Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Cyber-Erpressung: Risiken & Präventionsleitfaden
Cybersecurity 101/Intelligente Bedrohung/Cyber-Erpressung

Cyber-Erpressung: Risiken & Präventionsleitfaden

Cyber-Erpressung kombiniert Ransomware-Verschlüsselung, Drohungen mit Datendiebstahl und DDoS-Angriffe. Erfahren Sie, wie die autonome Plattform von SentinelOne mehrstufige Erpressungskampagnen stoppt.

CS-101_Threat_Intel.svg
Inhaltsverzeichnis
Was ist Cyber-Erpressung?
Auswirkungen von Cyber-Erpressung auf Organisationen
Cyber-Erpressung vs. Ransomware
Kernkomponenten der Cyber-Erpressung
Wichtige Indikatoren für einen Cyber-Erpressungsversuch
Arten der Cyber-Erpressung
Wie funktioniert Cyber-Erpressung?
Wie erkennt man Cyber-Erpressungsversuche?
Wie verhindert man Cyber-Erpressung?
Schritte zur Incident Response bei Cyber-Erpressung
Herausforderungen und Grenzen bei der Verteidigung gegen Cyber-Erpressung
Häufige Fehler bei Cyber-Erpressung
Best Practices bei Cyber-Erpressung
Praxisbeispiele für Cyber-Erpressungs-Vorfälle
Schutz vor Cyber-Erpressung mit SentinelOne
Wichtige Erkenntnisse

Verwandte Artikel

  • Wie lässt sich IP-Spoofing verhindern?
  • Was ist Threat Detection and Response (TDR)?
  • Was sind Brute-Force-Angriffe?
  • Was ist Cyber-Resilienz? Vorteile und Herausforderungen
Autor: SentinelOne | Rezensent: Dianna Marks
Aktualisiert: March 27, 2026

Was ist Cyber-Erpressung?

Bei Cyber-Erpressungsangriffen kompromittieren Kriminelle Ihre Systeme, stehlen Ihre Daten oder stören Ihre Betriebsabläufe und fordern anschließend eine Zahlung in Kryptowährung, um den Angriff zu stoppen oder die Offenlegung von Daten zu verhindern. Laut dem am 24. April 2025 veröffentlichten FBI-Bericht des Internet Crime Complaint Center stiegen die Erpressungsbeschwerden im Jahr 2024 auf 12.618 Vorfälle, was einem Anstieg von 134 % gegenüber den 5.396 Beschwerden im Jahr 2023 entspricht.

Moderne Cyber-Erpressung zielt gleichzeitig auf Ihren Umsatz, die Betriebskontinuität und die Einhaltung gesetzlicher Vorschriften ab – durch Daten-Erpressung und Verschlüsselungsdrohungen. Laut der Financial Trend Analysis von FinCEN erpressten Ransomware-Gruppen von 2022 bis 2024 über 2,1 Milliarden US-Dollar, wobei Fertigung, Finanzdienstleistungen und Gesundheitswesen die am häufigsten betroffenen Sektoren waren.

Cyber Extortion - Featured Image | SentinelOne

Auswirkungen von Cyber-Erpressung auf Organisationen

Cyber-Erpressung verursacht Kaskadeneffekte im gesamten Unternehmen. Die finanziellen Auswirkungen gehen weit über Lösegeldforderungen hinaus. Der Angriff auf Change Healthcare im Jahr 2024 führte zu Kosten in Milliardenhöhe für Reaktion, Systemwiederherstellung, regulatorische Benachrichtigungen und Betriebsunterbrechungen.

Betriebliche Störungen verstärken die finanziellen Verluste. Als Synnovis, ein NHS-Pathologieanbieter, im Juni 2024 einen Ransomware-Angriff erlitt, mussten Krankenhäuser in ganz London über 1.100 geplante Eingriffe und 2.000 ambulante Termine verschieben. Bluttransfusionen, Krebstherapien und Kaiserschnitte wurden verzögert, da die Patientenversorgung direkt betroffen war. Der Reputationsschaden bleibt auch nach der Wiederherstellung der Systeme bestehen, und regulatorische Strafen für Datenschutzverletzungen erhöhen die finanzielle Belastung zusätzlich, insbesondere im Gesundheits- und Finanzsektor.

Um zu verstehen, warum diese Angriffe so weitreichende Schäden verursachen, muss man Cyber-Erpressung von einfachen Ransomware-Angriffen unterscheiden.

Cyber-Erpressung vs. Ransomware

Ransomware verschlüsselt Ihre Dateien und fordert eine Zahlung für die Entschlüsselungsschlüssel. Cyber-Erpressung umfasst Ransomware, fügt jedoch mehrere Druckmittel hinzu, um Zahlungen auch dann zu erzwingen, wenn Sie über Backup-Wiederherstellungsoptionen verfügen.

Traditionelle Ransomware ist eine einmalige Transaktion: zahlen, um zu entschlüsseln. Mit Offline-Backups könnten Sie sich ohne Zahlung erholen. Angreifer erkannten diese Einschränkung und entwickelten ihre Taktiken weiter. Moderne Cyber-Erpressung kombiniert Verschlüsselung mit Datendiebstahl, Drohungen mit öffentlicher Veröffentlichung, DDoS-Angriffen während der Verhandlungen und direktem Kontakt zu Ihren Kunden oder Partnern. Jede zusätzliche Taktik beseitigt eine potenzielle Wiederherstellungsoption. Selbst mit perfekten Backups sind Sie bei Zahlungsverweigerung weiterhin von Datenoffenlegung bedroht.

Cyber-Erpressung umfasst zudem längere Angriffszeiträume. Ransomware kann in Sekunden ausgeführt werden. Cyber-Erpressungskampagnen erfordern Tage oder Wochen für Aufklärung, Diebstahl von Zugangsdaten, laterale Bewegung und Datenexfiltration vor der finalen Verschlüsselung. Dieser verlängerte Zeitraum schafft mehrere Zeitfenster, in denen Sie den Angriff erkennen und stoppen können – vorausgesetzt, Ihre Sicherheitsarchitektur kann Angreiferverhalten in diesen Phasen identifizieren.

Die Kernkomponenten moderner Cyber-Erpressungskampagnen zeigen, wie diese Taktiken zusammenwirken, um maximalen Druck auszuüben.

Kernkomponenten der Cyber-Erpressung

Moderne Cyber-Erpressung kombiniert mehrere Angriffsmethoden, die Ihre Organisation gleichzeitig treffen, darunter Ransomware-Verschlüsselung, Datendiebstahl mit Veröffentlichungsdrohungen und DDoS-Angriffe.

  1. Ransomware-Verschlüsselung sperrt Ihre Produktionssysteme und Datenspeicher, bis Sie für den Entschlüsselungsschlüssel zahlen. Angreifer nehmen zuerst Ihre Backup-Infrastruktur ins Visier: Laut CISAs Analyse von Ransomware-Kampagnen nutzen Angreifer gezielt Schwachstellen in Backup-Software wie CVE-2023-27532 in Veeam aus, oft lange nachdem Patches verfügbar sind.
  2. Daten-Diebstahl-Erpressung bedeutet, dass Angreifer Ihre sensiblen Daten vor der Verschlüsselung exfiltrieren und dann drohen, gestohlene Informationen zu veröffentlichen oder betroffene Kunden direkt zu kontaktieren. Laut CISA- und FBI-Gemeinschaftswarnung zu Medusa-Ransomware ist diese Doppel-Erpressungsstrategie zur Standardpraxis geworden.
  3. DDoS-basierte Störung durch Distributed Denial of Service-Angriffe überlastet Ihre Netzwerkinfrastruktur, während Angreifer Ransomware einsetzen und mit Datenveröffentlichung drohen. Dieser Triple-Extortion-Ansatz zielt gleichzeitig auf Ihre Betriebsabläufe, Ihre Daten und Ihre Partner in der Lieferkette.

Diese Komponenten wirken in einer vorhersehbaren Abfolge zusammen. Das Erkennen der Warnzeichen einer Erpressungskampagne kann Ihnen helfen, zu reagieren, bevor die Verschlüsselung ausgeführt wird.

Wichtige Indikatoren für einen Cyber-Erpressungsversuch

Cyber-Erpressungskampagnen hinterlassen Spuren während der Aufklärungs- und Vorbereitungsphasen. CISAs Warnung zu Play-Ransomware dokumentiert, dass Angreifer Tools wie AdFind verwenden, um Domänencontroller und privilegierte Konten zu enumerieren. Achten Sie auf plötzliche Anstiege bei AD-Abfragen von Arbeitsstationen, die normalerweise keine administrativen Funktionen ausführen.

Vor der Exfiltration konsolidieren Angreifer gestohlene Dateien in komprimierten Archiven. Überwachen Sie Prozesse, die Tausende von Dateien öffnen, ungewöhnliche Archiv-Erstellungen und unerwartete Verbindungen zu Cloud-Speicherdiensten. Laut CISAs Ransomware-Leitfaden nutzen Angreifer Rclone, Rsync, webbasierte Dateispeicherdienste und FTP/SFTP für die Datenexfiltration.

Angreifer deaktivieren außerdem Sicherheitstools, bevor sie Ransomware einsetzen. Alarmieren Sie bei Manipulationen an Sicherheitsagenten, Löschung von Volume Shadow Copies und Änderungen an Backup-Diensten.

Diese Indikatoren treten während verlängerter Angriffszeiträume auf, wie FBI-Ermittlungen dokumentieren. Angreifer kombinieren sie in eskalierenden Konfigurationen, abhängig vom Typ der eingesetzten Erpressungskampagne.

Arten der Cyber-Erpressung

Cyber-Erpressungskampagnen lassen sich in drei Kategorien einteilen, je nachdem, wie viele Druckmittel Angreifer einsetzen. Jede Weiterentwicklung erhöht den Druck und macht eine Zahlung wahrscheinlicher, selbst wenn Opfer über starke Backup- und Wiederherstellungsfähigkeiten verfügen.

  1. Single Extortion basiert ausschließlich auf Ransomware-Verschlüsselung. Angreifer verschlüsseln Ihre Systeme und fordern eine Zahlung für die Entschlüsselungsschlüssel. Mit Offline-Backups können Sie sich ohne Zahlung erholen.
  2. Double Extortion ergänzt die Verschlüsselung um Datendiebstahl. Angreifer exfiltrieren sensible Daten vor der Verschlüsselung und drohen, gestohlene Informationen zu veröffentlichen, falls Sie nicht zahlen. Selbst mit Backup-Wiederherstellung drohen Ihnen regulatorische Strafen und Reputationsschäden durch Datenoffenlegung.
  3. Triple Extortion fügt DDoS-Angriffe und Druck auf die Lieferkette zur Double Extortion hinzu. Angreifer überlasten Ihr Netzwerk während der Lösegeldverhandlungen und kontaktieren Ihre Kunden, Partner oder Investoren, um den Druck zu erhöhen.

Die Entwicklung hin zu mehrschichtigen Kampagnen zeigt, dass Angreifer erkannt haben, dass Backup-Wiederherstellung reine Verschlüsselungsangriffe untergräbt. Das Verständnis der Angriffsabfolge zeigt, wo Sie diese Kampagnen unterbrechen können.

Wie funktioniert Cyber-Erpressung?

Cyber-Erpressungsangriffe folgen einer mehrstufigen Abfolge: Initialzugriff, Privilegienerweiterung, laterale Bewegung, Datenexfiltration und Verschlüsselung. CISA- und FBI-Ermittlungen zeigen, dass Bedrohungsakteure Tage oder Wochen mit Aufklärung verbringen, bevor sie verschlüsseln – das gibt Ihnen mehrere Möglichkeiten, verdächtige Aktivitäten zu erkennen.

  • Initialzugriff durch ausgenutzte Schwachstellen: Angreifer verschaffen sich Zugang über Software-Schwachstellen, die Sie nicht gepatcht haben. CISA Advisory AA25-163A dokumentiert Ransomware-Akteure, die ungepatchte SimpleHelp Remote Monitoring and Management-Software ausnutzen. Laut CISAs Cybersecurity Advisory zu Interlock-Ransomware haben Bedrohungsakteure Initialzugriff über Drive-by-Downloads von kompromittierten legitimen Websites erhalten.
  • Zugangsdaten-Diebstahl und Aufklärung: Angreifer stehlen administrative Zugangsdaten mit Credential-Dumping-Tools. Laut CISA Advisory AA23-278A missbrauchen Angreifer regelmäßig Standardzugangsdaten für VPN-Zugänge und administrativen Zugriff auf Backup-Systeme. CISAs Warnung zu Play-Ransomware dokumentiert Angreifer, die AdFind nutzen, um Ihre gesamte Domänenstruktur vor der Verschlüsselung zu kartieren.
  • Laterale Bewegung und Datenexfiltration: Angreifer nutzen Tools wie PsExec für laterale Bewegung über Server Message Block (SMB)-Kommunikation. CISAs StopRansomware Guide stellt fest, dass die meisten Organisationen Windows-Systeme nicht so konfigurieren, dass Kerberos-basierte IPsec für laterale SMB-Kommunikation erforderlich ist. Bedrohungsakteure exfiltrieren Ihre sensiblen Daten über Tage oder Wochen, bevor sie Ransomware einsetzen.
  • Plattformübergreifende Verschlüsselung: Das FBI beobachtete, dass Interlock-Ransomware Verschlüsselungsprogramme für Windows- und Linux-Betriebssysteme einsetzt. Bei Ausführung der Verschlüsselung werden Ihre Produktionsumgebung, Ihre virtuelle Infrastruktur und Ihre Backup-Systeme gleichzeitig angegriffen.

Die mehrstufige Natur dieser Angriffe schafft Verteidigungsfenster, deren Nutzung jedoch Sicherheitsplattformen erfordert, die Angreiferverhalten bereits in frühen Phasen erkennen können.

Wie erkennt man Cyber-Erpressungsversuche?

Das Erkennen von Cyber-Erpressungskampagnen erfordert die Überwachung von Angreiferverhalten über mehrere Angriffsphasen hinweg. Punktlösungen, die nur bei Malware-Ausführung alarmieren, übersehen die wochenlangen Aktivitäten vor der Verschlüsselung.

Aufklärungsaktivitäten

Sicherheitsplattformen sollten Active Directory-Abfrageaktivitäten mit den Prozessen korrelieren, die diese Abfragen generieren. Achten Sie auf:

  • AdFind oder ähnliche Tools, die Domänencontroller von Arbeitsstationen abfragen, die nie administrative Funktionen ausführen
  • Enumeration privilegierter Konten, Gruppenmitgliedschaften und Vertrauensstellungen
  • Port-Scanning oder Netzwerkkartierung von internen Systemen
  • Abfragen gegen Backup-Infrastruktur und Speichersysteme

Indikatoren für laterale Bewegung

Überwachen Sie Authentifizierungsmuster, die vom Normalverhalten abweichen:

  • Dienstkonten greifen auf Systeme zu, die sie nie zuvor genutzt haben
  • Administrative Tools (PsExec, WMI, PowerShell Remoting) werden aus nicht standardmäßigen Verzeichnissen ausgeführt
  • Remote-Desktop-Verbindungen von ungewöhnlichen Quellsystemen
  • Pass-the-Hash- oder Pass-the-Ticket-Authentifizierungsanomalien

Daten-Staging und Exfiltration

Konfigurieren Sie Sicherheitstools so, dass sie bei Datenaggregation alarmieren:

  • Prozesse, die in kurzer Zeit Hunderte von Dateien in mehreren Verzeichnissen öffnen
  • Archiv-Erstellung (ZIP, RAR, 7z) in temporären Ordnern oder nicht standardmäßigen Speicherorten
  • Ausgehende Verbindungen zu Cloud-Speicher (Mega, Dropbox, Google Drive) von Servern
  • Große Datenübertragungen außerhalb der Geschäftszeiten oder zu unbekannten externen IPs
  • Rclone-, Rsync- oder FTP/SFTP-Aktivitäten von Systemen, die diese Tools normalerweise nicht verwenden

Versuche zur Umgehung von Abwehrmaßnahmen

Alarmieren Sie sofort bei Manipulationen an Sicherheitstools:

  • Endpoint-Protection-Agent gestoppt oder deinstalliert
  • Löschung von Volume Shadow Copies (vssadmin delete shadows)
  • Änderungen an Backup-Diensten oder geplanten Aufgaben
  • Windows Defender-Ausschlüsse werden programmatisch hinzugefügt

Verhaltensanalysen sind entscheidend, da Angreifer legitime Tools statt maßgeschneiderter Malware verwenden. Sicherheitsplattformen, die einzelne Indikatoren zu einheitlichen Zeitachsen korrelieren, zeigen Ihnen den vollständigen Angriffsweg statt isolierter Ereignisse.

Das frühzeitige Erkennen von Erpressungsversuchen verschafft Ihnen Zeit, präventive Maßnahmen für jede Phase der Angriffskette zu implementieren.

Wie verhindert man Cyber-Erpressung?

Präventionsstrategien müssen jede Phase der Cyber-Erpressungs-Angriffskette adressieren. Konzentrieren Sie sich auf spezifische Kontrollen, die den Fortschritt der Angreifer vom Initialzugriff bis zur Verschlüsselung unterbrechen.

Initialzugriff blockieren

  • Patches für internetzugängliche Systeme innerhalb von 48 Stunden nach Bekanntwerden kritischer Schwachstellen einspielen, mit Priorität auf VPN-Appliances, Firewalls, Remote-Access-Tools und E-Mail-Gateways
  • Nicht benötigte Remote-Access-Protokolle (RDP, SSH) auf Systemen deaktivieren, die sie nicht benötigen
  • Anwendungs-Whitelisting auf Servern implementieren, um nicht autorisierte ausführbare Dateien zu verhindern
  • E-Mail-Filter einsetzen, die gefährliche Anhänge entfernen und URLs scannen

Zugangsdaten-Schwächen eliminieren

Laut CISA Advisory AA23-278A bleiben Standardzugangsdaten eine der am häufigsten ausgenutzten Fehlkonfigurationen.

  • Alle Systeme inventarisieren und sicherstellen, dass Standardpasswörter geändert wurden, insbesondere bei Backup-Systemen, VPN-Gateways und Administrationsportalen
  • MFA für VPN-Zugänge, Administrationsportale, Cloud-Dienste und E-Mail verpflichtend machen. Der Change Healthcare-Vorfall nutzte ein einziges Konto ohne MFA aus und betraf letztlich etwa 190 Millionen Personen.
  • Privileged Access Management (PAM) für Administratorkonten implementieren
  • Passwörter mit mindestens 15 Zeichen für Dienstkonten erzwingen

Laterale Bewegung begrenzen

  • Netzwerk nach Funktion und Datensensibilität segmentieren
  • CISAs StopRansomware Guide empfiehlt, Windows-Systeme so zu konfigurieren, dass Kerberos-basierte IPsec für laterale SMB-Kommunikation erforderlich ist
  • LLMNR, NetBIOS und WPAD deaktivieren, um Credential Interception zu verhindern
  • Lokale Administratorenkonten nicht arbeitsplatzübergreifend verwenden

Backup-Infrastruktur schützen

  • Offline, verschlüsselte Backups pflegen, die von Netzwerkverbindungen isoliert sind
  • Backup-Zugangsdaten getrennt vom produktiven Active Directory speichern
  •  Ransomware-Wiederherstellungsverfahren vierteljährlich testen, um die Wiederherstellungsfähigkeit zu überprüfen
  • Unveränderlichen Backup-Speicher implementieren, der Löschung oder Änderung verhindert

Selbst mit starker Prävention treten Vorfälle auf. Ein klarer Reaktionsplan entscheidet, ob Sie einen Angriff schnell eindämmen oder mit längeren Betriebsunterbrechungen konfrontiert sind.

Schritte zur Incident Response bei Cyber-Erpressung

Wenn Sie einen Cyber-Erpressungsangriff entdecken, entscheidet Ihre Reaktion in den ersten Stunden darüber, ob Angreifer ihre Ziele erreichen. Befolgen Sie diese Schritte gemäß CISAs Ransomware-Checkliste:

  1. Betroffene Systeme sofort isolieren. Trennen Sie kompromittierte Systeme vom Netzwerk, lassen Sie sie jedoch eingeschaltet. Die Netzwerkisolation verhindert laterale Bewegung und weitere Verschlüsselung. Das Einschalten bewahrt flüchtige Speicherinhalte mit forensischen Artefakten.
  2. Ihr Reaktionsteam aktivieren. Kontaktieren Sie gleichzeitig Ihre IT-Abteilung, Managed Security Service Provider, Cyber-Versicherung und Abteilungsleiter. Warten Sie nicht mit der Einbindung von Ressourcen, bis die Untersuchung abgeschlossen ist.
  3. Umfang der Kompromittierung bestimmen. Identifizieren Sie, welche Systeme verschlüsselt sind, welche Konten kompromittiert wurden und ob Daten exfiltriert wurden. Überprüfen Sie ausgehenden Netzwerkverkehr auf große Datenübertragungen zu Cloud-Speicherdiensten.
  4. Forensische Beweise sichern. Erstellen Sie Abbilder betroffener Systeme vor der Bereinigung, um Strafverfolgungsbehörden und Versicherungsansprüche zu unterstützen. Dokumentieren Sie den Angriffszeitplan, Lösegeldforderungen und jegliche Kommunikation mit Angreifern.
  5. Bundesressourcen einbinden. Laut dem CISA StopRansomware Guide umfasst die Unterstützung durch Bundesbehörden technische Hilfe, Identifizierung weiterer gefährdeter Stellen und Hinweise zu Wiederherstellungsressourcen. Melden Sie Vorfälle beim FBI IC3 und bei CISA.
  6. Wiederherstellungsverfahren ausführen. Stellen Sie Systeme aus bekannten, sauberen Backups wieder her, nachdem Sie die Integrität überprüft haben. Kompromittierte Systeme neu aufsetzen, statt nur Malware zu entfernen. Ändern Sie alle möglicherweise kompromittierten Zugangsdaten.

Selbst mit effektiver Incident Response stehen Organisationen vor anhaltenden Herausforderungen beim Schutz vor Cyber-Erpressungskampagnen.

Herausforderungen und Grenzen bei der Verteidigung gegen Cyber-Erpressung

Traditionelle Sicherheitsarchitekturen tun sich schwer, die strukturellen Herausforderungen der Cyber-Erpressung zu adressieren. Organisationen versäumen es immer wieder, Sicherheitsupdates für kritische Infrastrukturen, insbesondere Backup- und Wiederherstellungssysteme, einzuspielen. Angreifer nehmen gezielt Backup-Systeme ins Visier, bevor sie Produktionsdaten verschlüsseln, und eliminieren so Wiederherstellungsoptionen.

CISAs Warnung zu Play-Ransomware dokumentiert die systematische Ausnutzung von Active Directory-Fehlkonfigurationen. Angreifer nutzen AdFind für Aufklärung, PsExec für laterale Bewegung und Cobalt Strike für persistente Command-and-Control-Kommunikation. Ihre Sicherheitssysteme stehen zudem vor der Herausforderung, Bedrohungen während verlängerter Angriffsketten zu erkennen, da Play-Ransomware-Operatoren Malware für jeden Angriff individuell neu kompilieren, um die Identifikation zu erschweren.

Diese Herausforderungen zu adressieren, erfordert das Vermeiden häufiger Fehler, die erfolgreiche Erpressungskampagnen ermöglichen.

Häufige Fehler bei Cyber-Erpressung

  • Verzögerte Eindämmungsmaßnahmen: Sie entdecken verdächtige Aktivitäten, verzögern jedoch die Isolation, während Sie ermitteln, und ermöglichen so die laterale Ausbreitung der Ransomware. CISAs Ransomware-Checkliste betont, dass Sie betroffene Systeme sofort isolieren und eingeschaltet lassen müssen, um forensische Beweise zu sichern.
  • Unzureichende Überwachung der Datenexfiltration: Ihre Sicherheitstools alarmieren bei Malware-Ausführung, übersehen jedoch wochenlange vorherige Datenexfiltration. Laut CISAs Ransomware-Response-Leitfaden müssen Sie auf Rclone, Rsync, webbasierte Dateispeicherdienste und FTP/SFTP überwachen. Fortschrittliche Sicherheitsplattformen erkennen Exfiltrationstools anhand ihres Verhaltens: Prozesse, die Tausende von Dateien öffnen, Daten komprimieren und ausgehende Verbindungen zu Cloud-Speicher initiieren.
  • Verwendung von Standardzugangsdaten auf kritischen Systemen: Laut CISA Advisory AA23-278A bleiben Standardzugangsdaten eine der am häufigsten ausgenutzten Fehlkonfigurationen, insbesondere bei Backup-Systemen, VPN-Gateways und Administrationsportalen.

Diese Fehler sind vermeidbar. Regierungsbehörden geben spezifische Empfehlungen, die jede von Angreifern ausgenutzte Schwachstelle direkt adressieren.

Best Practices bei Cyber-Erpressung

Regierungsbehörden geben spezifische Empfehlungen zur Prävention und Reaktion auf Cyber-Erpressung:

  • Multi-Faktor-Authentifizierung universell implementieren. Der gemeinsame CISA/FBI/NSA StopRansomware Guide fordert MFA für alle Dienste, insbesondere Webmail, VPN und kritische Systemzugriffe.
  • Kerberos-IPsec für SMB-Kommunikation konfigurieren. CISAs StopRansomware Guide empfiehlt, Kerberos-basierte IPsec für laterale SMB-Kommunikation zu verlangen, um Angreifer am Zugriff auf Systeme außerhalb Ihrer Active Directory-Domäne zu hindern.
  • Offline verschlüsselte Backups pflegen. Die gemeinsame CISA/FBI/NSA-Empfehlung schreibt vor, dass Backups vom Netzwerk isoliert und verschlüsselt sein müssen.
  • Überwachung auf Datenexfiltrationstools. Laut CISAs Ransomware-Leitfaden sollten Sie auf Rclone, Rsync, webbasierte Dateispeicherdienste und FTP/SFTP überwachen.
  • Unverwaltete Geräte entdecken. Nutzen Sie kontinuierliche Asset Discovery, um unverwaltete Geräte und Schatten-IT zu finden, die Standardzugangsdaten enthalten könnten.
  • Bundesressourcen proaktiv einbinden. Die Unterstützung durch Bundesbehörden umfasst technische Hilfe, Identifizierung weiterer gefährdeter Stellen und Hinweise zu Wiederherstellungsressourcen.

Die Umsetzung dieser Maßnahmen stärkt Ihre grundlegende Verteidigung. Jüngste Vorfälle zeigen, was passiert, wenn Organisationen sie nicht umsetzen.

Praxisbeispiele für Cyber-Erpressungs-Vorfälle

Aktuelle Cyber-Erpressungskampagnen zeigen, wie Angreifer mehrere Taktiken kombinieren, um maximalen Druck auf Opfer auszuüben.

  1. Change Healthcare (Februar 2024): Die BlackCat (ALPHV)-Gruppe infiltrierte Change Healthcare, indem sie ein einzelnes Konto ohne MFA ausnutzte. Angreifer exfiltrierten sensible Daten und setzten Ransomware ein, die elektronische Zahlungen und die Bearbeitung medizinischer Ansprüche landesweit stoppte. Laut dem HHS Office for Civil Rights breach portal waren etwa 190 Millionen Personen betroffen – der größte Healthcare-Datenverstoß in der US-Geschichte. Der Vorfall zeigte, wie eine einzige Zugangsdaten-Schwäche zu landesweiten Betriebsstörungen führen kann.
  2. Synnovis-NHS (Juni 2024): Die Qilin-Ransomware-Gruppe griff Synnovis, einen NHS-Pathologieanbieter, an und zwang Londoner Krankenhäuser, über tausend geplante Eingriffe und Tausende ambulante Termine zu verschieben. Bluttransfusionen, Testergebnisse und Krebstherapien wurden verzögert. Angreifer stahlen sensible Daten und forderten eine Zahlung, veröffentlichten gestohlene Datensätze, als die Verhandlungen scheiterten. Der Angriff zeigte, wie Drittanbieter-Kompromittierungen die kritische Gesundheitsversorgung direkt beeinträchtigen.
  3. Snowflake-Kundenverletzungen (Mai 2024): Hacker nutzten kompromittierte Zugangsdaten, um auf die Snowflake-Cloud-Datenplattform zuzugreifen und über 100 Kunden, darunter große Unternehmen, zu beeinträchtigen. Angreifer exfiltrierten große Mengen an Kundendaten und setzten Erpressungstaktiken ein, um von betroffenen Unternehmen Lösegeld für die Nichtveröffentlichung zu fordern. Der Vorfall verdeutlichte Lieferkettenrisiken, wenn Angreifer gemeinsam genutzte Infrastruktur-Anbieter ins Visier nehmen.
  4. Blue Yonder (November 2024): Die Termite-Ransomware-Gruppe griff Blue Yonder, einen führenden Anbieter von Supply-Chain-Software, an und störte die Dienste für Tausende Unternehmenskunden. Termite setzte Double-Extortion-Taktiken ein, verschlüsselte Systeme und drohte mit der Veröffentlichung gestohlener Daten. Der Angriff zeigte, wie Kompromittierungen in der Lieferkette Auswirkungen auf mehrere Organisationen gleichzeitig verstärken.

Diese Vorfälle weisen gemeinsame Elemente auf: verlängerte Angreiferpräsenz vor der Verschlüsselung, Ausnutzung von Zugangsdaten-Schwächen oder ungepatchten Schwachstellen und mehrschichtige Drucktaktiken. Organisationen mit Sicherheitsplattformen, die Aufklärung erkennen und Angriffsindikatoren korrelieren, können diese Kampagnen unterbrechen, bevor sie die Verschlüsselungsphase erreichen.

Schutz vor Cyber-Erpressung mit SentinelOne

Der Anstieg der Erpressungsbeschwerden um 134 % bestätigt, dass Bedrohungsakteure auf mehrstufige Kampagnen umgestiegen sind. Die verlängerte Angriffskette bedeutet, dass Sie mehrere Möglichkeiten haben, Angriffe zu stoppen, bevor Lösegeldforderungen eintreffen. Die Singularity Platform von SentinelOne adressiert jede Angriffsphase mit Funktionen, die darauf ausgelegt sind, die Erpressungskette zu unterbrechen, bevor die Verschlüsselung beginnt.

Singularity XDR erkennt Aufklärungsmuster, indem AdFind-Abfragen gegen Domänencontroller, übergeordnete Prozesse, die Enumeration-Tools starten, und externe IP-Adressen, die Ergebnisse empfangen, korreliert werden. Purple AI beschleunigt Untersuchungen durch natürliche Sprachabfragen wie „zeige mir alle Systeme, auf die dieses kompromittierte Konto in den letzten 72 Stunden zugegriffen hat“. Purple AI reduziert die Untersuchungszeit um bis zu 80 % und ermöglicht es Ihrem Team, Datenexfiltration zu stoppen, bevor die Verschlüsselung ausgeführt wird.

Storyline rekonstruiert vollständige Angriffsketten, indem Prozessausführungen, Dateimodifikationen und Netzwerkverbindungen zu einheitlichen Zeitachsen korreliert werden. In MITRE ATT&CK-Bewertungen generierte die Singularity Platform 88 % weniger Alerts als Wettbewerber: nur 12 Alerts im Vergleich zu 178.000 anderer Plattformen.

Ranger bietet kontinuierliche Asset Discovery, um unverwaltete Geräte und Schatten-IT zu finden, die Standardzugangsdaten enthalten könnten. Laut CISA Advisory AA23-278A missbrauchen Angreifer regelmäßig Standardzugangsdaten auf VPN-Gateways und Administrationsportalen.

Vereinbaren Sie eine SentinelOne-Demo, um diese Funktionen in Ihrer Umgebung zu erleben.

Wichtige Erkenntnisse

Cyber-Erpressung hat sich von einfacher Ransomware zu mehrstufigen Kampagnen entwickelt, die Datendiebstahl, DDoS-Angriffe und Angriffe auf die Lieferkette kombinieren. Das FBI dokumentierte 2024 einen Anstieg der Erpressungsbeschwerden um 134 %, wobei Angreifer Tage oder Wochen in Netzwerken verbringen, bevor sie verschlüsseln. Dieser verlängerte Zeitraum schafft mehrere Verteidigungsfenster, in denen Sie Angriffe während der Aufklärung, des Zugangsdaten-Diebstahls oder der Datenexfiltration stoppen können.

Die Verteidigung gegen diese Kampagnen erfordert einen Wechsel vom Erkennen von Malware bei der Verschlüsselung hin zum Erkennen von Angreiferverhalten Tage zuvor. Singularity XDR korreliert Aufklärungsmuster, Purple AI beschleunigt Untersuchungen mit natürlichen Sprachabfragen, Storyline rekonstruiert vollständige Angriffsketten und Ranger entdeckt unverwaltete Assets, bevor Angreifer sie ausnutzen.

FAQs

Cyber-Erpressung ist eine Kategorie der Cyberkriminalität, bei der Angreifer Systeme kompromittieren oder Daten stehlen und anschließend eine Zahlung fordern, um Schaden abzuwenden. Im Gegensatz zu einfachem Diebstahl beinhaltet Cyber-Erpressung fortlaufende Drohungen: zahlen oder mit Verschlüsselung, Datenveröffentlichung oder Betriebsunterbrechung rechnen. 

Die Verteidigung dagegen erfordert Fähigkeiten in Prävention, Identifikation und Reaktion.

Cyber-Erpresser wählen Ziele basierend auf Umsatz, Zahlungsfähigkeit, Daten-Sensibilität, Status als kritische Infrastruktur und Cyber-Versicherung aus. Die am häufigsten angegriffenen Sektoren sind Fertigung, Finanzdienstleistungen und Gesundheitswesen. 

Angreifer nehmen zudem Organisationen mit betrieblicher Dringlichkeit ins Visier, darunter Krankenhäuser, die die Patientenversorgung nicht verzögern können, und Hersteller mit Just-in-Time-Produktionsplänen.

Cyber-Erpressungsangriffe nutzen spezifische Sicherheitslücken aus. Laut der CISA-Warnung zu Fehlkonfigurationen in der IT-Sicherheit nutzen Angreifer ungepatchte Schwachstellen aus und missbrauchen Standardanmeldedaten für VPN- und Administrationszugänge. 

Wirksame Cybersicherheitsprogramme adressieren diese Angriffsvektoren durch konsequentes Patch-Management, Verwaltung von Zugangsdaten und Sicherheitsüberwachung.

Traditionelle Ransomware verschlüsselt Daten und fordert eine Zahlung für Entschlüsselungsschlüssel. Moderne Cyber-Erpressung kombiniert mehrere Druckmittel: Datendiebstahl mit Androhung der Veröffentlichung, DDoS-Angriffe während der Verhandlungen und Angriffe auf die Lieferkette. Jede zusätzliche Taktik erhöht den Druck auf das Opfer, zu zahlen.

CISA rät ausdrücklich davon ab, Lösegeld zu zahlen, da eine Zahlung weder die Entschlüsselung noch das Unterlassen der Veröffentlichung gestohlener Daten garantiert. 

Viele zahlende Opfer erlebten wiederholte Angriffe oder unvollständige Entschlüsselung. Setzen Sie Ressourcen stattdessen für Backup-Wiederherstellung und forensische Untersuchungen ein.

FBI-Ermittlungen dokumentieren, dass fortgeschrittene Bedrohungsakteure Tage oder Wochen in Netzwerken verbringen, bevor Ransomware eingesetzt wird. Die Play-Ransomware-Analyse von CISA zeigt, dass Angreifer Active Directory-Rekognoszierung durchführen, Backup-Infrastrukturen kartieren und Daten über längere Zeiträume exfiltrieren, bevor sie verschlüsseln.

Kritische Sektoren wie Fertigung, Gesundheitswesen, Energie, Transport und Finanzdienstleistungen sind überproportional betroffen. 

Angreifer wählen Ziele basierend auf Umsatz, Zahlungsfähigkeit, Datenempfindlichkeit, Status als kritische Infrastruktur und Cyber-Versicherungsdeckung aus.

Die Ransomware-Checkliste von CISA verlangt, dass Sie betroffene Systeme sofort vom Netzwerk isolieren, sie jedoch eingeschaltet lassen, um forensische Beweise zu erhalten. Kontaktieren Sie gleichzeitig Ihre IT-Abteilung, den Managed Security Service Provider, die Cyber-Versicherung und die Abteilungsleitung.

Erfahren Sie mehr über Intelligente Bedrohung

Was ist polymorphe Malware? Beispiele und HerausforderungenIntelligente Bedrohung

Was ist polymorphe Malware? Beispiele und Herausforderungen

Polymorphe Malware ändert ihren Code, um einer Erkennung zu entgehen. Machen Sie sich mit ihren Eigenschaften vertraut und lernen Sie, wie Sie sich vor dieser adaptiven Bedrohung schützen können.

Mehr lesen
Was ist Adware? Tipps zur Erkennung und PräventionIntelligente Bedrohung

Was ist Adware? Tipps zur Erkennung und Prävention

Dieser ausführliche Leitfaden erklärt Adware und behandelt dabei Definition, Infektionswege, Erkennungsmethoden und Tipps zur Vorbeugung. Erfahren Sie, wie Sie Adware entfernen, Geräte sichern und Unternehmen vor Adware-Bedrohungen schützen können.

Mehr lesen
Was sind Indikatoren für Kompromittierung (IoCs)?Intelligente Bedrohung

Was sind Indikatoren für Kompromittierung (IoCs)?

Mehr lesen
Was ist ein Exploit in der Cybersicherheit?Intelligente Bedrohung

Was ist ein Exploit in der Cybersicherheit?

Es ist entscheidend, Exploits zu verstehen und sich dagegen zu schützen. Informieren Sie sich über die verschiedenen Arten von Exploits und die praktischen Maßnahmen, mit denen Sie Ihre Systeme vor potenziellen Bedrohungen schützen können.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch