Ransomware hat sich in den vergangenen Jahren grundlegend verändert. Während früher die Verschlüsselung von Systemen und der daraus resultierende IT-Ausfall im Zentrum stand, fokussieren sich moderne Angriffe zunehmend auf die gezielte Exfiltration und wirtschaftliche Verwertung sensibler Daten.
Dieser Beitrag zeigt, warum das klassische Ransomware-Modell an Wirksamkeit verliert, wie sich eine datengetriebene Erpressungsökonomie etabliert hat und welche strategischen Konsequenzen sich daraus für CISOs und Führungskräfte ergeben.
Ransomware gehört seit mehr als einem Jahrzehnt zu den dominierenden Cyberbedrohungen für Unternehmen weltweit. In der öffentlichen Wahrnehmung steht häufig die Verschlüsselung von Systemen im Vordergrund und damit der unmittelbare Ausfall von IT-Services und Geschäftsprozessen. Diese Sichtweise ist inzwischen jedoch überholt. Die operative Realität der Angreifer hat sich grundlegend gewandelt, und das traditionelle Modell der reinen Systemverschlüsselung verliert kontinuierlich an Bedeutung.
Seit etwa 2020 zeigt sich ein klarer Trend: Angreifer setzen zunehmend auf die Erpressung mit gestohlenen Daten. Das klassische Ziel, den Geschäftsbetrieb lahmzulegen, wird durch ein Modell ersetzt, bei dem der Wert der erbeuteten Informationen im Zentrum steht. Diese Entwicklung wird durch verschiedene internationale Analysen bestätigt, unter anderem durch Berichte der europäischen Cybersicherheitsagentur ENISA. Diese dokumentieren einen anhaltenden Anstieg von Vorfällen, bei denen Datenexfiltration ohne vorgängige Verschlüsselung zum primären Druckmittel geworden ist.
Für Führungskräfte im Bereich Informationssicherheit bedeutet dieser Wandel eine strategische Verschiebung. Technische Schutzmechanismen gegen Verschlüsselung bleiben notwendig, reichen aber nicht mehr aus. Entscheidend wird die Frage, wie Unternehmen ihre Datenlandschaft schützen, Exfiltration erkennen und in einer Erpressungssituation angemessen reagieren.
Das Ende der klassischen Ransomware ist daher keine Entwarnung. Es markiert vielmehr den Übergang in eine Phase, in der Unternehmen verstärkt mit gezielten Angriffen konfrontiert werden, die weniger auf technische Zerstörung als auf wirtschaftliche und regulatorische Verwundbarkeit abzielen.
Klassische Ransomware: Das frühere Geschäftsmodell
Über viele Jahre basierte klassische Ransomware auf einem relativ linearen, technisch geprägten Geschäftsmodell. Angreifer versuchten, möglichst viele Systeme eines Unternehmens zu verschlüsseln, um den Zugang zu den betroffenen Daten nur gegen Zahlung eines Lösegelds wieder freizugeben. Der wirtschaftliche Schaden entstand primär durch den Ausfall zentraler Geschäftsprozesse, da Daten oder ganze Systeme nicht mehr nutzbar waren.
Die typische Angriffskette
Internationale Untersuchungen, unter anderem von ENISA und nationalen Computer Emergency Response Teams, beschreiben ein wiederkehrendes Muster:
Erstzugriff
Die initiale Kompromittierung erfolgte meist über Phishing, unsichere Remote-Zugänge oder ausnutzbare Schwachstellen in öffentlich erreichbaren Systemen.
Ausbreitung im Netzwerk
Nach dem ersten Zugriff verschafften sich die Angreifer zusätzliche Berechtigungen und bewegten sich lateral im Netzwerk, um möglichst viele Systeme zu erreichen.
Massive Verschlüsselung
Die eigentliche Ransomware wurde verteilt und startete eine automatisierte Verschlüsselung ganzer Netzsegmente, einschliesslich Servern, Clients und File Shares.
Lösegeldforderung
Sobald das Unternehmen handlungsunfähig war, erschien eine Lösegeldforderung. Die Kommunikation erfolgte häufig über TOR-basierte Portale.
Warum dieses Modell lange funktionierte
In den 2010er-Jahren waren viele Unternehmen unzureichend vorbereitet. Backups waren unvollständig, Offsite-Kopien fehlten, und Wiederherstellungsprozesse waren langsam. Der Verlust der Verfügbarkeit – der dritte Pfeiler der CIA-Triade – führte häufig zu erheblichen Geschäftsunterbrechungen. Die Zahlung des Lösegelds erschien vielen Betroffenen als schnellster Weg zur Normalisierung des Betriebs.
Die Grenzen des Modells
Mit der Zeit zeigten sich jedoch deutliche Schwächen:
- Verbesserte Backup- und Wiederherstellungsarchitekturen
- Professionalisierung von Security Operations und Incident Response
- Restriktivere Haltung von Cyberversicherern gegenüber Lösegeldzahlungen
Diese Entwicklungen bildeten die Grundlage für den Wandel hin zur datengetriebenen Erpressung.
Warum das klassische Modell an Bedeutung verliert
Das klassische Ransomware-Modell verliert an Wirksamkeit, weil sich sowohl die technische als auch die organisatorische Verteidigungsfähigkeit vieler Unternehmen deutlich verbessert hat.
Ein zentraler Faktor ist die erhöhte Wiederherstellungsfähigkeit. Unveränderbare Speicherlösungen, logisch oder physisch getrennte Backup-Infrastrukturen und regelmässig getestete Restore-Prozesse ermöglichen es, selbst grossflächige Verschlüsselungen ohne Zahlung eines Lösegelds zu überstehen.
Parallel dazu hat sich der operative Sicherheitsbetrieb professionalisiert. Moderne Security Operations erkennen verdächtige Bewegungsmuster im Netzwerk früher als noch vor wenigen Jahren. Typische Vorbereitungshandlungen wie Privilegienausweitung, Persistenzaufbau oder das Platzieren von Verschlüsselungswerkzeugen werden häufiger unterbrochen, bevor sie ihre Wirkung entfalten.
Auch Cyberversicherungen haben ihre Rolle verändert. Lösegeldzahlungen werden zunehmend kritisch geprüft und bei vorhandenen Wiederherstellungsoptionen oft nicht mehr übernommen. Dies reduziert die Planbarkeit und Attraktivität des klassischen Modells für Angreifer.
In der Summe entsteht ein Umfeld, in dem Verschlüsselung allein keinen verlässlichen wirtschaftlichen Hebel mehr darstellt. Dies begünstigt die Verlagerung hin zu datenbasierten Erpressungsmodellen.
Die Evolution zur datengetriebenen Erpressungsökonomie
Die aktuelle Entwicklung ist Ausdruck einer fortschreitenden Professionalisierung der Täter. Der Fokus verschiebt sich von technischer Sabotage hin zur systematischen Ausnutzung des Informationswerts innerhalb von Organisationen.
Von der technischen Sabotage zur wirtschaftlichen Erpressung
Moderne Angriffe orientieren sich an regulatorischen, rechtlichen und reputationsbezogenen Risiken. Exfiltriert werden gezielt Daten mit hohem geschäftlichem oder regulatorischem Wert. Die Erpressung bleibt damit auch dann wirksam, wenn Systeme technisch rasch wiederhergestellt werden können.
Double- und Triple-Extortion als Standard
- Double Extortion: Kombination aus Datendiebstahl und optionaler Verschlüsselung.
- Triple Extortion: Erweiterung um zusätzliche Druckmittel wie DDoS-Angriffe oder die direkte Kontaktaufnahme mit Kunden, Partnern oder Regulatoren.
Ransomware-as-a-Service und Industrialisierung
Die arbeitsteilige Organisation des kriminellen Ökosystems senkt die Einstiegshürden und erhöht die Effizienz. Rollen wie Initial Access Broker, Malware-Anbieter oder spezialisierte Verhandlungsführer sind klar getrennt.
KI-gestützte Werkzeuge wirken zusätzlich als Beschleuniger, insbesondere bei Phishing, Social Engineering und der automatisierten Vorbereitung von Angriffen.
Aktuelle Angriffsmuster und Fallbeispiele
Moderne Kampagnen sind geprägt von gezielter Vorbereitung und einem klaren Fokus auf wirtschaftliche Erpressbarkeit.
Angriffsmuster: Exfiltration ohne Verschlüsselung
Angreifer exfiltrieren über längere Zeiträume unauffällig sensible Daten, ohne Systeme zu verschlüsseln.
Fallbeispiel (anonymisiert):
Ein Produktionsunternehmen stellte erst nach dem Abfluss mehrerer Hundert Gigabyte technischer Konstruktionsdaten eine Erpressung fest. Die IT-Systeme blieben funktionsfähig, doch die Daten bildeten die Grundlage des wirtschaftlichen Drucks.
Angriffsmuster: Selektive Verschlüsselung
Nach der Exfiltration besonders wertvoller Daten werden einzelne Systeme gezielt verschlüsselt, um den Druck zu erhöhen.
Angriffsmuster: Erpressung über Dritte
Durch die Kontaktaufnahme mit Kunden, Lieferanten oder Behörden entsteht zusätzlicher Reputationsdruck.
Angriffsmuster: Einsatz von Initial Access Brokern
Erstzugänge werden häufig über spezialisierte Marktplätze beschafft, teilweise Monate vor dem eigentlichen Angriff.
Cyber Crisis Management im Kontext moderner Cybervorfälle
Der Wandel von klassischer Ransomware hin zu datengetriebenen und mehrschichtigen Angriffen verändert nicht nur die Angriffsmethoden, sondern vor allem die Art und Tiefe der entstehenden Schäden. Moderne Cybervorfälle sind keine isolierten IT-Ereignisse mehr. Sie entfalten ihre Wirkung über längere Zeiträume hinweg und betreffen neben der technischen Ebene zunehmend auch Reputation, Vertrauen von Kunden und Partnern, regulatorische Verpflichtungen sowie strategische Handlungsfähigkeit.
Während die Erpressung mit Daten häufig den sichtbaren Auslöser einer Krise darstellt, reicht der tatsächliche Schaden deutlich weiter. Bereits der Verdacht eines Datenabflusses kann Meldepflichten auslösen, Geschäftsbeziehungen belasten und nachhaltige Reputationsschäden verursachen, unabhängig davon, ob es zu einer Veröffentlichung oder Zahlung kommt. Cyber Crisis Management adressiert deshalb nicht primär die Erpressung selbst, sondern die gesamthafte Steuerung eines unternehmenskritischen Ereignisses.
In der Praxis zeigt sich, dass Organisationen ohne vorbereitete Krisenstrukturen in solchen Situationen an Orientierung verlieren. Entscheidungsprozesse sind unklar, Verantwortlichkeiten nicht abgestimmt und Massnahmen erfolgen reaktiv. Dies verstärkt Folgeschäden, etwa durch verspätete oder inkonsistente Kommunikation, regulatorische Fehlentscheidungen oder Vertrauensverlust bei relevanten Stakeholdern.
Ein wirksames Cyber Crisis Management verbindet technische Lagebilder mit organisatorischer, rechtlicher und kommunikativer Entscheidungsfähigkeit. Eine zentrale Rolle spielt dabei ein leistungsfähiges Cyber Defense Center (CDC) oder ein vergleichbares operatives Sicherheitssetup. Das CDC liefert nicht nur technische Indikatoren, sondern schafft durch kontinuierliche Überwachung, Kontextualisierung und Erfahrung ein belastbares Lagebild, auf dessen Basis fundierte Entscheidungen getroffen werden können.
Gerade bei schleichenden Angriffen mit Datenexfiltration, Vorbereitungshandlungen oder Missbrauch legitimer Zugänge entscheidet die Qualität dieses Lagebilds darüber, ob ein Unternehmen handlungsfähig bleibt oder in eine defensive, reaktive Position gerät.
Cyber Crisis Management ist damit keine isolierte Disziplin, sondern integraler Bestandteil moderner Cyber-Resilienz. Es ermöglicht Unternehmen, die Auswirkungen eines Cybervorfalls über die reine Erpressung hinaus zu begrenzen, Vertrauen zu erhalten und auch unter hoher Unsicherheit kontrolliert zu agieren. Regelmässige Cyber-Krisenübungen stellen sicher, dass diese Fähigkeiten nicht nur theoretisch vorhanden sind, sondern im Ernstfall wirksam greifen.
Strategische Empfehlungen für CISOs
Fokus auf den Wert von Daten
Klare Datenklassifikationen und priorisierte Schutzmassnahmen sind zentral.
Erhöhung der Sichtbarkeit
Frühindikatoren für Exfiltration müssen erkannt und korrekt interpretiert werden.
Klare Entscheidungsstrukturen
Moderne Vorfälle erfordern abgestimmte Entscheidungswege über Technik, Recht und Kommunikation hinweg.
Regelmässige Cyber-Krisenübungen
Praxisnahe Szenarien erhöhen die Handlungssicherheit unter Zeitdruck.
Kontinuierliche Weiterentwicklung
Sicherheitsstrategien müssen laufend an das sich wandelnde Bedrohungsumfeld angepasst werden.
Fazit
Ransomware hat sich nicht abgeschwächt, sondern verlagert. Der Fokus liegt heute auf Datenwerten, Abhängigkeiten und Entscheidungsprozessen. Erfolgreiche Sicherheitsstrategien kombinieren technische Resilienz mit organisatorischer und kommunikativer Vorbereitung. Unternehmen, die diesen Wandel ernst nehmen, schaffen die Grundlage für nachhaltige Widerstandsfähigkeit in einem zunehmend komplexen Bedrohungsumfeld.
