Die Anatomie eines Ransomwareangriffs

Das Klischee von „ein Klick und alles ist verschlüsselt“ wird im Falle einer Ransomware-Attacke sehr selten bedient. In professionellen Kampagnen handelt es sich vielmehr um eine geplante Operation, die in klaren Schritten abläuft und häufig über Tage oder Wochen vorbereitet wird. Die eigentliche Verschlüsselung ist dabei oft der letzte, sichtbare Akt. Um das Vorgehen zu verstehen, sind zwei Perspektiven besonders hilfreich:

Beide Blickwinkel beschreiben denselben Vorfall. Doch sie helfen bei unterschiedlichen Aufgaben, etwa bei der Erkennung, der Eindämmung, der Forensik oder beim Entwickeln wirksamer Präventionsmaßnahmen.

Aus operativer Sicht lässt sich der Angriff als „Kill-Chain“ im Unternehmensnetz beschreiben. Am Anfang steht die Zielauswahl und Aufklärung. Täter sammeln Informationen über potenzielle Opfer, bewerten Zahlungsfähigkeit und Angriffsfläche und nutzen dafür OSINT, Scans und öffentlich verfügbare Hinweise auf Technologien, Rollen oder Dienstleisterbeziehungen.

Daraus entsteht eine priorisierte Zielauswahl, die entweder breit gestreut oder (im Fall hochwertiger Ziele) gezielt erfolgen kann. Danach folgt der Initial Access, also der erste Zugriff. Dieser entsteht typischerweise über Phishing und Social Engineering, über die Ausnutzung von Schwachstellen in extern erreichbaren Diensten, über gestohlene Zugangsdaten oder über kompromittierte Drittzugänge.

Nach dem Einstieg sichern professionelle Akteure ihren Zugriff durch Persistenzmechanismen. Dazu zählen Autostart-Einträge, geplante Tasks, Registry-Manipulationen, Backdoors oder auch Cloud-Token, die einen erneuten Zugriff ermöglichen, selbst wenn einzelne Spuren beseitigt werden. Anschließend beginnt die Phase der Aufklärung und Privilegienausweitung.

In dieser Phase wird die Umgebung kartiert, es werden Berechtigungen analysiert, Zugangsdaten gesammelt und Schwachstellenpfade identifiziert. Häufig nutzen Täter dafür Bordmittel und legitime Administrationstools. Gerade in Windows-Domänen sind Active-Directory- und Identitätsangriffe ein typischer Schwerpunkt, inklusive dem Auslesen und Sammeln von Zugangsdaten und der Jagd nach hochprivilegierten Konten.

Parallel oder anschließend folgt die laterale Bewegung. Täter breiten sich von System zu System aus, um Zugriff auf zentrale Dateien, Datenbanken, Virtualisierungsplattformen und insbesondere auf Backups zu erhalten. Ziel ist es, die Wirkung zu maximieren und gleichzeitig Wiederherstellungsoptionen zu reduzieren.

Erst wenn Umfang, Privilegien und Druckmittel ausreichend sind, folgt häufig die kombinierte Phase aus Datendiebstahl, Verschlüsselung und Erpressung. Hier greift Double Extortion:

Privilegierte Identitäten stellen in nahezu allen Varianten ein zentrales Risiko dar. Wer Admin-Rechte kontrolliert, kontrolliert Systeme, Recovery-Pfade, Logging, Erkennung und damit den gesamten Wiederanlauf.

Neben dieser operativen Sicht ist eine technische Perspektive hilfreich, die den Angriff in fünf Bausteine gliedert.

Wichtig ist dabei die praktische Erkenntnis, dass diese Phasen nicht immer strikt linear ablaufen. Datenabzug und laterale Bewegung finden häufig parallel statt und können sich über längere Zeit erstrecken, bevor die Verschlüsselung sichtbar wird.

Genau darin liegt eine zentrale Chance für Verteidiger. Wer Muster früh erkennt und privilegierte Identitäten konsequent schützt, kann Ransomware-Kampagnen oft stoppen, bevor sie den operativen Einschlag erreichen.

Ransomware gelangt selten über komplexe „Hacker-Magie“ in ein Unternehmen. Die üblichen Einfallstore wirken im Alltag fast banal. Und genau darin liegt das Risiko. Täter arbeiten opportunistisch oder gezielt. In beiden Fällen nutzen sie wiederkehrende Methoden, die sich in der Praxis stets als effektiv erweisen.

Ein besonders häufiger Einstiegspunkt ist Phishing und Social Engineering. Angreifer versenden täuschend echte E-Mails, verlinken auf nachgebaute Login-Seiten oder nutzen präparierte Anhänge, die Schadcode nachladen.

Ergänzend werden Telefonate, Chat-Nachrichten oder „Business-Kommunikation“ genutzt, um Vertrauen aufzubauen und Mitarbeitende zu riskanten Handlungen zu bewegen, etwa zum Preisgeben von Zugangsdaten oder zur Ausführung einer Datei. Diese Angriffe zielen nicht primär auf Technik, sondern auf menschliche Entscheidungen unter Zeitdruck.

Neben dem Menschen bleiben technische Schwachstellen ein zentraler Einfallspfad. Nicht aktuelle Systeme, extern erreichbare Dienste oder Webanwendungen werden automatisiert gescannt und bei verwundbaren Versionen gezielt angegriffen. Der Vorteil für Täter: Ein erfolgreicher Angriff liefert oft sofortigen Zugang mit weiten Berechtigungen und die Möglichkeit, Hintertüren einzurichten, ohne dass ein Nutzer aktiv mitwirken muss.

Eine weitere große Kategorie sind gestohlene Zugangsdaten. Der Angriff erfolgt dann nicht über Schadsoftware, sondern über legitime Logins. Das macht diese Form des Angriffs so schwer erkennbar. Der Zugriff wirkt zunächst wie normales Benutzerverhalten, insbesondere wenn keine zusätzlichen Schutzmechanismen wie Multi-Faktor-Authentisierung oder Anomalieerkennung greifen.

Zunehmend relevant sind außerdem Supply-Chain-Angriffe. Hierbei wird das Ziel nicht direkt angegriffen, sondern über kompromittierte Dienstleister, Fernwartungszugänge, Updates oder Management-Tools. Der strategische Vorteil: Über einen Zulieferer oder ein zentrales Tool können mehrere Organisationen parallel betroffen sein. Gleichzeitig ist die Vertrauensbasis oft hoch, wodurch technische und organisatorische Kontrollen weniger streng sind als bei „fremden“ Zugängen.

Auch über Drive-by-Downloads und Malvertising, bei denen präparierte Websites oder Werbenetzwerke Schadsoftware nachladen, kann Ransomware auf die Zielsysteme gelangen. Nutzer müssen dafür nicht zwingend aktiv etwas installieren. Schon der Besuch einer manipulierten Seite oder das Laden eines schadhaften Werbeelements kann ausreichen, sofern der Browser oder dessen Plugins Schwachstellen aufweisen. In der Praxis sind diese Methoden häufig Teil größerer Kampagnen.

Ein wesentlicher Verstärker vieler Angriffe ist OSINT (Open Source Intelligence). Öffentlich sichtbare Informationen helfen Tätern, Ziele zu priorisieren und Angriffswege zu optimieren. Technologie, Rollen, Standorte, Zuliefererbeziehungen und interne Abläufe lassen sich oft aus Websites, Stellenausschreibungen, Social Media, Pressemitteilungen oder Dokumentenmetadaten ableiten.

Je transparenter eine Organisation in diesen Punkten ist, desto schneller wird aus der Aufklärung eine konkrete Angriffsplanung. Gezielte Phishing-Kampagnen gegen bestimmte Rollen, die Auswahl passender Exploits für bekannte Systeme oder die Ansprache von Dienstleisterzugängen können folgen. OSINT ist damit nicht „nur“ Informationssammlung, sondern häufig der Startpunkt für präzise und hochwirksame Initial-Access-Strategien.