CCNet

CCNet

26. Jan. 2026   •  3 Min. Lesezeit 

Ransomware: Ein Geschäftsmodell skaliert

Ransomware: Ein Geschäftsmodell skaliert

Management Summary

Die harte Wahrheit: Ransomware ist kein „Spezialfall“ mehr, sondern industrielles Tagesgeschäft der Angreifer. Das Modell RaaS senkt Eintrittsbarrieren, professionalisiert Abläufe und verteilt Risiken auf viele Akteure. Unternehmen scheitern weniger an fehlenden Tools als an Disziplin in Basiskontrollen, klaren Entscheidungswegen und geübten Playbooks. Wer heute keine belastbaren Zeitziele und Notfallbrücken definiert, bezahlt im Vorfall doppelt: einmal an die Angreifer – und ein zweites Mal beim Wiederanlauf.

Warum RaaS alles verändert

Früher brauchte es ein komplettes Täter-Team mit Technik, Infrastruktur und Geldwäschekanälen. RaaS entkoppelt das: Entwickler stellen Baukästen, Affiliates übernehmen Initialzugriff, andere kümmern sich um Verhandlung und Monetarisierung. Ergebnis: mehr Kampagnen, schnellere Iteration, besserer „Kundensupport“ auf Täterseite. Für Verteidiger heißt das: Angriffe kommen häufiger, variantenreicher und professioneller. Ein Einzelfall? Nein – ein skalierendes Ökosystem mit klaren Anreizen.

Taktiken & Einstiegstore: die 80/20-Hebel

Die Mehrzahl der erfolgreichen Fälle beginnt immer noch über dieselben Türen:

  • Phishing und Social Engineering: Zugangsdaten, Session-Cookies, Freigaben in Eile.
  • Ungepatchte Schwachstellen in Internet-exponierten Diensten (VPN, Gateways, Webapps).
  • Abgegriffene Zugänge aus Drittsystemen oder durch Credential-Stuffing.
  • Missbrauch von LOTL-Techniken (Living off the Land), um im Netzwerk ohne „laute“ Malware zu agieren.

Die Verteidigerseite verliert Zeit in komplexen Tool-Landschaften, während Angreifer mit Standardbausteinen Tempo machen. Konsequenz: Reduziert Reibung, erhöht Verlässlichkeit, setzt harte SLOs – statt euch in kosmetischen Maßnahmen zu verlieren.

Wirtschaftliche Logik: Warum Zahlen steigen – und bleiben

Ransomware bleibt attraktiv, weil die Marge stimmt. Datenexfiltration vor Verschlüsselung („Double/Triple Extortion“) maximiert den Druck, selbst wenn Backups vorhanden sind. Gleichzeitig sind viele Unternehmen in Lieferketten eingebunden: Ein Vorfall erzeugt nicht nur Eigenkosten, sondern triggert Vertragsstrafen, Offenlegungspflichten und operative Stillstände bei Partnern. Solange sich diese Kaskaden in Geld übersetzen lassen, bleibt die Anreizlage für Täter stabil – unabhängig von einzelnen Festnahmen oder Takedowns.

Was sofort wirkt – ohne Schönfärberei

  • Identitäten härten: Phishing-resistente MFA (z. B. Passkeys/FIDO2), Abschaltung schwacher Legacy-Flows, durchgängige Session-Überwachung. Zero Trust heißt: prüfen, nicht hoffen.
  • Patch-SLOs verbindlich machen: Internet-exponierte Kritikalitäten in Tagen; interne Lücken mit klaren Fristen. SLO-Verstöße führen automatisch zu Eskalation – nicht zu E-Mails.
  • E-Mail-Schutz + Realitäts-Awareness: Technische Prüfungen (Authentifizierung, Anomalien) kombiniert mit szenariobasiertem Training, das echte Pressure-Taktiken simuliert.
  • Backups, die wirklich helfen: Offline/Immutabel, Restore-Tests unter Zeitdruck, Beweisführung für Unversehrtheit. Ohne Drill sind Backups nur Hoffnung.
  • Seitwärtsbewegung bremsen: Netzwerk-Segmentierung, App-Allowlisting, Standard-Blockierung gefährlicher Scripting-Tools, Härtung von Admin-Workstations.
  • Lieferketten-Schnittstellen sichern: Mindestanforderungen, Zugriff nur über geprüfte Brücken, Logging-Pflichten und anlassbezogene Tests.

90-Tage-Plan gegen Ransomware

Tag 0–15 – Lagebild & Baseline

  • Top-3 Einstiege identifizieren (E-Mail, externe Apps, Remote-Zugriffe) und mit Fakten belegen.
  • KPI-Baseline erfassen: MTTD/MTTR je Kritikalität, Patch-SLO-Einhaltung, MFA-Abdeckung, Restore-Zeit.
  • Rollen & Freigabematrix für Incident Response aktualisieren (inkl. Behörden- und Kommunikationspfaden).

Tag 16–45 – Härtung & Beschleunigung

  • Phishing-resistente MFA ausrollen, Legacy-Protokolle deaktivieren, JIT-Privilegien für Admins pilotieren.
  • Patch-SLOs erzwingen (Change-Fenster, Durchgriffsrechte, Eskalationslogik).
  • Netzwerk-Segmente scharf ziehen; Admin-Workstations und kritische Server mit erhöhten Policies betreiben.

Tag 46–75 – Automatisieren & testen

  • Standardreaktionen automatisieren: Isolierung, Konto-Sperre, Ticketing, Alarm-Bestätigung.
  • Restore-Drill: zeitgestopptes Recovery eines geschäftskritischen Systems inklusive Integritätsnachweis.
  • Lieferkette: Notfall-Kontaktwege, Change-Freeze-Prozesse und Protokolle für Zugriffsdienstleister proben.

Tag 76–90 – Wirkung verankern

  • KPIs vs. Baseline prüfen: MTTD/MTTR runter, Patch-SLO-Quote rauf, Restore-Zeit runter.
  • Lösegeld-Policy und Entscheidungsbaum finalisieren (inkl. juristischer Leitplanken).
  • Quartalsweises Steering fixieren: Budget folgt nachweisbarer Risikoreduktion, nicht nach Bauchgefühl.

Kommunikation & Entscheidungslogik im Ernstfall

Der größte Kostentreiber ist Zeitverlust durch Unklarheit. Definiert im Voraus:

  • Wer entscheidet über Produktionsstillstand, externe Forensik, Kommunikation an Kunden/Behörden?
  • Welche Kriterien lösen welche Eskalation aus (z. B. Exfiltrationsindikatoren, Verschlüsselung aktiv, Lieferkette betroffen)?
  • Welche Out-of-Band-Kanäle nutzt ihr, wenn Primärsysteme unzuverlässig sind?

Fazit: Disziplin schlägt Tool-Zoo

Ransomware verschwindet nicht – sie rechnet sich. Verteidiger gewinnen mit Tempo, Klarheit und Übung: Identitäten absichern, Lücken in Tagen schließen, Wiederherstellung beweisbar üben und Entscheidungen vorab fest verdrahten. Das ist nicht „nice to have“, sondern euer Kostenairbag. Wer den 90-Tage-Plan sauber durchzieht, reduziert Schaden und Verhandlungsdruck – und macht RaaS ein Stück weniger profitabel.

Cyberkosten erklärt: Von direktem Schaden bis Stillstandskosten

Cyberkosten erklärt: Von direktem Schaden bis Stillstandskosten

Management Summary Die meisten Unternehmen unterschätzen ihre Cyberkosten massiv. Nicht, weil die Buchhaltung schlecht wäre, sondern weil relevante Posten gar nicht erst erfasst werden: Stillstandskosten, Lieferverzug, Vertrauensverlust, Vertragsstrafen, Nacharbeit in IT und Fachbereichen. Wer die Gesamtrechnung nicht sehen will, trifft falsche Investitionsentscheidungen – und spart an der falschen Stelle. Die Lösung: ...

CCNet

CCNet

23. Jan. 2026   •  3 Min. Lesezeit 

Der Preis der Unsicherheit: Warum Invest steigt, Risiko aber auch

Der Preis der Unsicherheit: Warum Invest steigt, Risiko aber auch

Das Paradox: Mehr Ausgaben, gleiches Risiko Unternehmen geben Jahr für Jahr mehr für IT-Sicherheit aus – und trotzdem bleibt das Cyberrisiko hoch. Der Grund ist unbequem: Investitionen verteilen sich oft auf isolierte Einzelprodukte, ohne belastbare Zielarchitektur, ohne harte Betriebsziele und ohne belastbare Metriken. Ergebnis: höhere Lizenz- und Betriebskosten, aber kaum Gewinn ...

CCNet

CCNet

5. Nov. 2025   •  3 Min. Lesezeit 

Cyberlage 2025: Vom Reagieren zum Voraushandeln

Cyberlage 2025: Vom Reagieren zum Voraushandeln

Management Summary Die aktuelle Cyberlage 2025 ist klar: Reaktives „Best-Effort“-Vorgehen scheitert an Tempo und Professionalisierung der Angreifer. Schäden entstehen nicht nur durch Eindringen, sondern vor allem durch Stillstand, Wiederanlauf und Vertrauensverlust. Wer heute keine belastbaren Standards, Zeitziele und Eskalationspfade verankert, zahlt doppelt – zuerst im Incident, dann in der Erholung. ...

CCNet

CCNet

3. Nov. 2025   •  3 Min. Lesezeit