Leitfaden zum Schutz vor Ransomware.
Für Sicherheitsteams und Führungskräfte in Unternehmen stellt Ransomware eine akute Bedrohung für die Resilienz dar, da sie häufig zu Betriebsunterbrechungen führt und das Ansehen in der Öffentlichkeit schädigt. Im Jahr 2025 nahmen Ransomware-Angriffe um 179 Prozent zu, da besonders aktive Banden ungepatchte Schwachstellen ausnutzten und sich auf KI stützten. Um den Schutz vor Ransomware zu verstärken, wird es entscheidend sein, zu verstehen, wie wichtige Cybersicherheitstrends eine neue Ära von Bedrohungen prägen.
Zusammenfassung (TL; DR):
- Im Jahr 2025 nahmen Ransomware-Angriffe um 179 Prozent zu, da besonders aktive Banden ungepatchte Schwachstellen ausnutzten und sich auf KI stützten.
- Moderner Ransomware-Schutz erfordert, dass Sicherheitsverantwortliche von einer Kompromittierung ausgehen und Umgebungen entwerfen, in denen Angreifer den anfänglichen Zugriff nicht in operative Vorteile umwandeln können.
LOTL-Angriffe verstecken Ransomware in aller Öffentlichkeit
Die mittlere Verweildauer für Ransomware-bezogene Eindringversuche beträgt sechs Tage. Angreifer verbringen fast eine Woche damit, Netzwerke zu durchqueren, bevor die meisten Ransomware-Angriffe entdeckt werden. Schlimmer noch: Bei fast 50 Prozent der Ransomware-Angriffe alarmieren die Angreifer selbst die Unternehmen über ihren Angriff, anstatt darauf zu warten, entdeckt zu werden.
Warum haben Sicherheitsteams nach jahrelangen Investitionen in Erkennungstools immer noch Schwierigkeiten, Bedrohungen zu erkennen? Ein EDR-lastiger Ansatz kann LOTL-Angriffe (Living-off-the-Land) nicht verhindern, bei denen Angreifer legitime Tools, Systeme, Dateien oder Anwendungen missbrauchen, um ein Netzwerk zu kompromittieren. Utilities, Tunneler sowie Fernsteuerungs- und Verwaltungstools werden bei 57 Prozent der Ransomware-Angriffe beobachtet. Das bedeutet, dass alltägliche Tools wie PsExec, SSH, RDP und WinRM dazu beitragen, dass Angriffe unentdeckt bleiben, sich lateral ausbreiten, ohne Alarme auszulösen, und Daten stehlen, ohne entdeckt zu werden.
Zero-Day-Schwachstellen verschaffen Angreifern einen Vorsprung
Zero-Day-Exploits haben in den letzten fünf Jahren um 141 Prozent zugenommen, sodass Sicherheitsteams in einem endlosen Kreislauf des Patch-Managements gefangen sind. Während Zero-Day-Angriffe früher großen Akteuren wie Nationalstaaten mit umfangreichen Ressourcen vorbehalten waren, bedeutet die steigende Rentabilität von Ransomware, dass sich nun auch kleine Erpresserbanden die Einstellung von Top-Talenten leisten können, um Zero-Day-Schwachstellen zu identifizieren. Die versteckte Natur von Zero-Days macht sie zu einer besonders heimtückischen Bedrohung, für deren Bekämpfung herkömmliche, reaktive Abwehrmaßnahmen nicht ausgelegt sind.
KI beschleunigt raffinierte Cyberangriffe
80 Prozent der Ransomware-Angriffe, die in einer aktuellen Studie des MIT untersucht wurden, nutzten KI für alles Mögliche, von Phishing-Kampagnen und Deepfake-basiertem Social Engineering bis hin zum Knacken von Passwörtern und mehr.
Ob es nun darum geht, den Umfang der Angriffe zu vergrößern oder Malware anzupassen, um der Erkennung in Echtzeit zu entgehen – es ist klar, dass KI die Toolkits der Cyberangreifer neugestaltet hat. Im August 2025 entdeckten Forscher PromptLock, die erste KI-gestützte Ransomware. Die Malware führt ein lokal zugängliches KI-Sprachmodell aus, um in Echtzeit bösartige Skripte zu generieren, und die KI entscheidet, welche Dateien während der Infektion gesucht, kopiert oder verschlüsselt werden sollen.
Wie sich Ransomware-Angriffe im Jahr 2026 verhindern lassen
Bei der modernen Ransomware-Abwehr geht es nicht mehr darum, ob ein Unternehmen böswillige Aktivitäten erkennen kann. Der eigentliche Unterschied besteht darin, ob eine Sicherheitsstrategie die Auswirkungen von Sicherheitsverletzungen sinnvoll begrenzt oder diese lediglich nachträglich dokumentiert.
Moderner Ransomware-Schutz erfordert, dass Sicherheitsverantwortliche von einer Kompromittierung ausgehen und Umgebungen entwerfen, in denen Angreifer den anfänglichen Zugriff nicht in operative Vorteile umwandeln können. Durch die Umsetzung dieser Best Practices stellen Unternehmen sicher, dass Ransomware automatisch eingedämmt wird und kritische Vorgänge weiterlaufen.
Aufbau einer cyber-resilienten Architektur zum Schutz kritischer Geschäftsprozesse
Resilienz gilt es als Blaupause und nicht als Wiederherstellungsplan zu betrachten. Unternehmen, die Ransomware-Angriffen problemlos standhalten, sind dazu in der Lage, weil sie kritische Geschäftssysteme strukturell vor Kompromittierungen schützen, und nicht nur, weil sie schneller auf Warnmeldungen reagieren.
In vielen Umgebungen müssen Angreifer nicht alles zerstören, um Chaos zu verursachen – sie benötigen lediglich Zugriff auf eine kleine Anzahl von Ressourcen, die den Betrieb aufrechterhalten. Das bedeutet, dass ein einziges gestohlenes Passwort oder ein falsch konfiguriertes Dienstkonto weitreichende Störungen auslösen kann.
Eine widerstandsfähige Netzwerkarchitektur verringert dieses Risiko. Ressourcen werden proaktiv in einzelnen Sicherheitszonen isoliert, wodurch der Explosionsradius automatisch verringert wird. Kritische Systeme akzeptieren internen Datenverkehr nicht standardmäßig als vertrauenswürdig, sondern es werden explizit Zugriffspfade definiert. Jede Achse des Netzwerkverkehrs wird durch granulare Kontrollen geschützt, was eine mehrdimensionale Verteidigung ermöglicht.
Proaktive Blockierung lateraler Bewegungswege: Echtzeit-Bedrohungsabwehr
Laterale Bewegungen sind der Schlüssel zu jedem erfolgreichen Ransomware-Angriff. Sie ermöglichen es Angreifern, Abhängigkeiten abzubilden, Berechtigungen zu erweitern und selektiv Betriebsabläufe zu stören. Wenn Angreifer sich nicht lateral bewegen können, geraten sie sofort in eine Sackgasse.
Die Herausforderung für Verteidiger besteht darin, dass seitliche Bewegungen zunehmend auf legitimen Protokollen und Anmeldedaten basieren. Verwaltungstools, Fernzugriffsdienste und Dateifreigabemechanismen sind so konzipiert, dass sie innerhalb des Netzwerks frei funktionieren. Ein wirksamer Schutz vor Ransomware erfordert jedoch feingliedrigere, dynamische Kontrollen. Das bedeutet, dass der Ost-West-Verkehr abgelehnt wird, sofern er nicht ausdrücklich erforderlich ist. Privilegierte Protokolle sind auf genehmigte Anwendungsfälle beschränkt und mit Just-in-Time-MFA gesichert. Sicherheitsteams erhalten zudem durch kontinuierliche Transparenz einen laufenden Einblick in das Netzwerkverhalten.
Durch die Integration automatischer Eindämmungsmaßnahmen in die Netzwerkarchitektur stellen Sicherheitsteams sicher, dass Ransomware-Kampagnen selbst dann nicht über den ersten Zugriff hinauskommen, wenn Angreifer bereits Fuß gefasst haben.
Missbrauch von Privilegien stoppen mit identitätsbasierten Zugriffskontrollen
Der Missbrauch von Privilegien ist nach wie vor eine der zuverlässigsten Ransomware-Techniken. Sobald gültige Anmeldedaten durch Taktiken wie Phishing, Diebstahl von Anmeldedaten oder Wiederverwendung von Passwörtern erlangt wurden, werden herkömmliche Perimeter-Abwehrmaßnahmen irrelevant.
In vielen Unternehmen werden Privilegien nach wie vor als statisch behandelt: Der Administratorzugriff bleibt lange nach dem Bedarf bestehen, Dienstkonten verfügen über weitreichende, langlebige Berechtigungen, während Identitäts- und Netzwerkkontrollen unabhängig voneinander durchgesetzt werden. Dies schafft ideale Bedingungen für Ransomware-Betreiber, die sich auf vertrauenswürdige Identitäten verlassen, um sich lateral zu bewegen und der Erkennung zu entgehen.
Identitätsbasierte Zugriffskontrollen reduzieren dieses Risiko. Der Zugriff ist an die Identität und den Kontext gebunden, wobei die Richtlinien auf erlerntem Verhalten basieren. Privilegierter Zugriff wird nur bei Bedarf gewährt und nach einem vorab festgelegten Zeitraum automatisch widerrufen. Administrative Maßnahmen werden ausdrücklich autorisiert und nicht einfach vorausgesetzt. Wenn Privilegien nicht mehr unbemerkt missbraucht werden können, verlieren Angreifer einen ihrer wirksamsten Wege.
Deterministische, automatisierte Regelerstellung
Ransomware entwickelt sich schneller als manuelle Sicherheitsstrategien. In modernen, dynamischen Umgebungen geraten statische Kontrollen unweigerlich aus dem Gleichgewicht mit der Realität. Diese Abweichung führt zu Sicherheitslücken: Neue Systeme erben übermäßig freizügige Zugriffsrechte, stillgelegte Ressourcen hinterlassen Restvertrauensbeziehungen, Richtlinien hinken operativen Veränderungen hinterher und vieles mehr.
Die deterministische, automatisierte Regelerstellung definiert Regeln auf der Grundlage realer Aktivitäten, um Kontrollen wie den Zugriff mit geringsten Privilegien oder Mikrosegmentierung zu implementieren. Dadurch wird sichergestellt, dass sich die Sicherheitskontrollen kontinuierlich an die Entwicklung der Umgebungen anpassen, ohne dass menschliches Eingreifen erforderlich ist, um Schritt zu halten. In der Praxis ermöglicht dies Unternehmen, Zugriff mit minimalen Berechtigungen in großem Maßstab aufrechtzuerhalten, Konfigurationsabweichungen in komplexen Umgebungen zu verhindern und Sicherheitsrichtlinien auch bei schnellen Veränderungen konsequent durchzusetzen.
Skalierbarer Ransomware-Schutz
Eine automatisierte Eindämmung von Bedrohungen erhöht die Resilienz und stärkt effizient den Schutz vor Ransomware. Identitätsbasierte Mikrosegmentierungslösung nutzt robuste, deterministische Automatisierung, um die granularen Kontrollen, die zur Abwehr komplexer Angriffe erforderlich sind, einfach zu skalieren.
Dieser Ansatz steht im Gegensatz zu herkömmlichen Tools, die sich auf die Erkennung konzentrieren, stark auf Perimeter-Abwehrmaßnahmen angewiesen sind oder eine manuelle Konfiguration und Wartung erfordern. Stattdessen kommt hier Echtzeit-Ransomware-Schutz durch die Orchestrierung nativer Firewalls zum Einsatz, um alle Assets zu segmentieren und einen Zugriff mit minimalen Berechtigungen durchzusetzen.
Identitätsbewusste Zugriffskontrollen dienen dazu, Administrator- und Dienstkonten zu sperren. Die Anwendung von Just-in-Time-MFA auf der Netzwerkebene sichert den privilegierten Zugriff. Richtlinien werden dynamisch an die Entwicklung des Netzwerks angepasst – alles ohne erhöhten manuellen Aufwand.
