Ransomware-Gruppen setzen auf Datendiebstahl statt Verschlüsselung

Cyberkriminelle ändern ihre Strategie radikal: Statt Dateien zu verschlüsseln, stehlen sie gezielt sensible Daten und erpressen damit ihre Opfer. Dieser Wandel markiert eine gefährliche neue Phase der digitalen Bedrohung – und macht klassische Backup-Strategien wertlos.

Die Zahlen sind eindeutig: Während Unternehmen immer besser darin werden, Verschlüsselungsangriffe abzuwehren, steigt die Zahl reiner Erpressungsattacken dramatisch an. Was bedeutet das für die IT-Sicherheit?

Erfolg bei der Abwehr – aber zu welchem Preis?

Der Cybersecurity-Anbieter Sophos legte diese Woche einen aufschlussreichen Bericht vor. Die Studie zur Ransomware-Bedrohung in der Fertigungsindustrie zeigt: 50 Prozent der befragten Produktionsunternehmen konnten Angriffe stoppen, bevor Kriminelle ihre Dateien verschlüsseln konnten. Das ist mehr als eine Verdopplung gegenüber dem Vorjahr, als nur 24 Prozent diesen Erfolg verbuchen konnten.

Der Grund für diese Verbesserung liegt auf der Hand: Moderne Erkennungssysteme und unveränderbare Backups machen es Angreifern zunehmend schwer, ihre klassische Masche durchzuziehen. Doch die Cyberkriminellen haben längst reagiert.

Viele Unternehmen unterschätzen die aktuelle Bedrohung durch Datendiebstahl, Lieferketten-Angriffe und ausgeklügeltes Social Engineering – genau die Muster, die Sophos und Acronis in ihren Berichten nennen. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst die wichtigsten Gefahren zusammen, erklärt neue Vorgaben (inkl. KI-Regulierung) und liefert praxisnahe Schutzmaßnahmen, mit denen IT-Verantwortliche ihr Unternehmen auch ohne großes Budget deutlich sicherer machen können. Jetzt kostenlosen Cyber-Security-Report herunterladen

Reine Erpressungsangriffe – bei denen ausschließlich Daten gestohlen und zur Veröffentlichung angedroht werden – haben sich innerhalb eines Jahres mehr als verdreifacht. Ihr Anteil stieg von 3 auf 10 Prozent aller Vorfälle. Bei weiteren 39 Prozent der Fälle kombinierten die Täter beide Methoden: Sie verschlüsselten Systeme und stahlen gleichzeitig Daten.

“Die Angreifer erhöhen den Druck durch reinen Datendiebstahl und Erpressung”, heißt es in dem Bericht. Diese doppelte Erpressung lässt Opfern kaum Spielraum für Verhandlungen.

Finanzsektor im Visier: 74 Banken betroffen

Wie aktuell diese Bedrohung ist, zeigt ein Vorfall vom Mittwoch. Marquis Software Solutions, ein Anbieter von Analyse-Software für Finanzinstitute, wurde Opfer eines schwerwiegenden Sicherheitsvorfalls. Mehr als 74 Banken und Kreditgenossenschaften in den USA sind von dem Datenleck betroffen.

Dieser Angriff folgt dem neuen Muster: Die Täter verzichteten auf komplexe Verschlüsselung und konzentrierten sich auf den Diebstahl hochsensibler Finanzdaten. Besonders perfide: Durch den Angriff auf einen einzelnen Software-Anbieter verschafften sich die Kriminellen Zugang zu Dutzenden Finanzinstituten – maximale Erpressungshebelwirkung bei minimalem Aufwand.

Sicherheitsexperten warnen, dass solche Angriffe auf die Lieferkette zur bevorzugten Methode von Erpressungsbanden werden. Warum hunderte Netzwerke einzeln kompromittieren, wenn ein einziger gut platzierter Einbruch genügt?

DragonForce und Scattered Spider: Eine gefährliche Allianz

Die Bedrohungslage verschärft sich durch eine beunruhigende Entwicklung: Etablierte Ransomware-Gruppen verbünden sich mit spezialisierten Social-Engineering-Experten.

Laut einer Analyse des Sicherheitsunternehmens Acronis kooperiert die DragonForce-Ransomware-Operation seit 2025 mit “Scattered Spider” – einem losen Kollektiv englischsprachiger Hacker, die für ihre Fähigkeiten im Bereich Social Engineering und SIM-Swapping bekannt sind.

Diese Partnerschaft ist hochgefährlich: Scattered Spider manipuliert gezielt Helpdesk-Mitarbeiter, um Zugangsdaten zurückzusetzen oder die Zwei-Faktor-Authentifizierung zu umgehen. Einmal drin, übergeben sie den Zugang an DragonForce-Partner, die dann terabyte-weise sensible Daten abziehen.

Dieser “Erstzugangs-Marktplatz” befeuert den Anstieg von Datendiebstählen. Wenn technische Abwehrmaßnahmen gegen Schadsoftware immer ausgefeilter werden, loggen sich Angreifer eben mit gestohlenen Anmeldedaten ein – statt sich mit Exploits durchzuhacken.

Die kalte Logik der Erpressung

Hinter diesem strategischen Wechsel steckt knallhartes wirtschaftliches Kalkül. Eine Netzwerk-Verschlüsselung ist laut, destruktiv und löst sofort Notfallprotokolle aus. Sie erfordert zudem ausgeklügelte Schadsoftware, die von modernen Antivirenprogrammen erkannt werden kann.

Datendiebstahl hingegen lässt sich oft “leise” mit legitimen Administratorwerkzeugen durchführen – eine Technik, die als “Living off the Land” bekannt ist. Sind die Daten erst einmal kopiert, haben die Kriminellen alle Trümpfe in der Hand.

“Die Einstiegshürde für reine Erpressung ist niedriger”, erklärt ein leitender Analyst des SANS Institute. “Man braucht keine perfekte Verschlüsselungssoftware, die unter Linux und Windows funktioniert. Man muss nur einen Weg finden, Dateien in einen Cloud-Speicher zu kopieren. Wenn das Opfer nicht zahlt, braucht man keinen Entschlüsselungsschlüssel zu liefern – man veröffentlicht einfach die Geheimnisse.”

Trotz des Strategiewechsels bleiben die Zahlungsbereitschaft und die Lösegeldsummen hoch. Der Sophos-Bericht verzeichnet eine mittlere Zahlung von rund 850.000 Euro – 51 Prozent der betroffenen Fertigungsunternehmen zahlten das geforderte Lösegeld. Diese Zahlungsbereitschaft validiert das Geschäftsmodell der Angreifer und sichert, dass Erpressung auch 2025 ein lukratives Geschäft bleibt.

Produktion als Primärziel

Die Fertigungsindustrie ist für diese neue Angriffstaktik besonders anfällig. Ihr Geschäft basiert auf geistigem Eigentum und präzise getakteten Produktionsabläufen. Zwar stoppt Datendiebstahl die Fertigungsstraßen nicht sofort wie eine Verschlüsselung – doch die Drohung, proprietäre Konstruktionspläne, Mitarbeiterdaten oder Kundenverträge zu veröffentlichen, reicht oft aus, um Zahlungen zu erzwingen.

Die aktivsten Gruppen in diesem Sektor sind laut Sophos Akira, Qilin und PLAY. Diese Gruppen betreiben ausgefeilte “Leak-Sites” im Darknet, die als öffentliche Pranger fungieren und Opfer zur Zahlung drängen sollen.

Eine paradoxe Statistik aus dem Bericht: Während die durchschnittlichen Wiederherstellungskosten (ohne Lösegeld) um 24 Prozent auf 1,1 Millionen Euro sanken – vermutlich dank besserer Backups – bleiben die Lösegeldforderungen selbst hoch. Das deutet darauf hin, dass Unternehmen ihre Systeme zwar schneller wiederherstellen können, die Vertraulichkeit gestohlener Daten aber nicht “wiederherstellen” können. Sie bleiben erpressbar, selbst wenn der Betrieb längst wieder läuft.

Das Ende der Backup-Illusion

Je weiter wir ins Jahr 2025 vordringen, desto mehr verschwimmt die Grenze zwischen “Datenleck” und “Ransomware-Angriff”. Die Hauptwaffe der Cyberkriminellen ist nicht mehr die gesperrte Datei, sondern die gestohlene Datei.

Für Unternehmen bedeutet das einen grundlegenden Strategiewechsel. Backups bleiben zwar entscheidend für die Geschäftskontinuität, sind aber keine Universallösung mehr gegen Ransomware. Wenn die Daten gestohlen sind, können Backups den Schaden nicht rückgängig machen.

Organisationen sollten sich auf Data Loss Prevention (DLP), strikte Ausgangsfilterung zur Überwachung abfließender Daten und verbessertes Identitätsmanagement konzentrieren, um den initialen Zugang zu verhindern, der diese Raubzüge erst ermöglicht.

“Die Ära, in der man sich allein auf Backups verlassen konnte, ist vorbei”, schlussfolgert der Sophos-Bericht. “Um moderne Angreifer zu besiegen, müssen Organisationen den Diebstahl von Daten verhindern, nicht nur deren Zerstörung.”

Mit der herannahenden Weihnachtszeit – einer Periode, die Cyberkriminelle historisch für hochkarätige Angriffe bevorzugen – sind Sicherheitsteams in höchster Alarmbereitschaft. Die Ereignisse dieser Woche sind eine deutliche Warnung: Die Ransomware-Bedrohung verschwindet nicht, sie verhandelt nur zu neuen Bedingungen.

PS: Social-Engineering-Angriffe wie SIM‑Swapping und manipulierte Helpdesk-Anfragen sind ein zentraler Einfallspunkt für Datendiebe. Ein kompakter, kostenloser Leitfaden zeigt, wie Sie Mitarbeiterschulungen, DLP-Maßnahmen und Ausgangsfilter praktisch umsetzen und typische Einbruchswege schließen. Holen Sie sich praxisnahe Checklisten und sofort anwendbare Maßnahmen, bevor sensible Daten zur Beute werden. Gratis Cyber-Security-Leitfaden sichern