Illustration Absmeier foto freepik ki

Ransomware ist wahrlich kein neues Phänomen. Allerdings schreitet auch in diesem Bereich die Entwicklung dynamisch fort, sodass bei vielen Unternehmen ein dringender Handlungsbedarf besteht. Die Analyse der derzeitigen Gefahrenlage und der vorhandenen Schutzmaßnahmen liefert wichtige Erkenntnisse, die Unternehmen für die wirksame Risikoreduzierung und die Stärkung der Abwehrfähigkeit nutzen können.

Ransomware-Angriffe laufen meistens in mehreren Phasen ab. Kriminelle versuchen z.B. über Phishing Zugang zu einem Unternehmen zu erhalten. Oft werden auch Partner von Unternehmen wie kleinere Dienstleister – etwa Marketingagenturen – als Eintrittspunkt genutzt, da deren IT-Systeme schwächer geschützt sind. Typisch ist, dass Angreifer auf eine bestehende E-Mail-Kommunikation eines potentiell vertrauenswürdigen Senders zugreifen und gefälschte Antworten mit infizierten Anhängen senden, die Schadsoftware auf den Rechner laden. Diese Software baut eine Verbindung zu einem Command-and-Control-Server auf und lädt von dort den eigentlichen Schadcode nach. KI wird derzeit verstärkt eingesetzt, um diese Angriffe zu beschleunigen, auf die Zielperson angepasst Phishing-E-Mails zu erstellen und die Schadprogramme dynamisch an Systeme und Gegenmaßnahmen anzupassen. Die Erfolgswahrscheinlichkeit solcher Phishing-Mails ist sehr hoch.

Hat ein Angreifer erst einmal Zugang, breitet er sich im Netzwerk aus (»Lateral Movement«). Hier zeigt sich ein Unterschied zur Vergangenheit: Dieser Vorgang kann inzwischen in Sekunden erfolgen, sodass die mögliche Reaktionszeit von Unternehmen sehr kurz geworden ist. Neben klassischen Phishing-Methoden kommen auch zunehmend Techniken wie Deepfakes zum Einsatz. Dabei werden täuschend echte Audio- oder Videonachrichten genutzt, um Mitarbeitende zu manipulieren und zu schädlichen Handlungen zu bewegen.

Insgesamt ist das Ransomware-Gefährdungspotenzial somit weiterhin hoch. Verschärft wird die Situation dadurch, dass sich das Modell »Ransomware as a Service (RaaS)« stetig weiterentwickelt und ein großes Risiko darstellt. So ist zum Beispiel auch die 2024 zerschlagene LockBit-Gruppe wieder aktiv. Mit der neu veröffentlichten Version LockBit 5.0 wurden Windows-, Linux- und VMware-ESXi-Umgebungen in Europa, Amerika und Asien angegriffen. Die Rückkehr von LockBit unterstreicht die Widerstandsfähigkeit von RaaS-Modellen und die anhaltende Bedrohung durch organisierte Cyberkriminalität.

Der Status quo auf Unternehmensseite

Ein großes Problem ist, dass viele Firmen und auch etliche Security Operations Center (SOC) bei der Erkennung von Angriffen noch immer reaktiv statt proaktiv handeln. Eine effektive Gefahrenabwehr erfordert aber eine frühzeitige Erkennung von potenziell verdächtigen Netzwerkaktivitäten und proaktive Schutzmaßnahmen. Auch ein 24/7-Sicherheitsbetrieb ist bei vielen Unternehmen nicht gewährleistet, obwohl Angriffe jederzeit passieren können. Zudem mangelt es häufig an gut geschultem Personal, das vorhandene Alarmsignale richtig interpretieren kann.

Auch das Thema Wiederherstellung nach Angriffen stellt eine Herausforderung dar. Unternehmen sollten sich zum Beispiel folgende Fragen stellen: Würden sechs Stunden Wiederherstellungszeit pro Server im Falle eines Cybersicherheitsvorfalls ausreichen? Ist das Backup-System noch betriebsbereit? Sind die Sicherungen frei von Infektionen? Ist alternative Hardware verfüg- und nutzbar? Erfahrungswerte von NTT DATA zeigen, dass Unternehmen oft die Komplexität von Backups, forensischen Untersuchungen und Systemwiederherstellungen unterschätzen. Technische Aspekte wie Daten-Deduplizierung, verschlüsselte Speichersysteme und infizierte Wiederherstellungen werden oft falsch bewertet. Besonders gefährlich sind unentdeckte Manipulationen im Active Directory (Golden Ticket), die Angreifern dauerhaft Zugang verschaffen können. Diese verschiedenen Punkte sollten Unternehmen beachten und auch prüfen, ob die Nutzung eines spezialisierten externen Dienstleisters sinnvoller ist als der Security-Eigenbetrieb.

Die Abwehrmaßnahmen

Doch wie bekommt ein Unternehmen die Herausforderungen in den Griff? Klar sollte sein, dass nur ein Zero-Trust-Ansatz die effektive Basis für IT-Sicherheitsarchitekturen sein kann. Zero Trust bedeutet, dass keinem Gerät und keinem Benutzer implizit vertraut wird – weder im Büro noch im Homeoffice. Jeder Zugriff auf Unternehmensressourcen muss über gesicherte Verbindungen wie VPN erfolgen und zentral überwacht werden. Viele Unternehmen arbeiten jedoch noch mit veralteten Sicherheitsmodellen, die interne Netzwerke automatisch als sicher einstufen. Genau diese Lücken nutzen Angreifer gezielt aus.

Wichtige Komponenten eines modernen Sicherheitskonzepts sind zum Beispiel:

die automatisierte Aktivierung von Multi-Faktor-Authentifizierung (MFA) bei verdächtigen Aktivitäten, etwa nach Phishing-Versuchen
die Nutzung aktueller Endpoint-Detection-and-Response (EDR)-Systeme, die Angriffe erkennen und blockieren
die durchgängige Kontrolle und Inspektion des gesamten Netzwerkverkehrs.

Nur durch Zero Trust, konsequente Zugangskontrolle und automatisierte Sicherheitsmechanismen lassen sich Ransomware-Angriffe letztlich wirkungsvoll verhindern.

Ein wesentlicher Punkt wird in vielen Unternehmen darüber hinaus nur unzureichend beachtet: die Notfallszenarien mit klaren Abläufen für Krisenmanagement und Wiederherstellung. In vielen mittleren und größeren Unternehmen existieren zwar Business-Continuity-Pläne, doch sind sie meistens auf einzelne Geschäftsprozesse ausgerichtet. Bei einem Ransomware-Angriff fallen jedoch oft alle Systeme gleichzeitig aus – ein Szenario, das in den meisten Plänen nicht berücksichtigt wird. Häufig zeigt sich zum Beispiel erst im Ernstfall, dass essenzielle Kommunikationskanäle nicht mehr funktionieren, etwa wenn weder Telefonanlage noch digitale Kommunikationsplattformen verfügbar sind und selbst Kontaktdaten der Geschäftsführung fehlen. Solche Krisensituationen sollten Unternehmen regelmäßig und auch realistisch durchspielen, um mögliche Schwachstellen zu erkennen. Eine unzureichende Vorbereitung kann schwerwiegende Folgen haben: Für mittelständische Betriebe können sie existenzbedrohend sein.

Im Ernstfall kann ein Notfallfahrzeug von NTT DATA bei einem Cyberangriff auf ein Unternehmen schnell zum Einsatzort gebracht werden und dort als »Recovery Data Center« auf Rädern fungieren. (Quelle: NTT DATA)

Der Ausblick

Doch wo geht die Reise hin? Ein klarer Trend sind KI-basierte Automatisierungen im SOC. Der Einsatz von KI-Agenten zur Analyse, Klassifizierung und Bearbeitung von Bedrohungen wird die Effizienz steigern, besonders bei Routineaufgaben der Level-1- und Level-2-Analysten. Ziel ist langfristig ein weitgehend autonom arbeitendes SOC, auch wenn die vollständige Automatisierung noch Zukunftsmusik ist. Schon heute ist Teilautomatisierung aber ein wichtiger Fortschritt – wer Sicherheitsprozesse noch vollständig manuell betreibt, ist technologisch nicht mehr State-of-the-Art.

Es steht außer Frage, dass die Sicherheit auf Unternehmensseite heute oberste Priorität haben muss. Dabei geht es nicht nur um den Schutz vor klassischer Ransomware, sondern auch vor gezielten Sabotageakten und dem Diebstahl geistigen Eigentums. Eine Zero-Trust-Architektur sollte deshalb immer als Grundlage dienen, ergänzt durch proaktive Sicherheitsstrategien. Dazu gehören etwa Threat Intelligence und Posture-Management-Systeme wie Cloud Security Posture Management oder SaaS Security Posture Management, die Schwachstellen auch in Cloud und SaaS System frühzeitig aufzeigen und erkennen. Ebenso wichtig sind eine konsequente Automatisierung im SOC, eine strukturierte Planung, ein regelmäßiges Testen der Abläufe und kontinuierliches Training der Mitarbeitenden, damit ein Unternehmen im Ernstfall handlungsfähig bleibt.

Christian Koch

Christian Koch ist Senior Vice President Cybersecurity IoT/OT, Innovations und Business Development bei NTT DATA DACH

(Quelle: NTT DATA)

Strategien für die Verbesserung der Cybersicherheit-Resilienz

Zero-Trust-Architektur

Überprüfung jedes Zugriffsversuchs und keinen implizietes Vertrauen interner Endgeräte im Unternehmensnetz

Threat Intelligence

Übergang von einer reaktiven zu einer proaktiven Sicherheitsstrategie mit Funktionen zur frühzeitigen Detektion

SOC-Automatisierung und KI

Nutzung von KI für die Echtzeiterkennung von Bedrohungen, die Identifizierung von Anomalien und die automatisierte Reaktion auf Vorfälle.

Incident-Response-Planung

Entwicklung und regelmäßige Aktualisierung umfassender Notfallpläne zur Gewährleistung schneller und koordinierter Maßnahmen im Falle eines Angriffs

Mitarbeitertraining

Schaffung von Security Awareness und Aufbau einer »menschlichen« Firewall

Der Weg zum autonom arbeitenden SOC im Überblick

2506 Artikel zu „Ransomware“

News | Trends 2026 | Trends 2025 | Trends Security | IT-Security | Tipps

Ransomware: Doppel-Erpressung ist inzwischen Standard

24. Februar 2026

Ransomware-Angriffe sind längst keine Einzelfälle mehr, die nur große Unternehmen betreffen. Im Jahr 2026 zählen sie weltweit zu den hartnäckigsten und kostspieligsten Cyberbedrohungen – mit Auswirkungen auf Unternehmen, öffentliche Einrichtungen und Privatnutzer gleichermaßen. Aktuelle Zahlen zeigen unter anderem: Über 1,3 Millionen Ransomware-Angriffe richteten sich 2024 gegen die USA. 74 % der Vorfälle beinhalteten Datenexfiltration,…

Jetzt 25 % Ticketrabatt für »manage it« Leser

(Quelle: NTT DATA)

Der Weg zum autonom arbeitenden SOC im Überblick

2506 Artikel zu „Ransomware“