Finger tippt auf Bildschirm mit Schloss-Symbol

Die vier Phasen eines Cyberangriffs – Teil 3

Ransomware-Angriffe: So erpressen Cyberkriminelle Unternehmen

Autoren

  • Anton Moser

    Director, Forensics & Integrity Services, Assurance | Österreich

  • Robert Pölzelbauer

    Senior Manager, Forensics & Integrity Services, Assurance | Österreich

8 Minuten Lesezeit 31. März 2026

Nachdem sich Cyberkriminelle unbemerkt im IT-Netzwerk eines Unternehmens festgesetzt und ausgebreitet haben, folgt die nächste Phase des Angriffs: die Datenexfiltration und Verschlüsselung.

Überblick

  • Cyberkriminelle stehlen mit Hilfe von Ransomware sensible Unternehmensdaten wie Kundendaten, Finanzinformationen oder geistiges Eigentum und schleusen diese unbemerkt aus dem IT-Netzwerk des Unternehmens.
  • Gestohlene Daten werden genutzt, um das Unternehmen damit zu erpressen, die Daten im Darknet zu verkaufen oder zu veröffentlichen, falls kein Lösegeld gezahlt wird.
  • Nach der Exfiltration verschlüsseln Cyberkriminelle die Unternehmensdaten, sodass sie ohne den passenden Schlüssel nicht mehr zugänglich sind. Dann fordern sie ein Lösegeld für die Entschlüsselung.
  • Die Verschlüsselung erfolgt häufig zu Zeiten, in denen die IT-Abteilung nicht oder nur spärlich besetzt ist, z. B. am Wochenende oder nachts.
  • Unternehmen können unter anderem vorbeugen, indem sie regelmäßig Backups aller relevanten Server und Daten erstellen.

Nachdem der Weg ins Netzwerk gefunden und erste Schadsoftware platziert wurde, folgt die nächste Eskalationsstufe eines Cyberangriffs: die gezielte Exfiltration und Verschlüsselung sensibler Unternehmensdaten. Welche Daten besonders im Visier stehen und wie sich Unternehmen vor dieser Phase schützen können, steht im Fokus dieses Beitrags.

Datenexfiltration: Informationen als Druckmittel

Datenexfiltration bezeichnet den illegalen Abfluss von Daten aus einem Unternehmen. Dies geschieht häufig, nachdem Cyberkriminelle unbemerkt ins IT-Netzwerk des Unternehmens eingedrungen sind und ihre Schadsoftware, sogenannte Ransomware, dort platziert haben. Ihr Ziel ist es, sensible Informationen – wie Kundendaten, Finanzinformationen oder geistiges Eigentum – zu stehlen. Die Datenexfiltration in Ransomware-Fällen dient vor allem dazu, das Unternehmen zu erpressen, die gestohlenen Daten weiterzuverkaufen oder sie zu veröffentlichen, falls keine Lösegeldzahlung erfolgt. Dadurch soll zusätzlicher Druck ausgeübt und die Wahrscheinlichkeit einer Zahlung erhöht werden. Dieses Vorgehen der Cyberkriminellen nennt sich „Double Extortion“ – die Cyberkriminellen fordern einerseits Lösegeld für die Entschlüsselung der Daten, andererseits auch dafür, dass sie die exfiltrierten Daten nicht weiterverkaufen oder veröffentlichen.

Cyberkriminelle setzen oft unauffällige oder gewöhnliche Tools ein, um die Daten zu exfiltrieren, sodass ihr Tun von den Sicherheitsmaßnahmen des Unternehmens nicht sofort erkannt wird. Zum Beispiel können sie Datenaustauschplattformen oder Cloud-Dienste nutzen, um Daten schrittweise und unauffällig zu übertragen, ohne dass ein Alarm ausgelöst wird.

Privacy & Cyber Response von EY

Unser erfahrenes Team unterstützt Sie bei Cybervorfällen – von der Vorbereitung über das Incident-Handling und die technische Untersuchung bis hin zur Wiederherstellung von Daten und Begleitung in möglichen Gerichtsverfahren.

Mehr erfahren

Bei einer derartigen Exfiltration sind Betriebsgeheimnisse und geistiges Eigentum besonders attraktive Ziele. Äußerst wertvoll für Cyberkriminelle sind außerdem Daten, die für die Konkurrenz bzw. den Mitbewerb von Interesse sein könnten, wie etwa Finanzberichte, Forschungs- und Entwicklungsdaten oder strategische Planungen. Wenn die Cyberkriminellen Daten in großem Umfang exfiltrieren, sind für gewöhnlich auch personenbezogene Informationen wie Namen, Adressen, Lebensläufe oder Kreditkartendaten von Mitarbeitenden, Lieferant:innen oder Kund:innen enthalten.

Besonders im Kontext der DSGVO (Datenschutz-Grundverordnung, engl. GDPR) hat eine Datenexfiltration weitreichende Folgen. Werden etwa die personenbezogenen Daten von Kund:innen oder Mitarbeitenden entwendet, kann das Unternehmen mit hohen Bußgeldern belegt werden. Neben den finanziellen Einbußen drohen auch erhebliche Imageschäden und Vertrauensverlust.

In vielen Fällen verkaufen Cyberkriminelle gestohlene Daten im Darknet – einem verborgenen Teil des Internets, der nur über spezielle Software wie das Tor-Netzwerk zugänglich ist. Dort existieren illegale Marktplätze, auf denen Cyberkriminelle Kundendaten, Zugangsdaten und Unternehmensgeheimnisse zum Verkauf anbieten. Besonders begehrt sind Kreditkartendaten, Anmeldedaten für Online-Dienste oder vertrauliche Geschäftsunterlagen. Nähere Informationen zum Darknet und wofür es verwendet wird, finden Sie in unserem Artikel über Arten von Cyberangriffen.

Kryptographie: die Basis von Kryptowährungen, Verschlüsselung & Co.

Nach der Exfiltration von Daten folgt der nächste Schritt: die Verschlüsselung der Unternehmensdaten. Dabei werden die Unternehmensdaten so umgewandelt (also verschlüsselt), dass sie ohne den passenden Schlüssel nicht mehr lesbar sind. Nur die Cyberkriminellen besitzen den Schlüssel zur Wiederherstellung, wofür sie ein Lösegeld verlangen.

Was passiert bei der Verschlüsselung?

Stellen Sie sich vor, Sie schreiben einen Brief an eine Kollegin. Sofern die Kollegin den Brief erhält, kann sie ihn ganz normal lesen. Wird der Brief aber abgefangen, kann auch jeder andere den Brief lesen. Nutzen Sie jedoch eine abgestimmte Geheimschrift basierend auf einem geheimen Schlüssel, den nur Sie und Ihre Kollegin kennen, ist der Brief für andere nicht lesbar und sieht nur wie ein unleserlicher Wirrwarr aus.

Genau das passiert bei der digitalen Verschlüsselung. Ein spezieller Algorithmus verwandelt die Daten in eine nichtssagende Zeichenkette. Ohne den richtigen Schlüssel ist es nahezu unmöglich, den Originaltext wiederherzustellen. Cyberkriminelle nutzen dies aus, indem sie Daten verschlüsseln und dann eine Lösegeldzahlung fordern, um den Entschlüsselungsschlüssel bereitzustellen.

Technischer Einblick in die Verschlüsselung

Verschlüsselung ist ein Prozess, bei dem Daten mithilfe eines Algorithmus in eine zufällig erscheinende Zeichenkette umgewandelt werden. Diese Zeichenketten können nur mit dem zugehörigen Schlüssel wieder entschlüsselt und damit lesbar gemacht werden.

Schon in der Antike nutzten Menschen einfache Codes und Symbole, um Nachrichten zu verschlüsseln, sodass nur die beabsichtigte empfangende Stelle sie verstehen konnte. Ein bekanntes Beispiel ist die Caesar-Verschlüsselung, bei der Buchstaben im Alphabet um eine feste Anzahl von Stellen verschoben werden (es handelt sich also um eine sogenannte „Verschiebechiffre“). Die folgende Grafik veranschaulicht den Verschiebeprozess:

Verschiebechiffre

Die Grafik stellt eine klassische Verschiebechiffre dar, bei der die Buchstaben immer um drei Stellen verschoben werden.

Diese Praktiken waren besonders wichtig in Zeiten von Kriegen und politischen Konflikten, da sie es ermöglichten, geheime Informationen zu übermitteln, ohne dass Feinde die abgefangenen Nachrichten lesen konnten. Ein besonders bekanntes Beispiel für eine historische Verschlüsselung in Kriegszeiten ist die Enigma-Maschine, die im Zweiten Weltkrieg von den deutschen Streitkräften verwendet wurde. Diese Maschine nutzte rotierende Walzen, um Nachrichten in scheinbar unlesbare Codes zu verwandeln. Die Entschlüsselung der Enigma-Maschine war entscheidend für den Verlauf des Krieges, da die Alliierten dadurch in der Lage waren, militärische Informationen zu entschlüsseln und strategische Vorteile zu erlangen.

Grundsätzlich wird zwischen zwei Arten von Verschlüsselung unterschieden, dem symmetrischen und dem asymmetrischen Verschlüsselungsverfahren.

Arten von Verschlüsselung

Die Grafik erklärt die symmetrische und die asymmetrische Verschlüsselung.

  • Symmetrische Verschlüsselung: Bei dieser Methode verwenden sowohl Sender:in als auch Empfänger:in denselben Schlüssel, um die Daten zu ver- und entschlüsseln. Ein Beispiel für diese Verschlüsselungsmethode ist der AES-Algorithmus (Advanced Encryption Standard), der in der Praxis häufig eingesetzt wird. Der Nachteil der symmetrischen Verschlüsselung liegt in der Schlüsselverwaltung: Wenn der Schlüssel in falsche Hände gerät, könnten Unbefugte auf die Daten zugreifen. Daher muss der Schlüssel sicher übertragen und gespeichert werden, was eine Herausforderung darstellen kann.

Funktionsweise symmetrischer Verschlüsselung

Die Infografik zeigt die Funktionsweise der symmetrischen Verschlüsselung unter Verwendung eines Schlüssels für die Ver- und Entschlüsselung.

  • Asymmetrische Verschlüsselung: Im Gegensatz zur symmetrischen Verschlüsselung kommen hier zwei verschiedene Schlüssel zum Einsatz – ein öffentlicher und ein privater. Der öffentliche Schlüssel wird verwendet, um Daten zu verschlüsseln, während der private Schlüssel dazu dient, sie wieder zu entschlüsseln. Nur der:die Empfänger:in, der:die im Besitz des privaten Schlüssels ist, kann die Daten entschlüsseln. Ein weit verbreitetes Beispiel hierfür ist der RSA-Algorithmus, der unter anderem bei der sicheren Kommunikation über HTTPS genutzt wird – einem Protokoll, das dafür sorgt, dass die Daten beim Surfen im Internet geschützt sind. Ein weiteres Beispiel für den Einsatz asymmetrischer Verschlüsselung sind digitale Signaturen: Dabei wird mit dem privaten Schlüssel eine Nachricht oder Datei signiert und mit dem zugehörigen öffentlichen Schlüssel verifiziert.

Sind durch Backups alle Probleme gelöst?

Viele Unternehmen setzen auf Backups als Schutz vor Datenverlust. Doch sind diese wirklich sicher und ist das Unternehmen dadurch vor Ransomware-Angriffen geschützt? Leider nicht immer. Cyberkriminelle wissen um die Bedeutung von Backups zur Datenwiederherstellung und greifen diese daher gezielt an. Cyberkriminelle können Backups ebenfalls verschlüsseln oder löschen, wenn sie Zugriff auf das IT-Netzwerk eines Unternehmens haben. Ein ungeschütztes und mit dem IT-Netzwerk verbundenes Backup ist also kein Allheilmittel.

Ein sicheres Backup sollte zumindest:

  • Regelmäßig erstellt und getestet werden.
  • Offline und/oder in einer isolierten Cloud-Umgebung mit zusätzlichen Sicherheitsmaßnahmen gespeichert sein, um einen direkten Zugriff darauf durch die Cyberkriminellen zu verhindern.
  • Mit eigenen Schutzmechanismen, wie etwa Zugriffsbeschränkungen, versehen sein.

Wie schnell können Cyberkriminelle Daten verschlüsseln?

Die Zeit, die für die Verschlüsselung benötigt wird, variiert je nach Umfang der Daten und der eingesetzten Ransomware. Cyberkriminelle achten jedoch darauf, dass die Verschlüsselung möglichst unauffällig verläuft, sodass sie erst nach einer möglichst langen Zeit bemerkt wird. Manche Cyberkriminelle versuchen, den Verschlüsselungsprozess weiter zu beschleunigen, indem sie nur einen Teil oder ausgewählte Teile einer Datei verschlüsseln. Trotz dessen, dass ein Teil der Datei weiterhin lesbar bleibt, ist diese in den meisten Fällen nicht mehr wiederherstellbar und somit unbrauchbar.

Die Verschlüsselung wird oft zu Zeiten durchgeführt, in denen die IT-Abteilung des Unternehmens nicht oder nur im Notbetrieb besetzt ist – beispielsweise am Wochenende oder in der Nacht. Cyberkriminelle wissen, dass die Wahrscheinlichkeit, dass das Unternehmen sofort auf den Angriff reagiert, zu diesen Zeiten geringer ist. In vielen Fällen, in denen wir Unternehmen erst reaktiv bei der Aufklärung eines Cyberangriffs unterstützen, wurde die Verschlüsselung der Daten am Freitagabend oder samstags gestartet und erst am Montagmorgen bemerkt, wenn die Mitarbeitenden ins Büro kommen und diverse Systeme nicht mehr zugänglich sind.

So unterstützen wir Sie

Wie schütze ich mich als Unternehmen vor Ransomware-Angriffen?

Ransomware-Angriffe zählen also zu den gefährlichsten Bedrohungen für Unternehmen – sie können nicht nur ganze IT-Systeme lahmlegen, sondern auch zu erheblichen finanziellen und rechtlichen Konsequenzen führen. Umso wichtiger ist es, frühzeitig geeignete Schutzmaßnahmen zu treffen. Die folgenden Strategien helfen dabei, das eigene Unternehmen wirkungsvoll vor digitalen Erpressungsversuchen zu schützen und im Ernstfall handlungsfähig zu bleiben:

 

  • Einsatz von Firewalls und Überwachungssystemen: Firewalls schützen das Unternehmensnetzwerk, indem sie den entsprechenden Datenverkehr blockieren, wenn Anomalien, wie das Hochladen großer Datenmengen, erkannt werden. Zusätzlich helfen Tools zur Sicherheitsüberwachung dabei, verdächtige Aktivitäten, wie etwa die Verschlüsselung von Dateien, frühzeitig zu erkennen. So können Angriffe schneller entdeckt und entsprechend frühzeitig darauf reagiert werden.
  • Sichere und offline gespeicherte Backups: Unternehmen sollten regelmäßige Backups anfertigen und diese mindestens offline und/oder in einem separaten IT-Netzwerk speichern. Nur so kann sichergestellt werden, dass Daten im Ransomware-Fall wiederhergestellt werden können, ohne auf die Forderungen von Cyberkriminellen eingehen zu müssen.
  • Zugang mit mehreren Sicherheitsprüfungen absichern (2-Faktor-Authentifizierung): Um auf wichtige Systeme zuzugreifen, müssen sich Benutzer:innen nicht nur mit einem Passwort, sondern auch mit einem weiteren Sicherheitsfaktor, wie einer biometrischen Bestätigung auf ihrem Smartphone, einloggen. Dies verhindert, dass kompromittierte Anmeldedaten allein ausreichen, um auf sensible Unternehmensdaten zuzugreifen.
  • Anwendung des „Need-to-know“-Prinzips: Informationen sollen nur den Personen zur Verfügung gestellt werden, die sie unbedingt benötigen, um ihre Aufgaben zu erfüllen. Das Ziel ist es, sensible Daten zu schützen und das Risiko von Missbrauch oder Leaks zu minimieren, indem man den Zugang zu Informationen einschränkt.

 

IT-Sicherheit beginnt bei der Vorbereitung. Durch eine Kombination technischer Schutzmaßnahmen und organisatorischer Sicherheitsstrategien können Unternehmen das Risiko von Cyberangriffen erheblich reduzieren. Ein proaktiver Ansatz ist entscheidend, um Cyberbedrohungen effektiv entgegenzuwirken.

Fazit

Die Exfiltration und anschließende Verschlüsselung sensibler Unternehmensdaten durch Ransomware-Angriffe stellt eine besonders kritische Phase im Verlauf eines Cyberangriffs dar. Mit der Drohung, gestohlene Daten zu veröffentlichen oder zu verkaufen, erhöhen Cyberkriminelle massiv den Druck auf betroffene Unternehmen. Gleichzeitig macht die Verschlüsselung wichtiger Systeme den Geschäftsbetrieb oft unmöglich. Um sich wirksam zu schützen, sind nicht nur technische Schutzmaßnahmen wie sichere Backups und Monitoring-Systeme nötig, sondern auch organisatorische Vorkehrungen und eine klar definierte Reaktionsstrategie. Proaktive Vorbereitung bleibt der wirksamste Schutz vor digitaler Erpressung.Im letzten Teil unserer Artikelserie lesen Sie, was nach einem Cyberangriff mit exfiltrierten und verschlüsselten Unternehmensdaten passiert und wie sich Unternehmen vor Cyberkriminalität schützen können.

FAQ – Häufige Fragen zu Ransomware-Angriffen

Mehr zum Thema

Arten von Cyberangriffen: Wie sich Kriminelle den Weg ins Unternehmen bahnen

Wie sich Cyberkriminelle Zugang zu Daten verschaffen: alles zu Phishing, Darknet & Co. • was Unternehmen tun können ➜ Mehr erfahren!

Anton Moser + 1

Was passiert bei einem Cyberangriff? Wie sich Cyberkriminelle in IT-Netzwerken einnisten.

Wie sich Cyberkriminelle in IT-Netzwerken einnisten: alles zu Privilege Escalation & Persistenz • Schutzmaßnahmen ➜ Mehr erfahren!

Anton Moser + 1

Cyberangriff abwehren: Was Unternehmen im Ernstfall tun können

Was tun bei einem Cyberangriff? Wie eine Attacke abläuft • die wichtigsten Schritte zur Abwehr • wie EY unterstützen kann ➜ Mehr erfahren!

Anton Moser + 1

    Über diesen Artikel

    Autoren

    • Anton Moser
      Director, Forensics & Integrity Services, Assurance | Österreich
    • Robert Pölzelbauer
      Senior Manager, Forensics & Integrity Services, Assurance | Österreich
    Verwandte Themen
    Cybersecurity
    Forensic & Integrity Services
    Neue Technologien
    CIO-Agenda
    CISO-Agenda

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden.