Ransomware-Gruppen setzen auf reine Daten-Erpressung

Cyberkriminelle verschlüsseln immer seltener – sie stehlen Daten und drohen mit der Veröffentlichung. Neue Analysen zeigen einen alarmierenden Strategiewechsel: Die reine Daten-Exfiltration und Erpressung hat sich binnen eines Jahres mehr als verzehnfacht. Gleichzeitig nutzen Angreifer Künstliche Intelligenz, um Attacken in Minutenschnelle durchzuziehen. Für Unternehmen verschiebt sich die größte Bedrohung von Betriebsausfällen hin zu existenziellen Reputations- und Regressschäden.

Elfmal mehr „Leak-only“-Attacken

Die Ära der doppelten Erpressung – Verschlüsselung plus Datendiebstahl – neigt sich dem Ende zu. Laut einem aktuellen Bericht von Arctic Wolf vom 19. Februar 2026 stieg der Anteil reiner Daten-Erpressungsfälle an ihren Incident-Response-Einsätzen von nur 2 auf 22 Prozent. Gruppen wie PEAR (Pure Extortion and Ransom) setzen gezielt auf dieses Modell. Der Vorteil für die Kriminellen: Sie sparen sich den Aufwand für komplexe Verschlüsselungsroutinen und erhöhen den Druck auf das Opfer durch die unmittelbare Drohung der Datenveröffentlichung.

Angesichts der rasanten Zunahme von Daten-Exfiltration müssen Unternehmen ihre Sicherheitsstrategie dringend an neue gesetzliche Rahmenbedingungen anpassen. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie ihr Unternehmen proaktiv schützen und aktuelle KI-Regulierungen rechtssicher umsetzen. Was Geschäftsführer über Cyber Security 2024 wissen müssen

Ein Beispiel ist die Ransomware Ndm448, eine Variante der Makop-Familie. In ihrem Erpresserbrief droht sie explizit mit der Veröffentlichung oder dem Verkauf gestohlener Unternehmensdaten. Die Botschaft ist klar: Der Wert der Attacke liegt nicht in der Lahmlegung, sondern im Besitz sensibler Informationen.

KI beschleunigt Angriffe auf 72 Minuten

Was die neue Strategie so gefährlich macht, ist ihre Geschwindigkeit. Künstliche Intelligenz hebelt traditionelle Reaktionszeiten aus. Der Global Incident Response Report 2026 von Palo Alto Networks' Unit 42 analysierte über 750 Vorfälle. Das Ergebnis: In den schnellsten Fällen benötigten Angreifer nur 72 Minuten vom ersten Eindringen bis zum vollständigen Abfluss der Daten. Im Vorjahr lag dieser Wert noch viermal höher.

KI automatisiert Phishing-Kampagnen, Skripting und die Ausführung von Angriffsschritten. Für Sicherheitsteams schrumpft das Zeitfenster für Gegenmaßnahmen damit auf ein Minimum. Oft ist die Datenpanne bereits erfolgt, bevor die Intrusion überhaupt erkannt wird. Die Folge: Containment-Strategien verlieren an Wirkung, der Fokus verschiebt sich auf die Schadensbegrenzung nach dem Leak.

Schwachstelle Identität: 90 Prozent der Angriffe

Der Weg für diese Blitzangriffe führt zunehmend über kompromittierte Identitäten statt durch klassische Netzwerk-Penetration. In fast 90 Prozent der untersuchten Vorfälle spielten Schwächen im Identitätsmanagement eine Rolle. Angreifer loggen sich mit gestohlenen Zugangsdaten ein, missbrauchen OAuth-Tokens oder API-Keys und bewegen sich so unerkannt durch die Systeme.

In 65 Prozent der Fälle war diese Technik der erste Zugang. Der Browser wird zum Schlachtfeld – fast die Hälfte aller Angriffe nutzt ihn, um Credentials abzugreifen. Eine einzige geknackte Identität genügt oft, um an die wertvollsten Daten zu gelangen. Für Unternehmen bedeutet das: Die Absicherung von Zugängen ist zur zentralen Verteidigungslinie geworden.

Da Kriminelle immer häufiger psychologische Schwachstellen der Mitarbeiter für den ersten Systemzugang ausnutzen, ist ein gezielter Schutz vor Phishing-Versuchen unerlässlich. Mit diesem Experten-Guide erhalten Sie eine konkrete 4-Schritte-Anleitung, um Ihre Organisation effektiv gegen moderne Hacker-Methoden zu wappnen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Juristische Folgen: Conduent und Panera Bread als Warnung

Die Konsequenzen dieser Entwicklung sind juristisch und finanziell verheerend. Der Schaden entsteht nicht mehr primär durch Stillstand, sondern durch die öffentliche Bloßstellung. Der Angriff auf den Technologie-Dienstleister Conduent, der sensible Gesundheitsdaten betraf, hat bereits zu mindestens zehn Sammelklagen geführt. Die Behörden untersuchen einen der größten Datenschutz-Verstöße der jüngeren Geschichte.

Ein ähnliches Bild beim Restaurant-Ketten Panera Bread: Die Hackergruppe ShinyHunters veröffentlichte Kundendaten, nachdem das Lösegeld verweigert wurde. Nun folgen Gerichtsverfahren. Diese Fälle zeigen: Die Krisenkommunikation, Meldepflichten bei Aufsichtsbehörden und der langwierige Reputationsaufbau werden zum Kern der Incident Response.

Ausblick: Verteidigung muss mit KI mithalten

Gegen Angreifer, die mit Maschinengeschwindigkeit operieren, helfen nur ebenso schnelle, vorausschauende Abwehrmaßnahmen. Experten fordern für 2026 einen Fokus auf proaktive Security. Notwendig sind vereinheitlichte Plattformen, die KI und Automation nutzen, um Bedrohungen in Minuten – nicht Stunden – zu erkennen und einzudämmen.

Priorität hat die Modernisierung der Identitätssicherheit, um Lücken bei Berechtigungen zu schließen. Da Angriffe Endpunkte, Cloud und SaaS-Anwendungen gleichermaßen betreffen, brauchen Teams umfassende Transparenz. Die neue Ransomware-Realität zwingt Unternehmen zu einer grundlegenden Resilienz: Sie müssen von einem erfolgreichen Angriff ausgehen und den Schutz kritischer Daten über alles stellen.