{"id":326254,"date":"2026-06-14T00:01:00","date_gmt":"2026-06-13T22:01:00","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326254"},"modified":"2026-06-12T08:48:02","modified_gmt":"2026-06-12T06:48:02","slug":"ransomware-angriffe-die-gefahr-steigt-und-die-unternehmen-bezahlen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/14\/ransomware-angriffe-die-gefahr-steigt-und-die-unternehmen-bezahlen\/","title":{"rendered":"Ransomware-Angriffe: Die Gefahr steigt und die Unternehmen bezahlen &#8230;"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/10\/DNxhm89.jpg\" alt=\"\" align=\"left\" \/>Es gibt wohl einen \"ungesunden Trend\": Die Zahl der Ransomware-Angriffe steigt in DACH. Und F\u00fchrungskr\u00e4fte im Bereich Unternehmenssicherheit (CISOs) erw\u00e4gen, auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden.<\/p>\n<p><!--more--><\/p>\n<h2>Ein Fundsplitter auf X<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/214d405d1a9b42bfb25fa7d22d5dc171\" alt=\"\" width=\"1\" height=\"1\" \/>Die Woche ist mir nachfolgender <a href=\"https:\/\/xcancel.com\/Dennis_Kipker\/status\/2063977672959496318\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Prof. Dennis Kipker unter die Augen gekommen. Der Sachverhalt: Der Schweizer R\u00fcstungskonzern RUAG wurde Opfer der Ransomwaregruppe Akira.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-326255\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/RUAG-Loesegeld.jpg\" alt=\"RUAG-L\u00f6segeld\" width=\"593\" height=\"748\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/RUAG-Loesegeld.jpg 593w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/RUAG-Loesegeld-238x300.jpg 238w\" sizes=\"auto, (max-width: 593px) 100vw, 593px\" \/><\/p>\n<p>Akira gelang es, in die Systeme der Ruag-Tochterfirma Ruag LLC in den USA einzudringen und dort gro\u00dfe Datenmengen zu stehlen. Die Ruag wurde dann mit der Drohung der Ver\u00f6ffentlichung der angeblich vertraulichen milit\u00e4rischen Daten der Ruag-Tochterfirma erpresst und zahlte schlie\u00dflich L\u00f6segeld. Und dies trotz der Warnung des Schweizer Bunds, keine Zahlungen an Ransomware-Gruppen zu leisten. Die Ruag ist im Bundesbesitz der Schweiz. Der Schweizer Rundfunk (SRF) hat dies in <a href=\"https:\/\/www.srf.ch\/news\/schweiz\/nach-erpressung-in-den-usa-bundeskonzern-ruag-zahlt-loesegeld-an-hackergruppe\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> \u00f6ffentlich gemacht.<\/p>\n<h2>Studie zeigt: Firmen erw\u00e4gen zu bezahlen<\/h2>\n<p>Mitte Mai 2026 ist mir dann noch eine Studie von Absolute Security zugegangen, die sich mit der Frage, wie sich derzeit die Bedrohung durch Ransomware darstellt und wie die F\u00fchrungskr\u00e4fte im Bereich Unternehmenssicherheit diese Bedrohung wahrnehmen. Es wurde auch analysiert, wie die F\u00fchrungskr\u00e4fte auf die Bedrohung reagieren. Dazu befragte das Unternehmen Absolute Security insgesamt 750 CISOs aus den Vereinigten Staaten (500) und dem Vereinigten K\u00f6nigreich (250). Die Befragten stammen aus Gro\u00dfunternehmen mit 5.000 oder mehr Mitarbeitern. Die Umfrage wurde im November 2025 abgeschlossen und lieferte Erkenntnisse von F\u00fchrungskr\u00e4ften aus sieben verschiedenen Bereichen: Gesundheitswesen, Finanzdienstleistungen, Bildung, \u00d6ffentlicher Sektor, Einzelhandel, Fachdienstleistungen und Energie.<\/p>\n<h3>Angriffe gehen h\u00e4ufig von mobilen, Remote- oder hybriden Endger\u00e4ten aus<\/h3>\n<p>Ransomware steht bei CISOs nach wie vor ganz oben auf der Liste der bedrohlichsten Risiken, weil ihre Endger\u00e4te-Infrastrukturen erheblich anf\u00e4llig sind.<\/p>\n<ul>\n<li>57 Prozent der Befragten gaben an, dass ihre Unternehmen im Zeitraum der vergangenen 12 bis 18 Monate einen Angriff erlebt h\u00e4tten, der von einem mobilen, Remote- oder hybriden Endger\u00e4t ausging.<\/li>\n<li>58 Prozent meinten wiederum, dass ein Vorfall die Endger\u00e4te funktionsunf\u00e4hig gemacht habe.<\/li>\n<\/ul>\n<p>Diese Erkenntnisse \u00fcberraschen die Macher der Studie, angesichts zus\u00e4tzlicher telemetriebasierter Untersuchungen an Millionen von PCs, kaum. Denn dabei wurde festgestellt, dass kritische Endpunkt-Sicherheitskontrollen in 20 Prozent der F\u00e4lle nicht funktionieren. Dringt Ransomware \u00fcber ein Endger\u00e4t ein, ist der kaskadenartige Ausfall bis hin zur vollst\u00e4ndigen Betriebsunf\u00e4higkeit nahezu unvermeidlich \u2013 sofern in den Ger\u00e4ten keine Resilienz integriert ist.<\/p>\n<h3>Auswirkung von Ransomware auf die operative Resilienz<\/h3>\n<p>Die Befragung der f\u00fcr Sicherheit verantwortlichen F\u00fchrungskr\u00e4fte hat noch einige interessante Erkenntnisse gebracht:<\/p>\n<ul>\n<li><strong>Das Vertrauensparadoxon <\/strong>&#8211; 83 Prozent der CISOs sind zuversichtlich, dass sich ihr Unternehmen von einem Ransomware-Angriff erholen kann. Allerdings w\u00fcrden 57 Prozent bis zu sechs Tage und 20 Prozent sogar bis zu zwei Wochen f\u00fcr die Wiederherstellung ben\u00f6tigen. Kein CISO gab an, innerhalb eines Tages wieder einsatzbereit zu sein.<\/li>\n<li><strong>Sneakernet<\/strong> &#8211; Obwohl die Unternehmen wissen, dass Ransomware weiterhin zu Betriebsst\u00f6rungen f\u00fchrt, sind 59 Prozent der Meinung, dass sie nach einem Vorfall physischen Zugriff auf einen Endpunkt haben m\u00fcssen, um das Ger\u00e4t reparieren und wiederherstellen zu k\u00f6nnen. Nur 53 Prozent der Unternehmen verf\u00fcgen \u00fcber Remote-Funktionen zur Wiederherstellung, obwohl solche Tools weit verbreitet sind.<\/li>\n<li><strong>Mythos-Variable<\/strong> &#8211; Laut Angaben von CISOs ist das Patchen von Altsystemen mit 42 Prozent nach der Problematik von Schulungen zur Sensibilisierung der Mitarbeiter (43 Prozent) die zweitgr\u00f6\u00dfte Herausforderung bei der Abwehr von Ransomware.<\/li>\n<\/ul>\n<p>Anthropics KI-Modell Claude Mythos zeigt, dass fortschrittliche LLMs in den H\u00e4nden von Verteidigern und Angreifern Schwachstellen mit einer Geschwindigkeit aufdecken k\u00f6nnen, mit der die Branche nicht Schritt halten kann. Unternehmen werden weiterhin mit durch Bedrohungen verursachten St\u00f6rungen konfrontiert sein, die ungeminderte Software-Risiken ausnutzen.<\/p>\n<p>Das f\u00fchrt zu der Schlussfolgerung: Patching muss eine wichtige Sicherheitstaktik bleiben, jedoch muss die F\u00e4higkeit, sich von zunehmenden Schwachstellen und Exploits zu erholen, ganz oben auf der Priorit\u00e4tenliste stehen.<\/p>\n<h3>Bezahlen oder nicht bezahlen?<\/h3>\n<p>F\u00fcr Cybersicherheit verantwortliche F\u00fchrungskr\u00e4fte beantworten diese Frage f\u00fcr sich mehrheitlich mit \"bezahlen\".<\/p>\n<ul>\n<li>58 Prozent der CISOs erw\u00e4gen, auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden.<\/li>\n<li>Zudem stufen 46 Prozent der Sicherheitsverantwortlichen Betriebsausf\u00e4lle als die schwerwiegendste Auswirkung ein, die Ransomware auf ihre Unternehmen haben k\u00f6nnte.<\/li>\n<\/ul>\n<p>Dies sind zwei wichtige Erkenntnisse, die einem neuen Bericht von Absolute Security zu entnehmen sind: Der Report <a href=\"https:\/\/www.absolute.com\/ebook\/the-resilient-ciso-ransomware-reality\" target=\"_blank\" rel=\"noopener\">The Ransomware Reality: Zero Days to Recover<\/a> (erfordert Registrierung) enth\u00e4lt die Antworten von 750 Chief Information Security Officers (CISOs) aus den Vereinigten Staaten sowie dem Vereinigten K\u00f6nigreich. Die aktuelle Untersuchung ist die zweite Ausgabe der Forschungsreihe \"<em>State of Enterprise Cyber Resilience<\/em>\" von Absolute Security.<\/p>\n<p>\"Es \u00fcberrascht keineswegs, dass Sicherheits- und Risikoverantwortliche trotz des regulatorischen Drucks weiterhin bereit sind, L\u00f6segeld zu zahlen, um ihre Systeme wiederherzustellen und Daten zu sch\u00fctzen. Insbesondere wenn man bedenkt, dass l\u00e4ngere Ausfallzeiten zu untragbaren Verlusten f\u00fchren k\u00f6nnen\", sagt Christy Wyatt, Pr\u00e4sidentin und CEO von Absolute Security. \"CISOs, die nach schwerwiegenden Angriffen die Gesch\u00e4ftskontinuit\u00e4t schnell wiederherstellen k\u00f6nnen, vermeiden es, in einen Ausfallzyklus zu geraten, der sich mit dem zunehmenden Einsatz KI-gest\u00fctzter Angriffe durch Cyberkriminelle nur noch weiter versch\u00e4rfen wird.\"<\/p>\n<h2>Cyberangriffe in der DACH-Region steigen um 124 Prozent<\/h2>\n<p>Dabei sieht die Situation in Deutschland, \u00d6sterreich und der Schweiz (DACH) nicht wirklich gut in Bezug auf Cyberangriffe aus.\u00a0Check Point Software Technologies Ltd.hat gerade die Ergebnisse des \"<a href=\"https:\/\/checkpoint.cyberint.com\/dach-threat-landscape-german\" target=\"_blank\" rel=\"noopener\">DACH Threat Landscape 2025 Reports<\/a>\" (erfordert Registrierung) ver\u00f6ffentlicht. Der Bericht zusammengestellt vom Check Point Exposure Management-Team offenbart f\u00fcr das Jahr 2025 eine drastische Versch\u00e4rfung der Cyberrisiken f\u00fcr Unternehmen und Beh\u00f6rden in der DACH-Region.<\/p>\n<p>Die geopolitische Lage spiegelt sich direkt in der Cyberbedrohungslandschaft wider, schreiben die Autoren des Reposts. Im Jahr 2025 entfielen rund 18 Prozent aller in Europa registrierten Vorf\u00e4lle auf die DACH-Region, wobei allein Deutschland 13 Prozent ausmachte. Einen au\u00dfergew\u00f6hnlichen H\u00f6hepunkt erreichten die Angriffe in den Sommermonaten.<\/p>\n<p>Dieser Anstieg war ma\u00dfgeblich auf gezielte Vergeltungsaktionen von Hacktivisten infolge der sogenannten \"Operation Eastwood\" zur\u00fcckzuf\u00fchren. Bei dieser von Europol koordinierten Aktion im Juli 2025 wurden \u00fcber 100 Server der pro-russischen Gruppe <em>NoName057(16)<\/em> abgeschaltet. Unter dem Hashtag #FuckEastwood reagierten die T\u00e4ter umgehend mit massiven Angriffswellen auf \u00f6ffentliche und private Einrichtungen in Deutschland und den Nachbarl\u00e4ndern.<\/p>\n<p>Die wichtigsten Erkenntnisse aus obigem Report lassen sich in nachfolgenden Punkten zusammenfassen:<\/p>\n<ul>\n<li>Die DACH-Region verzeichnet eine Zunahme von rund 124 Prozent bei Cyberangriffen im Vergleich zum Vorjahr.<\/li>\n<li>Mit 82 Prozent aller regionalen Vorf\u00e4lle ist Deutschland am st\u00e4rksten betroffen, gefolgt von der Schweiz (12 Prozent) und \u00d6sterreich (8 Prozent).<\/li>\n<li>66 Prozent der Angriffe waren Defacements, die ma\u00dfgeblich von pro-russischen und ideologisch motivierten Gruppen (wie NoName057(16)) im Rahmen geopolitischer Spannungen vorangetrieben wurden.<\/li>\n<li>Knapp 30 Prozent der Vorf\u00e4lle entfallen auf Erpressungstrojaner von finanziell motivierten Gruppen wie Safepay, Qilin oder Akira.<\/li>\n<li>Die am st\u00e4rksten attackierten Branchen sind Business Services (24 Prozent) und Regierungsbeh\u00f6rden (13 Prozent), was die Abh\u00e4ngigkeit der Region von vernetzten Lieferketten ausnutzt.<\/li>\n<\/ul>\n<p>W\u00e4hrend Hacktivisten durch massenhafte \u00dcberlastungsangriffe und Defacements eine maximale \u00f6ffentliche Sichtbarkeit anstreben, agieren Ransomware-Akteure im Hintergrund \u2013 mit gravierenden Folgen.<\/p>\n<ul>\n<li>Zu den aktivsten Gruppen 2025 geh\u00f6rte \u201eNoName057(16)\", die nach der Zerschlagung ihrer Server mit massiven DDoS-Vergeltungsschl\u00e4gen reagierte.<\/li>\n<li>Daneben traten weitere haktivistisch motivierte Gruppen wie \u201eHezi Rash\" und \u201eMr Hamza\" mit gezielten Kampagnen gegen \u00f6ffentliche Services in Erscheinung.<\/li>\n<\/ul>\n<p>Auf der finanziell motivierten Seite dominierten hochprofessionelle Ransomware-Gruppen, die ungesicherte Identit\u00e4ten f\u00fcr \u201eDouble Extortion\"-Kampagnen nutzten.<\/p>\n<ul>\n<li>\u201eSafepay\" trieb diese Erpressungen branchen\u00fcbergreifend \u00fcber Dark-Web- und TON-Netzwerke voran.<\/li>\n<li>Die Gruppe \u201eAkira\" spezialisierte sich auf Windows- und Linux-Umgebungen und nutzte fehlende Multi-Faktor-Authentifizierungen aus,<\/li>\n<li>w\u00e4hrend das \u201eQilin\"-Kartell die Gefahr durch plattform\u00fcbergreifende, Rust-basierte Malware und eigene Leak-Portale im Darknet vergr\u00f6\u00dferte.<\/li>\n<\/ul>\n<p>Wie kritisch die Auswirkungen dieser organisierten Bedrohungsakteure im DACH-Raum tats\u00e4chlich waren, zeigt eine Reihe von weitreichenden Vorf\u00e4llen aus dem vergangenen Jahr:<\/p>\n<ul>\n<li>Kritische Infrastruktur und Flugverkehr: Ein Cyberangriff auf das Boarding-System eines gro\u00dfen Luft- und Raumfahrtunternehmens f\u00fchrte zu massiven Abfertigungsst\u00f6rungen an mehreren europ\u00e4ischen Flugh\u00e4fen, mit best\u00e4tigten Ausf\u00e4llen auch am Flughafen BER in Berlin.<\/li>\n<li>Beh\u00f6rden im Visier: Eine schwere Malware-Infektion zwang ein Ministerium dazu, seine E-Mail- und IT-Dienste tempor\u00e4r komplett vom Netz zu nehmen, um die Ausbreitung des Schadcodes zu stoppen.<\/li>\n<li>Gef\u00e4hrdete Lieferketten: Im September 2025 kompromittierte der massive Supply-Chain-Angriff \u201eShai Hulud 2.0\" \u00fcber 600 npm-Pakete und 25.000 GitHub-Repositories. Dadurch wurden zehntausende Entwickler-Zug\u00e4nge offengelegt, was auch DACH-Unternehmen mit vernetzten Software-Pipelines massiv gef\u00e4hrdete.<\/li>\n<\/ul>\n<p>Erfolgreiche Gegenschl\u00e4ge: Die im November 2025 durchgef\u00fchrte \u201eOperation Endgame\" von Europol zerschlug durch gezielte Razzien (unter anderem in Deutschland) Infrastrukturen von Botnetzen wie Rhadamanthys, die zuvor weltweit \u00fcber 100.000 Krypto-Wallets kompromittiert hatten.<\/p>\n<p>\"Der alarmierende Anstieg der Angriffe um 124 Prozent im Vergleich zum Vorjahr verdeutlicht, dass die DACH-Region weiterhin attraktiv f\u00fcr Cyberkriminelle bleibt\", erkl\u00e4rt Daniel Dreier, Area Manager DACH bei Check Point Exposure Management. \u201eInsbesondere deutsche Unternehmen und Beh\u00f6rden stehen im Fokus von Hacktivisten. Sie nutzen geopolitische Spannungen f\u00fcr disruptive Kampagnen oder Erpressung aus. Angriffe zielen allerdings oft weniger auf finanziellen Gewinn ab, sondern wollen maximale \u00f6ffentliche Aufmerksamkeit und St\u00f6rungen verursachen.\"<\/p>\n<p>F\u00fcr das Jahr 2026 prognostiziert der Report eine weiterhin volatile Lage durch regulatorische und politische Risikofaktoren. Neben Business Services und Beh\u00f6rden wird der Druck auf das Gesundheitswesen, den Energiesektor und industrielle \u00d6kosysteme stark zunehmen, weil Angreifer hier durch St\u00f6rungen der Leistungserbringung eine maximale Hebelwirkung erzielen k\u00f6nnen.<\/p>\n<p>Dar\u00fcber hinaus birgt die gesetzlich geforderte Umsetzung der NIS2-Richtlinie in Deutschland sowie des NISG 2026 in \u00d6sterreich kurzfristige Risiken: Bei der technischen Implementierung k\u00f6nnten vor\u00fcbergehende L\u00fccken in der Abwehr aufklaffen, die von Angreifern als Fenster gezielt ausgenutzt werden. Dar\u00fcber hinaus werden die anstehenden Landtagswahlen in Deutschland sowie Referenden in der Schweiz als starke Katalysatoren f\u00fcr politisch motivierte St\u00f6raktionen, DDoS- und Desinformationskampagnen dienen. Experten warnen \u00fcberdies davor, dass kurzzyklische Vergeltungsaktionen, wie sie nach der \u201eOperation Eastwood\" zu beobachten waren, nach polizeilichen Erfolgen zur neuen Norm werden k\u00f6nnten.<\/p>\n<p>Um den wachsenden Herausforderungen zu begegnen, empfehlen die Sicherheitsforscher folgende strategische Ma\u00dfnahmen:<\/p>\n<ul>\n<li>KI-gest\u00fctzte Erkennung: Einsatz von K\u00fcnstlicher Intelligenz, um anomales Authentifizierungsverhalten und fr\u00fche laterale Bewegungen der Angreifer in den Netzwerken zu identifizieren.<\/li>\n<li>Schwachstellen-Management: Kontinuierliches Scannen und schnelle Behebung von Schwachstellen, insbesondere bei internetf\u00e4higen Systemen und Cloud-Plattformen.<\/li>\n<li>Absicherung der Lieferkette: Strenge \u00dcberpr\u00fcfung von Drittanbietern und IT-Dienstleistern, da diese in der DACH-Region besonders h\u00e4ufig als Einfallstor dienen.<\/li>\n<li>Ausbau der Incident Response-F\u00e4higkeiten: Etablierung und regelm\u00e4\u00dfiges Testen von abteilungs\u00fcbergreifenden Notfallpl\u00e4nen, um bei politischen oder finanziell motivierten Angriffen die Ausfallzeiten zu minimieren.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Es gibt wohl einen \"ungesunden Trend\": Die Zahl der Ransomware-Angriffe steigt in DACH. Und F\u00fchrungskr\u00e4fte im Bereich Unternehmenssicherheit (CISOs) erw\u00e4gen, auf die Forderungen von Cyberkriminellen einzugehen, um einen Ransomware-Angriff zu beenden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,426],"tags":[4715,4023,4328],"class_list":["post-326254","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-sicherheit","tag-ransomware","tag-recht","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326254"}],"version-history":[{"count":5,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326254\/revisions"}],"predecessor-version":[{"id":326260,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326254\/revisions\/326260"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}