Die Schlagzeilen verkünden es regelmäßig: Ransomware-Gruppe zerschlagen, Server beschlagnahmt, Verhaftungen durchgeführt. Und dann, ein paar Wochen später, tauchen die gleichen Akteure unter neuem Namen wieder auf. Das Katz-und-Maus-Spiel geht weiter – und die Mäuse werden immer cleverer.
2026 steht im Zeichen einer Ransomware-Landschaft, die sich fundamental gewandelt hat. Die Zahlen erzählen nur einen Teil der Geschichte: 678 gemeldete Angriffe allein im Januar 2026, ein Anstieg von 10% gegenüber dem Vorjahr. Aber hinter diesen Zahlen verbirgt sich eine Evolution, die jeden Security-Verantwortlichen beschäftigen sollte.
Die paradoxe Situation: Weniger Lösegeld, mehr Schaden
Hier ist etwas Interessantes: Die Anzahl durchschnittlicher Lösegeldzahlungen ist gesunken. Mehr Organisationen weigern sich zu zahlen, setzen auf Backups und arbeiten mit Strafverfolgungsbehörden zusammen. Das klingt nach guten Nachrichten, oder?
Nicht ganz. Denn gleichzeitig steigen die Gesamtkosten von Ransomware-Vorfällen weiter an. Ausfallzeiten, Wiederherstellung, Incident Response, Reputationsschäden, regulatorische Konsequenzen – die indirekten Kosten übersteigen oft das ursprüngliche Lösegeld bei weitem.Die Angreifer haben daraus gelernt. Wenn Verschlüsselung allein nicht mehr ausreicht, um Zahlungen zu erzwingen, müssen halt andere Druckmittel her.
Der Trend zur Datenexfiltration
Double Extortion ist nicht neu – die Kombination aus Verschlüsselung und Datendiebstahl gibt es seit Jahren. Aber der Fokus verschiebt sich. Immer mehr Gruppen setzen primär auf Datenexfiltration, manchmal sogar ohne zu verschlüsseln.
Warum? Weil gestohlene Daten ein langfristiger Hebel sind. Die Drohung, sensible Informationen, Kundendaten, Geschäftsgeheimnisse, interne Kommunikation zu veröffentlichen, ist oft wirksamer als die Drohung, Systeme lahmzulegen. Vor allem in regulierten Branchen, wo eine Veröffentlichung automatisch Meldepflichten und potenzielle Strafen nach sich zieht.
Die Konsequenz für die Verteidiger: Es reicht nicht mehr, gute Backups zu haben. Wenn die Daten bereits exfiltriert sind, hilft das beste Backup nicht gegen eine Erpressung.
Die neuen Geschäftsmodelle
Ransomware-as-a-Service (RaaS) ist seit Jahren das dominante Modell. Aber auch hier verändert sich etwas.
Nach mehreren hochkarätigen Takedowns, von LockBit bis AlphV/BlackCat, haben viele Affiliates das Vertrauen in große RaaS-Operationen verloren. Die Reaktion: Fragmentierung. Kleinere, agilere Gruppen operieren unabhängig und/oder wechseln häufiger zwischen verschiedenen Plattformen.
Gleichzeitig müssen die verbliebenen RaaS-Anbieter immer mehr bieten, um Affiliates zu halten. Recorded Future berichtet von einem Trend zu „Mehrwertdiensten“: DDoS-Capabilities zusätzlich zur Ransomware, technischer Support, Verhandlungsunterstützung. Die Professionalisierung schreitet stetig voran.
Ein weiterer Trend: Die Globalisierung. Recorded Future prognostiziert, dass 2026 erstmals mehr neue Ransomware-Akteure außerhalb Russlands auftauchen werden als innerhalb. Das bedeutet nicht, dass russische Gruppen weniger aktiv sind – es bedeutet, dass das Geschäftsmodell weltweit immer ehr Nachahmer findet.
Insider-Bedrohungen nehmen zu
Ein besonders besorgniserregender Trend: Die aktive Rekrutierung von Unternehmensinsidern durch Ransomware-Gruppen. Es gab bereits dokumentierte Fälle, in denen Angreifer versuchten, Mitarbeiter von Zielunternehmen anzuwerben um sie für den initialen Zugang zu nutzen, für deren Credentials, für deren Informationen über interne Systeme.´
Wenn klassische Angriffsvektoren versagen, weil die technischen Kontrollen zu gut sind, wird der Mensch zum attraktiven Ziel. Und in Zeiten von Entlassungswellen und wirtschaftlicher Unsicherheit gibt es auch Mitarbeiter, die für das richtige Angebot empfänglich sein könnten.
Die FBI warnt bereits: Ransomware-Gruppen nutzen Gig-Work-Plattformen, um Angriffe durchzuführen, wenn Remote-Methoden scheitern. Die Grenzen zwischen Cyberkriminalität und klassischer Wirtschaftskriminalität verschwimmen immer mehr.
Die am stärksten betroffenen Branchen
Die üblichen Verdächtigen bleiben auf der Liste.
Healthcare leidet weiterhin überproportional. Die Kombination aus sensiblen Patientendaten, Legacy-Systemen und dem operativen Druck, schnell wieder funktionsfähig zu sein, macht Krankenhäuser zu attraktiven Zielen. Der Trend zur Datenexfiltration trifft diese Branche besonders hart. Patientendaten sind nicht nur schützenswert, sondern auch hochgradig reguliert.
Manufacturing sieht sich einer besonderen Herausforderung gegenüber: Die Konvergenz von IT und OT sind hier die Treiber. Wenn ein Ransomware-Angriff die Produktionslinien stoppt, zählen nicht nur die IT-Kosten, sondern reale Umsatzausfälle pro Stunde. Die Erpressungshebel sind dementsprechend groß.
Education bleibt mit durchschnittlich 4.364 Angriffen pro Organisation und Woche der am stärksten attackierte Sektor. Große Angriffsflächen, verteilte Netzwerke, oft knappe Security-Budgets – die perfekte Kombination für die Angreifer.
Telecommunications rückt in die Top 3 der angegriffenen Branchen auf. Die zunehmende Abhängigkeit von Konnektivität macht Telekom-Infrastruktur zu einem strategisch wertvollen Ziel.
Und dann sind da die kleinen und mittleren Unternehmen. Sie machen einen erheblichen Anteil der Ransomware-Opfer aus, weil Angreifer davon ausgehen, dass die Security-Reife viel niedriger und die Zahlungsbereitschaft auch höher ist.
Die Qilin-Ära
Im Januar 2026 führte Qilin die globale Ransomware-Aktivität an. 15% aller gemeldeten Angriffe gehen auf deren Kappe. Nach der Implosion von RansomHub hat Qilin aggressiv Affiliates rekrutiert und die Schlagzahl erhöht.
Qilin – ursprünglich unter dem Namen „Agenda“ aktiv, operiert seit 2022 und hat sich mit einem Rust-basierten Encryptor und einer ausgefeilten RaaS-Infrastruktur etabliert. Die Gruppe bietet Affiliates ein vollständiges Toolkit: Encryptor, Verhandlungsinfrastruktur, Support-Services.
LockBit folgt mit 12% der Angriffe, trotz aller Bemühungen der Strafverfolgungsbehörden, die Gruppe zu zerschlagen. Akira (9%) rundet die Top 3 ab, mit besonderem Fokus auf Windows, Linux und ESXi-Systeme.
Was die Zahlen für dich bedeuten
Die Statistiken sind beeindruckend – oder beängstigend, je nach Perspektive. Aber was bedeuten sie konkret für deine Organisation?
Backup ist notwendig, aber nicht hinreichend. Wenn dein einziger Plan gegen Ransomware „wir stellen aus dem Backup wieder her“ lautet, bist du nicht vorbereitet. Die Daten sind dann bereits draußen, die Erpressung läuft trotzdem.
Detection wird wichtiger als Prevention. Natürlich sollst du verhindern, was du verhindern kannst. Aber in einer Welt, in der Angreifer immer kreativ werden und auch Insider rekrutieren, wird die Früherkennung zum entscheidenden Faktor. Je schneller du einen Eindringling oder malicious Insider bemerkst, desto weniger kann er exfiltrieren.
Identity ist das neue Perimeter. Credential Harvesting ist der Angriffsvektor Nummer eins. Multi-Faktor-Authentifizierung, privilegiertes Zugriffsmanagement, Zero Trust. Das sind keine Nice-to-haves mehr sondern das sind nun deine Grundlagen.
Insider-Threat-Programme verdienen Aufmerksamkeit. Nicht weil du deinen Mitarbeitern misstraust, sondern weil Angreifer es auf sie abgesehen haben. Awareness-Training sollte auch diesen Aspekt abdecken: Was tun, wenn jemand versucht, mich zu rekrutieren?
Incident Response muss man nicht nur planen sondern auch üben. Nicht wenn der Angriff passiert, sondern vorher. Tabletop-Übungen, Simulationen, klare Eskalationswege! Wenn die Ransomware zuschlägt, ist keine Zeit mehr für Improvisation.
Die unbequeme Wahrheit
Ransomware wird nicht verschwinden. Die Takedowns der letzten Jahre haben gezeigt, dass Strafverfolgung möglich ist, aber leider auch, dass das Geschäftsmodell zu profitabel ist, um dauerhaft gestoppt werden zu können. Die Akteure passen sich rasant schnell an die neuen Umständen an und diversifizieren und fragmentieren sich entsprechend.
Zum Schluss noch die gute Nachricht: Die Grundlagen der Verteidigung sind bekannt. Patching, MFA, Segmentierung, Detection, Backup, Incident Response. Nichts davon ist Raketenwissenschaft. Die schlechte Nachricht: Viele Organisationen tun sich immer noch schwer damit, diese Grundlagen auch konsequent umzusetzen.
Ransomware 2026 ist komplexer als Ransomware 2020. Aber die Antwort kann nicht sein einfach aufzugeben. Die richtige Antwort muss sein immer besser zu werden. Schneller zu patchen. Früher zu detektieren. Kurzum – Einfach besser vorbereitet zu sein.
Der Kampf geht weiter. Gehens wir an!
—
Quellen:
– Check Point Research: „Global Cyber Attacks Rise in January 2026″
– Recorded Future: „New ransomware tactics to watch out for in 2026″
– Cyble: „10 New Ransomware Groups of 2025 & Threat Trends for 2026″
– VikingCloud: „46 Ransomware Statistics and Trends Report 2026″
– Integrity360: „The Reality of Ransomware: What you need to know in 2026″