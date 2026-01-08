Eine Anwältin aus der Steiermark, ein Dachdecker aus Niederösterreich und ein Pharmaunternehmen aus Wien sind die letzten bekannten Opfer von Ransomware-Attacken in Österreich. Insgesamt wurden im vergangenen Jahr nach Cyberangriffen mit erpresserischer Software Daten von 37 heimischen Firmen von Cyberkriminellen veröffentlicht, wie eine Auswertung der auf das Monitoring im Darknet spezialisierten Sicherheitsfirma Risikomonitor zeigt.

Die tatsächliche Zahl der Angriffe dürfte weit höher sein. Denn auf den einschlägigen Plattformen tauchen Opfer nur dann auf, wenn sie den Forderungen der Angreifer nicht nachgeben. Manuel Löw-Beer von Risikomonitor schätzt die Zahl der attackierten Firmen auf bis zu zehn Mal so hoch.

Ransomware-Angriffe Ransomware-Angriffe sind Schadsoftware-Attacken, bei denen Angreifer Daten oder Systeme verschlüsseln und von Firmen oder Privatpersonen Lösegeld fordern, um den Zugriff wiederherzustellen. Moderne Varianten nutzen „doppelte Erpressung“, indem sie Daten entwenden und bei Nichtbezahlung der Lösegeldforderung mit Veröffentlichung drohen. Auf 3,5 Mrd. Euro wird der jährliche Schaden durch die Attacken mit erpresserischer Software weltweit geschätzt. Verursacht wird er von professionell organisierten Angreifern.

Nicht alle Angriffe sind erfolgreich. Knapp ein Drittel der Unternehmen, bei denen Angriffe erfolgreich waren, dürften den Forderungen der Kriminellen nachgekommen sein, sagt Löw-Beer. Sein Unternehmen beobachtet die Aktivitäten von mehr als 1.660 Ransomware-Gruppen im Darknet, dem verborgenen Teil des Internets, der nur über spezielle Software erreichbar ist. Willkürliche Attacken Wie werden die Ziele ausgewählt? Dort, wo sich Gelegenheit bietet, wird angegriffen. Ihre Opfer finden die Angreifer über Bots, die Server automatisiert auf Schwachstellen untersuchen, oder über Phishing-Angriffe, bei denen Zugangsdaten zu Firmennetzwerken erbeutet werden. Dass Unternehmen gezielt ausgewählt werden, komme selten vor, sagt Löw-Beer. Die Banden, die zwischen 20 und 60 Mitarbeiter zählen, sind professionell organisiert. Opfern wird meist eine Schadensnummer zugewiesen, mit der sie sich auf einer Plattform anmelden können. Danach beginnen die Verhandlungen. Neben einem Helpdesk verfügen die Gangs meist auch über strategische und technische Abteilungen. „Sie sind organisiert wie Firmen“, sagt Löw-Beer. In Österreich sind laut der Risikomonitor-Statistik die beiden mutmaßlich aus Russland stammenden Gruppen Qilin und Incransom am aktivsten. Gefolgt von der chinesischen Lockbit3-Gang und dem Dienstleister Akira, der Schadsoftware an Kriminelle vermietet.

Copyright-Hinweis öffnen/schließen © Manuel Löw-Beer Manuel Löw-Beer beobachtet mit seiner Firme Risikomonitor mehr als 1.660 Cybergangs im Darknet.

Im Schnitt würden bei erfolgreichen Angriffen vier Bitcoin (nach aktuellem Kurs rund 315.000 Euro) an Lösegeld für die Freigabe der Daten verlangt, erzählt Löw-Beer. Mit der Drohung, die Daten zu veröffentlichen, wird zusätzlich Druck gemacht. Mit einer professionellen Verhandlungsführung könnten die Forderungen bis auf ein Viertel der ursprünglichen Summe heruntergehandelt werden, sagt Löw-Beer: „Die Angreifer wollen möglichst schnell Geld.“ Betroffenen Firmen rät er, sich professionelle Hilfe zu suchen. Bezahlen sollte man nur, wenn man sonst keine andere Wahl habe. Löw-Beer empfiehlt auch, sich bei etwaigen Zahlungen rechtlich beraten zu lassen. Rechtliche Fragen Zu prüfen sei etwa, ob die Gruppe auf einer Sanktionsliste stehe, sagt der auf Cyberkriminalität spezialisierte Anwalt Roman Taudes. Bei Lösegeldzahlungen leiste man in der Regel einen Beitrag an eine kriminelle Organisation. Strafen könne man sich durch einen entschuldigenden Notstand entziehen. Wenn etwa die Auswirkungen auf Mitarbeiter, Kunden oder das Unternehmen schwerer wiegen als die Beteiligung an einer kriminellen Vereinigung. Taudes rät Firmen, auf jeden Fall mit den Angreifern zu verhandeln. So bestehe die Möglichkeit, an Informationen zu kommen, die helfen, die Krisensituation schneller zu bewältigen. Er habe schon Fälle gehabt, bei denen die Angreifer die Daten gar nicht exfiltriert hätten, sagt Taudes. Das Lösegeld tatsächlich bezahlen würden weniger als die Hälfte seiner Kunden, erzählt der Anwalt. Was ist, wenn die Angreifer die Daten trotz Zahlung nicht freigeben? Solche Fälle habe er noch nicht gehabt, sagt Taudes. Die Angreifer seien zwar Kriminelle, sie würden sich in der Regel aber an Vereinbarungen halten. Auch weil sie sonst ihr Geschäftsmodell zerstören würden. „Wenn sie das einmal machen, wird kein Opfer mehr bezahlen“, sagt Taudes.

Wie sich Firmen schützen können Um sich vor den Folgen von Ransomware-Angriffen zu schützen, sollten Firmen Back-ups ihrer Daten machen, rät der Wiener Sicherheitsexperte Manuel Löw-Beer. Wichtig sei, dass diese so verwahrt werden, dass sie nicht mit dem Internet verbunden sind. Auch Software-Aktualisierungen sollten regelmäßig durchgeführt werden. „Mit Updates kann man das Risiko verringern“, sagt Löw-Beer. Werden bisher unbekannte Sicherheitslücken, sogenannte Zero-Days, bekannt, sollten die betroffenen Systeme, bis ein Update zur Verfügung steht, abgeschaltet werden. Wichtig sei auch die Bewusstseinsbildung bei Mitarbeiterinnen und Mitarbeitern. Dabei rät der Experte, ihnen auch zu zeigen, welche ihrer Daten bereits auf einschlägigen Seiten in den dunklen Teilen des Internets verfügbar sind. „Die meisten sind dann geschockt und haben das wirkliche Interesse, mehr zu lernen“, sagt er. Überprüft werden können solche Datenleaks etwa, wenn man die entsprechenden eMail-Adressen auf Websites Have I Been Pwned, dem Identity Leak Checker des Hasso Platter Instituts oder dem Online Leak Checker eingibt.