Should I pay the ransomware ransom?

Law enforcement agencies universally advise against paying. Only 65% of victims who pay actually get their data back, and paying encourages more attacks. Focus on prevention and backups instead.

Can ransomware spread through email?

Yes, email is the most common delivery method. Ransomware is typically hidden in attachments (Word docs with macros, PDFs, ZIP files) or delivered via links to malicious websites.

Can antivirus software stop ransomware?

Modern antivirus can detect known ransomware variants, but new strains are created daily. Anti-ransomware features that detect suspicious file encryption behavior provide better protection than signature-based detection alone.

← Zurück zum Blog

Was ist Ransomware und wie funktioniert sie?

Cybersicherheit17. März 2026·8 Minuten Lesezeit

Stellen Sie sich vor, Sie schalten Ihren Computer ein und sehen eine Meldung: „Alle Ihre Dateien wurden verschlüsselt. Zahlen Sie innerhalb von 72 Stunden 5.000 US-Dollar in Bitcoin, sonst werden Ihre Daten dauerhaft gelöscht.“ Das ist Ransomware – und eine der verheerendsten Cyberbedrohungen unserer Zeit.

Im Jahr 2025 verursachten Ransomware-Angriffe weltweit Schäden in Höhe von über 30 Milliarden US-Dollar. Krankenhäuser waren gezwungen, Patienten abzuweisen. Schulen verloren jahrelange Rekorde. Kleine Unternehmen wurden dauerhaft geschlossen. Niemand ist immun.

Wie Ransomware funktioniert: Schritt für Schritt

Stufe 1: Infektion

Ransomware gelangt über einen dieser Vektoren in Ihr System:

Phishing-E-Mails – eine überzeugende E-Mail mit einem schädlichen Anhang oder Link (am häufigsten, etwa 70 % der Fälle)
Ausgenutzte Schwachstellen – ungepatchte Software mit bekannten Sicherheitslücken
Remote Desktop Protocol (RDP) – Brute-Force-Angriff auf schwache Passwörter auf exponierten RDP-Servern
Kompromittierte Websites – Drive-by-Downloads von infizierten legitimen Websites
USB-Laufwerke – infizierte USB-Geräte, die an öffentlichen Orten zurückgelassen wurden

Stufe 2: Ausführung und Beständigkeit

Sobald die Ransomware drin ist:

Deaktiviert Antiviren- und Sicherheitstools
Stellt Persistenz her (überlebt Neustarts)
Verbreitet sich auf andere Geräte im Netzwerk
Identifiziert und löscht Sicherungskopien (Schattenkopien unter Windows)
Kommuniziert mit dem Befehlsserver des Angreifers, um Verschlüsselungsschlüssel zu erhalten

Stufe 3: Verschlüsselung

Die Ransomware verschlüsselt Ihre Dateien mit militärischer Verschlüsselung (typischerweise AES-256). Es zielt auf Dokumente, Fotos, Datenbanken und Backups ab. Der Verschlüsselungsschlüssel wird nur auf dem Server des Angreifers gespeichert.

Moderne Ransomware verschlüsselt Dateien selektiv – sie überspringt Systemdateien, sodass Ihr Computer weiterhin startet und Sie den Lösegeldschein sehen können.

Stufe 4: Lösegeldforderung

Es erscheint eine Notiz mit der Aufforderung zur Zahlung in Kryptowährung (normalerweise Bitcoin oder Monero). Die Forderungen reichen von 500 US-Dollar für Einzelpersonen bis hin zu Millionen für Organisationen. Ein Countdown-Timer schafft Dringlichkeit.

Doppelte und dreifache Erpressung

Moderne Ransomware-Banden verschlüsseln nicht nur – sie stehlen auch zuerst Ihre Daten. Wenn Sie sich weigern, für die Entschlüsselung zu zahlen, drohen sie damit, Ihre sensiblen Dateien online zu veröffentlichen. Das ist „doppelte Erpressung“.

„Dreifache Erpressung“ fügt einen DDoS-Angriff gegen Ihr Unternehmen hinzu, während Sie versuchen, sich zu erholen, und Ihre Kunden oder Partner kontaktieren, um Sie zur Zahlung zu drängen.

5 Größte Ransomware-Angriffe in der Geschichte

WannaCry (2017) – infizierte mehr als 200.000 Computer in 150 Ländern innerhalb von Stunden und lahmlegte das britische NHS-Gesundheitssystem
NotPetya (2017) – verursachte Schäden in Höhe von 10 Milliarden US-Dollar, die sich hauptsächlich gegen die Ukraine richteten, sich aber weltweit ausbreiteten
Colonial Pipeline (2021) – Stilllegung der größten US-Kraftstoffpipeline, was zu Gasknappheit an der Ostküste führte
Kaseya (2021) – Lieferkettenangriff, der über 1.500 Unternehmen durch einen einzigen Softwareanbieter betrifft
MOVEit (2023) – ein von Regierungen und Unternehmen genutztes Dateiübertragungstool ausgenutzt, von dem mehr als 60 Millionen Menschen betroffen waren

So schützen Sie sich

Für Einzelpersonen

Regelmäßig sichern: Befolgen Sie die 3-2-1-Regel – 3 Kopien, 2 verschiedene Medien, 1 Offsite. Lassen Sie mindestens ein Backup getrennt.
Alles aktualisieren: Automatische Updates für Ihr Betriebssystem, Ihren Browser und alle Anwendungen aktivieren.
Verwenden Sie sichere Passwörter: Generieren Sie einzigartige Passwörter mit einem Passwortgenerator für jedes Konto.
2FA aktivieren: Auch wenn Ihr Passwort kompromittiert ist, Zwei-Faktor-Authentifizierung verhindert unbefugten Zugriff.
Seien Sie vorsichtig mit E-Mails: Öffnen Sie niemals unerwartete Anhänge. Verifizieren Sie Absender über einen anderen Kanal.

Für Organisationen

Segmentieren Sie Ihr Netzwerk: Begrenzen Sie die laterale Bewegung, damit sich Ransomware nicht auf alle Systeme verbreiten kann.
RDP deaktivieren: Wenn Remotezugriff erforderlich ist, verwenden Sie ein VPN mit MFA.
Mitarbeiter schulen: Regelmäßige Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein.
EDR implementieren: Endpoint Detection and Response-Tools können Ransomware-Verhalten erkennen, bevor die Verschlüsselung abgeschlossen ist.
Testen Sie Ihre Backups: Überprüfen Sie regelmäßig, ob Backups tatsächlich wiederhergestellt werden können.

Was tun, wenn Sie infiziert sind

Sofort trennen – Trennen Sie das infizierte Gerät vom Netzwerk, um eine Ausbreitung zu verhindern
Nicht zahlen – nur 65 % der Opfer, die zahlen, erhalten ihre Daten zurück
Melden Sie es – wenden Sie sich an die Strafverfolgungsbehörden (FBI IC3 in den USA, Action Fraud im Vereinigten Königreich)
Check No More Ransom – das Projekt unter nomoreransom.org bietet kostenlose Entschlüsselungstools für viele Ransomware-Varianten
Aus Backups wiederherstellen – das infizierte System löschen und saubere Backups wiederherstellen

FAQ

Soll ich das Ransomware-Lösegeld bezahlen?

Strafverfolgungsbehörden raten allgemein von der Zahlung ab. Nur 65 % der Opfer, die zahlen, erhalten ihre Daten tatsächlich zurück, und die Zahlung fördert weitere Angriffe. Konzentrieren Sie sich stattdessen auf Prävention und Backups.

Kann sich Ransomware per E-Mail verbreiten?

Ja, E-Mail ist die häufigste Zustellungsmethode. Ransomware wird normalerweise in Anhängen (Word-Dokumente mit Makros, PDFs, ZIP-Dateien) versteckt oder über Links zu bösartigen Websites verbreitet.

Kann Antivirensoftware Ransomware stoppen?

Moderne Antivirenprogramme können bekannte Ransomware-Varianten erkennen, es werden jedoch täglich neue Stämme erstellt. Anti-Ransomware-Funktionen, die verdächtiges Dateiverschlüsselungsverhalten erkennen, bieten einen besseren Schutz als allein die signaturbasierte Erkennung.

Kann Ransomware mein Telefon infizieren?

Ja, es gibt mobile Ransomware, auch wenn sie seltener vorkommt. Normalerweise wird Ihr Bildschirm gesperrt, anstatt Dateien zu verschlüsseln. Halten Sie sich an die offiziellen App-Stores und halten Sie Ihr Telefon auf dem neuesten Stand.