Wie Ransomware-Gruppen ihre Opfer auswählen

Warum Opportunismus der größte Risikofaktor ist

 

1. Opportunistische Angriffe statt gezielter Auswahl

In einer aktuellen Studie zeigt die Sophos-X-Ops-CTU, dass die meisten Ransomware-Angriffe opportunistisch erfolgen und nicht auf bestimmte Branchen, Regionen oder Unternehmensgrößen abzielen. Entscheidend ist dabei, ob Angreifer bereits Zugang haben oder verhältnismässig leicht Zugang erhalten, etwa über kompromittierte Konten oder Schwachstellen in Internet-Diensten. Die CTU vermeidet daher bewusst den Begriff „targeting“ und spricht von zufallsabhängiger „victimization“.

 

2. Warum kleinere Unternehmen stärker betroffen sind

Kleinere Organisationen geraten besonders häufig ins Visier, weil sie aufgrund begrenzter Mittel, fehlender Security-Fachkräfte und lückenhafter Grundsicherung leichter zu kompromittieren sind. Sophos-Telemetriedaten belegen, dass ein Großteil der beobachteten RansomwareV-ersuche in kleinen Unternehmen stattfindet. Angreifer nutzen also diese geringere Widerstandsfähigkeit gezielt aus.

 

3. Regulierte Branchen: Hohe Hürden für Angreifer

Obwohl Branchen wie der Finanzsektor wirtschaftlich attraktiv wären, verzeichnen Forscher dort vergleichsweise weniger Angriffe. Der hohe Regulierungsgrad sorgt für robuste Mindeststandards, stabile Kontrollrahmen und geringere Angriffsflächen. Damit werden Banken und andere regulierte Institutionen für opportunistische Angreifer unattraktiv.

 

4. Gezielte Branchenangriffe sind selten – aber möglich

Gezielte Angriffswellen entstehen meistens dann, wenn eine weit verbreitete Schwachstelle in einer Branche ausgenutzt wird und dadurch ein sektoraler Effekt entsteht. Abseits davon gibt es aber auch Gruppen, die bewusst Sektoren mit hoher Zahlungsbereitschaft angreifen – insbesondere Bildung und Gesundheit.
Rhysida und Vice Society gelten laut CISA und Check Point Research als Beispiele dafür, da beide Gruppen wiederholt Einrichtungen im Gesundheits‑, Bildungs‑, Behörden- und Technologiesektor angegriffen haben.
Sophos weist jedoch darauf hin, dass solche Ausnahmen das Gesamtbild kaum verändern, denn die Mehrheit der Opfer bleibt breit über alle Branchen und Sektoren verteilt.

 

5. Was für die Abwehr wirklich zählt

Da die meisten Angriffe nicht von der Branche, sondern von der vorhandenen Angriffsfläche abhängen, ist eine akteursbezogene Abwehr wenig wirksam. Entscheidend sind robuste Basiskontrollen: Patch-Management, Phishing-resistente MFA, ein funktionierendes DER/MDR und unveränderliche Backups. Viele betroffene Unternehmen scheitern jedoch leider bereits an dieser Grundhygiene.

 

---

 

Ransomware‑Resilienz – die wichtigsten Prüfpunkte

 

MFA-Scope (phishingresistent)

• MFA für alle RemoteZugänge (VPN, VDI, RDP-Gateway, M365/SSO).
• Admin-Konten vollständig abgedeckt.
• FIDO2/Passkeys bevorzugen; SMS nur als Fallback.

 

Backup-Unveränderlichkeit

• Mindestens eine unveränderliche Kopie (WORM/Object-Lock).
• Backup-Identität getrennt von Domain-Admins; MFA für Backup-Konsole.
• Regelmäßige Restore‑Tests, dokumentierte RTO/RPO.

 

Patch-KPIs

• „Critical“ ≤ 7 Tage, „High“ ≤ 14 Tage, „Medium“ ≤ 30 Tage.
• Vollständige Asset-Coverage sicherstellen.
• Ausnahmen nur mit Risikoakzeptanz + Kompensationsmaßnahmen.

 

EDR-Use-Cases

• Erkennung von Credential-Dumping, RDP-Missbrauch, lateral movement, Deaktivierung von SecurityTools.
• Automatisierte Isolations/Containment-Playbooks für die ersten 30 Minuten.