werden angedroht oder ausgeführt, sofern keine Zahlung erfolgt
  5. Ransomware-as-a-Service (RaaS): Bei diesem immer beliebter werdenden Geschäftsmodell verkaufen oder vermieten Entwickler Ransomware-Kits an andere Kriminelle.

Wie sich Ransomware-Angriffe verhindern lassen

Ransomware-Angriffe sind raffiniert, komplex und gut koordiniert. Das bedeutet, dass Unternehmen einen starken Schutz gegen jede Form von Angriff einrichten und akzeptieren müssen, dass es zu Sicherheitsverletzungen kommen wird. Die besten Strategien zur Ransomware-Prävention behandeln Ransomware als unvermeidbar – und nehmen ihr dann ihre Fähigkeit zur Verbreitung. Eine umfassende Ransomware-Abwehr sollte proaktive Sicherheitskontrollen und Maßnahmen zur Optimierung der Wiederherstellung umfassen.

Proaktive Sicherheitskontrollen

Da Ransomware-Angriffe so oft unentdeckt bleiben, bieten präventive Kontrollen den besten Schutz:

  • Mikrosegmentierung: Ransomware-Angriffe benötigen Netzwerkzugriff, um sich zu verbreiten. Dies gilt sowohl für die frühen Phasen eines Angriffs, in denen das interne Netzwerk gescannt wird, als auch für die späteren Phasen, in denen Schwachstellen in exponierten Diensten ausgenutzt oder kompromittierte Anmeldedaten verwendet werden, um sich zu verbreiten. Ein segmentiertes Netzwerk schneidet Angreifer ab, sodass sie fast nichts tun können, um sich zu verbreiten.
  • MFA: Anmeldedaten gehören zu den am häufigsten verwendeten „Waffen“ von Angreifern, die sie oft nur allzu leicht stehlen oder knacken können. Durch den Schutz privilegierter Zugriffe mit MFA können Verteidiger das Risiko erheblich begrenzen.
  • Deaktivieren unnötiger Ports und Dienste: Das Abschalten ungenutzter Fernzugriffsprotokolle (wie RDP und SMB) und die Durchsetzung strenger Zugriffskontrollen schränken die Angriffswege ein und reduzieren die Angriffsfläche für Ransomware.
  • Robuste Perimeter-Abwehr: Lösungen wie Next-Generation-Firewalls (NGFW) und granulare Zugriffskontrollen minimieren Bedrohungen durch eine verstärkte Absicherung des Nord-Süd-Datenverkehrs.

Maßnahmen zur Optimierung der Wiederherstellung

Die vollständige Verhinderung von Ransomware ist zwar ideal, aber ebenso wichtig ist die Vorbereitung auf die Wiederherstellung. Bewährte Verfahren zur Optimierung der Wiederherstellung sind Backup-Systeme sowie kontinuierliche Überwachung und Reaktion. Das bedeutet: Regelmäßige, verschlüsselte Backups in einer vom Hauptnetzwerk getrennten Umgebung vereinfachen die Wiederherstellung für den Fall, dass Ransomware wichtige Daten verschlüsselt. Unternehmen sollten zudem auf verdächtige Aktivitäten im Netzwerk achten und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten ist hierbei: Endpoint Detection and Response (EDR)-Systeme allein können laterale Bewegungen nicht blockieren und vor Ransomware schützen.

Sobald die Ransomware verbreitet ist, sind deren Entfernung und die Wiederherstellung verschlüsselter Daten von entscheidender Bedeutung. Schnelligkeit ist wichtig, aber Vorsicht auch. Zu schnelles Handeln ohne klare Strategie kann zu einer erneuten Infektion oder zu einer Beeinträchtigung der Wiederherstellungsmaßnahmen führen. Der erste Schritt zur Eindämmung von Ransomware besteht darin, die Reichweite der Infektion zu begrenzen. Betroffene Systeme gilt es vom Netzwerk zu trennen, um zu verhindern, dass die Malware andere Ressourcen scannt, verschlüsselt oder auf andere Ressourcen überspringt. Wenn bereits eine Netzwerksegmentierung vorhanden ist, lassen sich infizierte Bereiche gezielter isolieren und so die Auswirkungen auf das gesamte Unternehmen reduzieren.

Nach einem Ransomware-Angriff müssen nicht nur Daten „wiederhergestellt“ werden – auch alle Anmeldedaten, Geheimnisse, API-Schlüssel und privaten Schlüssel sind möglicherweise kompromittiert und müssen neu generiert werden, um einen erneuten Angriff zu verhindern.

Ransomware unmittelbar blockieren

Geschwindigkeit, Tarnung und Raffinesse sind die größten Waffen von Ransomware. Da sie sich innerhalb eines Netzwerks so schnell und oft unentdeckt verbreitet, können herkömmliche Sicherheitslösungen einfach nicht Schritt halten. Entscheidend ist eine Lösung, die laterale Bewegungen unmöglich macht. Durch die Kombination von Mikrosegmentierung und granularen identitätsbasierten Zugriffskontrollen können Unternehmen Ransomware-Angriffe stoppen, bevor sie sich ausbreiten, und so sicherstellen, dass Angreifer niemals Berechtigungen eskalieren oder kritische Systeme erreichen können. Selbst wenn Anmeldedaten kompromittiert werden, sorgt eine Just-in-Time-MFA auf Netzwerkebene dafür, dass diese Anmeldedaten nicht verwendet werden können. Mit anderen Worten: Wenn Ransomware die Perimeter-Sicherheit durchbricht, bleibt sie an Ort und Stelle und kann sich nicht über den ursprünglichen Eintrittspunkt hinausbewegen. Der beste Schutz vor Ransomware ist nicht reaktiv, sondern integriert.

* Kay Ernst ist Experte für automatisierte Mikrosegmentierung bei Zero Networks.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*