Ransomware-Evolution: Wie Double Extortion Back-up-Strategien überwindet
Nürnberg, 26.11.2025 (PresseBox) - Die Bedrohung durch Ransomware wächst weiter: Aktuelle Varianten verschlüsseln Daten nicht nur, sondern stehlen sie zuerst. Danach beginnt ein Kreislauf der Erpressung, der sich kaum durchbrechen lässt. Deutlich effektiver ist es, im Vorfeld geeignete Schutzmaßnahmen gegen diese doppelte Bedrohung zu etablieren. Besonders mittelständische Unternehmen stehen hier vor enormen Herausforderungen.
Ransomware trifft mittlerweile Firmen aller Branchen und Größen. DerBitkom-Verbandberichtete im Herbst 2024, dass etwa 60 Prozent der Unternehmen in Deutschland innerhalb eines Jahres angegriffen wurden. Bei fast jedem dritten der befragten tausend Unternehmen entstanden konkrete Schäden – von Produktionsausfällen über zusätzliche IT-Dienstleisterkosten bis hin zu direkten Lösegeldzahlungen an die Angreifer. Besonders alarmierend: Die durchschnittliche Schadenshöhe steigt kontinuierlich, während die technischen Einstiegshürden für Kriminelle sinken.
Ransomware-Taktiken: Wie Cyberkriminelle ihre Erpressungstaktiken verfeinern
Statt nur Lösegeld für die Entschlüsselung von Unternehmensdaten zu verlangen, setzen Cyberkriminelle inzwischen auf komplexere Ransomware-Strategien: Sie kopieren sensible Informationen zunächst und verschlüsseln diese erst danach. Doch warum nehmen die Angreifer diesen Mehraufwand in Kauf? Das Exfiltrieren großer Datenmengen (oft handelt es sich um TByte) kostet schließlich Zeit und erhöht das Entdeckungsrisiko.
Die Taktik funktioniert aus Sicht der Angreifer allerdings erstaunlich gut: Kein Opfer zahlt freiwillig mehrfach für die bloße Wiederherstellung seiner Daten. Anders verhält es sich, wenn es sich um vertrauliche Kundeninformationen, Finanzdaten oder Geschäftsgeheimnisse handelt, mit deren Veröffentlichung gedroht wird. Die Kriminellen kalkulieren das erhöhte Risiko deshalb bewusst ein und nutzen ausgefeilte Techniken, um unter dem Radar der Sicherheitssysteme zu bleiben.
Mit dieser Doppelstrategie erzielen sie deutlich höhere Lösegeldsummen, und Sicherheitsanalysten registrieren einen stetigen Anstieg solcher Angriffe. Das Problem: Niemand weiß, ob die Erpresser nach der Lösegeldzahlung wirklich alle Kopien löschen. Zudem verkaufen Cyberangreifer die gestohlenen Daten häufig weiter, was zu weiteren Erpressungsversuchen durch andere kriminelle Gruppen führt. Diese Verkettung von Angriffen belastet betroffene Organisationen oft über Monate hinweg.
Double Extortion: Warum traditionelle Back-ups nicht mehr ausreichen
Diese als Double Extortion bekannte doppelte Erpressung erhöht den Zahlungsdruck auf die Opfer erheblich. Der klassische Rat gegen Ransomware – regelmäßige Back-ups – läuft ins Leere. Datensicherungen bleiben zwar wichtig, schützen aber nicht vor der Drohung, gestohlene Informationen zu veröffentlichen. Stattdessen müssen die betroffenen Unternehmen immer mit einer Veröffentlichung der gestohlenen Daten rechnen, wobei die Konsequenzen einer Publikation oft verheerend sind. Häufig leidet darunter der gute Ruf, darüber hinaus kann es zu finanziellen Verlusten und juristischen Schwierigkeiten kommen.
In letzter Zeit kämpften zahlreiche Ransomware-Opfer nicht nur mit verschlüsselten Daten, sondern auch mit deren Diebstahl und anschließenden Erpressungsversuchen. Der deutsche Sportartikelhersteller Adidas bestätigte Ende Mai 2025, dass ein „unbefugter Akteur über einen Dienst eines DrittanbietersKundendaten abgreifenkonnte“. Kurz zuvor traf es die Berliner Verkehrsbetriebe (BVG), wo AngreiferZugriff auf bis zu 180.000 Kundendatenerlangten, wie das Unternehmen einräumen musste.
Weitere Angriffe trafen den Autovermieter Hertz und 59 nicht näher genannte Firmen, deren Erpresser Anfang des Jahres mit derVeröffentlichung sensibler Datendrohten. Diese Fälle zeigen jedoch nur die Spitze des Eisbergs. Zahlreiche Unternehmen zahlen vermutlich still und heimlich Lösegeld, um größere Schäden abzuwenden.
Sicherheitskonzepte: Wie Unternehmen Double Extortion effektiv abwehren
Ein gut funktionierendes und ausgiebig getestetes Back-up-System zählt zu den wichtigsten Verteidigungsmaßnahmen gegen Ransomware-Attacken. Insbesondere unternehmenskritische Daten sollten regelmäßig gesichert und am besten per Air Gap geschützt aufbewahrt werden. Darüber hinaus muss die Wiederherstellbarkeit der Back-ups gesichert sein – im Angriffsfall muss es gelingen, die Daten schnell und vollständig wiederherzustellen.
Auch die Schulung und Sensibilisierung der Mitarbeiter spielt eine zentrale Rolle. Nur wer die aktuellen Gefahren kennt, fällt nicht auf die nächstbeste Phishing-Mail herein, über die dann Schadcode ins Unternehmen gelangt.
Ebenfalls unverzichtbar sind Firewalls an den Übergängen in öffentliche Netze sowie IDS-/IPS-Systeme (Intrusion Detection, Intrusion Prevention). Mit ihnen lassen sich eingedrungene Angreifer ertappen und unschädlich machen. Da viele Mitarbeiter aber mittlerweile von außen auf die Unternehmensressourcen zugreifen, benötigen Firmen auch eineVPN-Lösung mit Enterprise-Funktionalität. Damit lassen sich die Verbindungen absichern.
MFA-Systeme und strenge Zugriffsrechte halten Erpresser auf Distanz. Statt Angestellten und externen Partnern pauschal Berechtigungen zu erteilen, sollte das Least-Privilege-Prinzip konsequent zum Einsatz kommen. Wer nur die minimal notwendigen Zugriffsrechte besitzt, kann auch bei kompromittierten Accounts weniger Schaden anrichten. Ergänzend dazu verhindert eine durchdachteNetzwerksegmentierung, dass sich Angreifer nach einem erfolgreichen Einbruch ungehindert lateral durch die IT-Infrastruktur bewegen. Bei diesem Konzept werden kritische Systeme voneinander isoliert, um Attacken frühzeitig einzudämmen.
Die Einführung einerZero-Trust-Architekturerfordert deutlich mehr Aufwand. Bei diesem Modell vertraut das System grundsätzlich weder Nutzern noch Geräten. Es prüft jeden Zugriff einzeln und gewährt diesen – selbst nach erfolgreicher Autorisierung – nur für einen streng begrenzten Zeitraum. Moderne Endpoint-Security-Lösungen ergänzen dieses Konzept ideal. Aktuelle Updates und eine zentrale Steuerung garantieren eine wirksame Malware-Abwehr.
Zu guter Letzt erfordert effektive IT-Sicherheit eine durchdachte Notfallplanung. Ein rechtzeitig aufgestellter Incident-Response-Plan definiert klare Maßnahmen und Schritte für den Fall eines Cyberangriffs. Außerdem legt er eindeutige Verantwortlichkeiten fest – ein Aspekt, den viele Unternehmen in ihrer Notfallplanung übersehen.
Fazit: Die wirksamste Verteidigung gegen Double Extortion kombiniert klassische Schutzmaßnahmen mit einem modernen Zero-Trust-Ansatz. Die eingesetzten Komponenten müssen sich in bestehende IT-Landschaften integrieren, ohne den Betrieb zu stören. Interoperabilität und offene Standards vermeiden dabei Lock-in-Effekte und gewährleisten eine langfristige Flexibilität.
