Ransomware im Wandel:

Von Verschlüsselung zur Datenerpressung

Warum klassische Abwehrmechanismen versagen und wie Zero Trust & KI zum neuen wirksamen Schutzschild avancieren

Ransomware befindet sich in einem stetigen Wandel. Was seinerzeit als opportunistische Angriffsmasche seinen Anfang nahm und betroffene Unternehmen nach dem Eindringen ins System durch Verschlüsselung lahmlegte, hat sich zwischenzeitlich zu kalkuliertem Vorgehen mit Datendiebstahl und psychologischem Druck weiterentwickelt. Die heutigen Angreifer geben sich nicht mehr mit Verschlüsselung allein zufrieden. Sie nutzen gestohlene Daten als Druckmittel und setzen generative KI ein, um Angriffe mit beispielloser Geschwindigkeit und Präzision zu skalieren.

Dabei nimmt nicht nur das Volumen der Angriffe zu, wie ein kürzlich veröffentlichter Ransomware-Report zeigt. Im Jahresverlauf stiegen die globalen Ransomware-Versuche um 145 Prozent auf ein neues Hoch und erreichten damit die größte Wachstumsrate seit das Team von Chief Security Officer Deepen Desai mit seinen Analysen begann. Zusätzlich wandelt sich nicht nur das Volumen der Attacken, sondern auch die Raffinesse der Angriffsmuster. Da Unternehmen mit zunehmend personalisierten und fortwährenden Bedrohungen zu kämpfen haben, müssen sie selbst ein neues Maß an Wachsamkeit und Innovation in ihrer Verteidigung erreichen.

Verlagerung hin zu Datenerpressung und GenKI-Nutzung

Anstelle betroffene Organisationen vom Zugriff auf Daten und Anwendungen auszuschließen, konzentrieren sich Malware-Akteure heute darauf, sensible Informationen zu exfiltrieren und mit deren Veröffentlichung zu drohen. Diese Taktik nutzt die Angst von Unternehmen vor drohenden Reputationsschäden, regulatorischen Konsequenzen und dem Verlust von geistigem Eigentum aus und stellt damit eine brisante Kombination an Druckmitteln dar. Sie veranlasst die Betroffenen zur Zahlung von Lösegeldern unabhängig davon, ob sie Zugriff auf ihre Systeme haben oder nicht.

Der Einfluss generativer KI hat diese Änderung der Taktik vorangetrieben. Durch Automatisierung gehen die Phase des Ausspähens von potenziellen Opfern, Phishing-Mustererstellung und die Entwicklung von Malware mit Hilfe der künstlichen Intelligenz mit bemerkenswerter Effizienz einher. Sie erlaubt eine hochgradige Personalisierung von Angriffen, die meist mit dem Identitätsdiebstahl von Usern mit privilegiertem Zugriff ihren Lauf nehmen. Breit gestreute Spam-Angriffe sind heute maßgeschneiderten Attacken gewichen, die aufgrund der eingesetzten Zugangsprivilegien eine größere laterale Bewegung innerhalb der Netzwerke der Opferorganisationen ermöglichen. Um dieser Veränderung der Angriffstaktiken Rechnung zu tragen, müssen IT-Teams ebenfalls auf KI-gestützte Verteidigungsstrategien setzen – also KI mit KI bekämpfen.

Die Branchen unter Druck: Fertigung, Gesundheitswesen und Technologie

Neben der Veränderung der Ransomware-Taktiken kann auch eine entsprechende Verlagerung der Angriffsziele beobachtet werden. Im Laufe des letzten Jahres haben Ransomware-Angriffe in allen Branchen zugenommen, in denen Betriebsunterbrechungen, Datensensibilität und regulatorische Risiken einen hohen Hebel für Erpressung schaffen. Insbesondere das Gesundheitswesen bleibt aufgrund seiner riesigen Bestände an schützenswerten Gesundheitsdaten ein attraktives Ziel, was 725 Verstöße und 275 Millionen offengelegte Datensätze im Jahr 2024 verdeutlichen.

Außerhalb des Gesundheitswesens standen eine Reihe weiterer Branchen im Zusammenhang mit deren Bemühungen um digitale Transformation im Visier der Erpresser. Im Öl- und Gassektor kam es zu einem Anstieg der versuchten Ransomware-Angriffe um 935 Prozent, was auf die zunehmende Automatisierung und anfällige industrielle Steuerungssysteme zurückzuführen ist. In diesen Bereichen stellen veraltete Technologien und zunehmende Vernetzung von IT & OT ein einfaches Terrain für Angreifer dar. In der Landwirtschaft stieg die Zahl der Angriffe um 677 Prozent, da die Digitalisierung der Landwirtschaft durch beispielsweise intelligente Traktoren oder IoT-Sensoren die vorhandenen Cybersicherheitsvorkehrungen überholte. Nicht zuletzt gehörten Technologie und Fertigung zu den am häufigsten angegriffenen Branchen, was auf ihre datenreichen Umgebungen und operativen Abhängigkeiten zurückzuführen ist.

Die herkömmliche Sicherheitsarchitektur versagt

Das Problem in vielen Fällen sind nicht unbedingt die Bemühungen um digitale Transformation per se, sondern die veraltete Sicherheitsarchitektur. Trotz der zunehmenden Raffinesse von Ransomware verlassen sich viele Branchen nach wie vor auf veraltete Sicherheitsarchitekturen wie VPNs, Firewalls und Punktlösungen, die nicht für die Abwehr moderner Bedrohungen ausgelegt sind. Diese fragmentierten Systeme führen zu toten Winkeln im verschlüsselten Datenverkehr einhergehend mit mangelndem Einblick in darin verborgenen Bedrohungen und einer inkonsistenten Durchsetzung von Richtlinien. Schlimmer noch, sie gewähren oft einen zu großzügigen Zugriff, sodass Angreifer sich auf der Suche nach wertvollen Daten innerhalb des Netzwerks lateral fortbewegen können, sobald sie einmal ins System eingedrungen sind.

Um diese und weitere Herausforderungen zu bewältigen, empfehlen Experten einen Wechsel zu Cloud-nativen, KI-gestützten Zero Trust-Architekturen. Ein Plattform-Ansatz vereinheitlicht die Sicherheit für alle User, Geräte und Anwendungen unabhängig vom Standort und minimiert gleichzeitig Risiken und vereinfacht deren Schutz.

Die vier Säulen der modernen Ransomware-Abwehr

Um modernen Ransomware-Bedrohungen wirksam entgegenzuwirken, müssen sich Unternehmen darauf konzentrieren, ihre Angriffsfläche zu minimieren. Dazu müssen sie Einfallstore wie User, Anwendungen und Geräte hinter einem sicheren Cloud-Proxy verstecken. Ein solcher Ansatz macht öffentliche IP-Adressen unsichtbar und verhindert den direkten Netzwerkzugang, wodurch es für Angreifer schwieriger wird, Schwachstellen zu finden und auszunutzen.

Eine robuste Verteidigung erfordert auch proaktive Maßnahmen, um eine erste Kompromittierung zu verhindern. Anhand einer vollständigen Transport Layer Security (TLS)/Secure Socket Layer (SSL)-Überwachung sowie durch den Einsatz von Inline-Sandboxing und der Isolierung verdächtiger Dateien wird sichergestellt, dass Bedrohungen gestoppt werden, bevor sie das Netzwerk erreichen. So lässt sich Ransomware neutralisieren, bevor sie ausgeführt wird und Schaden anrichten kann.

Das Verhindern von seitlichen Bewegungen der Malware-Akteure innerhalb des Netzwerks ist ebenso wichtig. Durch direkte Verbindungen zwischen autorisierten Usern und ihren benötigten Anwendungen ohne generellen Netzwerkzugriff können Unternehmen Angreifern die Möglichkeit nehmen, sich innerhalb der Unternehmensumgebung frei zu bewegen. KI-gestützte Segmentierung passt den Zugriff zusätzlich an das User-Verhalten und den Kontext an, während Deception-Technologien potenzielle Angreifer strategisch in überwachte Fallen locken.

Schließlich ist das Stoppen von Datenexfiltration von entscheidender Bedeutung, um die Hebelwirkung von Ransomware zu unterbinden. Inline-Technologien zur Verhinderung von Datenverlusten (DLP), Cloud Access Security Broker (CASB) und umfassende Traffic-Inspektion arbeiten Hand in Hand, um unbefugte Datenübertragungen an Schatten-IT- und Command-and-Control-Infrastrukturen zu verhindern. Durch diese integrierten, KI-gestützten Strategien können Unternehmen den sich ständig weiterentwickelnden Ransomware-Taktiken einen Schritt voraus sein und ihre kritischen Ressourcen besser schützen.

Anpassung an eine neue Realität

In einer neuen Ära der KI-gestützten Datenerpressung hat sich Ransomware zu einer Präzisionswaffe entwickelt, die sowohl technologische Schwachstellen als auch die menschliche Psychologie ausnutzt. Der Wandel von der Verschlüsselung zur Exfiltration, verstärkt durch generative KI und personalisierte Zielausrichtung, hat Angriffe schneller, heimlicher und wirkungsvoller gemacht. Da sich die Angreifer anpassen und aufgrund des Erfolgsmodells Nachahmer auf den Plan holen, müssen Unternehmen mit gleicher Agilität reagieren und veraltete Abwehrmechanismen durch intelligente, integrierte Sicherheitsframeworks ersetzen. Es gilt damit Bedrohungen zu antizipieren, isolieren und neutralisieren, bevor sie eskalieren. Schließlich geht es nicht mehr nur um operative Aspekte, sondern um existenzielle Fragen der Betriebskontinuität von Organisationen.