Warum Ransomware so erfolgreich ist
Ransomware ist längst kein Randphänomen mehr der IT-Sicherheitswelt. Was früher als technisch versierte Einzelattacke galt, hat sich in den vergangenen Jahren zu einer professionell organisierten Cybercrime-Ökonomie entwickelt. Angriffe entstehen heute nicht mehr zufällig oder ausschließlich durch hochspezialisierte Hacker. Stattdessen existiert ein arbeitsteiliges System, in dem unterschiedliche Akteure zusammenarbeiten, Infrastruktur bereitstellen und Gewinne teilen. Um zu verstehen, warum Ransomware heute eine der größten Bedrohungen für Unternehmen darstellt, lohnt sich zunächst ein Blick zurück. Denn das grundlegende Prinzip dieser Angriffsform ist deutlich älter, als viele vermuten.
Die Geschichte beginnt lange vor der heutigen Cybercrime-Welle
Das erste bekannte Beispiel für Ransomware stammt aus dem Jahr 1989. Damals kursierte der sogenannte AIDS-Trojaner, auch als PC Cyborg Trojan bekannt. Der Angriff funktionierte auf eine für heutige Verhältnisse ungewöhnliche Weise: Rund 20.000 Disketten wurden per Post verschickt. Sie enthielten angeblich Informationsmaterial zum Thema AIDS und richteten sich vor allem an Teilnehmer wissenschaftlicher Konferenzen. Wer die Diskette auf seinem Computer ausführte, stellte nach einiger Zeit fest, dass Dateien nicht mehr zugänglich waren. Stattdessen erschien eine Nachricht mit der Aufforderung, 189 US-Dollar an eine Firma namens PC Cyborg Corp. zu überweisen, per Post an ein Postfach in Panama.
Technisch war dieser Angriff vergleichsweise simpel, doch das grundlegende Prinzip war bereits erkennbar: Daten werden blockiert, um anschließend Lösegeld für ihre Freigabe zu verlangen. In den folgenden Jahrzehnten tauchten immer wieder Varianten solcher Schadsoftware auf. Spätestens mit groß angelegten Kampagnen wie WannaCry im Jahr 2017 wurde jedoch sichtbar, welches globale Schadenspotenzial hinter diesem Angriffstyp steckt. Heute hat sich Ransomware jedoch in einer Weise weiterentwickelt, die weit über einzelne Angriffe hinausgeht.
Wie aus Ransomware ein Geschäftsmodell wurde
Der entscheidende Wandel besteht darin, dass Ransomware mittlerweile Teil eines strukturierten Ökosystems ist. Hinter vielen Angriffen stehen nicht mehr einzelne Täter, sondern organisierte Gruppen mit klaren Rollen und Verantwortlichkeiten. Namen wie Black Basta, Akira, Conti oder LockBit sind in Sicherheitskreisen seit Jahren bekannt. Diese Gruppen agieren teilweise wie Unternehmen. Sie entwickeln Schadsoftware, betreiben Infrastruktur, kümmern sich um Kommunikation und arbeiten mit externen Partnern zusammen. Genau hier kommt ein Modell ins Spiel, das die Verbreitung von Ransomware massiv beschleunigt hat: Ransomware-as-a-Service.
Bei diesem Ansatz entwickeln spezialisierte Gruppen die eigentliche Schadsoftware und stellen sie anderen Kriminellen zur Verfügung. Diese sogenannten Affiliates führen die Angriffe durch. Kommt es zu einer erfolgreichen Erpressung, wird das Lösegeld zwischen den Beteiligten aufgeteilt. Der entscheidende Effekt: Wer heute einen Ransomware-Angriff starten möchte, muss nicht mehr selbst in der Lage sein, komplexe Malware zu programmieren. Die technische Grundlage wird als Dienstleistung bereitgestellt.
Der Aufbau eines modernen Ransomware-Angriffs
Ein Angriff beginnt meist mit der Beschaffung potenzieller Opfer. Im Darknet werden umfangreiche Datensätze mit E-Mail-Adressen gehandelt, die häufig aus früheren Hacks stammen. Wenn Online-Dienste kompromittiert werden, gelangen Datenbanken mit Millionen von Accounts in Umlauf. Diese Informationen werden anschließend verkauft oder weitergegeben. Solche Datensätze lassen sich teilweise gezielt filtern. Angreifer können beispielsweise nach Branche, Unternehmensgröße oder geografischer Region auswählen. Dadurch wird es möglich, besonders lukrative Ziele zu identifizieren.
Neben den Zieladressen benötigen Angreifer auch eine Infrastruktur für den Versand ihrer Kampagnen. Häufig greifen sie dabei auf kompromittierte Server zurück. Diese sogenannten Zombie-Systeme wurden zuvor gehackt und werden nun genutzt, um Phishing-Mails oder Schadsoftware zu verteilen. Für Ermittler wirkt es später so, als sei der Angriff von diesem Server ausgegangen, während der eigentliche Täter im Hintergrund bleibt. Die eigentliche Verbreitung erfolgt meist über E-Mails. Typische Szenarien sind angebliche Paketbenachrichtigungen, Rechnungen oder Hinweise auf Probleme mit IT-Systemen. Viele Angreifer greifen dabei auf fertige Vorlagen zurück, die im Darknet kursieren. Mit generativer KI lassen sich solche Nachrichten inzwischen noch einfacher erstellen und individuell anpassen.
Der Moment der Erpressung
Sobald ein System kompromittiert wurde und die Schadsoftware aktiv ist, beginnt die eigentliche Erpressung. Betroffene Unternehmen sehen auf ihren Bildschirmen eine Nachricht, dass ihre Daten verschlüsselt wurden. Gleichzeitig wird ein Kontaktkanal angeboten, über den weitere Schritte besprochen werden können.
Was viele überrascht: Hinter diesen Kontaktmöglichkeiten stehen oft echte Supportstrukturen. Einige Gruppen betreiben regelrechte Serviceabteilungen, die mit den Opfern kommunizieren. Dort werden Fragen beantwortet, Zahlungsmodalitäten erklärt oder technische Probleme bei der Entschlüsselung besprochen. In manchen Fällen erklären die Angreifer sogar Schritt für Schritt, wie eine Bitcoin-Wallet eingerichtet wird, damit das Lösegeld überwiesen werden kann. Ziel dieser Prozesse ist es, die Wahrscheinlichkeit einer Zahlung möglichst hoch zu halten.
Die Organisation hinter den Angriffen
Die Strukturen vieler Ransomware-Gruppen erinnern heute stark an klassische Unternehmen. Sicherheitsanalysen zeigen, dass solche Organisationen häufig über Managementstrukturen, Entwicklerteams und Supporteinheiten verfügen. Neben Malware-Entwicklung und Infrastruktur kümmern sich einzelne Teams um Forschung, Kommunikation oder auch um die Betreuung der Affiliates. Einige Untersuchungen gehen davon aus, dass größere Gruppen aus deutlich über hundert Personen bestehen können. Gleichzeitig verursachen solche Organisationen erhebliche laufende Kosten, etwa für Infrastruktur, Entwicklung oder Personal. Entsprechend hoch ist der wirtschaftliche Druck, erfolgreiche Angriffe durchzuführen.
Die neue Dimension der Erpressung
Während Ransomware früher hauptsächlich auf Verschlüsselung setzte, verfolgen Angreifer heute meist eine zusätzliche Strategie. Bevor Systeme verschlüsselt werden, kopieren sie zunächst große Mengen an Unternehmensdaten. Diese Kombination aus Datendiebstahl und Verschlüsselung wird als Double Extortion bezeichnet. Unternehmen stehen dadurch vor einem doppelten Risiko: Der Betrieb kann stillstehen, während gleichzeitig sensible Daten öffentlich werden könnten. Viele Gruppen betreiben dafür eigene Leakportale, auf denen sie gestohlene Informationen veröffentlichen oder zumindest ankündigen. Wird nicht gezahlt, drohen sie zusätzlich damit, Geschäftspartner oder Kunden über den Angriff zu informieren. Der Reputationsdruck kann für Unternehmen erheblich sein.
Selbst wenn eine Organisation sich entscheidet zu zahlen, bleibt die Situation riskant. Es gibt keine Garantie, dass Entschlüsselungsschlüssel tatsächlich funktionieren oder dass Systeme vollständig wiederhergestellt werden können. Häufig bleiben Schäden zurück, etwa beschädigte Datenbanken oder versteckte Hintertüren im Netzwerk.
Ein Markt, der weiter wächst
Die Cybercrime-Szene ist dynamisch und verändert sich ständig. Gruppen lösen sich auf, tauchen unter neuem Namen wieder auf oder entwickeln neue Versionen ihrer Malware. Gleichzeitig findet innerhalb der Szene eine Art Wettbewerb statt. Spezialisten, etwa erfahrene Malware-Entwickler, werden aktiv angeworben. Hinzu kommt ein weiterer Faktor: der zunehmende Einsatz von künstlicher Intelligenz. Erste Ansätze zeigen bereits, dass KI genutzt werden kann, um Phishing-Kampagnen effizienter zu gestalten oder Schwachstellen schneller zu analysieren. Prozesse, die früher Wochen oder Monate dauerten, könnten künftig deutlich schneller ablaufen.
Für Unternehmen bedeutet das vor allem eines: Das Zeitfenster zur Erkennung eines Angriffs wird immer kleiner. Viele Organisationen verfügen zwar über umfangreiche Sicherheitslösungen, doch entscheidend ist letztlich die Fähigkeit, Angriffe frühzeitig zu erkennen und schnell zu reagieren.
Fazit
Ransomware hat sich von einer experimentellen Schadsoftware zu einem professionellen Geschäftsmodell entwickelt. Hinter vielen Angriffen stehen heute organisierte Gruppen mit klaren Rollen, wirtschaftlichen Interessen und einer Infrastruktur, die teilweise wie ein Unternehmen betrieben wird. Für Unternehmen ist es deshalb entscheidend, diese Realität zu verstehen. Cyberangriffe entstehen heute nicht mehr zufällig, sondern sind Teil eines strukturierten Marktes. Entsprechend wichtig sind präventive Sicherheitsmaßnahmen, belastbare Incident-Response-Prozesse und ein realistischer Blick auf die Bedrohungslage.
Mehr Hintergründe zum Thema gibt es in der aktuellen Folge des Podcasts Cybersecurity Basement. Dort erklären Michael und Andreas Papadaniël, wie Ransomware funktioniert und warum daraus ein professionelles Geschäftsmodell entstanden ist.

Annika Gamerad
Event & Marketing Specialist
Veröffentlicht am 05.03.2026
