Ransomware-Angriffe haben sich seit dem historischen NotPetya-Angriff von 2017 dramatisch weiterentwickelt. Was damals mit Millionenschäden begann, ist heute zu einer der größten Bedrohungen für Unternehmen und kritische Infrastrukturen weltweit geworden. Die Lessons Learned von NotPetya sind aktueller denn je.
2024 und 2025 haben gezeigt: Ransomware ist längst nicht mehr nur ein Problem für einzelne Unternehmen. Ganze Lieferketten werden lahmgelegt, Krankenhäuser müssen Notfallprogramme fahren, und Produktionsstätten stehen wochenlang still. Der NotPetya-Angriff von 2017 war nur der Anfang einer Entwicklung, die heute alle Bereiche unserer vernetzten Gesellschaft betrifft.
Von NotPetya zu modernen Ransomware-as-a-Service-Operationen
Was 2017 mit NotPetya begann, hat sich zu einem hochprofessionellen Geschäftsmodell entwickelt. Heutige Ransomware-Gruppen wie LockBit 3.0, BlackCat/ALPHV und die Royal-Gang operieren wie IT-Dienstleister. Sie bieten Ransomware-as-a-Service (RaaS) an, bei dem auch technische Laien gegen Gewinnbeteiligung Angriffe durchführen können.
Die Methoden sind dabei deutlich raffinierter geworden: Statt nur Daten zu verschlüsseln, setzen moderne Gruppen auf Double- und Triple-Extortion. Dabei werden zunächst sensitive Daten gestohlen, dann verschlüsselt und schließlich mit Veröffentlichung gedroht. Zusätzlich kontaktieren die Angreifer oft Kunden, Partner oder Behörden der Opfer direkt.
Die geforderten Lösegeldsummen sind explodiert: Während NotPetya noch umgerechnet 240.000 Euro forderte, verlangen heutige Gruppen regelmäßig Millionenbeträge. Der Rekord lag 2024 bei über 75 Millionen Dollar.
Zahlen bleibt ein Fehler – heute mehr denn je
Die Empfehlung der Sicherheitsbehörden ist eindeutig: Nicht zahlen. Das BKA, BSI und internationale Partnerbehörden warnen eindringlich vor Lösegeldzahlungen. Die Gründe sind dieselben wie 2017, haben sich aber verschärft:
Erstens gibt es keine Garantie auf funktionierende Entschlüsselung. Studien zeigen, dass nur 65% der Unternehmen nach Zahlung ihre Daten vollständig zurückbekommen. Zweitens finanzieren Zahlungen weitere Angriffe und die Entwicklung noch gefährlicherer Malware. Drittens werden zahlende Unternehmen bevorzugte Ziele für Folgeattacken.
Neu hinzugekommen ist ein vierter Aspekt: In vielen Ländern, darunter auch Deutschland, können Lösegeldzahlungen an bestimmte Ransomware-Gruppen rechtliche Konsequenzen haben, da sie als Terrorfinanzierung eingestuft werden.
Milliardenmotor Cyberkriminalität
Die wirtschaftlichen Auswirkungen haben dramatische Ausmaße angenommen. Während 2017 Produktionsausfälle bei Mondelēz (Milka) noch Schlagzeilen machten, sind heute komplette Volkswirtschaften betroffen. Der Angriff auf Colonial Pipeline 2021 legte die Kraftstoffversorgung der US-Ostküste lahm. 2024 kostete der Angriff auf den Automobilzulieferer Continental geschätzte 500 Millionen Euro.
Deutschland verzeichnet jährlich über 20.000 Ransomware-Angriffe. Die Gesamtschäden belaufen sich auf mehrere Milliarden Euro pro Jahr. Besonders betroffen sind der Mittelstand und kritische Infrastrukturen wie Krankenhäuser, Energieversorger und Wasserwerke.
Neue Angriffsvektoren und Ziele
Während NotPetya noch primär Windows-Systeme über die EternalBlue-Lücke angriff, nutzen heutige Ransomware-Gruppen deutlich vielfältigere Methoden:
Cloud-First-Angriffe: Moderne Ransomware zielt direkt auf Cloud-Infrastrukturen ab. Microsoft 365, Google Workspace und AWS sind bevorzugte Ziele.
Supply-Chain-Angriffe: Über kompromittierte Software-Updates oder Managed Service Provider erreichen Angreifer hunderte Opfer gleichzeitig.
AI-Enhanced-Attacks: KI-Tools helfen dabei, personalisierte Phishing-Mails zu erstellen und Sicherheitsmaßnahmen zu umgehen.
IoT und OT-Systeme: Industrielle Steuerungsanlagen, medizinische Geräte und Smart-City-Infrastrukturen werden zunehmend angegriffen.
Moderne Verteidigung: Zero Trust und KI
Die Verteidigungsstrategien haben sich entsprechend weiterentwickelt. Updates allein reichen längst nicht mehr:
Zero-Trust-Architekturen gehen davon aus, dass jeder Netzwerkzugang potenziell kompromittiert ist. Jeder Zugriff wird permanent überprüft.
KI-basierte Erkennung kann anomales Verhalten in Echtzeit identifizieren und Angriffe stoppen, bevor Schäden entstehen.
Immutable Backups können nicht mehr verändert oder gelöscht werden – auch nicht von Ransomware.
Extended Detection and Response (XDR) überwacht alle Endpunkte, Netzwerke und Cloud-Services gleichzeitig.
Was Privatnutzer heute tun müssen
Für normale User ist die Bedrohung gestiegen, aber auch die Schutzmaßnahmen sind besser geworden:
Automatische Updates sollten für alle Geräte aktiviert sein – nicht nur für Computer, sondern auch für Router, Smart-TVs, Fitness-Tracker und alle anderen vernetzten Geräte.
Multifaktor-Authentifizierung (MFA) ist Pflicht für alle wichtigen Accounts. Moderne Authenticator-Apps oder Hardware-Token sind deutlich sicherer als SMS.
Cloud-Backups mit Versionierung schützen vor Datenverlust. Wichtig: Die 3-2-1-Regel befolgen (3 Kopien, 2 verschiedene Medien, 1 offline/offsite).
Netzwerksegmentierung trennt kritische Geräte von normalen Computern. Viele moderne Router bieten Guest-Netzwerke und IoT-Segmentierung.
Der NotPetya-Angriff von 2017 war ein Weckruf. Heute, fast zehn Jahre später, ist Ransomware zur größten Cyberbedrohung geworden. Aber mit den richtigen Schutzmaßnahmen und dem Bewusstsein für die Risiken können sich Unternehmen und Privatnutzer effektiv schützen. Die Technologie der Verteidiger entwickelt sich genauso schnell weiter wie die der Angreifer.
Zuletzt aktualisiert am 02.04.2026
