Die Techniken der Top 5 Ransomware-Gruppen in Deutschland

Ransomware ist nach wie vor eine der größten Bedrohungen für Unternehmen. Der aktuelle Data Breach Investigations Report von Verizon zeigt, dass im EMEA-Raum nach wie vor 87 % aller Cyberangriffe finanziell motiviert sind und dass Ransomware-Vorfälle im Vergleich zum Vorjahr um 37 % gestiegen sind.

Auch die Lage in Deutschland ist in Bezug auf Ransomware angespannt. Laut dem Bundeslagebild Cybercrime des BKA war die Bundesrepublik im internationalen Vergleich das vierthäufigste Ziel für Ransomware-Angriffe. Die Erpressung durch Verschlüsselung und Veröffentlichung der erbeuteten Daten bleibt damit eine der zentralen Herausforderungen für Unternehmen jeder Größe und Branche.

Doch wie genau gehen die Gruppen eigentlich vor und welche Techniken werden am häufigsten eingesetzt?

Uns hat besonders interessiert, welche Ransomware-Gruppen in den ersten drei Quartalen 2025 die meisten Opfer-Unternehmen mit Sitz in Deutschland hatten. Eine Zusammenführung unterschiedlicher Threat-Intelligence-Quellen führte zu unserer Top 5 Liste:

• SafePay
• Akira
• Inc. Ransom
• Qilin
• DragonForce

Die Vorgehensweisen der genannten Gruppen haben wir konsolidiert (Stand Oktober 2025) und das Ergebnis grafisch dargestellt.

Aus diesem Bild lässt sich ableiten, dass die häufigsten initialen Eintrittsvektoren ins Unternehmen weiterhin die Nutzung bereits erbeuteter Anmeldedaten, das Ausnutzen von Schwachstellen exponierter Systeme, sowie jegliche Art von E-Mail-Angriffe (z. B. Phishing mit Link oder Anhang) sind.

Ebenfalls ist die Nutzung von "Remote Desktop Protocol" (siehe Spalte TA0008 Lateral Movement) zum Bewegen in kompromittierten Infrastrukturen bei Ransomware-Gruppen sehr weit verbreitet.

Unternehmen sollten sich auf die Erkennung und Verhinderung der oben abgebildeten Techniken vorbereiten.

Weiterführende Links

• https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2024.html
• https://www.verizon.com/business/resources/reports/dbir/