813 Millionen US-Dollar an Ransomware-Zahlungen im Jahr 2024, ein Rückgang von 35 % gegenüber dem Rekordjahr 2023 – das klingt nach Entspannung. Ist es nicht. Die Zahlungsbereitschaft sinkt zwar, aber die Angriffszahlen steigen weiter. Und die Methoden der Erpresser haben sich grundlegend verändert: Verschlüsselung allein reicht den Angreifern längst nicht mehr.
Doppelerpressung als Standard
Die klassische Ransomware-Attacke – Daten verschlüsseln, Lösegeld fordern – ist Geschichte. Heute operieren praktisch alle relevanten Gruppen mit sogenannter Double Extortion: Vor der Verschlüsselung werden sämtliche erreichbaren Daten exfiltriert. Zahlt das Opfer nicht, droht die Veröffentlichung auf Leak-Sites im Darknet. Europols IOCTA 2025 bestätigt: Datendiebstahl ist integraler Bestandteil fast jeder Ransomware-Operation geworden.
Das Kalkül der Angreifer ist simpel: Selbst wer über funktionierende Backups verfügt und die Verschlüsselung übersteht, steht vor einem Reputations- und Datenschutzproblem, wenn Kundendaten, Verträge oder Personalakten im Netz landen. Bei sensiblen Branchen wie Gesundheitswesen oder Finanzdienstleistungen ist dieser Hebel besonders wirksam.
Ransomware-as-a-Service: Das Franchise-Modell der Cyberkriminalität
Ransomware ist ein Geschäftsmodell. Die erfolgreichsten Gruppen betreiben Ransomware-as-a-Service (RaaS): Entwickler stellen die Malware, die Infrastruktur und die Verhandlungsplattformen bereit. Affiliates – die eigentlichen Angreifer – führen die Attacken durch und zahlen 20–30 % der Lösegelder an die Betreiber. Der Einstieg erfordert weder tiefes technisches Wissen noch eigene Infrastruktur. Initial Access Broker verkaufen auf Marktplätzen gestohlene Zugangsdaten als Eintrittskarte in Unternehmensnetzwerke.
Diese Arbeitsteilung erklärt, warum die Angriffszahlen trotz einzelner Fahndungserfolge nicht sinken. Wird eine Gruppe zerschlagen, wechseln die Affiliates zur nächsten Plattform.
Die Akteure: Disruption und Wiedergeburt
Das Jahr 2024 war geprägt von Umbrüchen in der Ransomware-Szene. LockBit, jahrelang die aktivste Gruppe, wurde im Februar 2024 durch eine koordinierte Aktion von NCA und FBI empfindlich getroffen. Die Zahlungen an LockBit sanken im zweiten Halbjahr 2024 um 79 %. Doch die Infrastruktur wurde teilweise wiederaufgebaut – LockBit ist geschwächt, aber nicht eliminiert.
BlackCat/ALPHV verschwand Ende 2023 nach einem mutmasslichen Exit-Scam: Die Betreiber kassierten ein 22-Millionen-Dollar-Lösegeld und verschwanden – auf Kosten ihrer eigenen Affiliates. In die entstandene Lücke stiess RansomHub, das 2024 mit über 530 dokumentierten Angriffen zur aktivsten Gruppe aufstieg. Seit Mitte 2025 zeigt auch RansomHub operative Probleme, was die Volatilität dieser Szene illustriert.
Schweizer KMU im Fadenkreuz
Das Bundesamt für Cybersicherheit (BACS) registrierte im ersten Halbjahr 2025 insgesamt 57 Ransomware-Meldungen – 13 mehr als im Vorjahreszeitraum. Die Dunkelziffer liegt vermutlich deutlich höher, da viele Unternehmen Vorfälle nicht melden. Das BACS beobachtet eine klare Zunahme gezielter Angriffe auf Schweizer KMU, insbesondere über Phishing und Social Engineering als Einstiegsvektoren.
Seit April 2025 gilt die Meldepflicht nach dem Informationssicherheitsgesetz (ISG) für Betreiber kritischer Infrastrukturen. Seit Oktober 2025 drohen bei Verstössen Bussen bis CHF 100’000. Ransomware-Angriffe fallen explizit unter die meldepflichtigen Vorfälle. Wer angegriffen wird und nicht meldet, hat neben dem Betriebsausfall auch ein regulatorisches Problem.
Die realen Kosten eines Angriffs
Der Sophos State of Ransomware Report 2025 beziffert die durchschnittlichen Wiederherstellungskosten – ohne Lösegeldzahlung – auf 1,53 Millionen US-Dollar. Für kleinere Unternehmen mit 100–250 Mitarbeitenden liegen die Kosten bei durchschnittlich 638’536 US-Dollar. Immerhin: 53 % der betroffenen Organisationen konnten den Betrieb innerhalb einer Woche wiederherstellen, gegenüber 35 % im Vorjahr.
Weniger gut messbar, aber oft gravierender: der Reputationsschaden, verlorene Kundenbeziehungen und die Belastung der Belegschaft während und nach einem Vorfall. Für KMU ohne dediziertes Security-Team kann ein Ransomware-Angriff existenzbedrohend sein.
Verteidigung: Was tatsächlich wirkt
Gegen Ransomware gibt es keine Einzellösung. Wirksamer Schutz besteht aus mehreren Schichten:
Backup-Strategie nach dem 3-2-1-Prinzip
Drei Kopien der Daten, auf zwei unterschiedlichen Medientypen, eine davon offline oder ausser Haus. Entscheidend: Die Wiederherstellung regelmässig testen. Ein Backup, das im Ernstfall nicht funktioniert, ist wertlos. Und: Backups müssen vor Verschlüsselung geschützt sein – Angreifer suchen gezielt nach erreichbaren Backup-Systemen.
Netzwerksegmentierung
Ein flaches Netzwerk ist ein Geschenk an jeden Angreifer. Segmentierung über VLANs und Firewall-Regeln begrenzt die laterale Bewegung nach einem initialen Einbruch. Produktionssysteme, Office-IT und Backup-Infrastruktur gehören in getrennte Segmente.
Endpoint Detection and Response (EDR)
Klassischer Antivirus reicht gegen moderne Ransomware nicht aus. EDR-Lösungen erkennen verdächtiges Verhalten – etwa massenhafte Dateiverschlüsselung oder ungewöhnliche Prozessaktivitäten – und können Endpunkte automatisch isolieren, bevor sich die Malware ausbreitet.
Incident-Response-Plan
Wer im Ernstfall erst überlegen muss, was zu tun ist, verliert kritische Stunden. Ein dokumentierter Plan mit klaren Zuständigkeiten, Eskalationswegen und Kommunikationsvorlagen – intern wie extern – reduziert die Reaktionszeit erheblich. Regelmässige Tabletop-Übungen stellen sicher, dass der Plan nicht nur auf Papier funktioniert.
Mitarbeiterschulung
Phishing bleibt der häufigste Einstiegsvektor. Technische Massnahmen allein genügen nicht, wenn ein einziger Klick auf einen präparierten Link die gesamte Verteidigung aushebelt. Regelmässige, praxisnahe Schulungen – nicht einmal jährlich ein Foliensatz – senken das Risiko messbar.
Wie Zerberos unterstützt
Ransomware-Schutz beginnt mit Transparenz über die eigene Angriffsfläche. Unsere Dienstleistungen setzen dort an:
- Penetrationstests – Identifikation der Schwachstellen, die Ransomware-Gruppen als Einstieg nutzen
- Risk Assessment – Bewertung Ihrer Ransomware-Resilienz über Technik, Prozesse und Organisation hinweg
- Security Roadmap – Priorisierte Massnahmenplanung, abgestimmt auf Ihr Risikoprofil und Budget
Kontaktieren Sie uns für eine unverbindliche Erstberatung.
Quellen und weiterführende Links
- Chainalysis: Crypto Crime Ransomware Report 2025
- Sophos: The State of Ransomware 2025
- Europol IOCTA 2025: Steal, Deal and Repeat
- BACS: Cybersicherheit für KMU – Sensibilisierung 2025
- BACS: Meldepflicht für Cyberangriffe
- NIST SP 800-207: Zero Trust Architecture
- FBI Internet Crime Complaint Center (IC3)