Ransomware-Angriffe haben sich seit den ersten großen Wellen wie Petya und WannaCry 2017 dramatisch weiterentwickelt. Was damals noch als Einzelphänomen galt, ist heute zur dauerhaften Bedrohung geworden – mit verheerenden Folgen für Unternehmen, Krankenhäuser und kritische Infrastrukturen weltweit.
Die Zeiten, in denen Erpressungstrojaner wie Petya hauptsächlich einzelne Rechner verschlüsselten, sind längst vorbei. Moderne Ransomware-Gruppen wie LockBit 3.0, ALPHV/BlackCat oder die Cl0p-Gang operieren heute wie professionelle Unternehmen. Sie setzen auf doppelte Erpressung: Erst werden die Daten verschlüsselt, dann drohen sie mit der Veröffentlichung gestohlener Informationen.
Die Angriffsmethoden sind raffinierter geworden. Statt auf Masse zu setzen, spähen Cyberkriminelle ihre Ziele monatelang aus. Sie infiltrieren Netzwerke über kompromittierte Remote-Access-Tools, nutzen Zero-Day-Exploits oder kaufen sich Zugang über Initial Access Broker im Darknet. Besonders perfide: Viele Gruppen warten bewusst auf kritische Momente – etwa vor wichtigen Geschäftsterminen oder an Feiertagen, wenn die IT-Abteilungen unterbesetzt sind.
Die Schäden sind explodiert. Kostete Ransomware 2017 noch wenige Milliarden Dollar weltweit, sprechen Experten heute von über 100 Milliarden Dollar jährlich. Nicht nur durch Lösegeldzahlungen, die mittlerweile oft mehrstellige Millionenbeträge erreichen, sondern durch Betriebsausfälle, Wiederherstellungskosten und Reputationsschäden.
Besonders kritisch: Angriffe auf Krankenhäuser haben sich verdreifacht. 2025 waren allein in Deutschland über 40 Kliniken betroffen. Auch Energieversorger, Wasserwerke und Verkehrsunternehmen stehen im Visier. Der Angriff auf Colonial Pipeline 2021 legte tagelang die Treibstoffversorgung der US-Ostküste lahm – ein Vorgeschmack auf mögliche Szenarien.
KI verstärkt die Bedrohung
Künstliche Intelligenz hat das Spiel verändert. Cyberkriminelle nutzen AI-Tools, um überzeugendere Phishing-Mails zu verfassen, Stimmen zu klonen oder automatisiert nach Schwachstellen zu suchen. Gleichzeitig ermöglicht ChatGPT & Co. auch technischen Laien, Schadcode zu entwickeln. Das Ergebnis: Die Anzahl der Ransomware-Familien ist von wenigen Dutzend 2017 auf über 300 aktive Varianten gestiegen.
Besonders beunruhigend ist Ransomware-as-a-Service (RaaS). Kriminelle können fertige Erpressungstrojaner mieten, ohne selbst programmieren zu müssen. Die Entwickler kassieren Provisionen von den Lösegeldern – ein Geschäftsmodell, das erschreckend gut funktioniert.
Die Angreifer werden auch politischer. Russische Gruppen wie Conti oder BlackMatter haben seit dem Ukraine-Krieg gezielt westliche Unternehmen ins Visier genommen. Nordkoreanische Hacker finanzieren mit Ransomware das Atomprogramm ihres Landes. Die Grenzen zwischen Cyberkriminalität und Cyberkrieg verschwimmen.
Doch wo bleibt der Schutz? Die EU-Cybersicherheitsstrategie und das deutsche IT-Sicherheitsgesetz 2.0 haben zwar neue Meldepflichten eingeführt, aber echte Abwehrmaßnahmen sind Mangelware. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt zwar regelmäßig, kann aber nur beratend tätig werden.
Private Unternehmen sind weitgehend auf sich gestellt. Zwar gibt es inzwischen spezialisierte Cyber-Versicherungen, doch die Prämien steigen rasant und die Deckung wird immer restriktiver. Viele Versicherer schließen mittlerweile staatlich gesponserte Angriffe komplett aus.
Das Grundproblem bleibt bestehen: Geheimdienste horten weiterhin Sicherheitslücken, statt sie zu schließen. Die NSA, aber auch deutsche Behörden, kaufen Zero-Days für eigene Operationen. Jede gehortete Lücke ist ein Risiko für alle anderen. Der Fall um die Pegasus-Spyware hat gezeigt, wie schnell staatliche Hacking-Tools in falsche Hände geraten.
Immerhin: Die internationale Zusammenarbeit verbessert sich langsam. 2025 gelang es erstmals, mehrere große Ransomware-Infrastrukturen gleichzeitig zu zerschlagen. Die Operation „Endgame“ schaltete über 100 Command-and-Control-Server ab und führte zu Dutzenden Festnahmen.
Doch das ist nur ein Tropfen auf den heißen Stein. Solange die Grundursachen – veraltete Systeme, unzureichende Sicherheitskultur und staatliches Schwarz-Lücken-Horten – nicht angegangen werden, bleibt Ransomware eine existenzielle Bedrohung für unsere digitale Gesellschaft.
Zuletzt aktualisiert am 02.04.2026
