Ransomware ist eine Schadsoftware, die Dateien auf infizierten Systemen verschlüsselt und für die Entschlüsselung Lösegeld verlangt, meist in Kryptowährungen. Moderne Varianten gehen weiter: Sie kopieren Daten zusätzlich vor der Verschlüsselung und drohen mit Veröffentlichung, um auch Unternehmen mit guten Backups unter Druck zu setzen. Diese Doppel-Erpressung ist heute Standard.
Der Eintrittsweg ist meist nicht spektakulär. Phishing-Mails, ungepatchte Server, gestohlene Zugangsdaten oder ungesicherte Fernwartungszugänge bieten Angriffsflächen. Sobald Angreifer einen ersten Fuß im Netz haben, bewegen sie sich oft über Wochen lateral durch die Infrastruktur, bevor sie zuschlagen. Bekannte Gruppen wie LockBit, Conti (mittlerweile aufgelöst), BlackCat oder Akira agieren professionell und arbeiten mit Affiliate-Modellen.
Wirksamer Schutz erfordert Tiefenverteidigung. Aktuelle Patches, Mehr-Faktor-Authentifizierung, segmentierte Netzwerke, immutable Backups, EDR/XDR und ein einsatzbereiter Incident-Response-Plan sind nicht optional. Wer im Ernstfall zahlt, finanziert die nächste Welle und hat keine Garantie für eine vollständige Wiederherstellung. Behörden raten in der Regel von Lösegeldzahlungen ab und stellen Anlaufstellen zur Verfügung.