LAGEBRIEFING · 10.07.2026 DEENFRES

Sicherheitslexikon

Was ist Ransomware? Definition, Ablauf und Schutz

Von Benedikt Langer · 8. Juli 2026 · 5 Minuten Lesezeit

Was ist Ransomware? Ransomware ist Schadsoftware, die den Zugriff auf Daten und Systeme blockiert, in der Regel durch Verschlüsselung. Die Freigabe stellen die Täter nur gegen Lösegeld in Aussicht. Das BSI ordnet sie als Angriff auf die Verfügbarkeit und als Form digitaler Erpressung ein. Moderne Angriffe kombinieren die Verschlüsselung meist mit Datendiebstahl und der Drohung einer Veröffentlichung.

Das Wichtigste in Kürze

  • Mechanik: Die Verschlüsselung legt Systeme lahm, für den Schlüssel verlangen die Täter Lösegeld. Gestohlene Daten dienen als zweites Druckmittel.
  • Ablauf: Angreifer dringen über Phishing, Schwachstellen oder offene Remote-Zugänge ein, breiten sich im Netz aus und verschlüsseln erst am Ende.
  • Schutz: Getestete Offline-Backups, Netzwerksegmentierung, MFA und konsequentes Patchen senken das Risiko am wirksamsten.

Wie ein Angriff real abläuft

Ein Ransomware-Vorfall beginnt lange vor der sichtbaren Verschlüsselung. Die häufigsten Einstiegswege sind Phishing-Mails mit Schadanhängen, ausnutzbare Schwachstellen an extern erreichbaren Systemen und schwach gesicherte Remote-Zugänge wie RDP. Das BSI nennt diese drei Vektoren seit Jahren an erster Stelle.

Nach dem Einstieg sichern sich die Angreifer dauerhaften Zugriff und weiten ihre Rechte aus, oft über erbeutete Zugangsdaten und Administratorkonten. Anschließend bewegen sie sich seitlich durch das Netzwerk, typischerweise über Dienste wie SMB oder RDP. MITRE ATT&CK beschreibt diese Phasen als Lateral Movement.

950 Anzeigen

Ransomware-Angriffe in Deutschland im Berichtszeitraum 2024/2025

Quelle: BSI-Lagebericht 2025

Vor der Verschlüsselung ziehen die Täter in der Mehrzahl der Fälle Daten ab. Erst danach startet die eigentliche Verschlüsselung, bei MITRE ATT&CK als Technik T1486 geführt. Die Lösegeldforderung erscheint damit am Ende einer Operation, die oft Tage oder Wochen gedauert hat. Genau in diesem Zeitfenster kann eine funktionierende Erkennung den Schaden noch abwenden.

Doppelte Erpressung als Geschäftsmodell

Doppelte Erpressung bedeutet: Die Täter fordern Lösegeld für die Entschlüsselung und drohen zusätzlich mit der Veröffentlichung der gestohlenen Daten. Das BSI beobachtet diesen Doppelhebel bei der Mehrzahl der Ransomware-Fälle. Die Zahlung stellt dabei weder die Daten sicher noch verhindert sie ein Leak.

Hinter den Angriffen steht arbeitsteilige Kriminalität. Beim Modell Ransomware-as-a-Service stellen Betreiber die Schadsoftware und die Infrastruktur, Partner führen die Angriffe aus und beide teilen den Erlös. Rund 80 Prozent der angezeigten Angriffe in Deutschland trafen laut BSI-Lagebericht kleine und mittlere Unternehmen. Die Täter suchen erreichbare Ziele mit schwacher Verteidigung, keine prominenten Namen.

Was Unternehmen jetzt prüfen müssen

Der wirksamste Schutz setzt vor der Verschlüsselung an. Backups entscheiden über die Wiederherstellung, deshalb gehören sie getrennt vom Produktivnetz aufbewahrt und regelmäßig auf Wiederherstellbarkeit getestet. Segmentierung begrenzt die Ausbreitung, MFA sichert die Zugänge, über die Angreifer am liebsten kommen.

Jetzt prüfen

  • Backups nach dem 3-2-1-Prinzip anlegen, eine Kopie offline halten, Wiederherstellung testen
  • Netzwerk segmentieren, damit ein kompromittierter Client nicht das ganze Netz gefährdet
  • MFA für alle Remote-Zugänge und privilegierten Konten erzwingen
  • Sicherheitsupdates priorisiert auf extern erreichbaren Systemen einspielen
  • Incident-Response-Plan dokumentieren, Meldewege klären und den Ernstfall üben

Abgrenzung zu verwandten Begriffen

Ransomware zielt auf Erpressung: Die Täter bieten einen Schlüssel gegen Zahlung an. Wiper-Malware zerstört Daten dagegen unumkehrbar, eine Wiederherstellung gegen Lösegeld ist dort gar nicht vorgesehen. Klassische Schadsoftware wie Spyware oder Banking-Trojaner verfolgt wiederum andere Ziele, vom Ausspähen bis zum Kontozugriff.

Ein verbreitetes Missverständnis betrifft die Backups. Sie stellen die Verfügbarkeit wieder her, die Vertraulichkeit der gestohlenen Daten bleibt jedoch verletzt. Wer nur auf Backups setzt, verhandelt bei doppelter Erpressung trotzdem unter Druck. Schlecht isolierte Sicherungen werden zudem regelmäßig mitverschlüsselt.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Soll man Lösegeld zahlen?

Das BSI rät davon ab. Die Zahlung garantiert weder die Entschlüsselung noch das Löschen gestohlener Daten und finanziert weitere Angriffe. Betroffene sollten Anzeige erstatten.

Reichen Backups als Schutz?

Backups sind zentral für die Wiederherstellung, lösen aber das Problem der gestohlenen Daten nicht. Bei doppelter Erpressung bleibt die Veröffentlichungsdrohung bestehen. Zudem müssen Backups offline und getestet sein, sonst werden sie mitverschlüsselt.

Wie kommen die Angreifer ins Netz?

Die häufigsten Wege sind Phishing-Mails, ausnutzbare Schwachstellen an extern erreichbaren Systemen und schwach gesicherte Remote-Zugänge wie RDP.

Was ist doppelte Erpressung?

Die Täter verschlüsseln Systeme und stehlen vorher Daten. Neben dem Lösegeld für die Entschlüsselung drohen sie mit der Veröffentlichung der Daten. Das BSI beobachtet dieses Muster bei der Mehrzahl der Fälle.

Welche Meldepflichten gelten bei einem Vorfall?

NIS2-regulierte Einrichtungen melden erhebliche Vorfälle dem BSI in drei Stufen: Frühwarnung binnen 24 Stunden, Folgemeldung binnen 72 Stunden, Abschlussbericht nach spätestens einem Monat. Sind personenbezogene Daten betroffen, greift zusätzlich die DSGVO-Meldung an die Datenschutzaufsicht.

Lesetipps der Redaktion

LesetippSüdwestfalen-IT: die Lektion der Kommunal-ITLesetippWenn HCI das Backup zur Angriffsfläche machtLesetippAb wann die Meldefrist-Uhr wirklich tickt

Mehr aus dem MBF Media Netzwerk

cloudmagazinGemini-CLI CVSS 10 RCE: was Cloud-Architekten jetzt im CI/CD patchen müssenMyBusinessFuturemAI-Aktionsmonat: Cyberanalysen für KMUs ohne IT-TeamDigital ChiefsNIS2 und EU AI Act zeigen den Skill-Gap

Weiterführende Lektüre

Ein Magazin der Evernine Media GmbH