Zuletzt aktualisiert am 7. April 2026

Ransomware ist eine Malware, durch die Dateien auf dem Rechner des Opfers verschlüsselt und erst nach Lösegeldzahlung wieder freigegeben werden. Die Organisation von Cyberkriminellen wird dabei immer professioneller. Welche Folgen ein Ransomware-Angriff haben kann und wie man sich schützen kann, erfahren Sie hier.

Was ist Ransomware?

„Ransom“ bedeutet so viel wie „Lösegeld“ und bezeichnet damit sehr treffend das Gebiet, auf dem Ransomware von Cyberkriminellen eingesetzt wird. Es handelt sich bei Ransomware um eine Malware, die sämtliche Daten auf dem Rechner des Opfers verschlüsselt. Um die Kontrolle über die eigenen Daten wiederzuerlangen, wird das Opfer aufgefordert, eine Lösegeldsumme zu zahlen. Cyberkriminelle fordern dies meist in Form von Kryptowährungen ein.

Die Infektion mit der Ransomware erfolgt inzwischen über alle denkbaren Wege. Das kleinschrittig arbeitsteilige Vorgehen von Cyberkriminellen, das immer häufiger zu beobachten ist, hat zur Folge, dass die Malware eine professionell erstellte und ernstzunehmende Bedrohung darstellt. Oft sind die Cyberkriminellen technisch schon besser aufgestellt als das angegriffene Unternehmen.

Lösegeldforderung zahlen oder nicht zahlen?

Ob auf die Lösegeldforderung eingegangen werden sollte, ist sehr umstritten.

Polizeibehörden sprechen sich regelmäßig gegen eine Zahlung der geforderten Summe aus. Die Behörden warnen davor, die Cyberkriminellen auf diesem Wege zu finanzieren und das Problem so zu verschlimmern.

Zahlreiche Wissenschaftler aus der IT-Sicherheit sehen in der Zahlung solcher Lösegelder ebenfalls die „Wurzel allen Übels“ und fordern die Politik deshalb auf, mehr gegen Ransomware zu unternehmen. Zwar sei es für die Opfer kurzfristig finanziell günstiger, die Lösegeldforderung zu begleichen, jedoch würde dies das Geschäftsmodell nur weiter antreiben. Deshalb sehen die Wissenschaftler auch Cyber-Versicherungen sehr kritisch, die solche Lösegeldforderungen übernehmen, auch wenn die Versicherungen an sich generell sinnvoll für die IT-Sicherheit sein könne, da sie einen gewissen Mindeststandard an Sicherheit forderten. Zudem ist die Freigabe der Daten auch bei Zahlung der geforderten Summe ungewiss.

Trotz all dieser Bedenken zahlen immer noch viele Unternehmen das Lösegeld. Zwei Drittel aller mittelständischen deutschen Unternehmen waren 2021 von Ransomwareangriffen betroffen. Fast die Hälfte von ihnen hat das Lösegeld auch gezahlt. Dabei konnten nur etwa 60 Prozent ihre Daten teilweise und nur vier Prozent komplett wieder entschlüsseln. Opfer sind dabei nicht nur private Unternehmen, sondern auch immer wieder staatliche Behörden.

Fälle, in denen die Zahlung von Lösegeld große Vorteile bringt, bleiben absolute Einzelfälle. So war die Universität Maastricht 2019 Opfer eines Angriffes geworden und erhielt aufgrund erfolgreicher Ermittlungen nach einigen Monaten das gezahlte Lösegeld in Kryptowährung zurück. Aufgrund der Kursschwankungen der Kryptowährung war die Summer inzwischen viel mehr wert geworden.

Schutz gegen Ransomwareangriffe

Am besten schützt eine stabile IT-Sicherheit gegen Angriffe von Cyberkriminellen. Gerade wenn es um personenbezogene Daten gibt, muss ein entsprechendes Sicherheitsniveau aufrecht erhalten werden. Zudem sind Sicherungen der Daten nötig, sodass die Zugriffsmöglichkeit auf die Daten nicht mit einem einzelnen Rechner steht und fällt.

Wie funktioniert ein Ransomware-Angriff im Detail?

Ein moderner Ransomware-Angriff verläuft typischerweise in mehreren Phasen. In der ersten Phase verschaffen sich die Angreifer Zugang zum Netzwerk des Opfers. Dies geschieht häufig über Phishing-E-Mails, kompromittierte Zugangsdaten, ausnutzbare Sicherheitslücken in öffentlich erreichbaren Diensten oder über die Lieferkette (Supply Chain Attacks). Besonders gefährlich sind dabei sogenannte Initial Access Broker, die sich auf den Verkauf von Netzwerkzugängen an andere kriminelle Gruppen spezialisiert haben.

In der zweiten Phase bewegen sich die Angreifer lateral durch das Netzwerk, erhöhen ihre Rechte und identifizieren wertvolle Daten. Diese Phase kann Tage bis Wochen dauern, in denen die Angreifer unbemerkt im System agieren. Erst in der dritten Phase erfolgt die eigentliche Verschlüsselung der Daten und die Lösegeldforderung wird gestellt.

Double Extortion: Die doppelte Erpressung

Moderne Ransomware-Gruppen setzen zunehmend auf die sogenannte Double Extortion. Dabei werden die Daten nicht nur verschlüsselt, sondern vorher auch kopiert und exfiltriert. Die Angreifer drohen dann mit der Veröffentlichung der gestohlenen Daten, wenn das Lösegeld nicht gezahlt wird. Diese Taktik ist besonders wirksam bei Unternehmen, die über funktionierende Backups verfügen und ihre Systeme ohne Lösegeldzahlung wiederherstellen könnten.

Aus datenschutzrechtlicher Sicht ist die Double Extortion besonders problematisch. Die Exfiltration personenbezogener Daten stellt eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO dar. Unternehmen müssen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren und bei hohem Risiko für die Betroffenen auch diese nach Art. 34 DSGVO benachrichtigen.

Ransomware as a Service (RaaS)

Die Professionalisierung der Cyberkriminalität zeigt sich besonders deutlich im Geschäftsmodell „Ransomware as a Service“ (RaaS). Dabei stellen erfahrene Entwickler ihre Ransomware-Tools anderen Kriminellen zur Verfügung, die diese gegen eine Gewinnbeteiligung einsetzen. Dieses Modell hat die Einstiegshürde für Cyberkriminelle drastisch gesenkt und zu einem massiven Anstieg der Angriffe geführt.

RaaS-Gruppen bieten ihren „Affiliates“ oft einen vollständigen Service, der Support, Verhandlungsführung mit den Opfern und sogar eigene Leak-Websites zur Veröffentlichung gestohlener Daten umfasst. Diese arbeitsteilige Struktur macht es für Strafverfolgungsbehörden besonders schwierig, die Hintermänner zu identifizieren und zu verfolgen.

Meldepflichten und rechtliche Konsequenzen

Ein Ransomware-Angriff löst in der Regel mehrere rechtliche Pflichten aus. Neben der bereits erwähnten Meldepflicht nach Art. 33 DSGVO kann auch eine Meldepflicht nach dem IT-Sicherheitsgesetz bestehen, insbesondere wenn das betroffene Unternehmen als Betreiber kritischer Infrastrukturen eingestuft ist. Außerdem können vertragliche Informationspflichten gegenüber Kunden und Geschäftspartnern bestehen.

Die Zahlung eines Lösegelds kann zudem strafrechtliche Risiken mit sich bringen. Wenn bekannt ist, dass die Ransomware-Gruppe einer sanktionierten Organisation angehört, kann die Zahlung gegen Sanktionsvorschriften verstoßen. Auch eine Beihilfe zur Geldwäsche kann im Raum stehen, wenn das Lösegeld zur Finanzierung weiterer krimineller Aktivitäten verwendet wird.

Präventionsmaßnahmen im Überblick

Die wirksamste Strategie gegen Ransomware ist die Prävention. Dazu gehören an erster Stelle regelmäßige und getestete Backups, die offline oder in einem isolierten Netzwerksegment aufbewahrt werden. Die 3-2-1-Backup-Regel empfiehlt drei Kopien der Daten auf zwei verschiedenen Medientypen, wobei eine Kopie an einem externen Standort lagern sollte.

Netzwerksegmentierung verhindert, dass sich ein Angreifer nach dem Eindringen frei im gesamten Netzwerk bewegen kann. Multi-Faktor-Authentifizierung (MFA) erschwert den Missbrauch gestohlener Zugangsdaten erheblich. Regelmäßige Datenschutz-Schulungen und Phishing-Simulationen helfen den Mitarbeitern, verdächtige E-Mails zu erkennen und richtig zu reagieren.

Ein gut vorbereiteter Incident-Response-Plan stellt sicher, dass im Falle eines Angriffs schnell und koordiniert gehandelt werden kann. Dieser Plan sollte klare Zuständigkeiten definieren, Kommunikationswege festlegen und die datenschutzrechtlichen Meldepflichten berücksichtigen. Regelmäßige Übungen und Simulationen sorgen dafür, dass alle Beteiligten im Ernstfall vorbereitet sind.

Versicherungsschutz bei Ransomware-Angriffen

Cyber-Versicherungen können einen Teil der finanziellen Folgen eines Ransomware-Angriffs abfedern. Sie decken in der Regel Kosten für die forensische Untersuchung, die Wiederherstellung der Systeme, Betriebsunterbrechungsschäden und manchmal auch die Lösegeldzahlung selbst ab. Allerdings werden die Versicherungsbedingungen zunehmend strenger, da die Schadenssummen durch Ransomware-Angriffe stetig steigen.

Viele Versicherer verlangen inzwischen den Nachweis bestimmter Sicherheitsstandards als Voraussetzung für den Versicherungsschutz. Dazu gehören unter anderem die Implementierung von Multi-Faktor-Authentifizierung, regelmäßige Backups, aktuelle Patch-Stände und Mitarbeiterschulungen. Unternehmen, die diese Anforderungen nicht erfüllen, riskieren im Schadensfall eine Leistungsverweigerung der Versicherung.

Unabhängig vom Versicherungsschutz sollten Unternehmen ihre IT-Sicherheit und ihren Datenschutz kontinuierlich verbessern. Die Kosten für präventive Maßnahmen stehen in keinem Verhältnis zu den Folgen eines erfolgreichen Ransomware-Angriffs, der neben den direkten finanziellen Schäden auch zu erheblichen Reputationsverlusten und rechtlichen Konsequenzen führen kann.

Ransomware und die Bedrohung für personenbezogene Daten

Aus datenschutzrechtlicher Perspektive stellt ein Ransomware-Angriff eine besonders schwerwiegende Verletzung des Schutzes personenbezogener Daten dar. Die Verschlüsselung der Daten beeinträchtigt deren Verfügbarkeit, und bei einer Double Extortion wird zusätzlich die Vertraulichkeit verletzt. Beide Aspekte sind nach Art. 32 DSGVO geschützt und müssen durch geeignete technische und organisatorische Maßnahmen sichergestellt werden. Unternehmen, die Opfer eines Ransomware-Angriffs werden, sehen sich daher nicht nur mit den unmittelbaren Folgen des Angriffs konfrontiert, sondern auch mit der Frage, ob ihre Sicherheitsmaßnahmen den Anforderungen der DSGVO genügten. War dies nicht der Fall, drohen neben dem Angriff selbst auch aufsichtsbehördliche Maßnahmen und Schadensersatzforderungen betroffener Personen.

Zusammenfassend gilt: Die beste Antwort auf die Frage „Zahlen oder nicht zahlen?“ lautet, es gar nicht erst so weit kommen zu lassen. Prävention, Vorbereitung und ein professionelles Krisenmanagement sind die Schlüssel, um Ransomware-Angriffe entweder zu verhindern oder ihre Auswirkungen auf ein Minimum zu reduzieren und die datenschutzrechtlichen Pflichten zu erfüllen.

Unser Team an Experten berät Sie gerne zu allen Themen rund um IT-Sicherheit und Datenschutz!