Ransomware-Angriffe: Die Gefahr steigt und die Unternehmen bezahlen …

Es gibt wohl einen "ungesunden Trend": Die Zahl der Ransomware-Angriffe steigt in DACH. Und Führungskräfte im Bereich Unternehmenssicherheit (CISOs) erwägen, auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden.

Ein Fundsplitter auf X

Die Woche ist mir nachfolgender Tweet von Prof. Dennis Kipker unter die Augen gekommen. Der Sachverhalt: Der Schweizer Rüstungskonzern RUAG wurde Opfer der Ransomwaregruppe Akira.

Akira gelang es, in die Systeme der Ruag-Tochterfirma Ruag LLC in den USA einzudringen und dort große Datenmengen zu stehlen. Die Ruag wurde dann mit der Drohung der Veröffentlichung der angeblich vertraulichen militärischen Daten der Ruag-Tochterfirma erpresst und zahlte schließlich Lösegeld. Und dies trotz der Warnung des Schweizer Bunds, keine Zahlungen an Ransomware-Gruppen zu leisten. Die Ruag ist im Bundesbesitz der Schweiz. Der Schweizer Rundfunk (SRF) hat dies in diesem Artikel öffentlich gemacht.

Studie zeigt: Firmen erwägen zu bezahlen

Mitte Mai 2026 ist mir dann noch eine Studie von Absolute Security zugegangen, die sich mit der Frage, wie sich derzeit die Bedrohung durch Ransomware darstellt und wie die Führungskräfte im Bereich Unternehmenssicherheit diese Bedrohung wahrnehmen. Es wurde auch analysiert, wie die Führungskräfte auf die Bedrohung reagieren. Dazu befragte das Unternehmen Absolute Security insgesamt 750 CISOs aus den Vereinigten Staaten (500) und dem Vereinigten Königreich (250). Die Befragten stammen aus Großunternehmen mit 5.000 oder mehr Mitarbeitern. Die Umfrage wurde im November 2025 abgeschlossen und lieferte Erkenntnisse von Führungskräften aus sieben verschiedenen Bereichen: Gesundheitswesen, Finanzdienstleistungen, Bildung, Öffentlicher Sektor, Einzelhandel, Fachdienstleistungen und Energie.

Angriffe gehen häufig von mobilen, Remote- oder hybriden Endgeräten aus

Ransomware steht bei CISOs nach wie vor ganz oben auf der Liste der bedrohlichsten Risiken, weil ihre Endgeräte-Infrastrukturen erheblich anfällig sind.

• 57 Prozent der Befragten gaben an, dass ihre Unternehmen im Zeitraum der vergangenen 12 bis 18 Monate einen Angriff erlebt hätten, der von einem mobilen, Remote- oder hybriden Endgerät ausging.
• 58 Prozent meinten wiederum, dass ein Vorfall die Endgeräte funktionsunfähig gemacht habe.

Diese Erkenntnisse überraschen die Macher der Studie, angesichts zusätzlicher telemetriebasierter Untersuchungen an Millionen von PCs, kaum. Denn dabei wurde festgestellt, dass kritische Endpunkt-Sicherheitskontrollen in 20 Prozent der Fälle nicht funktionieren. Dringt Ransomware über ein Endgerät ein, ist der kaskadenartige Ausfall bis hin zur vollständigen Betriebsunfähigkeit nahezu unvermeidlich – sofern in den Geräten keine Resilienz integriert ist.

Auswirkung von Ransomware auf die operative Resilienz

Die Befragung der für Sicherheit verantwortlichen Führungskräfte hat noch einige interessante Erkenntnisse gebracht:

• Das Vertrauensparadoxon – 83 Prozent der CISOs sind zuversichtlich, dass sich ihr Unternehmen von einem Ransomware-Angriff erholen kann. Allerdings würden 57 Prozent bis zu sechs Tage und 20 Prozent sogar bis zu zwei Wochen für die Wiederherstellung benötigen. Kein CISO gab an, innerhalb eines Tages wieder einsatzbereit zu sein.
• Sneakernet – Obwohl die Unternehmen wissen, dass Ransomware weiterhin zu Betriebsstörungen führt, sind 59 Prozent der Meinung, dass sie nach einem Vorfall physischen Zugriff auf einen Endpunkt haben müssen, um das Gerät reparieren und wiederherstellen zu können. Nur 53 Prozent der Unternehmen verfügen über Remote-Funktionen zur Wiederherstellung, obwohl solche Tools weit verbreitet sind.
• Mythos-Variable – Laut Angaben von CISOs ist das Patchen von Altsystemen mit 42 Prozent nach der Problematik von Schulungen zur Sensibilisierung der Mitarbeiter (43 Prozent) die zweitgrößte Herausforderung bei der Abwehr von Ransomware.

Anthropics KI-Modell Claude Mythos zeigt, dass fortschrittliche LLMs in den Händen von Verteidigern und Angreifern Schwachstellen mit einer Geschwindigkeit aufdecken können, mit der die Branche nicht Schritt halten kann. Unternehmen werden weiterhin mit durch Bedrohungen verursachten Störungen konfrontiert sein, die ungeminderte Software-Risiken ausnutzen.

Das führt zu der Schlussfolgerung: Patching muss eine wichtige Sicherheitstaktik bleiben, jedoch muss die Fähigkeit, sich von zunehmenden Schwachstellen und Exploits zu erholen, ganz oben auf der Prioritätenliste stehen.

Bezahlen oder nicht bezahlen?

Für Cybersicherheit verantwortliche Führungskräfte beantworten diese Frage für sich mehrheitlich mit "bezahlen".

• 58 Prozent der CISOs erwägen, auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden.
• Zudem stufen 46 Prozent der Sicherheitsverantwortlichen Betriebsausfälle als die schwerwiegendste Auswirkung ein, die Ransomware auf ihre Unternehmen haben könnte.

Dies sind zwei wichtige Erkenntnisse, die einem neuen Bericht von Absolute Security zu entnehmen sind: Der Report The Ransomware Reality: Zero Days to Recover (erfordert Registrierung) enthält die Antworten von 750 Chief Information Security Officers (CISOs) aus den Vereinigten Staaten sowie dem Vereinigten Königreich. Die aktuelle Untersuchung ist die zweite Ausgabe der Forschungsreihe "State of Enterprise Cyber Resilience" von Absolute Security.

"Es überrascht keineswegs, dass Sicherheits- und Risikoverantwortliche trotz des regulatorischen Drucks weiterhin bereit sind, Lösegeld zu zahlen, um ihre Systeme wiederherzustellen und Daten zu schützen. Insbesondere wenn man bedenkt, dass längere Ausfallzeiten zu untragbaren Verlusten führen können", sagt Christy Wyatt, Präsidentin und CEO von Absolute Security. "CISOs, die nach schwerwiegenden Angriffen die Geschäftskontinuität schnell wiederherstellen können, vermeiden es, in einen Ausfallzyklus zu geraten, der sich mit dem zunehmenden Einsatz KI-gestützter Angriffe durch Cyberkriminelle nur noch weiter verschärfen wird."

Cyberangriffe in der DACH-Region steigen um 124 Prozent

Dabei sieht die Situation in Deutschland, Österreich und der Schweiz (DACH) nicht wirklich gut in Bezug auf Cyberangriffe aus. Check Point Software Technologies Ltd.hat gerade die Ergebnisse des "DACH Threat Landscape 2025 Reports" (erfordert Registrierung) veröffentlicht. Der Bericht zusammengestellt vom Check Point Exposure Management-Team offenbart für das Jahr 2025 eine drastische Verschärfung der Cyberrisiken für Unternehmen und Behörden in der DACH-Region.

Die geopolitische Lage spiegelt sich direkt in der Cyberbedrohungslandschaft wider, schreiben die Autoren des Reposts. Im Jahr 2025 entfielen rund 18 Prozent aller in Europa registrierten Vorfälle auf die DACH-Region, wobei allein Deutschland 13 Prozent ausmachte. Einen außergewöhnlichen Höhepunkt erreichten die Angriffe in den Sommermonaten.

Dieser Anstieg war maßgeblich auf gezielte Vergeltungsaktionen von Hacktivisten infolge der sogenannten "Operation Eastwood" zurückzuführen. Bei dieser von Europol koordinierten Aktion im Juli 2025 wurden über 100 Server der pro-russischen Gruppe NoName057(16) abgeschaltet. Unter dem Hashtag #FuckEastwood reagierten die Täter umgehend mit massiven Angriffswellen auf öffentliche und private Einrichtungen in Deutschland und den Nachbarländern.

Die wichtigsten Erkenntnisse aus obigem Report lassen sich in nachfolgenden Punkten zusammenfassen:

• Die DACH-Region verzeichnet eine Zunahme von rund 124 Prozent bei Cyberangriffen im Vergleich zum Vorjahr.
• Mit 82 Prozent aller regionalen Vorfälle ist Deutschland am stärksten betroffen, gefolgt von der Schweiz (12 Prozent) und Österreich (8 Prozent).
• 66 Prozent der Angriffe waren Defacements, die maßgeblich von pro-russischen und ideologisch motivierten Gruppen (wie NoName057(16)) im Rahmen geopolitischer Spannungen vorangetrieben wurden.
• Knapp 30 Prozent der Vorfälle entfallen auf Erpressungstrojaner von finanziell motivierten Gruppen wie Safepay, Qilin oder Akira.
• Die am stärksten attackierten Branchen sind Business Services (24 Prozent) und Regierungsbehörden (13 Prozent), was die Abhängigkeit der Region von vernetzten Lieferketten ausnutzt.

Während Hacktivisten durch massenhafte Überlastungsangriffe und Defacements eine maximale öffentliche Sichtbarkeit anstreben, agieren Ransomware-Akteure im Hintergrund – mit gravierenden Folgen.

• Zu den aktivsten Gruppen 2025 gehörte „NoName057(16)", die nach der Zerschlagung ihrer Server mit massiven DDoS-Vergeltungsschlägen reagierte.
• Daneben traten weitere haktivistisch motivierte Gruppen wie „Hezi Rash" und „Mr Hamza" mit gezielten Kampagnen gegen öffentliche Services in Erscheinung.

Auf der finanziell motivierten Seite dominierten hochprofessionelle Ransomware-Gruppen, die ungesicherte Identitäten für „Double Extortion"-Kampagnen nutzten.

• „Safepay" trieb diese Erpressungen branchenübergreifend über Dark-Web- und TON-Netzwerke voran.
• Die Gruppe „Akira" spezialisierte sich auf Windows- und Linux-Umgebungen und nutzte fehlende Multi-Faktor-Authentifizierungen aus,
• während das „Qilin"-Kartell die Gefahr durch plattformübergreifende, Rust-basierte Malware und eigene Leak-Portale im Darknet vergrößerte.

Wie kritisch die Auswirkungen dieser organisierten Bedrohungsakteure im DACH-Raum tatsächlich waren, zeigt eine Reihe von weitreichenden Vorfällen aus dem vergangenen Jahr:

• Kritische Infrastruktur und Flugverkehr: Ein Cyberangriff auf das Boarding-System eines großen Luft- und Raumfahrtunternehmens führte zu massiven Abfertigungsstörungen an mehreren europäischen Flughäfen, mit bestätigten Ausfällen auch am Flughafen BER in Berlin.
• Behörden im Visier: Eine schwere Malware-Infektion zwang ein Ministerium dazu, seine E-Mail- und IT-Dienste temporär komplett vom Netz zu nehmen, um die Ausbreitung des Schadcodes zu stoppen.
• Gefährdete Lieferketten: Im September 2025 kompromittierte der massive Supply-Chain-Angriff „Shai Hulud 2.0" über 600 npm-Pakete und 25.000 GitHub-Repositories. Dadurch wurden zehntausende Entwickler-Zugänge offengelegt, was auch DACH-Unternehmen mit vernetzten Software-Pipelines massiv gefährdete.

Erfolgreiche Gegenschläge: Die im November 2025 durchgeführte „Operation Endgame" von Europol zerschlug durch gezielte Razzien (unter anderem in Deutschland) Infrastrukturen von Botnetzen wie Rhadamanthys, die zuvor weltweit über 100.000 Krypto-Wallets kompromittiert hatten.

"Der alarmierende Anstieg der Angriffe um 124 Prozent im Vergleich zum Vorjahr verdeutlicht, dass die DACH-Region weiterhin attraktiv für Cyberkriminelle bleibt", erklärt Daniel Dreier, Area Manager DACH bei Check Point Exposure Management. „Insbesondere deutsche Unternehmen und Behörden stehen im Fokus von Hacktivisten. Sie nutzen geopolitische Spannungen für disruptive Kampagnen oder Erpressung aus. Angriffe zielen allerdings oft weniger auf finanziellen Gewinn ab, sondern wollen maximale öffentliche Aufmerksamkeit und Störungen verursachen."

Für das Jahr 2026 prognostiziert der Report eine weiterhin volatile Lage durch regulatorische und politische Risikofaktoren. Neben Business Services und Behörden wird der Druck auf das Gesundheitswesen, den Energiesektor und industrielle Ökosysteme stark zunehmen, weil Angreifer hier durch Störungen der Leistungserbringung eine maximale Hebelwirkung erzielen können.

Darüber hinaus birgt die gesetzlich geforderte Umsetzung der NIS2-Richtlinie in Deutschland sowie des NISG 2026 in Österreich kurzfristige Risiken: Bei der technischen Implementierung könnten vorübergehende Lücken in der Abwehr aufklaffen, die von Angreifern als Fenster gezielt ausgenutzt werden. Darüber hinaus werden die anstehenden Landtagswahlen in Deutschland sowie Referenden in der Schweiz als starke Katalysatoren für politisch motivierte Störaktionen, DDoS- und Desinformationskampagnen dienen. Experten warnen überdies davor, dass kurzzyklische Vergeltungsaktionen, wie sie nach der „Operation Eastwood" zu beobachten waren, nach polizeilichen Erfolgen zur neuen Norm werden könnten.

Um den wachsenden Herausforderungen zu begegnen, empfehlen die Sicherheitsforscher folgende strategische Maßnahmen:

• KI-gestützte Erkennung: Einsatz von Künstlicher Intelligenz, um anomales Authentifizierungsverhalten und frühe laterale Bewegungen der Angreifer in den Netzwerken zu identifizieren.
• Schwachstellen-Management: Kontinuierliches Scannen und schnelle Behebung von Schwachstellen, insbesondere bei internetfähigen Systemen und Cloud-Plattformen.
• Absicherung der Lieferkette: Strenge Überprüfung von Drittanbietern und IT-Dienstleistern, da diese in der DACH-Region besonders häufig als Einfallstor dienen.
• Ausbau der Incident Response-Fähigkeiten: Etablierung und regelmäßiges Testen von abteilungsübergreifenden Notfallplänen, um bei politischen oder finanziell motivierten Angriffen die Ausfallzeiten zu minimieren.