
Das Bundeskriminalamt hat das Bundeslagebild Cybercrime 2024 veröffentlicht. Der Bericht zeigt: Ransomware bleibt die zentrale Bedrohung für Unternehmen, Behörden und Privatpersonen in Deutschland. Laut BKA wurden im Jahr 2024 bundesweit 950 Ransomware-Angriffe angezeigt. Deutschland ist damit im internationalen Vergleich das am vierthäufigsten betroffene Land. Die Auswirkungen reichen von existenzbedrohenden Szenarien in Unternehmen über Ausfälle in der öffentlichen Verwaltung bis hin zu Einschränkungen im öffentlichen Verkehr. Der durch den Bitkom im Jahr 2024 festgestellte jährliche Schaden durch Cyber-Attacken in Deutschland beträgt 178,6 Milliarden Euro und ist damit gegenüber dem Vorjahr nochmals angestiegen.
BKA-Präsident Holger Münch erklärt: „Jeden Tag werden der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt. Sie können Unternehmen in ihrer Existenz bedrohen, die öffentliche Verwaltung lähmen oder auch Kunden von Verkehrsbetrieben betreffen. Mit unseren international koordinierten Maßnahmen haben wir auch im vergangenen Jahr wieder gezeigt, dass wir nicht nachlassen und der gesteigerten Bedrohungslage effektive polizeiliche Maßnahmen entgegensetzen. Dabei haben wir den kriminellen Akteuren nicht nur ihre technischen Infrastrukturen und Finanzmittel entzogen, sondern auch Misstrauen in der Underground Economy geschürt. Diese Strategie werden wir auch in Zukunft fortsetzen und unsere Aktivitäten angesichts der bestehenden Bedrohungslage weiter ausbauen.“
KMU und kritische Branchen besonders von Ransomware betroffen
Die Analyse des BKA zeigt, dass sich 94 Prozent der gemeldeten Ransomware-Angriffe gegen Unternehmen, Behörden und andere Organisationen richteten. Besonders betroffen waren kleine und mittelständische Unternehmen, die rund 80 Prozent der Vorfälle ausmachten. Die Hälfte der Angriffe betraf Organisationen aus dem Gesundheitswesen, dem verarbeitenden Gewerbe sowie dem Handel. Gesundheitsdienstleister stehen dabei unter besonderem Druck, da neben wirtschaftlichen Schäden auch die Sicherheit sensibler Daten und im Extremfall Menschenleben gefährdet sind.
Double-Extortion bei über zwei Dritteln der Angriffe
In 72 Prozent der Fälle handelte es sich um sogenannte Double-Extortion-Angriffe. Dabei fordern Cyber-Kriminelle nicht nur Lösegeld für die Entschlüsselung der Daten, sondern drohen auch mit der Veröffentlichung der zuvor gestohlenen Informationen. Durchschnittlich wurden dabei Zahlungen in Höhe von 280.000 Dollar geleistet.
Mikrosegmentierung schränkt Angriffsfläche ein
Zur Eindämmung von Ransomware setzen Unternehmen zunehmend auf Mikrosegmentierung. Diese Methode schränkt die Bewegungsfreiheit eines Angreifers im Netzwerk ein. Kay Ernst von Zero Networks erklärt:„Mikrosegmentierung legt eine Firewall-Bubble um jedes Gerät im Netzwerk. Wenn ein Gerät kompromittiert wird, kann der Angreifer sich nicht seitlich ausbreiten.“ Gleichzeitig betont Ernst, dass klassische Mikrosegmentierungslösungen oft kompliziert in der Umsetzung sind. Neue, agentenlose Technologien mit Multi-Faktor-Authentifizierung können diesen Prozess automatisieren und damit erheblich beschleunigen.
Ransomware-Resilienz: Unveränderliche Backups für schnelle Wiederherstellung
Ein weiterer zentraler Baustein der Ransomware-Resilienz ist die Datenwiederherstellung. Fred Lherault von Pure Storage erläutert: „Ein unveränderliches und nicht löschbares Backup bedeutet, dass Datenkopien in keiner Weise verändert oder, was ebenso wichtig ist, von niemandem gelöscht werden können, selbst wenn es jemandem gelingt, an die Zugangsdaten des Administrators zu gelangen.“ Laut Lherault bieten moderne Flash-basierte Speicherlösungen Wiederherstellungsleistungen von mehreren hundert Terabyte pro Stunde. Dadurch können Unternehmen ihren Geschäftsbetrieb in wenigen Stunden statt in mehreren Tagen oder Wochen wieder aufnehmen.
Prävention, Erkennung und Wiederherstellung sorgt für Ransomware-Resilienz
Angela Heindl-Schober von Hycu weist auf die Notwendigkeit ganzheitlicher Backup-Strategien hin: „Erfolgreiche Ransomware-Resilienz basiert auf drei Säulen: Prävention, Erkennung und Wiederherstellung. Der Fokus liegt üblicherweise auf Prävention und dem Aufbau höherer Schutzwälle und tieferer Gräben. Bislang wurde deutlich zu wenig in die Wiederherstellung investiert.“ Das Unternehmen empfiehlt unter anderem die Nutzung unveränderlicher Backups mit Worm-Funktion (Write Once, Read Many), die Implementierung klarer Aufbewahrungsrichtlinien und den Schutz auch von SaaS-Anwendungen. Der Anteil von Angriffen über SaaS-Plattformen stieg laut Unternehmensdaten innerhalb weniger Jahre von 20 auf 52 Prozent.
Backup-Architekturen müssen alle IT-Bereiche abdecken
Greg Hansbuer von DMP warnt davor, dass viele Backup-Strategien nicht mit der Komplexität moderner IT-Architekturen mithalten:
„Infrastruktur, Virtualisierung, Container, Microservices, Cloud und Serverless. Dies sind nur einige der Stichworte des modernen IT-Alltags.“ Er plädiert für frühzeitige Einbindung des Backup-Themas in alle Technologieprojekte und für den Einsatz hybrider Cloud-Lösungen, die neben Sicherheit und Compliance auch Kostenvorteile bieten.