Wie ein Ransomware-Angriff wirklich abläuft

Und warum Unternehmenskultur dabei eine größere Rolle spielt, als viele denken

Wenn über Cyberangriffe gesprochen wird, entsteht oft das Bild eines einzelnen Moments: eine E-Mail wird geöffnet, ein falscher Link angeklickt, und kurz darauf sind alle Systeme verschlüsselt. Diese Vorstellung ist verständlich, aber sie greift zu kurz. Die meisten erfolgreichen Angriffe folgen keinem spontanen Muster, sondern entwickeln sich über einen längeren Zeitraum. Besonders deutlich wird das bei sogenannten Advanced Persistent Threats (APT) – Angriffen, bei denen sich Angreifer Schritt für Schritt Zugang verschaffen, sich im Netzwerk ausbreiten und erst dann zuschlagen, wenn sie sicher sind, dass ihre Aktion maximale Wirkung entfaltet. Der eigentliche Angriff ist also häufig nur das sichtbare Ende einer deutlich längeren Geschichte.

Am Anfang steht fast immer eine Phase der Vorbereitung. Angreifer sammeln Informationen über ein Unternehmen, seine Struktur, seine Mitarbeitenden und seine technischen Systeme. Vieles davon lässt sich erstaunlich leicht herausfinden: über Unternehmenswebseiten, soziale Netzwerke oder öffentlich zugängliche Dokumente. Ziel dieser Recherche ist es, ein möglichst glaubwürdiges Einstiegsszenario zu entwickeln – etwa eine E-Mail, die so wirkt, als käme sie von einem Kollegen, einem Dienstleister oder einer bekannten Organisation.

Der eigentliche Einstieg in das Unternehmen erfolgt anschließend oft erstaunlich unspektakulär. Eine täuschend echte Nachricht, ein kompromittierter Zugang oder eine bisher unentdeckte Schwachstelle können ausreichen. In vielen Fällen merkt zunächst niemand, dass etwas passiert ist. Genau darauf setzen die Angreifer. Denn der erste Zugang ist selten ihr eigentliches Ziel.

Nach diesem Einstieg beginnt die Phase, die den Begriff „persistent“ oder eben "hartnäckig" erklärt. Angreifer bewegen sich langsam durch das Netzwerk, erkunden Systeme, erweitern ihre Zugriffsrechte und versuchen herauszufinden, wo sich besonders kritische Daten oder zentrale Systeme befinden. Parallel dazu suchen sie nach Sicherheitsmechanismen, nach Backup-Strukturen oder nach Möglichkeiten, ihre Spuren zu verwischen. Dieser Prozess kann Tage oder Wochen dauern. Für Außenstehende wirkt er oft wie ganz normaler Systemverkehr.

Erst wenn die Angreifer sicher sind, dass sie ausreichend Kontrolle gewonnen haben, beginnt die letzte Phase: die eigentliche Ransomware-Attacke. Systeme werden gleichzeitig verschlüsselt, Daten werden unzugänglich, und häufig erscheint kurz darauf eine Lösegeldforderung. Für das betroffene Unternehmen wirkt dies wie ein plötzlicher Katastrophenfall, tatsächlich ist es jedoch das Ergebnis eines Angriffs, der lange vorher begonnen hat.

Interessant – und für viele Führungskräfte zunächst überraschend – ist allerdings, dass der Erfolg solcher Angriffe oft weniger von Technik als von Organisation und Kultur abhängt.

In Unternehmen mit einer offenen Fehlerkultur passiert nämlich etwas Entscheidendes: Auffälligkeiten werden eher gemeldet. Wenn eine Mitarbeiterin bemerkt, dass ihr Rechner plötzlich ungewöhnlich langsam reagiert, oder wenn ein Administrator einen merkwürdigen Zugriff im Log entdeckt, wird dies eher angesprochen, untersucht und gegebenenfalls eskaliert. Fehler gelten hier nicht als persönliches Versagen, sondern als Hinweis darauf, dass im System etwas gelernt werden kann. Dadurch entstehen frühe Signale, die helfen können, einen Angriff bereits in der Ausbreitungsphase zu erkennen.

Ganz anders sieht es in Organisationen aus, in denen Fehler vor allem mit Schuldzuweisungen verbunden sind – oder in denen sich schlicht niemand zuständig fühlt. In einer solchen Umgebung wird eine ungewöhnliche Beobachtung eher für sich behalten. Vielleicht, weil niemand als Auslöser eines Problems gelten möchte. Vielleicht aber auch, weil die Erfahrung zeigt, dass Hinweise ohnehin nicht ernst genommen werden. Der Unterschied mag zunächst klein erscheinen, hat aber enorme Auswirkungen. Denn ein Angriff, der früh entdeckt wird, lässt sich oft noch stoppen. Ein Angriff, der wochenlang unbemerkt bleibt, entwickelt eine ganz andere Dynamik.

Die Ergebnisse der Gallup-Studie zum Engagement deutscher Beschäftigter liefern dazu einen interessanten Hintergrund. Seit Jahren zeigt sie, dass ein großer Teil der Beschäftigten nur eine geringe emotionale Bindung an ihr Unternehmen hat. Viele machen ihre Arbeit zwar zuverlässig, fühlen sich jedoch weder besonders verantwortlich für das Gesamtergebnis noch motiviert, über das unbedingt Notwendige hinauszugehen. Ein kleinerer Teil der Mitarbeitenden hat innerlich sogar vollständig gekündigt. In einer solchen Konstellation entsteht ein Umfeld, in dem Hinweise auf Probleme – seien es organisatorische oder technische – häufig gar nicht erst ausgesprochen werden.

Überträgt man diese Erkenntnis auf das Thema Cybersecurity, wird deutlich, warum Angriffe oft lange unentdeckt bleiben. Ein Unternehmen kann über moderne Sicherheitstechnologie verfügen und dennoch verwundbar sein, wenn Beobachtungen nicht geteilt werden, Zuständigkeiten unklar sind oder Mitarbeitende den Eindruck haben, dass ihre Hinweise ohnehin nichts verändern.

Die Frage, ob ein Angriff früh erkannt wird oder erst dann, wenn bereits Systeme verschlüsselt sind, entscheidet sich deshalb häufig nicht allein im Rechenzentrum, sondern im Alltag der Organisation. In Gesprächen zwischen Kolleginnen und Kollegen. In der Art und Weise, wie mit Fehlern umgegangen wird. Und letztlich auch in der Frage, ob Menschen sich als Teil eines gemeinsamen Systems verstehen – oder nur als jemand, der seine Aufgabe möglichst unauffällig erledigt.

Fazit

Wer verstehen möchte, wie moderne Cyberangriffe funktionieren, sollte deshalb nicht nur auf Firewalls, Backups oder Sicherheitssoftware schauen. Ebenso wichtig ist ein Blick auf die eigene Organisationskultur. Denn Angreifer nutzen nicht nur technische Schwachstellen aus, sondern auch strukturelle – und die entstehen oft dort, wo Unsicherheit, Angst oder Gleichgültigkeit verhindern, dass Probleme offen angesprochen werden.

👉 Wir helfen dir und deinem Unternehmen dabei, mehr Cyberresillienz aufzubauen.

Kontaktiere uns gern oder buche unverbindlich einen Beratungstermin mit uns.