IT-Lexikon
Cybersecurity

Ransomware

Schadsoftware, die Daten verschlüsselt und Lösegeld für deren Freigabe erpresst.

Ransomware ist eine Form von Schadsoftware, die Dateien und Systeme verschlüsselt und den Zugriff blockiert, bis ein Lösegeld gezahlt wird. Was früher als einfache Erpressungstrojaner begann, hat sich zu einem professionellen Geschäftsmodell entwickelt — mit Ransomware-as-a-Service (RaaS), spezialisierten Verhandlungsteams und mehrstufigen Erpressungsstrategien.

Ablauf eines Ransomware-Angriffs

Ein typischer Ransomware-Angriff verläuft in klar definierten Phasen. Zwischen dem initialen Zugriff und der Verschlüsselung vergehen oft Tage oder Wochen, in denen sich Angreifer unbemerkt im Netzwerk bewegen.

Phase Beschreibung Typische Methoden
Initial Access Erster Zugang zum Netzwerk Phishing, exponierte RDP-Dienste, VPN-Schwachstellen
Persistence Dauerhafter Zugang sichern Backdoors, Scheduled Tasks, Registry-Manipulation
Lateral Movement Ausbreitung im Netzwerk Pass-the-Hash, Kerberoasting, RDP
Exfiltration Daten vor Verschlüsselung stehlen Cloud-Upload, DNS-Tunneling
Encryption Verschlüsselung der Systeme AES/RSA-Verschlüsselung, Löschen von Backups
Extortion Erpressung und Verhandlung Lösegeldforderung, Leak-Drohung, DDoS

Einfache, doppelte und dreifache Erpressung

Klassische Ransomware verschlüsselt nur Daten. Bei doppelter Erpressung werden Daten zusätzlich gestohlen und mit Veröffentlichung gedroht — selbst wenn Backups vorhanden sind, bleibt der Schaden. Dreifache Erpressung erweitert dies um Angriffe auf Kunden und Partner des Opfers oder DDoS-Attacken, um den Druck weiter zu erhöhen.

Warum KMUs besondere Ziele sind

Kleine und mittlere Unternehmen verfügen oft über weniger ausgereiften Schutz als Konzerne, besitzen aber dennoch wertvolle Daten und haben einen hohen Leidensdruck bei Betriebsunterbrechungen. Angreifer kalkulieren, dass KMUs eher zahlen, weil sie sich längere Ausfallzeiten schlicht nicht leisten können. Gleichzeitig fehlen häufig dedizierte Security-Teams für schnelle Incident Response.

Prävention

Wirkungsvoller Schutz vor Ransomware basiert auf mehreren Ebenen: regelmäßige, getestete Offline-Backups nach der 3-2-1-Regel, Netzwerksegmentierung zur Eindämmung von Lateral Movement, konsequentes Patch-Management für Betriebssysteme und Anwendungen, Endpoint Detection and Response (EDR) für die frühzeitige Erkennung verdächtiger Aktivitäten, und Privileged Access Management zur Absicherung administrativer Konten.

Incident Response

Wenn Ransomware zuschlägt, entscheidet die Reaktionsgeschwindigkeit über das Ausmaß des Schadens. Infizierte Systeme müssen sofort isoliert werden, ohne sie herunterzufahren — forensische Spuren gehen sonst verloren. Ein vorbereiteter Incident-Response-Plan mit klaren Zuständigkeiten, Kommunikationswegen und vorab getesteten Wiederherstellungsprozeduren ist entscheidend.

Relevanz für KMUs

Ransomware ist eine der größten Bedrohungen für den Mittelstand. Ohne getestete Backups und einen Notfallplan kann ein einziger Angriff existenzbedrohend sein. Die Investition in präventive Maßnahmen — von Schwachstellenprüfungen über Zero Trust bis hin zu SIEM-Monitoring — ist in jedem Fall günstiger als die Folgen eines erfolgreichen Angriffs.