Was ist ein Ransomware-Angriff? So funktioniert er und Tipps zur Prävention

Die Idee hinter Ransomware, einer Form von Malware, ist einfach: den Computer oder die Gerätedaten des Opfers zu sperren und zu verschlüsseln und anschließend ein Lösegeld für die Wiederherstellung des Zugriffs zu verlangen. Ein Gen-Bedrohungsbericht von Mitte 2025 beschreibt FunkSec als frühes Beispiel. Die Gruppe nutzte generative KI in Teilen ihrer Operation und nahm schließlich mehr als 100 Opfer ins Visier. Die Ransomware wurde entwickelt, um Dateien zu verschlüsseln und gezielt Dutzende von Diensten zu deaktivieren, darunter Browser, Mediaplayer, E-Mail-Clients und sogar den Task-Manager.

Forscher entdeckten später eine Schwachstelle, die es ermöglichte, einige Daten ohne Zahlung wiederherzustellen, und FunkSec ist inzwischen verschwunden. Doch die Bedrohung an sich bleibt bestehen, da das Ransomware-Ökosystem in kleinere Gruppen und Nachahmerwerkzeuge zerfällt, die sich durchgesickerten Code zunutze machen. Und FunkSec ist nicht die einzige Ransomware, die es gibt.

Hier erfahren Sie mehr darüber, was ein Ransomware-Angriff ist und wie Sie darauf reagieren können, damit Sie wissen, was zu tun ist (und was Sie vermeiden sollten), falls Sie jemals auf diese Weise angegriffen werden.

Wie ein Ransomware-Angriff funktioniert

Bei einem Ransomware-Angriff verschafft sich jemand unter Ausnutzung von Sicherheitslücken oder menschlicher Fehler Zugriff auf ein Gerät und verschlüsselt die darauf gespeicherten Daten. Zu den gängigen Methoden, mit denen Angreifer Zugriff erlangen, gehören:

• Social Engineering-Angriffe: Dazu gehören Phishing-E-Mails von einem Angreifer, der sich als eine vertrauenswürdige Person, z. B. ein Kollege, ausgibt, um Zielpersonen dazu zu bringen, auf irreführende Links zu klicken oder Schaddateien zu öffnen, die versteckte Ransomware-Downloads auslösen.
• Missbrauch des Remote Desktop Protocol (RDP): Bei diesem Trick melden sich Angreifer per Fernzugriff bei einem Gerät an, indem sie schwache Passwörter erraten oder stehlen. Dann können sie sich als Benutzer anmelden und Ransomware im ganzen System oder Netzwerk installieren oder starten.
• Exploit-Kits: Diese Kits verstecken Schadcode auf geknackten Websites oder in Werbeanzeigen und nutzen automatisch ungepatchte Software-Schwachstellen aus, um Ransomware still und leise zu installieren, wenn jemand die Seite besucht.

So läuft ein Ransomware-Angriff Schritt für Schritt ab:

1. Erstinfektion: Angreifer verschaffen sich durch Phishing, gestohlene Anmeldedaten oder ungepatchte Software-Schwachstellen Zugang und installieren anschließend Ransomware direkt auf dem Gerät oder Netzwerk.
2. Verschlüsselung: Je nach Art der Ransomware werden möglicherweise nur persönliche Dateien wie Dokumente und Fotos verschlüsselt, es können aber auch Systemfunktionen beeinträchtigt werden:– beispielsweise durch das vollständige Sperren Ihres gesamten Geräts.
3. Lösegeldforderung: Sie erhalten eine Nachricht, die eine Zahlung im Austausch für einen Entschlüsselungsschlüssel fordert, zusammen mit Anweisungen, wie die Zahlung zu leisten ist.

Aber auch wenn ein Lösegeld gefordert wird, gibt es keine Garantie, dass Ihre Daten wiederhergestellt werden, wenn Sie dieses Lösegeld bezahlen. Selbst wenn Sie zahlen, geben Ihnen die Cyberkriminellen möglicherweise niemals den Entschlüsselungsschlüssel.

Häufige Ziele von Ransomware-Angriffen

Ransomware kann sich zwar weit verbreiten; die Eigenart dateienverschlüsselnder Schadsoftware erlaubt es Cyberkriminellen jedoch, Ziele auszuwählen, von denen sie glauben, dass sie eher unter Druck stehen, Daten wiederherzustellen oder den Betrieb wieder aufzunehmen.

Ein Gen Threat Report von Anfang dieses Jahres zu Ransomware-Statistiken ergab weniger breit gestreute Ransomware-Beispiele und mehr kleine, gezielte Angriffe. Ein herausragendes Beispiel ist Trinity-Ransomware, die auf kleine und mittelständische Unternehmen abzielte und damit drohte, Dateien zu sperren und gestohlene Daten zu veröffentlichen.

Hier sind fünf Zielgruppen und wie jede von ihnen betroffen sein könnte:

• Gruppen mit kleineren Sicherheitsteams: Dazu gehören Universitäten und ähnliche Einrichtungen, die umfangreiche Datei-Sharing-Prozesse und uneinheitliche Sicherheitskontrollen aufweisen. Comparitech verzeichnete in den ersten neun Monaten des Jahres 2025 180 Ransomware-Angriffe im US-amerikanischen Bildungssektor. Die durchschnittliche Lösegeldforderung bei diesen Angriffen betrug 444.400 USD (ca. 380.000 EUR).
• Organisationen, die schnell zahlen können und werden: Ein weiteres Ziel sind Regierungsbehörden, Gesundheitsdienstleister und andere wesentliche Dienste, da Ausfallzeiten hier unmittelbaren operativen Druck erzeugen.
• Unternehmen, die sensible Daten speichern: Anwaltskanzleien und professionelle Dienstleister sind gefährdet, da offengelegte Daten sowohl rechtliche als auch reputationsbezogene Konsequenzen nach sich ziehen. Denn wenn diese Unternehmen nicht zahlen, werden die sensiblen Daten nicht gelöscht, sondern der Öffentlichkeit zugänglich gemacht.
• Kleine und mittelständische Unternehmen: Aktuelle Ransomware-Trends im KMU-Bereich zeigen, dass Angreifer kleinere Unternehmen bevorzugen, da diese häufig nicht über Sicherheitslösungen auf Unternehmensebene verfügen, jedoch stark auf digitale Systeme angewiesen sind.
• Unternehmen in den westlichen Märkten. Cyberkriminelle haben es auf höhere Gewinne abgesehen und nehmen daher oft Unternehmen ins Visier. Das führt unter anderem zu einer Konzentration auf das Vereinigte Königreich, die Vereinigten Staaten und Kanada aufgrund des größeren Wohlstands und der stärkeren Nutzung von Personal-Computern.

Sollten Sie das Lösegeld bezahlen?

Nein, Sie sollten das Lösegeld nicht bezahlen. Sobald Geld den Besitzer wechselt, hat das Opfer kaum Handhabe und keine Gewissheit, dass der Angriff tatsächlich vorbei ist. Das FBI warnt außerdem, dass dies Angreifer dazu bringen kann, weitere Opfer ins Visier zu nehmen, ganz zu schweigen davon, dass andere Kriminelle zur Nachahmung animiert werden könnten.

Darüber hinaus garantiert die Zahlung eines Lösegelds nicht, dass Sie Ihre Dateien zurückbekommen. In vielen Fällen stellen Angreifer entweder keinen funktionierenden Entschlüsselungsschlüssel bereit (den Code, der benötigt wird, um durch Ransomware verschlüsselte Dateien zu entsperren) oder reagieren nach der Zahlung nicht mehr. Selbst wenn die Entschlüsselung funktioniert, können Dateien beschädigt oder unbrauchbar bleiben.

Schließlich gibt es noch das Problem der Offenlegung von Daten. Die Zahlung zur Entsperrung von Dateien bedeutet nicht, dass gestohlene Daten nicht bereits kopiert wurden. Angreifer könnten die Daten nach wie vor im Darknet verkaufen oder eine zweite Zahlung verlangen, um eine allgemeine Veröffentlicht zu verhindern.

Wir beobachten bereits diesen Wandel in der Denkweise weg vom Bezahlen. Coveware berichtete, dass Ende 2025 nur etwa 23 % der Ransomware-Opfer gezahlt haben. Während größere Organisationen es zunehmend ablehnten zu zahlen, haben auch mittelgroße Unternehmen begonnen, sich gegen die Forderungen zu wehren.

So reagieren Sie auf einen Ransomware-Angriff

Wurde man Opfer eines Ransomware-Angriffs, sollte man zunächst die Infektion eindämmen, dann wichtige Informationen zusammentragen, den Vorfall melden und schließlich das Gerät sicher wiederherstellen. Es geht nicht darum, mit Angreifern zu verhandeln, sondern darum, den Schaden einzudämmen und weitere Datenverluste zu vermeiden.

So gehen Sie im Fall eines Ransomware-Angriffs vor – Schritt für Schritt:

• Infiziertes Gerät isolieren: Trennen Sie das Gerät von WLAN, kabelgebundenen Netzwerken, Bluetooth und externen Laufwerken. Dies hilft, eine Ausbreitung der Ransomware auf andere Geräte oder gemeinsam genutzten Speicher zu verhindern.
• Ransomware-Typ identifizieren: Notieren Sie sich nach Möglichkeit die Lösegeldforderung, die verwendeten Dateiendungen oder Dateinamen. Dies kann dabei helfen festzustellen, ob eine bekannte Entschlüsselungsfunktion vorhanden ist oder ob Wiederherstellungsoptionen verfügbar sind.
• Beweise sammeln: Speichern Sie Screenshots von Lösegeldforderungen, Dateinamen und allen auf dem Bildschirm angezeigten Nachrichten. Bewahren Sie Kopien verschlüsselter Dateien auf, da diese für die Meldung und spätere Analyse hilfreich sein können.
• Angriff melden: Melden Sie den Angriff den örtlichen Behörden, entweder bei Ihrer örtlichen Polizeidienststelle oder online. Selbst wenn sich die Daten nicht wiederherstellen lassen, helfen solche Meldungen dabei, laufende Kampagnen zu verfolgen und weiter gefasste Maßnahmen zu ihrer Unterbindung zu unterstützen.
• Löschen und wiederherstellen: Sobald die Beweise gesammelt sind, ist es oft das Sicherste, das Gerät vollständig zu löschen und die Daten aus bereinigten Daten-Backups wiederherzustellen, die vor dem Angriff erstellt wurden. Stellen Sie Dateien nur dann wieder her, wenn Sie sicher sind, dass sie nicht infiziert sind.
• Alle Passwörter aktualisieren: Erstellen Sie sicherere Passwörter für E-Mail, Cloud-Speicher, Finanzkonten und alle Dienste, auf die über das infizierte Gerät zugegriffen wird. Anmeldedaten wurden möglicherweise offengelegt, insbesondere wenn der Angriff Datendiebstahl beinhaltete.

In manchen Fällen ist möglicherweise auch ein Ransomware-Entschlüsselungsprogramm verfügbar. Solche Tools werden von Sicherheitsforschern oder Strafverfolgungsbehörden entwickelt, wenn sie eine Schwachstelle in einer bestimmten Ransomware-Variante entdecken oder wenn bei einer Zerschlagung Schlüssel sichergestellt werden.

Beispielsweise haben Forscher bei Gen Digital Inc. ein kostenloses Entschlüsselungstool für die Midnight-Ransomware entwickelt, das es den Opfern ermöglicht, sich zu befreien, ohne das Lösegeld zu zahlen. Aus diesem Grund kann es hilfreich sein, den Typ der Ransomware frühzeitig zu identifizieren.

So können Sie Ransomware-Prävention unterstützen

Das Risiko lässt sich durch Gewohnheiten senken, mit deren Hilfe Sie verhindern können, dass Ransomware eindringt und sich ausbreitet. Dazu gehört es, Geräte auf dem neuesten Stand zu halten, mit E-Mails und Downloads vorsichtig umzugehen, in öffentlichen WLAN-Netzwerken ein VPN zu nutzen und zu lernen, wie Sie Ihre Daten wiederherstellen können, ohne mit Angreifern zu verhandeln.

Beachten Sie diese Empfehlungen und Warnhinweise, um Ransomware-Angriffe zu vermeiden:

• Sicherheitssoftware verwenden: Installieren und verwenden Sie ein vertrauenswürdiges Ransomware-Schutz-Tool, das mehr als nur Antivirus-Funktionen bietet. Manche Sicherheitssoftware hilft auch dabei, Bedrohungen für Ihre Identität und Ihre Geräte, einschließlich Ihrer Handys, zu erkennen und abzuwehren.
• Sicherheitssoftware auf neuestem Stand halten: Es tauchen weiterhin laufend neue Ransomware-Varianten auf. Schützen Sie daher Ihre Geräte, indem Sie Ihre Internetsicherheits-Software auf dem neuesten Stand halten.
• Betriebssysteme und Apps aktualisieren: Software-Updates enthalten häufig Patches für neu entdeckte Sicherheitslücken, die von Ransomware-Programmierern ausgenutzt werden könnten.
• E-Mail-Anhänge nicht unbesehen öffnen: Vermeiden Sie es, E-Mails und Anhänge aus unbekannten oder nicht vertrauenswürdigen Quellen zu öffnen. Insbesondere Phishing-Spam kann Sie dazu verleiten, auf einen seriös aussehenden Link in einer E-Mail zu klicken, der tatsächlich Schadcode enthält.
• Vorsicht bei E-Mail-Anhängen, die Sie auffordern, Makros zu aktivieren: Makros sind kleine Programme, die in Dokumente eingebettet sind und Aufgaben automatisieren können. Wenn aktiviert, können sie heimlich Schadcode ausführen, der Ransomware auf Ihre Dateien und Kontakte verbreitet. Wenn Sie also nicht absolut sicher sind, dass Sie dem E-Mail-Absender vertrauen können, ignorieren Sie die Anfrage.
• Daten offline sichern: Angreifer können ihre Opfer erpressen, indem sie wichtige Dateien verschlüsseln, sodass nicht mehr darauf zugegriffen werden kann. Hat das Opfer Backups offline oder in der Cloud gesichert, büßt der Cyberkriminelle einen Teil seines Vorsprungs ein. Aber er kann das Opfer zusätzlich unter Druck setzen, indem er damit droht, sensible Daten öffentlich zu machen oder weiterzuverkaufen.
• Cloud-Services nutzen: Dies kann Ransomware-Infektionen weniger wirksam machen, da viele Cloud-Services frühere Dateiversionen aufbewahren. In diesem Fall können Sie eine unverschlüsselte Version einer Datei wiederherstellen.
• Vorsicht in öffentlichen WLAN-Netzwerken: Vermeiden Sie nach Möglichkeit die Nutzung von öffentlichem WLAN für vertrauliche Aktivitäten. Wenn Sie sich dennoch verbinden, verschlüsseln Sie Ihren Datenverkehr mit einem vertrauenswürdigen VPN, um Angreifern das Abfangen von Anmeldedaten oder das Einschleusen schädlicher Inhalte zu erschweren.
• Kein Lösegeld zahlen: Denken Sie daran, dass Sie Ihre Dateien möglicherweise auch dann nicht zurückbekommen, wenn Sie ein Lösegeld zahlen. Ein Cyberkrimineller könnte immer wieder Zahlungen von Ihnen fordern und Geld von Ihnen erpressen,  aber Ihre Daten niemals freigeben.

Planen Sie schließlich im Voraus mit einem Notfallreaktionsplan. Oft reicht es schon zu wissen, wo Sie sich gerade aufhalten, welche Konten zuerst geschützt werden sollten und wie Sie ein Gerät rasch offline nehmen. Wenn Sie solche Schritte im Vorfeld festlegen, können Sie auch dann einen kühlen Kopf behalten und den Schaden begrenzen, wenn Ransomware tatsächlich zuschlägt.

Schutz vor Ransomware

Ransomware stellt eine echte Bedrohung dar: Das Beste ist es, sie zu stoppen, bevor sie zuschlägt. Das bedeutet, Betrug zu erkennen, bevor Sie darauf klicken, und grundlegende Schutzmaßnahmen parat zu haben, falls doch etwas durchrutscht. Moderne Sicherheitstools wie Norton AntiVirus Plus sind genau für diesen Schutz konzipiert.

Norton bietet Echtzeitschutz gegen Ransomware und umfasst eine intelligente Firewall, um unbefugte Verbindungen zu verhindern. Außerdem erhalten Sie Funktionen wie KI-gestützte Betrugserkennung und einen integrierten Passwort-Manager, um gängige Einfallstore zu reduzieren, auf die Cyberkriminelle angewiesen sind.

Häufig gestellte Fragen

Was ist die Hauptursache für Ransomware-Angriffe?

Die meisten Ransomware-Angriffe beginnen mit Social Engineering-Angriffen, etwa wenn Sie einen schädlichen E-Mail-Anhang öffnen auf einen irreführenden Link klicken oder infizierte Software herunterladen. Ungepatchte Software-Sicherheitslücken können ebenfalls ausgenutzt werden, sind jedoch bei privat genutzten Geräten weniger verbreitet.

Kann sich Ransomware über WLAN verbreiten?

Ja, Ransomware kann sich über WLAN verbreiten, wenn Geräte im selben Netzwerk freigegebene Ordner zulassen, einfache Passwörter wiederverwenden oder veraltete Software mit bekannten Sicherheitslücken ausführen. Ein infiziertes Gerät kann dann das Netzwerk scannen und versuchen, auf andere verbundene Geräte zuzugreifen.

Wie stelle ich fest, ob mein Gerät mit Ransomware infiziert ist?

Das häufigste Anzeichen ist eine Lösegeldforderung oder Zahlungsaufforderung, die auf Ihrem Bildschirm oder über eine Nachricht erscheint. Wenn Sie Antivirus-Software verwenden, kann diese die Ransomware möglicherweise auch in Echtzeit erkennen, bevor sie Dateien vollständig verschlüsseln kann.

Schließlich bemerken Sie in manchen Fällen möglicherweise im Vorfeld, dass sich Dateien seltsam verhalten, aber eine Lösegeldforderung wird fast immer angezeigt, sobald der Angriff abgeschlossen ist.

Kann Ransomware entfernt werden?

Die Ransomware selbst kann in der Regel durch Löschen des Geräts oder mithilfe von Sicherheitssoftware entfernt werden, die verschlüsselten Dateien bekommen Sie dadurch jedoch nicht zurück. Dafür benötigen Sie Daten-Backups oder ein Entschlüsselungstool.

Entfernt Antivirus-Software Ransomware?

Ja, Antivirus-Software kann Ransomware stoppen, insbesondere bevor sie Dateien verschlüsselt. Moderne Tools nutzen Echtzeit-Überwachung und Verhaltensanalyse, um Ransomware während der Ausführung zu blockieren. Achten Sie jedoch darauf, Ihre Sicherheitssoftware auf dem neuesten Stand zu halten, damit sie neuere Bedrohungen erkennen kann.