Tatsächlich sollten sich gerade kleine und mittlere Unternehmen (KMU) bewusst machen, dass sie im Fadenkreuz stehen. Daten von Verizon zeigen: Während bei großen Unternehmen etwa 39 Prozent aller Sicherheitsvorfälle mit Ransomware zu tun haben, liegt dieser Wert bei KMU bei alarmierenden 88 Prozent.

Zwar fordern Cyberkriminelle von Konzernen oft höhere Lösegelder, doch diese sind in der Regel auch besser vorbereitet. Große Firmen verfügen über Sicherheitsrichtlinien, spezialisierte Teams und Technologien, die Angriffe frühzeitig erkennen und abwehren können.

Kleine Betriebe hingegen sind genauso abhängig von ihren Daten und ihrer IT-Infrastruktur, allerdings ohne umfassenden Schutz. Die Angst vor einem kompletten Datenverlust oder gar einem Betriebsstillstand sorgt dafür, dass Betroffene aus lauter Verzweiflung zahlen. Oft sogar ohne Gewissheit, ob sie ihre Daten überhaupt zurückbekommen.

Und das ist nicht das einzige Druckmittel. Ransomware-Gruppen setzen längst auf sogenannte Double-Extortion-Taktiken: Sie verschlüsseln nicht nur sensible Daten, sondern drohen auch damit, diese zu veröffentlichen oder zu löschen. Manche Gruppen gehen sogar noch weiter. Sie drohen mit DDoS-Angriffen, melden Unternehmen bei Aufsichtsbehörden oder sprechen – in besonders perfiden Fällen – sogar indirekte Gewaltandrohungen aus. Zudem passen viele ihre Forderungen flexibel an, um die Wahrscheinlichkeit einer Zahlung zu erhöhen.

Kurz gesagt: Unternehmen, die mehr digitale Vermögenswerte und Geld als Privatpersonen, aber weniger Schutz als Konzerne haben, sind für Cyberkriminelle besonders attraktiv. Sie befinden sich in einer Art „Sweet Spot“, dem idealen Zielkorridor zwischen Relevanz und Verwundbarkeit. Die gute Nachricht: Es gibt wirksame Schutzmaßnahmen, die weder das Budget sprengen noch den Betriebsalltag lahmlegen.

Wie sich Ransomware-Gruppen verändern

Um der Bedrohung wirksam begegnen zu können, muss man verstehen, wer dahintersteckt und wie sich deren Vorgehensweise verändert. Ein zentraler Treiber ist die sogenannte Ransomware-as-a-Service-Ökonomie. Cyberkriminalität hat sich industrialisiert. Kriminelle Gruppen bieten ihre Schadsoftware als Dienstleistung an, was den Einstieg für neue Angreifer erleichtert und die Verbreitung massiv fördert.

Gleichzeitig ändert sich das Erscheinungsbild der Angreifergruppen ständig. Der Grund dafür ist unter anderem der zunehmende Druck durch internationale Strafverfolgungsbehörden. Wird eine Gruppe zerschlagen, taucht kurz darauf oft eine neue auf, die ähnliche Methoden einsetzt, aber unter anderem Namen operiert. Hinzu kommt, dass sich Taktiken, Techniken und Verfahren (TTPs) rasch weiterentwickeln. Das erschwert es Unternehmen, bestehende Schutzmaßnahmen wirksam anzupassen.

Auffällig ist aber auch, dass die Rebranding-Welle auf wirtschaftliche Probleme in der Szene hindeuten könnte. Eine Analyse von Kryptowährungsflüssen zeigt, dass die Gesamtsumme der gezahlten Lösegelder von 2023 auf 2024 um 35 Prozent zurückgegangen ist. Dennoch gibt es keinen Grund zur Entwarnung. Die Kriminellen scheinen ihre Anstrengungen auf jene Unternehmen zu konzentrieren, die bereits einmal bezahlt haben. Laut einer aktuellen Studie zahlten 55 Prozent der betroffenen Organisationen im letzten Jahr mehrfach. Fast ein Drittel davon sogar drei Mal oder öfter.

Wie Künstliche Intelligenz Ransomware verändert

Mit dem technologischen Fortschritt verändern auch Ransomware-Gruppen ihre Taktik. Ihr Ziel ist es, ihre Erfolgschancen weiter zu steigern. Die bekannten Einstiegswege in Unternehmensnetzwerke bleiben dabei bestehen: Schwachstellen in Software, Phishing-Mails und der Missbrauch von Zugangsdaten, zum Beispiel durch Infostealer-Malware. Doch KI-gestützte Werkzeuge könnten diese Angriffe künftig noch gezielter und effektiver machen.

Das britische National Cyber Security Centre (NCSC) warnte kürzlich, dass der Einsatz von Künstlicher Intelligenz in den kommenden zwei Jahren zu einer Zunahme von Cyberbedrohungen führen wird. Vor allem die Aufklärung potenzieller Ziele, die Ausnutzung von Schwachstellen und der Bereich Social Engineering werden durch KI noch weiter professionalisiert. Diese Techniken werden damit auch für weniger technisch versierte Kriminelle zugänglich.

Gleichzeitig belegen aktuelle Analysen von ESET, wie real diese Entwicklung bereits ist. So entdeckten ESET-Forscher mit „PromptLock“ vermutlich die erste KI-gestützte Ransomware der Welt. Dabei handelt es sich um eine Schadsoftware, die auf ein legitimes KI-Modell von OpenAI zurückgreift, um bösartige Skripte zu erzeugen. ESET warnt, dass Malware dieser Art künftig in der Lage sein könnte, sich flexibel an ihre Umgebung anzupassen und ihre Vorgehensweise dynamisch zu verändern.

Ein weiterer ESET-Bericht beschreibt zusätzliche Entwicklungen. Dazu gehört etwa die gezielte Sabotage von Sicherheitslösungen. So genannte „EDR Killers“ sollen installierte Schutzsoftware wie Endpoint Detection and Response (EDR) umgehen, deaktivieren oder abstürzen lassen. Zudem setzen Angreifer vermehrt auf neue Social-Engineering-Methoden wie „ClickFix“, bei der Nutzer mit täuschend echten Interaktionen dazu gebracht werden, die Schadsoftware selbst zu installieren.

So schützen Sie Ihr Unternehmen

Leider wissen einige Unternehmen aus eigener Erfahrung, welche Folgen ein Ransomware-Angriff haben kann. Ein besonders drastisches Beispiel ist der britische Logistikdienstleister KNP. Das Unternehmen stand bereits vor dem Angriff im Jahr 2023 unter finanziellem Druck. Nach dem Vorfall musste es Insolvenz anmelden. Rund 700 Mitarbeitende verloren ihren Arbeitsplatz.

Damit es nicht so weit kommt, sollten Unternehmen auf einen ganzheitlichen, präventiven Sicherheitsansatz setzen. Folgende Maßnahmen sind zentral:

• Sorgen Sie für ein konsequentes Patch-Management. Schwachstellen, die als besonders kritisch eingestuft sind, sollten zügig geschlossen werden. So lässt sich das Risiko eines Angriffs durch bekannte Lücken deutlich verringern.

• Überarbeiten Sie Ihre Richtlinien und Technologien zur Identitäts- und Zugriffskontrolle nach dem Prinzip von Zero Trust. Das bedeutet: Sicherheitsverantwortliche sollten stets von einem möglichen Eindringen ausgehen, jede Benutzeraktivität verifizieren, Zugriffsrechte möglichst restriktiv vergeben und die Mehr-Faktor-Authentifizierung als Standard etablieren.

• Installieren Sie verlässliche Sicherheitslösungen auf sämtlichen Geräten. Dazu gehören Arbeitsplatzrechner, Server und Notebooks von Mitarbeitenden im Homeoffice. Wichtig ist, dass diese Lösungen von einem vertrauenswürdigen Anbieter stammen und professionell gemanagt werden.

• Erstellen Sie regelmäßig Backups sensibler Daten nach aktuellen Best Practices. Im Ernstfall können verschlüsselte Dateien so wiederhergestellt werden. Das nimmt Erpressern den entscheidenden Hebel aus der Hand.

• Entwickeln Sie gemeinsam mit allen relevanten Abteilungen einen klaren Notfallplan für Sicherheitsvorfälle. Dieser sollte regelmäßig getestet werden, damit im Ernstfall keine Zeit verloren geht und die Eindämmung schnell beginnt.

• Überwachen Sie Ihr Netzwerk, Ihre Endpunkte und weitere Teile Ihrer IT-Landschaft kontinuierlich. Frühzeitige Anzeichen verdächtiger Aktivitäten helfen dabei, die Verweildauer von Angreifern im System zu minimieren.

• Aktualisieren Sie Schulungen und Awareness-Programme, damit diese auch moderne Bedrohungen wie Sprachphishing (Vishing) realistisch abbilden. Ihre Mitarbeitenden sind Ihr größter Schutzfaktor und zugleich Ihre größte Schwachstelle.

Besonders wichtig ist auch die strukturierte Bewertung Ihrer Risiken, Ressourcen und Abhängigkeiten. Das gilt nicht nur für eigene Systeme, sondern auch für externe Dienstleister und Lieferketten. Führen Sie eine vollständige Inventur aller genutzten Software-Komponenten durch: sowohl Open Source als auch kommerzielle Standardlösungen. Denn ohne ein vollständiges Bild Ihrer IT-Assets lassen sich keine effektiven Schutzmaßnahmen umsetzen. Angreifer setzen gezielt auf diese blinden Flecken.

Managed Detection and Response als Sicherheitsnetz

Wie die ESET SMB Digital Security Sentiment Studie 2022 gezeigt hat, sind sich viele kleine und mittlere Unternehmen der Ransomware-Bedrohung durchaus bewusst. Was ihnen jedoch oft fehlt, ist das Vertrauen in die eigene IT-Sicherheitskompetenz. Vor allem bei begrenzten Ressourcen liegt es daher nahe, Sicherheitsaufgaben an einen externen Spezialisten abzugeben.

Managed Detection and Response (MDR) ist ein solcher Ansatz. Hier übernimmt ein professioneller Dienstleister die kontinuierliche Überwachung, Bedrohungserkennung und Reaktion auf Vorfälle, rund um die Uhr, an 365 Tagen im Jahr. Das entlastet interne Teams und stellt sicher, dass selbst raffinierte Angriffe wie Ransomware frühzeitig erkannt, eingedämmt und neutralisiert werden.

Ransomware-Akteure müssen ausgebremst werden, bevor sie Schaden anrichten können. MDR-Dienste wie die von ESET liefern dazu das notwendige Know-how, die Infrastruktur und die Reaktionsgeschwindigkeit, auf die es im Ernstfall ankommt.

Security-Messe «it-sa 2025» im Zeichen des Vertrauens

Auf der Security-Messe «it-sa 2025» (Nürnberg, 7.-9. Oktober 2025) werden die Themen Made in Europe, Digitale Souveränität und MDR heiss diskutiert werden. Auch am ESET Stand in Halle 9, Stand 434, steht dies unter dem Messemotto «Vertrauen» im Mittelpunkt. Dabei geht es sowohl um einzelne Tools als auch um das große Ganze: Wer steht hinter einer Lösung, wie transparent ist die Entwicklung, wie nachvollziehbar ist die Datenverarbeitung und wie sicher schützen die Lösungen wirklich?

ESET lädt alle Besucher ein, genau das am Stand zu erleben. Mit Expertengesprächen, Live-Demos und konkreten Strategien für Sicherheit, die nicht bei der Technik endet. Zudem stellt ESET das Positionspapier «Made in EU – IT-Sicherheit und digitale Souveränität» vor.