Ransomware 2024: Neue Taktiken, größere Ziele, härtere Verhandlungen

1 Min. Lesezeit

Ransomware ist 2024 kein einfacher Verschlüsselungsangriff mehr. Die führenden Gruppen – LockBit, ALPHV/BlackCat, Cl0p – operieren wie Unternehmen: mit HR-Abteilungen, Support-Ticketsystemen und vertraglich geregelten Affiliate-Programmen. Wer sie als „Script-Kiddies“ unterschätzt, wird mit harten Konsequenzen konfrontiert.

Das Wichtigste in Kürze

Triple Extortion wird Standard: Verschlüsseln + Daten stehlen + DDoS drohen als drei kombinierte Hebel.
RaaS-Ökosystem reif: Ransomware-as-a-Service ermöglicht auch technisch weniger versierten Angreifern professionelle Angriffe.
Kritische Infrastruktur im Fokus: Krankenhäuser, Energie, Wasser – Angriffe auf KRITIS nehmen strategisch zu.
Verhandlungsführung professionalisiert: Spezialisierte IR-Firmen verhandeln mit Angreifern – das ist normaler Geschäftsbetrieb geworden.
Zahlen garantiert nichts: Nur 65% der zahlenden Opfer bekommen alle Daten zurück (Cybereason).

Das RaaS-Modell: Wie Ransomware-Gruppen operieren

Ransomware-as-a-Service (RaaS) hat die Einstiegshürde für Angreifer dramatisch gesenkt. LockBit zum Beispiel betreibt ein Affiliate-Programm: Partner erhalten den Ransomware-Code und die Infrastruktur, zahlen dafür 20-30% des Lösegelds an die Gruppe. Initial Access Broker (IAB) verkaufen separat Zugänge zu Unternehmensnetzwerken – Angreifer kaufen einfach den Zugang ein.

Das Ergebnis: Angriffe werden effizienter und zielgerichteter. Bevor Ransomware ausgerollt wird, verbringen Angreifer typischerweise Wochen im Netzwerk – sammeln Daten, identifizieren Backups und eskalieren Privilegien.

LockBit-Takedown und was er zeigt

Im Februar 2024 hat die Operation Cronos von Europol, FBI und NCA die LockBit-Infrastruktur beschlagnahmt. Webseiten offline, Decryption-Keys sichergestellt, Verhaftungen. Ein bedeutender Schlag – aber LockBit war innerhalb von Wochen wieder aktiv.

Die Lektion: Ransomware-Gruppen sind resilient. Die technische Infrastruktur kann beschlagnahmt werden, aber das Wissen, die Beziehungen und das Geld bleiben. Prävention ist wichtiger als auf Law-Enforcement-Erfolge zu warten.

Incident Response im Ernstfall: Was jetzt gilt

Erste 24 Stunden: Systeme isolieren (nicht ausschalten – forensische Beweise erhalten), IR-Dienstleister aktivieren, BSI/CERT-Bund informieren. Meldepflichten nach NIS2 und DSGVO prüfen.

Verhandlung: Nicht alleine führen. Spezialisierte Firmen (z.B. Coveware, Kivu, deutsche IR-Firmen) kennen die Angreifer und wissen, wie Verhandlungen realistischerweise enden. Sie geben auch Einschätzungen zur Seriosität der Entschlüsselung.

Zahlen oder nicht: Eine rein wirtschaftliche Entscheidung mit Risiken auf beiden Seiten. Backup-Wiederherstellung ohne Zahlen dauert oft länger, kann aber technisch machbar sein. Zahlen finanziert zukünftige Angriffe – auch das ist eine Abwägung.

Key Facts auf einen Blick

Durchschnittliche Lösegeldforderung 2023: ~1,5 Mio. USD (Sophos State of Ransomware 2024)

Unternehmen die zahlen: 56% der betroffenen Unternehmen zahlen (Sophos 2024)

Datenwiederherstell-Rate nach Zahlung: 65% bekommen alle Daten zurück

Durchschnittliche Ausfallzeit: 24 Tage bis zur vollständigen Wiederherstellung

LockBit-Takedown: Februar 2024 durch Operation Cronos (Europol/FBI)

Fakt: Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff beträgt laut Sophos 23 Tage.

Fakt: Der durchschnittliche Schaden eines Ransomware-Angriffs lag 2024 laut Coveware bei 1,54 Millionen Dollar.

Häufige Fragen

Was ist Ransomware-as-a-Service (RaaS)?

RaaS ist ein Geschäftsmodell, bei dem Ransomware-Entwickler ihren Code und ihre Infrastruktur an „Affiliates“ vermieten. Die Affiliates führen Angriffe durch und zahlen einen Anteil des Lösegelds an die Entwickler. Das senkt die technische Einstiegshürde drastisch.

Sollte man Lösegeld zahlen?

Das ist eine individuelle Entscheidung mit vielen Faktoren: Backup-Verfügbarkeit, Art der gestohlenen Daten, Reputation, Versicherungsschutz. Zahlen ist in der EU nicht verboten, finanziert aber kriminelle Aktivitäten. Kein Zahlen kann zur Datenpublikation führen.

Was ist ein Initial Access Broker?

IABs sind spezialisierte Angreifer, die Zugänge zu Unternehmensnetzwerken verkaufen – ohne selbst Ransomware einzusetzen. Sie kaufen oder stehlen Zugangsdaten, verbreiten sie im Darknet. Ransomware-Gruppen kaufen diese Zugänge als „Startpunkt“.

Wie schützt Netzwerksegmentierung vor Ransomware?

Ransomware verbreitet sich lateral im Netzwerk. Segmentierung (VLANs, Micro-Segmentierung, Zero-Trust-Netzwerk) verhindert, dass ein kompromittierter Endpunkt das gesamte Netz infizieren kann. Backups in einem isolierten Segment zu halten ist ebenfalls kritisch.

Was sollte ein Ransomware-Response-Plan enthalten?

Klare Rollen (wer entscheidet?), Kontakte zu IR-Dienstleistern und BSI, Kommunikationsplan (intern, extern, Medien), technische Playbooks für Isolation und Forensik, und regelmäßige Übungen (Tabletop Exercises).