Ransomware ist auch 2026 die wirtschaftlich folgenschwerste Cyberbedrohung in Deutschland. Laut Bitkom-Wirtschaftsschutzstudie 2025 waren 34 Prozent der Unternehmen in Deutschland innerhalb von zwölf Monaten von Ransomware betroffen, und 15 Prozent haben bereits Lösegeld gezahlt. Gleichzeitig hat sich das Ökosystem der Angreifer fundamental verändert. Nach den Strafverfolgungsmaßnahmen gegen LockBit haben dezentrale Gruppen wie Qilin, Akira und DragonForce die Lücke gefüllt, KI verändert die Angriffslogik, und neue Erpressungsmodelle setzen verstärkt auf Datendiebstahl statt klassischer Verschlüsselung. Was Unternehmen und Behörden 2026 wissen müssen, fasst dieser Artikel zusammen.
Key Takeaways: Ransomware Aktuell
- Ransomware ist eine Schadsoftware, die Daten verschlüsselt oder Systeme blockiert und für die Freigabe Lösegeld fordert. Moderne Varianten kombinieren Verschlüsselung mit Datendiebstahl.
- 34 Prozent der deutschen Unternehmen waren laut Bitkom 2025 von Ransomware betroffen, das BSI registrierte 950 Angriffe auf Unternehmen und Behörden im Berichtszeitraum 2024/2025.
- Qilin, Akira und DragonForce sind 2025/2026 die aktivsten Gruppen weltweit. LockBit ist mit Version 5.0 zurück, agiert aber kleiner als zuvor.
- KI verändert die Bedrohungslage. 80 Prozent der Ransomware-as-a-Service-Anbieter werben mittlerweile mit KI- oder Automatisierungsfunktionen.
- Wirksamer Schutz erfordert eine Kombination aus Härtung, Endpoint Protection, MDR/XDR, Backup-Strategie und Identity Threat Detection. Kein einzelnes Tool reicht aus.
Was ist Ransomware? Einfach erklärt
Ransomware ist eine Form von Schadsoftware, die Daten verschlüsselt oder Systeme sperrt und für die Freigabe ein Lösegeld fordert. Der Begriff setzt sich aus den englischen Wörtern „ransom" für Lösegeld und „software" zusammen. Während frühe Ransomware-Varianten primär Festplatten verschlüsselten, kombinieren moderne Angriffe die Verschlüsselung fast immer mit Datendiebstahl. Selbst wenn ein Unternehmen seine Systeme aus Backups wiederherstellen kann, droht zusätzlich die Veröffentlichung gestohlener Daten.
Was Ransomware so wirkungsvoll macht, ist die Kombination aus technischer Schadwirkung und psychologischem Druck. Betroffene Organisationen stehen oft innerhalb von Stunden vor der Frage, ob sie Lösegeld zahlen, wochenlang stillstehen oder sensible Daten öffentlich werden lassen. Diese Dynamik unterscheidet Ransomware von anderen Cyberbedrohungen und erklärt, warum sie 2026 weiterhin die teuerste Einzelbedrohung für Unternehmen und Behörden in Deutschland ist.
Wie funktioniert ein Ransomware-Angriff?
Ein moderner Ransomware-Angriff läuft in mehreren Phasen ab und dauert vom Erstzugang bis zur eigentlichen Verschlüsselung im Schnitt fünf bis elf Tage. Dieser Zeitraum ist die wichtigste Erkenntnis aus aktuellen Vorfallsanalysen, denn er zeigt, dass Ransomware nicht in Minuten zuschlägt, sondern Zeit für Erkennung und Reaktion lässt, sofern die richtige Telemetrie vorhanden ist.
Initialer Zugriff
Der Einstieg erfolgt typischerweise über drei Wege. Laut Sophos State of Ransomware 2025 sind ausgenutzte Schwachstellen mit 32 Prozent die häufigste technische Ursache, gefolgt von kompromittierten Zugangsdaten mit 23 Prozent und Phishing oder bösartigen E-Mails mit zusammen 37 Prozent. Wer diese drei Eintrittstore nicht systematisch absichert, verliert den Kampf gegen Ransomware bereits in der ersten Minute.
Laterale Bewegung und Privilegieneskalation
Nach dem Erstzugriff bewegen sich Angreifer durch das Netzwerk, sammeln weitere Zugangsdaten und versuchen, administrative Rechte zu erlangen. Dieser Schritt, technisch als Lateral Movement bekannt, ist der entscheidende Punkt für die Verteidigung. Wer hier ansetzt, kann Angriffe noch vor der Verschlüsselungsphase stoppen.
Datenexfiltration
Bevor verschlüsselt wird, werden inzwischen in den meisten Fällen Daten kopiert und auf Server der Angreifer übertragen. Dieser Schritt schafft die Grundlage für die spätere Doppelerpressung und macht Backups als alleiniges Schutzmittel zunehmend wirkungslos.
Verschlüsselung und Erpressung
Erst am Ende der Angriffskette wird die eigentliche Ransomware ausgeführt. Sie verschlüsselt Dateien, oft auch Backups, die im aktiven Netzwerk erreichbar sind, und hinterlässt eine Lösegeldforderung. Parallel beginnt die Erpressung, häufig mit Verweisen auf bereits exfiltrierte Daten und einem Countdown bis zur Veröffentlichung.
Professionalisierung durch Ransomware-as-a-Service
Hinter modernen Angriffen stehen arbeitsteilige Strukturen. Ransomware-Gruppen agieren wie Unternehmen, mit Entwicklungs-, Operations- und Verhandlungsteams. Im Modell Ransomware-as-a-Service (RaaS) vermieten die Betreiber ihre Schadsoftware und Infrastruktur an sogenannte Affiliates, die den eigentlichen Angriff durchführen und einen Anteil der Lösegelder behalten. Laut Acronis Cyberthreats Report H2 2025 werben 80 Prozent der aktiven RaaS-Anbieter mittlerweile mit KI- oder Automatisierungsfunktionen.
Die wichtigsten Ransomware-Arten im Überblick
Ransomware tritt in unterschiedlichen Varianten auf, die sich in Vorgehensweise, technischem Aufwand und Zielgruppen unterscheiden. Für die Praxis sind vor allem die folgenden Typen relevant.
| Art | Beschreibung | Typische Merkmale |
|---|---|---|
| Crypto Ransomware | Verschlüsselt Dateien, Datenbanken und ganze Speichersysteme. | Klassische Angriffsform, gezielt gegen Unternehmen und Behörden, hoher wirtschaftlicher Schaden. |
| Double-Extortion-Ransomware | Kombiniert Verschlüsselung und Datendiebstahl, um doppelten Druck aufzubauen. | Daten werden vor der Verschlüsselung exfiltriert und bei Nichtzahlung veröffentlicht. 2026 die dominierende Form. |
| Triple- und Multi-Extortion | Erweitert Double Extortion um zusätzliche Druckmittel wie DDoS-Angriffe oder direkte Kontaktaufnahme zu Kunden und Mitarbeitenden. | Wachsender Trend bei großen Gruppen wie Qilin und DragonForce. |
| Ransomware-as-a-Service (RaaS) | Bereitstellung fertiger Ransomware über kommerzielle Plattformen für Affiliates. | Senkt Einstiegshürden für Angreifer, ermöglicht hohe Skalierung. Dominierendes Modell 2026. |
| Locker Ransomware | Blockiert den Zugriff auf Systeme oder Benutzeroberflächen, ohne Dateien zu verschlüsseln. | Geringere technische Komplexität, häufig gegen Privatpersonen oder kleine Organisationen. |
| Wiper Ransomware | Gibt vor, Daten zu verschlüsseln, löscht diese aber unwiederbringlich. | Oft politisch motiviert, Ziel ist Zerstörung statt Erpressung. |
| Fileless Ransomware | Nutzt legitime Systemtools wie PowerShell oder WMI und agiert im Arbeitsspeicher. | Schwer zu erkennen, da kaum Dateien auf dem System abgelegt werden. |
Ransomware 2026: aktuelle Bedrohungslage in Deutschland
Die Bedrohungslage in Deutschland ist 2026 weiterhin angespannt, hat sich aber in ihrer Struktur verändert. Erfreulich ist, dass internationale Strafverfolgungsmaßnahmen Wirkung zeigen. Laut BSI-Lagebericht 2025 ist die Zahl finanziell motivierter Cyberangriffe um neun Prozent gesunken. Weniger erfreulich ist, dass das Volumen der Ransomware-Angriffe weltweit gleichzeitig deutlich gestiegen ist und dezentralere, agilere Gruppen die Lücke der zerschlagenen Großakteure gefüllt haben.
Zahlen aus Deutschland 2025/2026
Ein Blick auf die zentralen Studien zeigt das Ausmaß der Bedrohung. Die Bitkom-Wirtschaftsschutzstudie 2025 nennt Ransomware als gefährlichste Einzelbedrohung mit 34 Prozent betroffener Unternehmen. 15 Prozent der Befragten haben bereits Lösegeld gezahlt, vier Prozent davon sogar mehr als eine Million Euro. Das BSI registrierte im Berichtszeitraum Juli 2024 bis Juni 2025 insgesamt 950 Ransomware-Angriffe auf Unternehmen und Behörden, die Mehrheit davon gegen kleine und mittlere Unternehmen mit unzureichender Schutzarchitektur. Hinzu kommen 461 dokumentierte Datenleaks mit deutschen Betroffenen.
Ransomware in Deutschland 2025/2026: zentrale Kennzahlen
Veränderte Schadensökonomie
Auf der finanziellen Seite zeigt sich ein interessantes Bild. Die mittlere Lösegeldforderung ist laut Sophos 2025 auf 1,32 Millionen US-Dollar gefallen, von zwei Millionen im Vorjahr. Die mittlere tatsächliche Zahlung sank auf eine Million. Gleichzeitig wurden 53 Prozent der zahlenden Unternehmen erfolgreich verhandelt und zahlten weniger als gefordert, während 18 Prozent sogar mehr zahlten als ursprünglich verlangt. Auch die durchschnittlichen Wiederherstellungskosten sanken um 44 Prozent auf 1,53 Millionen US-Dollar. Das deutet darauf hin, dass viele Unternehmen besser auf Vorfälle vorbereitet sind, aber gleichzeitig die Mehrheit weiterhin Wochen für die Wiederherstellung benötigt.
KI-gestützte Ransomware: was sich gerade verändert
KI verändert die Ransomware-Bedrohung 2026 in mehreren Dimensionen, und das nicht erst in der Zukunft. Bereits heute werben 80 Prozent der RaaS-Anbieter mit KI- oder Automatisierungsfunktionen. ESET hat mit „PromptLock" 2025 erstmals Schadsoftware dokumentiert, die ein lokal installiertes KI-Sprachmodell nutzt, um Dateien zu durchsuchen, zu bewerten und Angriffsskripte eigenständig zu generieren. Was das in der Praxis bedeutet, lässt sich an drei Entwicklungen festmachen.
Hochpersonalisiertes Phishing als Einstieg
KI generiert Spear-Phishing-Mails ohne Tippfehler, im Tonfall der Geschäftsleitung, mit konkreten internen Bezügen. Laut TÜV Cybersecurity Studie 2025 sind 84 Prozent der IT-Sicherheitsvorfälle auf Phishing zurückzuführen. Was früher der schlecht übersetzte Spam war, ist heute die täuschend echte Antwort auf eine angeblich verschickte Rechnung. Klassische Indikatoren wie Rechtschreibung, Tonfall oder Absenderadresse helfen kaum noch. Die Bitkom-Studie 2025 berichtet, dass 66 Prozent der Unternehmen den Eindruck haben, KI werde verstärkt in Angriffen eingesetzt.
Deepfake-gestütztes Social Engineering
Telefonanrufe, in denen sich angebliche Vorstände oder IT-Mitarbeitende mit täuschend echter Stimme melden, sind 2026 keine Theorie mehr. Bekannte Fälle aus dem deutschsprachigen Raum zeigen Schäden im Millionenbereich, ausgelöst durch wenige Minuten Telefonat. Für IT-Verantwortliche heißt das, dass Freigabe- und Kommunikationsprozesse nicht mehr auf Stimmerkennung oder visueller Verifikation beruhen dürfen.
KI im Angriffsablauf
Innerhalb der Angriffskette unterstützt KI Angreifer beim Sortieren gestohlener Daten, beim Erkennen von wertvollen Dateien, beim Generieren maßgeschneiderter Erpressungsschreiben und beim Anpassen von Schadcode an die jeweilige Zielumgebung. DragonForce bietet Affiliates beispielsweise einen „Data Audit"-Service, der gestohlene Daten analysiert und gezielte Erpressungsstrategien vorschlägt. Was das für die Verteidigung bedeutet, ist klar. Klassische signaturbasierte Erkennung verliert weiter an Wirkung, während verhaltensbasierte und KI-gestützte Detection-and-Response-Systeme zur Pflicht werden.
Die aktivsten Ransomware-Gruppen 2025/2026
Das Ransomware-Ökosystem hat sich nach den Strafverfolgungsmaßnahmen gegen LockBit, ALPHV/BlackCat und RansomHub stark fragmentiert. Statt weniger Großakteure gibt es heute viele agile Gruppen, die untereinander Affiliates austauschen. Für die Verteidigung ist das relevant, weil sich Angriffstaktiken schneller verändern und die Reaktionszeiten kürzer werden.
| Gruppe | Aktivität 2025 | Besonderheiten |
|---|---|---|
| Qilin (Agenda) | Über 1.000 Opfer, aktivste Gruppe weltweit | Hochprofessionelle RaaS-Plattform, Angriffe auf Windows, Linux und VMware ESXi. Ausnutzung von Fortinet- und SAP-Schwachstellen. |
| Akira | Rund 740 Opfer | Fokus auf Mittelstand, Einstieg meist über kompromittierte VPN- oder RDP-Zugänge. Schätzungsweise 244 Mio. USD Lösegeld bis Ende 2025. |
| DragonForce | Stark wachsend, 20 % der Opfer in Deutschland (Q3 2025) | Kartellähnliche Kooperation mit Qilin und LockBit, „Data Audit"-Service für Affiliates. |
| LockBit (5.0) | Comeback im September 2025 | Aktuell deutlich kleiner als zuvor, aber weiter vorhandene Affiliate-Basis. |
| Cl0p | Rund 517 Opfer | Fokus auf Massenausnutzung von Schwachstellen in Datentransfer-Lösungen. |
| Play, INC Ransom, SafePay | Mittlere Aktivität, dauerhaft präsent | Klassische Doppelerpressung, Branchenfokus auf Fertigung und Dienstleistung. |
Ransomware-as-a-Service: Wie das Affiliate-Modell funktioniert
Geschäftsmodell mit klarer Arbeitsteilung
Hinter den meisten dieser Gruppen steckt kein klassischer Hacker, sondern ein Geschäftsmodell. Die Gruppe selbst entwickelt die eigentliche Ransomware, betreibt die Leak-Sites und stellt Verhandlungstools bereit. Die Angriffe selbst führen sogenannte Affiliates durch, also Auftragnehmer, die für jeden erfolgreichen Angriff einen Anteil des Lösegelds behalten. Üblich sind 70 bis 80 Prozent für den Affiliate, der Rest geht an den Plattformbetreiber.
Warum Affiliates zwischen Gruppen wechseln
Für die Verteidigung hat das eine wichtige Konsequenz. Affiliates wechseln je nach Konditionen, Reputation und Verfügbarkeit zwischen den Gruppen. Derselbe Angreifer, der gestern einen Auftrag für Qilin abgewickelt hat, arbeitet heute mit Akira-Tools und morgen mit DragonForce. Wenn eine Gruppe zerschlagen wird, wandern die Affiliates zur nächsten Plattform. Die Vorgehensweise im Angriff bleibt aber oft erstaunlich stabil, weil sie zur Routine des einzelnen Affiliates gehört.
Daraus folgt, dass Schutzmaßnahmen sich nicht an Gruppennamen ausrichten sollten, sondern an typischen Vorgehensweisen, die sich gruppenübergreifend wiederholen. Dazu gehören der Einstieg über VPN- und RDP-Zugänge, die Nutzung kompromittierter Zugangsdaten, das Nachladen von Tools wie Cobalt Strike oder die Datenexfiltration vor der Verschlüsselung. Quellen wie der Sophos Active Adversary Report werten genau diese Muster aus echten Vorfällen aus.
Initial Access Broker als Vorstufe
Eine wichtige Rolle im Ökosystem spielen sogenannte Initial Access Broker. Das sind spezialisierte Kriminelle, die nicht selbst angreifen, sondern Zugänge zu Unternehmensnetzwerken im Untergrundmarkt verkaufen. Ein VPN-Zugang oder ein gültiges Domain-Admin-Konto wird je nach Unternehmensgröße für 500 bis 10.000 US-Dollar gehandelt. Affiliates kaufen diese Zugänge, sparen sich die aufwendige Erstkompromittierung und steigen direkt in die laterale Bewegung ein. Für die Verteidigung heißt das, dass auch scheinbar belanglose Phishing-Treffer oder kompromittierte Mitarbeiter-Accounts nach Wochen oder Monaten plötzlich zu einem ausgewachsenen Ransomware-Angriff werden können.
Häufige Infektionswege von Ransomware
Die meisten Ransomware-Angriffe nutzen genau drei Eintrittstore: Phishing-Mails, ungepatchte Schwachstellen und kompromittierte Zugangsdaten. Wer diese drei Bereiche systematisch absichert, hat den Großteil der Bedrohung im Griff. Die folgenden Vektoren tauchen in der überwiegenden Mehrheit aller Vorfälle auf.
- Phishing-E-Mails mit präparierten Anhängen oder Links zu gefälschten Login-Seiten
- Ungepatchte Schwachstellen in Firewalls, VPN-Gateways, öffentlich erreichbaren Servern und Kollaborations-Tools
- Kompromittierte Zugangsdaten aus Datenlecks oder Credential-Stuffing-Angriffen
- Schlecht abgesicherte Remote-Desktop-Zugänge (RDP) ohne Multi-Faktor-Authentifizierung
- Drive-by-Downloads über manipulierte oder kompromittierte Websites
- Infizierte Lieferketten und manipulierte Software-Updates
- Insider-Bedrohungen, sowohl absichtlich als auch durch Fehlbedienung
Warum Phishing nach wie vor der wichtigste Hebel ist
Phishing bleibt der mit Abstand effektivste Einstiegspunkt, gerade weil KI ihn 2026 weiter aufgewertet hat. In Kundenprojekten beobachten wir, dass selbst gut geschulte Mitarbeitende auf moderne Phishing-Mails hereinfallen. Eine Lösung allein gibt es nicht, aber die Kombination aus technischen Filtern, Awareness-Training und schnellen Meldewegen reduziert das Risiko deutlich. Werkzeuge wie Security Awareness Schulungen sind dafür eine sinnvolle Grundlage.
Wie erkenne ich einen Ransomware-Angriff?
Ransomware zu erkennen, bevor verschlüsselt wird, ist der wichtigste Hebel überhaupt. Wenn der Angriff erst beim Auftauchen der Lösegeldforderung bemerkt wird, ist die Wiederherstellung in der Regel teurer als eine rechtzeitige Erkennung gewesen wäre. Moderne Ransomware-Angriffe kündigen sich häufig Tage vorher durch typische Telemetrie-Signale an, der Schlüssel liegt darin, diese Signale auch tatsächlich auszuwerten.
Typische Ransomware-Warnsignale auf Endpoints
Auf einzelnen Geräten zeigen sich Vorboten meist als plötzliche Massendateioperationen, etwa das schnelle Umbenennen oder Verschlüsseln vieler Dateien innerhalb kurzer Zeit. Auch ungewöhnlich hohe CPU- oder I/O-Last durch Hintergrundprozesse ist ein klassischer Hinweis. Hinzu kommt der Einsatz legitimer Systemtools wie PowerShell, WMI oder PsExec außerhalb regulärer Arbeitsabläufe.
Ransomware-Auffälligkeiten im Netzwerk und bei Identitäten
Im Netzwerk und in den Identitätssystemen sind es vor allem mehrfach fehlgeschlagene Anmeldeversuche, verdächtige Logins zu untypischen Zeiten oder von ungewöhnlichen Standorten und unerwartete ausgehende Verbindungen zu Command-and-Control-Servern. Auch automatisierte Bewegungen zwischen Systemen, die auf laterale Ausbreitung hindeuten, sind ein deutliches Warnsignal.
Typische Ransomware-Tools von Angreifern
Wenn auf einmal Werkzeuge wie Mimikatz, Rclone, Cobalt Strike Loader oder Anydesk in untypischen Kontexten auftauchen, ist die Warnstufe rot. Diese Tools sind nicht zwangsläufig bösartig, werden aber von praktisch allen aktiven Ransomware-Gruppen genutzt. Wer hier keine zentrale Übersicht hat, übersieht den Angriff in der Vorbereitungsphase.
Warum klassisches Logging nicht ausreicht
In der Beratung sehen wir regelmäßig, dass die genannten Signale in den Logfiles sichtbar gewesen wären, aber niemand sie ausgewertet hat. Genau hier setzen Detection-and-Response-Plattformen an. Sophos XDR und Sophos MDR erfassen Telemetriedaten aus Endpoints, Firewalls, Cloud und Identitätsdiensten, korrelieren Ereignisse über Systeme hinweg und melden Verhaltensmuster, die auf vorbereitende oder aktive Ransomware-Aktivitäten hinweisen. Für Unternehmen ohne eigenes 24/7-SOC ist MDR oft der einzige realistische Weg, Angriffe vor der Verschlüsselungsphase zu stoppen.
Was tun bei einem Ransomware-Vorfall?
Wenn der Vorfall trotz aller Schutzmaßnahmen eintritt, zählt strukturiertes Handeln. Aktionismus richtet in den ersten Stunden oft mehr Schaden an als der Angriff selbst, etwa wenn Beweismittel überschrieben oder kompromittierte Backups eingespielt werden. Die folgenden Schritte sind in dieser Reihenfolge sinnvoll.
- Systeme isolieren. Betroffene Geräte sofort vom Netzwerk trennen, einschließlich LAN, WLAN und VPN. Nicht abschalten, da der Arbeitsspeicher forensisch wertvoll sein kann.
- Incident Response aktivieren. Internes Notfallteam einbinden, externe Spezialisten und gegebenenfalls Cyber-Versicherung kontaktieren.
- Beweise sichern. Logfiles, Speicherabbilder und Netzwerkverkehrsdaten dokumentieren. Diese sind nicht nur für die Forensik wichtig, sondern auch für spätere Versicherungs- und Behördenmeldungen.
- Behörden informieren. Meldepflichten gegenüber BSI, Datenschutzbehörden und gegebenenfalls Aufsichtsbehörden prüfen. Unter NIS-2 gelten verschärfte Meldefristen.
- Kein voreiliges Lösegeld. Rechtliche Bewertung, Sanktionsprüfung und Behördenabstimmung vor jeder Zahlungsentscheidung.
- Systeme neu aufsetzen. Kompromittierte Hosts vollständig neu installieren, nicht nur „bereinigen".
- Saubere Backups einspielen. Nur geprüfte, idealerweise immutable oder offline gehaltene Backups verwenden.
- Zugangsdaten zurücksetzen. Alle Passwörter ändern, Service-Accounts prüfen, MFA flächendeckend ausrollen.
- Schwachstellen schließen. Patches einspielen, Berechtigungen prüfen, Segmentierung verbessern.
- Lessons Learned dokumentieren. Ursachen analysieren und in das Sicherheitskonzept einarbeiten.
Wer keine eigene Incident-Response-Kapazität aufbauen kann, sollte vor dem Ernstfall einen Retainer-Vertrag mit einem spezialisierten Dienstleister abschließen. In der Akutsituation ist es zu spät, einen passenden Partner zu suchen. Über unsere Professional Services unterstützen wir Unternehmen bei der Vorbereitung und im Vorfall selbst.
Lösegeld bei Ransomware zahlen oder nicht?
Die Frage nach der Lösegeldzahlung ist in den letzten zwei Jahren komplexer geworden. In Beratungsgesprächen erleben wir, dass Verantwortliche zwischen rationaler Risikoabwägung und akuter Existenznot abwägen müssen. Drei Aspekte sollten die Entscheidung prägen.
Was Sicherheitsbehörden empfehlen
Sicherheitsbehörden raten grundsätzlich von Zahlungen ab, und das aus guten Gründen. Es gibt keine Garantie, dass funktionierende Entschlüsselungsschlüssel geliefert werden. Es gibt keine Garantie, dass gestohlene Daten nicht trotzdem veröffentlicht oder weiterverkauft werden. Und jede Zahlung finanziert das Geschäftsmodell und macht weitere Angriffe wahrscheinlicher.
Eine oft übersehene kostenlose Ressource ist das No More Ransom Projekt, eine Initiative von Europol, niederländischer Polizei und mehreren Sicherheitsanbietern. Dort stehen für rund 200 Ransomware-Familien kostenlose Entschlüsselungs-Tools bereit. Bei älteren oder bekannten Varianten lohnt sich vor jeder Zahlungsentscheidung ein Blick in die Datenbank, denn das spart in günstigen Fällen das gesamte Lösegeld.
Rechtliche Risiken einer Zahlung
Hinzu kommen rechtliche Risiken. Je nach Angreifergruppe kann eine Lösegeldzahlung als Unterstützung einer kriminellen Vereinigung gewertet werden. Wer an Gruppen zahlt, die auf Sanktionslisten der EU oder der USA stehen, kann zusätzlich gegen Embargo-Vorschriften verstoßen. Das Vereinigte Königreich hat 2025 öffentliche Stellen und KRITIS-Betreiber verbindlich vom Zahlen ausgeschlossen. Eine ähnliche Diskussion läuft in mehreren EU-Staaten.
Warum die Praxis selten schwarz-weiß ist
Wenn alle Backups verschlüsselt sind, der Geschäftsbetrieb stillsteht und Existenzen davon abhängen, sieht die Abwägung anders aus als auf einer Folie im Vorstandsmeeting. Genau deshalb ist die wichtigste Vorbereitung die Frage, ob es einen Plan B gibt, der die Zahlung überflüssig macht. Geprüfte Backups, dokumentierte Recovery-Prozesse und ein realistisch durchgespielter Notfallplan sind der einzige verlässliche Weg, gar nicht erst in diese Lage zu kommen.
Wie schützen Unternehmen sich wirksam vor Ransomware?
Wirksamer Schutz vor Ransomware erfordert eine mehrschichtige Sicherheitsstrategie aus Prävention, Detektion und Reaktion. Da moderne Angriffe in mehreren Stufen ablaufen und sowohl automatisierte als auch manuelle Techniken kombinieren, reicht keine einzelne Maßnahme aus.
| Schutzmaßnahme | Ziel | Umsetzung |
|---|---|---|
| Härtung von Systemen | Reduktion der Angriffsfläche | Patch-Management, CIS-Benchmarks, MFA, Deaktivierung unnötiger Dienste, Least-Privilege-Modell |
| E-Mail-Security | Verhindert initialen Zugriff über Phishing und präparierte Anhänge | Sandboxing, Link-Rewriting, Attachment-Scanning, SPF/DMARC/DKIM |
| Netzwerksegmentierung | Begrenzt laterale Bewegungen nach Erstkompromittierung | VLAN-Segmentierung, Zero-Trust-Policies, restriktives Ost-West-Firewalling |
| Endpoint-Schutz | Stoppt Exploits, Malware und verdächtige Verhaltensmuster am Endgerät | Next-Gen Endpoint Protection, Anti-Exploit-Technologien, verhaltensbasierte Analyse |
| Detection & Response | Frühzeitige Erkennung von Angriffsketten | XDR-Korrelation, MDR-Service, zentrale Log-Analyse, kontinuierliches Threat Hunting |
| Identity Threat Detection | Erkennt Missbrauch kompromittierter Konten | ITDR-Lösungen, Überwachung von Anmeldeereignissen, Schutz privilegierter Accounts |
| Security Awareness | Reduziert menschliche Fehler | Phishing-Simulationen, kurze Schulungszyklen, klare Meldewege, Sensibilisierung für KI-gestützte Angriffe |
| Backups und Wiederherstellung | Schnelle Betriebswiederaufnahme ohne Lösegeld | Immutable Backups, 3-2-1-Regel, Offline-Kopien, regelmäßige Restore-Tests |
| Zugangsschutz | Verhindert Missbrauch kompromittierter Logins | MFA, starke Passwort-Policies, Privileged Access Management |
| Externe Angriffspfade minimieren | Reduziert die exponierte Angriffsfläche | Reduktion offener Ports, Härtung von VPN-Gateways, Abschaltung veralteter Protokolle |
Technische Lösungen im Überblick
Welche Technologien tatsächlich wirken, hängt von der jeweiligen Umgebung und den vorhandenen Ressourcen ab. Die folgenden Bausteine bilden das Rückgrat einer modernen Anti-Ransomware-Architektur.
Next-Generation Firewalls
Moderne Next-Generation Firewalls analysieren den Datenverkehr auf Anwendungsebene, erkennen exploitbasierte Angriffe und schränken laterale Bewegungen durch interne Segmentierung ein. Funktionen wie Intrusion Prevention, TLS-Inspection und das Blockieren bekannter Command-and-Control-Server erschweren es Angreifern, sich nach einem Erstzugriff im Netzwerk auszubreiten.
Endpoint Protection
Endpoint-Lösungen mit Anti-Ransomware-Funktion erkennen und blockieren auffällige Verschlüsselungsaktivitäten, exploitbasierte Angriffe und das Nachladen weiterer Schadkomponenten direkt am Gerät. Verhaltensbasierte Analyse und Rollback-Funktionen können laufende Angriffe stoppen, selbst wenn der Erstzugriff bereits erfolgt ist.
MDR und XDR
XDR sammelt Telemetriedaten aus Endpoints, Firewalls, Cloud, E-Mail und Identitätsdiensten und korreliert sie. MDR erweitert XDR um ein 24/7-Security Operations Center, das Vorfälle analysiert und bei Bedarf aktiv eingreift. Für Unternehmen ohne eigenes SOC ist MDR der praktikabelste Weg, Angriffe in der frühen Phase zu erkennen und zu stoppen, bevor verschlüsselt wird.
Identity Threat Detection and Response (ITDR)
Laut Sophos Active Adversary Report 2026 lassen sich zwei Drittel aller Sicherheitsvorfälle auf Schwachstellen rund um Identitäten zurückführen. Genau hier setzt ITDR an. Die Lösung erkennt Anzeichen kompromittierter Konten, ungewöhnliche Anmeldemuster und den Missbrauch privilegierter Zugänge. Da kompromittierte Zugangsdaten 2025 für 23 Prozent aller Ransomware-Angriffe verantwortlich waren, ist ITDR aus unserer Sicht eine der wichtigsten Erweiterungen einer bestehenden Endpoint- und Netzwerksicherheit für 2026.
Backups und Wiederherstellung
Backups bleiben die letzte technische Verteidigungslinie. Damit sie im Ernstfall funktionieren, müssen sie manipulationssicher sein, regelmäßig getestet werden und in einem dokumentierten Wiederherstellungsprozess eingebettet sein. In der Praxis bewähren sich folgende Punkte.
- Regelmäßige, automatisierte Backups mit klar dokumentierter Aufbewahrungsdauer
- Immutable oder offline gehaltene Backup-Ziele, die durch Ransomware nicht überschrieben werden können
- Getestete Wiederherstellungsprozesse innerhalb eines Disaster-Recovery-Plans
- Regelmäßige Überprüfung von Wiederherstellungszeit (RTO) und Datenstand (RPO)
- Trennung der Backup-Administration von der allgemeinen IT-Administration
Welche Branchen Ransomware 2025/2026 besonders trifft
Ransomware trifft branchenübergreifend, aber nicht gleichmäßig. In den von uns betreuten Projekten und in den Berichten der Threat Intelligence Anbieter zeigen sich klare Muster, welche Sektoren in Deutschland überproportional häufig im Visier stehen. Die Gründe sind unterschiedlich, vom Druck zur schnellen Wiederherstellung über schwache Sicherheitsbudgets bis zur hohen Sensibilität der Daten.
| Branche | Warum besonders betroffen | Typische Folgen |
|---|---|---|
| Fertigung und Industrie | Hoher Produktionsdruck, oft veraltete OT-Systeme, Lieferkettenabhängigkeit | Produktionsausfälle, Lieferengpässe, Reputationsschäden bei Kunden |
| Gesundheitswesen | Sensible Patientendaten, schwache Sicherheitsbudgets, hoher Wiederherstellungsdruck | Verschiebung von Operationen, Notfallaufnahmen-Stopp, Datenschutzvorfälle |
| Kommunen und Behörden | Komplexe Legacy-IT, geringe Personalressourcen, hoher öffentlicher Druck | Stillstand von Bürgerdiensten, Kfz-Zulassung, Sozialleistungen |
| Bildungseinrichtungen | Offene Netzwerke, viele Endpunkte, limitierte IT-Teams | Ausfall von Verwaltungs- und Lernplattformen, Diebstahl von Forschungsdaten |
| Mittelstand allgemein | „Sweet Spot" der Angreifer, ausreichend Geld, oft unzureichender Schutz | Existenzbedrohende Lösegeldforderungen, Betriebsunterbrechung |
| Professional Services (Kanzleien, Steuer- und Wirtschaftsberater) | Hoch sensible Mandantendaten, Compliance-Druck, oft Microsoft 365 als zentrale Plattform | Mandantenverlust, Schadenersatzforderungen, Berufsrechtsfolgen |
Was in der Praxis auffällt, ist die zunehmende Verschiebung weg von Großunternehmen hin zum klassischen deutschen Mittelstand. Großkonzerne haben in den letzten Jahren erheblich in Sicherheit investiert. KMU mit 50 bis 500 Mitarbeitenden sind 2026 die wirtschaftlich attraktivste Zielgruppe für Ransomware-Affiliates, weil sie zahlungsfähig, aber meist schlechter geschützt sind.
Ransomware-Schutz für Behörden und KRITIS
Behörden, Kommunen und KRITIS-Betreiber stehen 2026 unter besonderem Druck. Der BSI-Lagebericht 2025 zeigt, dass viele kommunale Verwaltungen und kleinere Behörden hinter den Sicherheitsstandards zurückbleiben, die im NIS-2-Umsetzungsgesetz verankert sind. Gleichzeitig sind sie attraktive Ziele, weil ihre Ausfallkosten hoch und ihre Verhandlungspositionen oft schwach sind. Beispiele wie der Angriff auf Südwestfalen-IT, der über 70 Kommunen lahmlegte, zeigen das Schadenspotenzial.
Für den öffentlichen Sektor gelten zudem teils strengere Anforderungen. Mit dem seit Dezember 2025 geltenden NIS-2-Umsetzungsgesetz sind rund 29.500 Unternehmen und Einrichtungen in Deutschland zu Mindestmaßnahmen verpflichtet, darunter Risikoanalyse, Incident Response, Business Continuity und Lieferkettensicherheit. Wer hier nicht liefert, riskiert nicht nur den Vorfall selbst, sondern auch persönliche Haftung der Geschäftsleitung. Für die Versorgungswirtschaft und das Gesundheitswesen haben wir die spezifischen Anforderungen in eigenen Beiträgen aufbereitet.
Fazit: Ransomware bleibt 2026 die teuerste Bedrohung
Ransomware ist 2026 weiterhin die teuerste und operativ folgenschwerste Cyberbedrohung für Unternehmen und Behörden in Deutschland. Auch wenn einige Indikatoren wie Lösegeldforderungen und Verschlüsselungsraten leicht zurückgegangen sind, hat sich die Bedrohung in ihrer Struktur verändert. Dezentrale Gruppen, KI-gestützte Angriffe und Doppelerpressung machen klassische Einzelmaßnahmen zunehmend wirkungslos.
Was wirkt, ist eine mehrschichtige Sicherheitsstrategie aus Härtung, Endpoint Protection, Detection-and-Response, Identity Threat Detection und einer belastbaren Backup-Architektur. Hinzu kommen organisatorische Maßnahmen wie Incident-Response-Pläne, regelmäßige Awareness-Schulungen und ein klarer Umgang mit der Lösegeldfrage. Wer hier vorbereitet ist, hat im Ernstfall nicht nur bessere Karten gegenüber den Angreifern, sondern erfüllt gleichzeitig die wachsenden regulatorischen Anforderungen aus NIS-2 und sektorspezifischen Vorgaben.
Sie möchten Ihre aktuelle Ransomware-Resilienz prüfen oder einen Vorfall sicher bewältigen? Unsere Security-Berater unterstützen Sie technisch und organisatorisch. Sprechen Sie uns an.
FAQ: Häufige Fragen zu Ransomware arrow_drop_down
FAQ: Ransomware
Wie viele Unternehmen in Deutschland sind von Ransomware betroffen?
Laut Bitkom-Wirtschaftsschutzstudie 2025 waren 34 Prozent der Unternehmen in Deutschland innerhalb der letzten zwölf Monate von Ransomware-Angriffen mit Datenverschlüsselung betroffen. 15 Prozent haben bereits Lösegeld gezahlt. Das BSI dokumentiert für den Berichtszeitraum Juli 2024 bis Juni 2025 zusätzlich 950 Ransomware-Angriffe auf Unternehmen und Behörden.
Welche Ransomware-Gruppen sind 2026 am aktivsten?
Qilin (auch Agenda) ist 2025 mit über 1.000 Opfern die aktivste Gruppe weltweit, gefolgt von Akira mit rund 740 Opfern. DragonForce wächst stark und hatte in Q3 2025 rund 20 Prozent seiner Opfer in Deutschland. LockBit ist mit Version 5.0 seit September 2025 zurück, agiert aber kleiner als vor der Zerschlagung 2024.
Sollte man bei Ransomware Lösegeld zahlen?
Sicherheitsbehörden raten grundsätzlich davon ab. Es gibt keine Garantie, dass Schlüssel funktionieren oder gestohlene Daten gelöscht werden. Hinzu kommen rechtliche Risiken durch Sanktionsverstöße und die Strafbarkeit der Unterstützung krimineller Vereinigungen. Eine Zahlung sollte immer nur nach rechtlicher Prüfung und in Abstimmung mit Behörden in Betracht gezogen werden.
Wie hoch sind die durchschnittlichen Wiederherstellungskosten nach einem Ransomware-Angriff?
Laut Sophos State of Ransomware 2025 liegen die durchschnittlichen Wiederherstellungskosten ohne Lösegeldzahlung bei 1,53 Millionen US-Dollar. Das ist ein Rückgang um 44 Prozent gegenüber dem Vorjahr und deutet auf eine bessere Vorbereitung vieler Unternehmen hin. 53 Prozent der betroffenen Organisationen waren innerhalb einer Woche wieder hergestellt.
Was ist Ransomware-as-a-Service (RaaS)?
RaaS bezeichnet ein Geschäftsmodell, bei dem Ransomware-Entwickler ihre Schadsoftware und Infrastruktur an sogenannte Affiliates vermieten. Diese führen die eigentlichen Angriffe durch und erhalten einen Anteil der Lösegelder. Das Modell senkt die technischen Einstiegshürden für Angreifer erheblich und ist 2026 die dominierende Organisationsform.
Wie verändert KI die Ransomware-Bedrohung?
KI wirkt aktuell vor allem als Beschleuniger bestehender Angriffstechniken. Phishing-Mails werden täuschend echt, Deepfakes ermöglichen neue Social-Engineering-Methoden, und KI hilft Angreifern beim Sortieren gestohlener Daten und beim Anpassen von Schadcode. Erste Ransomware mit lokalem KI-Sprachmodell („PromptLock") wurde 2025 dokumentiert. 80 Prozent der RaaS-Anbieter werben bereits mit KI- oder Automatisierungsfunktionen.
Schützt ein Backup vollständig vor Ransomware?
Backups sind unverzichtbar, aber alleine nicht ausreichend. Erstens werden moderne Ransomware-Angriffe mit Datendiebstahl kombiniert, sodass auch wiederhergestellte Systeme vom Risiko der Datenveröffentlichung betroffen bleiben. Zweitens versuchen Angreifer gezielt, Backups vor der Verschlüsselung zu manipulieren oder zu löschen. Wirksam sind Backups nur in Kombination mit Immutable-Speicher, Offline-Kopien und regelmäßigen Restore-Tests.
Was ist der Unterschied zwischen XDR, MDR und ITDR?
XDR (Extended Detection and Response) ist eine Plattform, die Telemetrie aus Endpoints, Netzwerk, Cloud und Identität korreliert. MDR (Managed Detection and Response) ergänzt XDR um ein externes Security Operations Center, das rund um die Uhr Vorfälle analysiert und reagiert. ITDR (Identity Threat Detection and Response) fokussiert speziell auf den Schutz von Identitäten und Konten, da kompromittierte Zugangsdaten ein Hauptangriffsvektor sind.
