Ransomware 2026: 49% der Unternehmen erkennen Angriffe zu spät
24.06.2026 - 15:10:42 | boerse-global.de
Fast die Hälfte aller Unternehmen bemerkt einen Ransomware-Angriff erst, wenn die sensiblen Daten bereits gestohlen wurden. Das geht aus dem aktuellen ExtraHop Global Threat Landscape Report 2026 hervor, der heute veröffentlicht wurde.
49 Prozent der Organisationen erkennen die Erpressersoftware demnach erst nach der Datenexfiltration – ein sprunghafter Anstieg von 31 Prozent im Vorjahr. Die Studie basiert auf einer Befragung von über 1.800 Sicherheitsverantwortlichen weltweit.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Ratgeber zur Cyber-Security jetzt gratis anfordern
Angreifer haben wochenlang freie Hand
Besonders alarmierend: Die Verweildauer der Hacker in den kompromittierten Netzwerken beträgt im Schnitt rund 2,5 Wochen. Diese Zeit nutzen die Angreifer gezielt, um besonders wertvolle Daten zu identifizieren und abzutransportieren. Das verschafft ihnen bei den anschließenden Lösegeldverhandlungen eine deutlich stärkere Position.
„Die Täter arbeiten immer systematischer", erklärt ein Sprecher von ExtraHop. „Sie suchen nicht wahllos, sondern gezielt nach Kronjuwelen – Patenten, Kundenlisten oder strategischen Dokumenten."
Trotz aller Abwehrbemühungen zahlen 83 Prozent der betroffenen Unternehmen das geforderte Lösegeld. Immerhin: Die durchschnittliche Lösegeldsumme sank auf 2,8 Millionen Euro, nach 3,6 Millionen Euro im Vorjahr. Als aktivste Erpresserbanden identifizierten die Analysten LockBit und RansomHub.
KI als zweischneidiges Schwert
Ein wachsender Risikofaktor ist die Künstliche Intelligenz. Rund 55 Prozent der Sicherheitsverantwortlichen sehen KI als größte Bedrohung für ihre Organisation. Das Paradoxe: KI wird zwar zunehmend zur Verteidigung eingesetzt, produziert aber auch jede Menge Fehlalarme. Rund 30 Prozent der KI-generierten Sicherheitswarnungen erwiesen sich als falsch positiv – in 45 Prozent der Fälle war manuelles Eingreifen nötig.
Tata Electronics: 630 Gigabyte an Geheimdaten gestohlen
Ein aktuelles Beispiel für die verheerenden Folgen verzögerter Erkennung ist der Angriff auf Tata Electronics. Mitte Juni veröffentlichte die Erpressergruppe World Leaks – ein Ableger des berüchtigten Hunters-International-Syndikats – über 200.000 Dateien mit einem Volumen von rund 630 Gigabyte.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket für Unternehmen kostenlos herunterladen
Die gestohlenen Daten enthalten brisante Geschäftsgeheimnisse: Konstruktionspläne für die Apple-Fertigung sowie technische Zeichnungen für Teslas Projekt Highland und Model-Y-Komponenten. Tata Electronics bestätigte den Angriff Anfang der Woche. Die Geschäftsabläufe seien nicht beeinträchtigt, die Daten jedoch kompromittiert.
Der Fall zeigt die Verwundbarkeit globaler Lieferketten. Laut aktuellen Branchendaten lassen sich 59 Prozent aller Cyberangriffe auf Schwachstellen in Zulieferernetzwerken zurückführen.
LastPass, Bajaj Auto und das NHS
Auch andere Großunternehmen meldeten in den vergangenen Tagen Vorfälle:
LastPass meldete am 23. Juni einen Angriff auf seine Salesforce-Umgebung. Kriminelle erbeuteten Namen, Adressen und E-Mail-Adressen von Kunden. Der Einbruch erfolgte über einen Zulieferer – den Dienstleister Klue, bei dem die Icarus-Gruppe OAuth-Tokens gestohlen hatte.
Der indische Autobauer Bajaj Auto meldete einen Ransomware-Angriff am 23. Juni, der interne Systeme und die seiner Tochtergesellschaft lahmlegte. Das Unternehmen informierte die indische CERT-In und konnte die Schäden offenbar begrenzen.
Der britische Barts Health NHS wurde Opfer der Clop-Bande, die eine Zero-Day-Lücke in Oracle EBS (CVE-2025-61882) ausnutzte. Obwohl der Einbruch bereits Ende 2025 stattfand, wurden erst jetzt Details zu gestohlenen Rechnungen und Mitarbeiterdaten bekannt.
Browser-Erweiterungen als Einfallstor
Sicherheitsforscher von Zscaler und Blackpoint SOC beobachten zudem einen Anstieg bei Angriffen über SaaS-Integrationen und schädliche Browser-Erweiterungen. Eine kürzlich entdeckte Kampagne nutzte eine manipulierte Microsoft-Edge-Erweiterung namens Edgecution, um über Social-Engineering-Angriffe auf Microsoft Teams Hintertüren zu installieren.
Branchenexperten raten angesichts dieser Entwicklung zu einem Umdenken: Statt sich ausschließlich auf die Verhinderung von Verschlüsselung zu konzentrieren, müssten Sicherheitsteams künftig den Datenabfluss stärker überwachen. DNS-Firewalls und automatisierte Reaktionssysteme seien nötig, um die „blinden Flecken" zu schließen, die eine lautlose Datenexfiltration erst ermöglichen.
