Von Veröffentlicht am

Daten statt Verschlüsselung: Ransomware im Wandel

Datendiebstahl und Erpressung auf dem Vormarsch

Der aktuelle Bericht von Zscaler ThreatLabz zeichnet ein klares Bild: Die Ransomware-Szene hat sich erneut gewandelt – und zwar schneller, datengetriebener und psychologisch raffinierter als je zuvor. Während Angriffe früher fast immer mit Verschlüsselung einhergingen, setzen Cyberkriminelle heute zunehmend auf reinen Datendiebstahl. Das gestohlene Volumen explodierte im Untersuchungszeitraum um fast 93 Prozent auf 238 Terabyte.

Die Bedrohung ist klar: Die Veröffentlichung sensibler Informationen wirkt oft zerstörerischer als jeder Systemausfall. Unternehmen fürchten nicht nur um ihre Daten, sondern vor allem um Vertrauen, Reputation und regulatorische Strafen. Gruppen wie Hunters International und World Leaks verzichten deshalb inzwischen vollständig auf Verschlüsselung und konzentrieren sich einzig auf Exfiltration. Backups, lange Zeit die wichtigste Verteidigungslinie, sind damit kein Schutzschild mehr – sie stellen Systeme wieder her, verhindern aber nicht, dass vertrauliche Informationen publik werden.

KI als Turbo für Ransomware

Eine neue Dynamik erhält diese Entwicklung durch den Einsatz von generativer KI. Laut dem Report gehört sie längst zum festen Werkzeugkasten vieler Akteure. Gruppen wie Black Basta nutzen Sprachmodelle, um täuschend echte Phishing-Mails in allen Sprachen zu verfassen, Schadcode zu verbessern und Angriffsketten zu automatisieren.

Das senkt die Eintrittsbarrieren massiv: Selbst technisch weniger versierte Täter können heute hochprofessionelle Kampagnen starten. Gleichzeitig zeigt der Report aber auch die andere Seite: KI kann Verteidiger unterstützen – mit Echtzeitanalysen, automatisierter Mustererkennung und flexiblen Abwehrmechanismen.

Branchen im Dauerbeschuss

Die Angriffszahlen verdeutlichen, dass praktisch keine Branche verschont bleibt. Besonders betroffen sind:

  • Fertigungsindustrie mit 1.063 Angriffen
  • Technologiesektor mit 922 Angriffen
  • Gesundheitswesen mit 672 Angriffen

Besonders alarmierend ist der extreme Anstieg in der Öl- und Gasindustrie (+935 %) sowie in der Landwirtschaft (+677 %). Deutschland belegt weltweit Platz vier mit einem Plus von 74,5 Prozent im Vergleich zum Vorjahr – ein klares Signal, dass hochindustrialisierte Volkswirtschaften und kritische Infrastrukturen für Erpresser besonders lohnenswert sind.

Die globale Karte der Ransomware-Angriffe spricht eine klare Sprache: Kein Kontinent, keine Branche, kein Unternehmen ist mehr wirklich sicher:

Die 15 am stärksten von Ransomware betroffenen Länder

Die Grafik zeigt deutlich, wie breit die Angriffe gestreut sind – von Kernbranchen wie Fertigung und Technologie bis hin zu weniger offensichtlichen Zielen wie Architektur, Consulting oder Automotive:

Top 20 betroffene Branchen durch Ransomware-Angriffe

Die aktivsten Gruppen 2025

Der Bericht listet die Akteure, die 2025 besonders hervorstechen – ein „Who’s Who“ der Ransomware-Szene.

Die aktivsten Ransomware-Gruppen 2024–2025

RansomHub
Mit 833 dokumentierten Opfern war RansomHub zeitweise die dominierende Gruppe, auch wenn sie mittlerweile nicht mehr aktiv ist. Ihre Taktik bestand in der Kombination aus klassischer Verschlüsselung und gezieltem Datendiebstahl. Besonders gefürchtet war die kompromisslose Veröffentlichung sensibler Informationen.

Akira
Akira bleibt mit 520 Angriffen ein fester Bestandteil der Szene. Die Gruppe setzt auf eine Doppelstrategie aus Verschlüsselung und Exfiltration, entwickelt ihre Varianten sowohl für Windows als auch Linux und bedient sich eines breiten Arsenals an Tools. Ihre Opfer reichen von Universitäten über Automobilhersteller bis hin zu kritischen Versorgern.

Clop
Clop ist berüchtigt für groß angelegte Supply-Chain-Angriffe. Mit 488 dokumentierten Opfern bleibt die Gruppe unter den Top-Akteuren. Ihre Spezialität: die Ausnutzung von File-Transfer-Software wie MOVEit oder Cleo, wodurch mit einem einzigen Angriff hunderte Unternehmen kompromittiert werden können.

Interlock
Neu im Ranking ist Interlock – und die Gruppe hat es in sich. Statt viele kleine Ziele ins Visier zu nehmen, konzentriert sie sich auf wenige große Opfer und stiehlt Datenmengen im zweistelligen Terabyte-Bereich. Besonders perfide: In Erpresserschreiben verweist Interlock explizit auf Datenschutzgesetze wie die DSGVO, um den Druck auf Unternehmen zu erhöhen.

Hunters International
Diese Gruppe hat die Verschlüsselung gänzlich aufgegeben und setzt ausschließlich auf Exfiltration. Für Unternehmen bedeutet das: Selbst perfekte Backups bieten keinen Schutz mehr, wenn sensible Informationen – etwa Baupläne, Kundenlisten oder interne Kommunikation – entwendet werden.

World Leaks
World Leaks agiert ähnlich wie Hunters International, aber mit besonders medienwirksamen Methoden. Ihre Leak-Sites sind professionell aufgezogen, Veröffentlichungen werden inszeniert. Ziel ist maximale Bloßstellung, um die Opfer unter Druck zu setzen.

Black Basta
Black Basta zeigt exemplarisch, wie generative KI die Szene verändert. Perfekte Phishing-Kampagnen, optimierter Schadcode und automatisierte Abläufe machen die Gruppe gefährlicher denn je. KI verschiebt das Machtgleichgewicht: Selbst kleine Crews können heute Angriffe fahren, die vor wenigen Jahren nur High-End-Profis vorbehalten waren.

Was bedeutet das für Unternehmen?

Die Analyse des ThreatLabz Reports zeigt klar: Technik allein reicht nicht mehr. Unternehmen müssen auf mehreren Ebenen handeln – organisatorisch, technisch und kulturell. Nur so lässt sich echte Resilienz gegen moderne Ransomware-Angriffe aufbauen.

Security-Awareness – Menschen als Einfallstor

Warum?

  • Angriffe starten heute häufig nicht mehr mit einer Zero-Day-Exploit-Kette, sondern mit Social Engineering.
  • E-Mails, Chat-Nachrichten oder gefälschte Helpdesk-Anrufe („Hallo, ich bin der neue Kollege, mein Token funktioniert nicht…“) sind die häufigste Eintrittstür.
  • Angreifer nutzen psychologischen Druck, Zeitstress und Neugier, um Mitarbeitende zu unüberlegten Handlungen zu bewegen.

Risiko:

  • Selbst perfekt gewartete Systeme sind nutzlos, wenn ein Klick auf einen Link oder ein unbedachter „Approve“-Button den Angreifer ins Netzwerk holt.
  • Besonders riskant: Mitarbeiter im Helpdesk oder in Finanzabteilungen, die häufig mit sensiblen Anfragen umgehen.

Was tun?

  • Regelmäßige Awareness-Trainings mit realistischen Szenarien (Phishing-Simulationen, MFA-Prompt-Bombing-Übungen, Deepfake-Anrufe).
  • Positive Fehlerkultur: Niemand sollte Angst haben, einen Fehlklick zu melden – je schneller der Vorfall erkannt wird, desto kleiner der Schaden.
  • Rollenspezifische Schulungen: Finance-Teams (CEO-Fraud, Fake-Invoices), HR (Phishing im Bewerbungsprozess), Helpdesk (Social-Engineering-Anrufe).
  • Verhaltensrichtlinien: klare Vorgaben, wie Mitarbeitende bei verdächtigen Anfragen reagieren sollen (z. B. Rückruf unter verifizierter Nummer statt blindem Vertrauen).

MFA allein reicht nicht mehr

Warum?

  • Multi-Faktor-Authentifizierung war lange der Goldstandard – doch Kriminelle haben gelernt, sie zu umgehen.
  • MFA-Prompt Bombing: User wird mit Push-Anfragen bombardiert, bis er genervt bestätigt.
  • Phishing-as-a-Service: Plattformen wie EvilProxy fangen Anmeldedaten samt MFA-Token über Reverse Proxies ab.
  • Helpdesk-Manipulation: Angreifer geben sich als Mitarbeiter aus und lassen sich neue Token oder Geräte registrieren.

Risiko:

  • Unternehmen wie Uber oder Rockstar Games wurden bereits über MFA-Bypass kompromittiert.
  • Je mehr Angreifer diese Taktiken industrialisieren, desto weniger reicht „klassische MFA“ als Schutzmaßnahme.

Was tun?

  • Starke MFA-Verfahren einführen: FIDO2-/Passkeys oder hardwarebasierte Lösungen (z. B. YubiKeys) statt SMS oder App-Push.
  • Monitoring & Alerts: Ungewöhnlich viele MFA-Requests sollten automatisch blockiert und untersucht werden.
  • Helpdesk-Härtung: keine Passwort- oder MFA-Resets ohne starke Identitätsprüfung (z. B. Callback, Video-Ident oder interne Freigabeprozesse).
  • MFA-Resistenz testen: Red-Teaming oder Penetrationstests, die gezielt auf MFA-Umgehung abzielen.

Daten-Backups & Exfiltration-Schutz

Warum?

  • Klassische Ransomware verschlüsselte Systeme – Backups einspielen, fertig.
  • Heute lautet die Drohung: „Wir veröffentlichen eure Daten, wenn ihr nicht zahlt.“
  • Damit wird Datenexfiltration zum entscheidenden Druckmittel.

Risiko:

  • Selbst funktionierende Backups verhindern nicht, dass Kundendaten, Baupläne oder interne Kommunikation ins Darknet wandern.
  • Neben dem Imageschaden drohen regulatorische Strafen (DSGVO, HIPAA etc.).

Was tun?

  • Immutable Backups: schreibgeschützt, z. B. S3-Object-Lock oder WORM-Systeme, gegen Manipulation durch Angreifer.
  • Data Loss Prevention (DLP): Überwachung und Blockierung verdächtiger Datenbewegungen in Echtzeit.
  • Segmentierung & Least Privilege: Zugriffsrechte strikt beschränken – je weniger Mitarbeiter vollen Datenzugriff haben, desto geringer das Risiko.
  • Reaktionspläne für Leaks: Wer informiert Kunden, Behörden, Medien? Je schneller und transparenter die Kommunikation, desto geringer der Reputationsschaden.
  • Dark-Web-Monitoring: Frühwarnsystem, ob gestohlene Daten bereits zum Verkauf angeboten werden.

Incident Response muss Social Engineering abdecken

Warum?

  • Klassische Incident-Response-Pläne sind auf Malware-Fälle ausgelegt: Log-Analyse, Forensik, Systemwiederherstellung.
  • Bei Social-Engineering-Angriffen greifen diese Mechanismen zu kurz.
  • Angreifer sitzen oft mit gültigen Zugangsdaten im Netzwerk – fast unsichtbar.

Risiko:

  • Ohne klare Prozesse reagieren Unternehmen zu langsam.
  • Schaden wird größer, weil Konten nicht rechtzeitig gesperrt oder Leaks nicht gestoppt werden.

Was tun?

  • Runbooks für Social-Engineering-Fälle: klare Handlungsanweisungen, wenn etwa der Helpdesk hereingelegt wurde.
  • Schnelle Kontosperren & Zugriffsüberprüfung: Wer hat welche Rechte, welche Daten könnten schon exfiltriert sein?
  • Kommunikationstrainings: Vorfälle intern und extern erklären, ohne Mitarbeitende an den Pranger zu stellen.
  • Tabletop-Übungen: Planspiele zu realistischen Szenarien („CEO-Fraud“, „Phishing in HR“, „MFA-Bypass über Helpdesk“).
  • Verzahnung mit Business Continuity: IR-Pläne müssen auch Geschäftsprozesse berücksichtigen – nicht nur IT.

Ausblick 2026 – wohin sich Ransomware entwickelt

Der ThreatLabz Report wagt auch einen Blick nach vorn – und die Prognosen zeigen: Die Angriffe werden noch raffinierter.

Generative KI wird zur Standardwaffe
Was heute schon punktuell geschieht, dürfte 2026 Alltag sein: Ransomware-Gruppen setzen GenAI ein, um Phishing-Kampagnen zu perfektionieren, gefälschte Dokumente und Deepfakes zu erstellen oder sogar gestohlene Daten automatisiert zu analysieren. Damit sinkt die Einstiegshürde für Angreifer drastisch – und das enorme Datenvolumen, das Unternehmen für KI-Trainings sammeln, wird zum neuen Ziel.

Social Engineering wird mehrstufig und noch präziser
Statt breit gestreuter Spam-Attacken konzentrieren sich Gruppen stärker auf ausgewählte Mitarbeitende mit kritischen Rechten. Sie nutzen Plattformen wie LinkedIn oder ZoomInfo, um Zielpersonen zu identifizieren, und kombinieren Spam mit täuschend echten Telefonanrufen, um an Zugangsdaten zu gelangen.

Vishing und KI-generierte Stimmen nehmen zu
Stimmimitation durch KI wird Angriffe per Telefon noch gefährlicher machen. Ransomware-Akteure setzen auf Voice-Cloning, mehrsprachige Call-Skripte und Deepfake-Audios, um sich als IT-Support oder Führungskräfte auszugeben – und so Mitarbeitende unter Druck zu setzen.

Datendiebstahl bleibt das zentrale Druckmittel
Mit besseren Backup- und Recovery-Strategien der Unternehmen verliert Verschlüsselung weiter an Schlagkraft. Stattdessen setzen Gruppen wie Clop, BianLian oder Hunters International zunehmend auf reine Exfiltration – häufig in Größenordnungen von hunderten Gigabyte pro Opfer.

Leaked Code treibt neue Angriffswellen
Immer wieder gelangen Builder-Tools oder Quellcode von Ransomware ins Netz. Neue Gruppen nutzen diese Bausteine, passen Payloads an und umgehen so gängige Erkennungsmethoden. Das führt zu einer Flut von Spin-offs und Rebrands.

Strafverfolgung nimmt auch die Infrastruktur ins Visier
Ermittler weltweit gehen immer aggressiver gegen Ransomware-Ökosysteme vor – nicht nur gegen einzelne Gruppen, sondern auch gegen Plattformen, die Angriffe ermöglichen. Aktionen wie „Operation Endgame“ haben gezeigt, dass Distributionsnetzwerke großflächig abgeschaltet werden können.

Affiliates wechseln weiter die Seiten
Das Ransomware-as-a-Service-Modell bleibt ein Treiber der Szene. Affiliates springen zwischen Gruppen hin und her – abhängig von Payouts, Repressionen oder technischer Ausstattung. Das sorgt für ständige Bewegung, überlappende Taktiken und immer neue Rebrands.

Obwohl die Zukunft noch ungewisser wird, steht eines fest: Unternehmen müssen jetzt handeln.

Fazit

Der Zscaler Report 2025 ist ein Weckruf: Ransomware ist heute nicht mehr nur ein technisches Ärgernis, sondern eine existenzielle Bedrohung für jedes Unternehmen – schneller, datengetriebener und psychologisch raffinierter als je zuvor. Wer glaubt, mit Backups allein auf der sicheren Seite zu sein, täuscht sich gefährlich: Sie retten Systeme, aber nicht deine Daten, deine Kunden oder deine Reputation.

Die Botschaft ist klar: Zero Trust Everywhere, KI-gestützte Verteidigung, permanente Awareness und Incident-Response-Pläne, die Social Engineering ernst nehmen – das ist kein „Nice-to-have“, sondern Überlebensstrategie.

Unternehmen, die jetzt handeln, gewinnen Zeit, Vertrauen und Resilienz. Unternehmen, die warten, werden in der nächsten Angriffswelle nicht gefragt, ob sie zahlen wollen – sie werden vor vollendete Tatsachen gestellt.

Die Frage lautet also nicht mehr: „Könnte es uns treffen?“ – sondern: „Sind wir wirklich bereit, wenn es passiert?

───────────────────────────────────────────────────────

Quellenangaben:
1. ThreatLabz 2025 Ransomware Report