Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Cyber extortion

Was ist Ransomware?

Der Ablauf eines Cyberangriffs

Ein Ransomware-Cyberangriff basiert auf dem Einsatz von Schadsoftware, die darauf ausgelegt ist, digitale Ressourcen zu verschlüsseln. Das Ziel besteht darin, von der betroffenen Organisation ein Lösegeld – vorzugsweise in Kryptowährung – als Gegenleistung für einen Entschlüsselungscode zu erpressen. Genau das geschah 2023 bei Coaxis, einem französischen Unternehmen, das im Mittelpunkt des Dokumentarfilms „Don’t Go to the Police“ und einer internationalen Ermittlung steht.

Entdecken Sie die Motive, Methoden und Profile dieser auf Cyber-Erpressung spezialisierten Cyberkriminellen-Gruppen.

19 000 Unternehmen

Betroffen von Cyber-Erpressung zwischen 2020 und 2025.

44,5 % mehr

Ransomware-Angriffe zwischen 2020 und 2025.

89 aktive Gruppen

Spezialisiert auf weltweite Cyber-Erpressung.

Quelle: Security Navigator Business Leaders 2026.

Cyber-Erpressung

eine Bedrohung, die sich weltweit ausbreitet

Der Ablauf

eines Ransomware-Angriffs

PHASE 1Aufklärung und Datenerfassung
PHASE 2Initiale Kompromittierung
PHASE 3Eskalation
PHASE 4Implementierung der Ransomware
PHASE 5Die Lösegeldforderung

Aufklärungsphase

Datenerfassung

Bei einem gezielten Vorgehen suchen Cyberkriminelle nach öffentlich zugänglichen Informationen, um Daten wie IP-Adressen oder Namen von Mitarbeitern zu sammeln. Außerdem scannen sie Netzwerke, um Schwachstellen zu identifizieren: veraltete Betriebssysteme oder Softwareversionen, offene Ports, ungesicherte Dienste oder schwache Passwörter. Manchmal nutzen sie gezieltes Phishing oder sogar Identitätsbetrug per Telefon, um sich diesen ersten Zugriff zu verschaffen.

Alternativ wenden sie möglicherweise die „Spray-and-Pray“-Methode an. Dabei werden automatisierte Phishing-Kampagnen gestartet, mit E-Mails, die bösartige Links oder infizierte Anhänge enthalten. Bei dieser Methode tritt die gezielte Ansprache zugunsten von Masse und Automatisierung in den Hintergrund, in der Hoffnung, dass ein oder mehrere Opfer direkt in die Falle tappen.

Die Phase der initialen Kompromittierung

Vorsicht vor dem Trojaner

Ob durch eine Phishing-E-Mail, die Ausnutzung von Schwachstellen oder im Dark Web geleakte Zugangsdaten – der Angreifer hat einen Weg ins System gefunden. Sein primäres Ziel ist es, sich Zugang zu verschaffen und diesen so lange wie möglich aufrechtzuerhalten. Dazu muss er seine Kontrolle ausweiten, um unentdeckt im System zu bleiben

Die Eskalationsphase

Erlangung von Administratorrechten

Um seine Kontrolle auszuweiten und innerhalb des kompromittierten Systems Schaden anzurichten, muss der Angreifer Administratorrechte (oder „Admin“-Rechte) erlangen. Dies wird als Privilegieneskalation bezeichnet und wird durch unzureichende Zugriffskontrollen, schwache Passwörter oder Konfigurationsfehler ermöglicht. Indem sie sich auf die Active Directory (oder AD)-Ressource konzentrieren, in der Konten, Berechtigungen und Authentifizierungsdaten zentralisiert sind, können sie kritische Informationen erlangen, um Administratorkonten zu kompromittieren.

Durch laterale Bewegung versuchen sie zudem, andere Ressourcen, Rechner und Server innerhalb der Organisation zu infizieren, um strategische Ziele zu erreichen.

Implementierung der Ransomware

Ransomware wird aktiviert

Sobald sich der Angreifer Zugang zum kompromittierten Netzwerk des Unternehmens verschafft und diesen aufrechterhalten hat, kann er die Malware aktivieren und verbreiten. Die Ransomware verschlüsselt eine oder mehrere strategische digitale Ressourcen des Unternehmens und macht sie damit unbrauchbar. Die Verschlüsselung dieser Ressourcen legt das betroffene Unternehmen praktisch lahm.

Die Lösegeldforderung

“Don’t go to the police”?

Auf den Bildschirmen der von dem Cyberangriff betroffenen Organisation erscheint eine Meldung mit einer Lösegeldforderung. Als Gegenleistung für einen Code zur Entschlüsselung des gesperrten Systems wird eine beträchtliche Summe verlangt, insbesondere für ein KMU oder ein mittelständisches Unternehmen. Im konkreten Fall von Coaxis enthielt die Nachricht die Warnung „Gehen Sie nicht zur Polizei“.

Dies ist nichts anderes als Erpressung, und die Erfüllung der Forderung bietet keine Garantie dafür, aus dieser Situation befreit zu werden oder ein intaktes und sicheres Netzwerk wiederherzustellen. Es wird daher empfohlen, diesen Angriff unverzüglich den Behörden zu melden und Cybersicherheitsexperten hinzuzuziehen, um die Sicherheitslücke zu identifizieren, den Cyberangriff einzudämmen und den Schaden zu begrenzen.

Phase 1 / 5

Die vielfältigen Auswirkungen

eines Ransomware-Angriffs

 

Ransomware kann einen „Dominoeffekt“ auf das betroffene Unternehmen haben, dessen Betriebsabläufe, das Vertrauen seiner Kunden und sein gesamtes Ökosystem beeinträchtigen und seinem Ruf schaden.

Auswirkungen auf den Betrieb

3 Wochen :

beträgt die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff.

Die Störung einer oder mehrerer strategischer digitaler Ressourcen kann schwerwiegende Auswirkungen auf die Produktivität eines Unternehmens haben. Systeme sind nicht verfügbar. Kundenanfragen können nicht mehr bearbeitet werden. Die Teams sind gezwungen, nach bestem Bemühen zu arbeiten.

Auswirkungen auf die Lieferkette

19 000 :

Unternehmen wurden innerhalb von fünf Jahren angegriffen.

Zwei Drittel davon sind KMU. Cyberangreifer nutzen zunehmend die Lieferkette aus, um das Ökosystem des angegriffenen Unternehmens durch einen Dominoeffekt zu stören, was zu Lieferverzögerungen und einem Vertrauensverlust bei den Geschäftspartnern führt.

Finanzielle Auswirkungen

20 bis 30 Milliarden US-Dollar :

belaufen sich die weltweit geschätzten Kosten für Cyber-Erpressung pro Jahr.

Lösegeldforderungen, finanzielle Verluste aufgrund von Betriebsunterbrechungen und dem Verlust betroffener Kunden sowie die Kosten für die Behebung der Schäden, das Krisenmanagement und behördliche Bußgelder.

Auswirkungen auf den Ruf

60 %

ist der Anteil der Kunden, die nach einem Ransomware-Angriff das Vertrauen in ein Unternehmen verlieren.

Im Zuge eines Ransomware-Angriffs drohen weitere Folgeschäden: der Verlust des Vertrauens bei Kunden und Partnern, mangelndes Krisenmanagement sowie eine negative Berichterstattung in den Medien. Selbst wenn sich ein Unternehmen von einem Angriff erholen kann, können die Reputationskosten langfristig gesehen schwerwiegender sein.

Rechtliche Auswirkungen

72 Stunden :

beträgt die Frist für die Meldung des Vorfalls.

Unternehmen müssen jeden Vorfall den zuständigen Behörden melden und ihre Kunden informieren, wenn sensible Daten kompromittiert wurden. Bei Fahrlässigkeit können sie haftbar gemacht werden und müssen nach einem Ransomware-Angriff häufig ihre Compliance-Maßnahmen verstärken.

Auswirkungen auf die Menschen

Das Krisenmanagement im Falle von Cyber-Erpressung – aus technischer, wirtschaftlicher, rechtlicher und reputationsbezogener Sicht – stellt die Mitarbeiter des Unternehmens, insbesondere die IT-Teams, vor erhebliche Herausforderungen. Dies gilt umso mehr, wenn der Angriff mit einem Verlust personenbezogener Daten einhergeht

 

“Wir beobachten eine Uberisierung von Ransomware-Angriffen”.

—  Micode, Content creator - “Micode” and “Underscore_” Youtube channels.

 

“Wir müssen uns proaktiver schützen. Die Entwicklung und Aufrechterhaltung einer guten Cyberhygiene ist ein Muss. Wenn die Menschen nicht angemessen geschult sind und sich der Cyberrisiken nicht bewusst sind, liegt genau dort die größte Schwachstelle”.

— Hugues Foulon,
Orange Cyberdefense CEO, Orange Executive Director.

 

“In gewisser Weise verhalten sie sich wie die Mafia, und genau das beunruhigt die Menschen am meisten. Diese Cyberkriminellen haben es nicht auf die Menschen abgesehen. Sie sind hinter ihrem Geld her”.

— Frédéric Zink, Cyber with Telco Business Unit Director, Orange Cyberdefense.

 

“Die gute Nachricht ist, dass wir über vom Netzwerk isolierte Backups verfügten, auf die die Angreifer keinen Zugriff hatten. Dank dieser entscheidenden Ressource gelang es Coaxis nach erheblichen Anstrengungen, wieder auf die Beine zu kommen”.

— Rodrigue Le Bayon, Orange Cyberdefense Executive.

 

“Und wenn wir das Lösegeld zahlen, wird das dann unseren Problemen ein Ende bereiten? Wir haben beschlossen, nicht nachzugeben und unsere Infrastruktur von Grund auf neu aufzubauen”.

— Joseph Veigas, Coaxis CEO.

Ransomeware-Angriffe verhindern

How to anticipate

Wie lässt sich ein Cyber-Angriff vorhersehen?

In den meisten Fällen ist menschliches Versagen der Ausgangspunkt eines Cyberangriffs. Er kann jedoch auch auf unzureichend gesicherte Zugänge, veraltete Software oder nicht entzogene Zugriffsrechte zurückzuführen sein…

Unsere Empfehlungen:

  • Schulen Sie Ihre Mitarbeiter in Bezug auf Phishing-Taktiken und Identitätsdiebstahl;
  • Identifizieren Sie Ihre Schwachstellen: Führen Sie ein erstes Audit durch, um Ihre Schwachstellen zu ermitteln, und setzen Sie die entsprechenden technischen und personellen Ressourcen ein;
  • Führen Sie regelmäßige Audits ein, um Ihr Sicherheitsniveau zu überwachen;
  • Stellen Sie sicher, dass Ihr Unternehmen die gesetzlichen Cybersicherheitsanforderungen (NIS-2, DORA, usw.) erfüllt; 
  • Legen Sie eine Cybersicherheitsrichtlinie für Ihre Lieferanten fest;
  • Rüsten Sie sich mit einem effizienten Schutztool wie EDR, XDR oder MDR aus;
  • Rüsten Sie sich außerdem mit einer Erkennungs- und Behebungslösung aus, wie z. B. Micro-SOC oder Global SOC, je nachdem, ob Sie ein KMU oder ein großes Unternehmen sind.
Wie man mit einem Ransomware-Angriff umgeht

Wie sieht der Plan aus,

falls diese Situation eintritt?

 

Sollten Sie Opfer eines Cyber-Erpressungsangriffs werden, empfehlen wir Ihnen, mehrere Maßnahmen zu ergreifen, um die Krise einzudämmen, den Schaden zu minimieren und die Situation zu lösen.

Die ersten 24 Stunden

Eindämmung

  • Der erste Schritt besteht darin, infizierte Systeme zu identifizieren und zu isolieren, um die Ausbreitung zu begrenzen.

Innerhalb von 72 Stunden

Meldung des Angriffs

  • Melden Sie den Angriff innerhalb von 72 Stunden den örtlichen Behörden.

Tag 1 bis Tag 7

Kommunikation

  • Informieren Sie Ihre Kunden und Partner, falls sensible Daten betroffen sind;
  • Steuern Sie Ihre interne und externe Kommunikation, um die Auswirkungen eines Vertrauensverlusts zu begrenzen. Stellen Sie klare und transparente Informationen bereit.

Tag 7 bis Tag 30

Behebungsphase

  • Führen Sie Maßnahmen zur Behebung durch, um Ihre Systeme mithilfe eines Backups oder einer Wiederherstellung wiederherzustellen;
  • Identifizieren Sie die Ursachen und den Verlauf des Angriffs. Sobald die Schwachstellen Ihres Systems identifiziert wurden, tätigen Sie die notwendigen Investitionen in Technologie und Personal, um Ihre Cybersicherheit zu stärken.

Dies ist eine wahre Geschichte,

die jedem Unternehmen hätte passieren können…

Erhalten Sie einen Einblick aus erster Hand, wie ein Unternehmen mit einem Ransomware-Angriff umgegangen ist und darauf reagiert hat.
Orange Cyberdefense - Build a safer digital society

 

Orange Cyberdefense ist führender Anbieter von Cybersicherheitsdienstleistungen in Europa. Mit mehr als 30 Jahren Erfahrung innerhalb der Orange-Gruppe bieten wir unabhängige Lösungen in den Bereichen Managed Services, Beratung und IT-Integration.

Follow us         
Navigation

Film ansehen

Ablauf eines Ransomware-Angriffs

 


 © 2026 Orange Cyberdefense

Legal notice      Privacy policy      Vulnerability policy      Cookie policy      Compliance    Disclaimer      Contact

© 2026 Orange Cyberdefense

Legal notice

Privacy policy

Vulnerability policy

Cookie policy

Compliance

Disclaimer

Contact