Das hier ist ein vollständig KI generierter Artikel.

Cyber-Erpressung ist längst nicht mehr gleichbedeutend mit klassischer Ransomware. Immer häufiger setzen Angreifer auf reine Datendiebstahl- und Erpressungskampagnen, bei denen keine Verschlüsselung mehr nötig ist, um Zahlungen zu erzwingen. Getrieben von regulatorischem Druck, steigenden Bußgeldern und einem professionellen Untergrundmarkt verschiebt sich die Ökonomie der Erpressung – mit spürbaren Folgen für Unternehmen aller Grössen.

Vom Verschlüsseln zum Blossstellen: Der Trend zur Daten-only-Erpressung

Incident-Response-Daten zeigen einen klaren Trend: Der Anteil von Fällen, in denen Verschlüsselung als Erpressungshebel genutzt wird, sinkt. Parallel dazu nehmen Kampagnen zu, bei denen Angreifer ausschliesslich Daten exfiltrieren und mit deren Veröffentlichung drohen. Andere Sicherheitsanbieter beobachten Ähnliches: Der Anteil von Vorfällen, die auf reinen Datendiebstahl und Erpressung setzen, ist in den letzten Jahren deutlich gestiegen.

Mehrere Faktoren treiben diese Entwicklung:

  • Bessere Backups und Recovery: Viele Unternehmen können Systeme inzwischen relativ schnell neu aufsetzen und Daten aus Backups wiederherstellen. Reine Verschlüsselung verliert damit an Schlagkraft.
  • Reifere Endpoint-Sicherheit: Moderne EDR-Lösungen erkennen und stoppen Ransomware häufiger frühzeitig, bevor eine flächendeckende Verschlüsselung gelingt.
  • Schnelle Exfiltration: Angreifer sind in der Lage, innerhalb von Minuten sensible Daten abzufliessen – in Einzelfällen in unter einer Minute vom Erstzugriff bis zur Exfiltration.
  • Regulatorischer Druck: Strenge Meldepflichten und hohe Datenschutz-Bussgelder machen schon die blosse Drohung mit einer Veröffentlichung zu einem wirksamen Hebel.

Besonders betroffen sind Professional Services, Gesundheitswesen und Consumer Services, wobei Angreifer sich auffällig oft auf mittelgrosse Unternehmen konzentrieren. Im Industriesektor bleibt die Fertigung zwar stark betroffen, doch insbesondere die Baubranche verzeichnet einen markanten Anstieg von Daten-only-Erpressungen – unter anderem wegen wertvoller Angebots- und Projektdaten.

Compliance als Waffe: Wenn Regulierung zum Erpressungshebel wird

Die aktuelle Erpressungsökonomie baut direkt auf einem eng regulierten Datenschutz- und Compliance-Umfeld auf. Vorgaben wie die 4-Tage-Meldepflicht der US-Börsenaufsicht SEC oder die 72-Stunden-Regel der DSGVO erzeugen einen regelrechten Countdown für betroffene Organisationen. Angreifer nutzen dieses Zeitfenster gezielt, um rasch zu verhandeln, bevor interne Analysen abgeschlossen sind.

Die wirtschaftlichen Folgen von Datenlecks sind erheblich: Neben direkten Bussgeldern drohen Sammelklagen, forensische Kosten, Benachrichtigungspflichten und langfristige Reputationsschäden. Durchschnittliche Kosten pro Daten-Erpressungsfall liegen im mehrstelligen Millionenbereich, bei grossen US-Vorfällen deutlich darüber. Für Angreifer ist damit klar: Sie müssen keine Systeme mehr lahmlegen, wenn allein die Aussicht auf regulatorische und juristische Konsequenzen Unternehmen zu Zahlungen bewegen kann.

Unterschiedliche Einstiegswege: Supply Chain vs. Social Engineering

Aktive Erpressungsgruppen unterscheiden sich vor allem in ihren Methoden für den Erstzugriff und in der Anzahl der eingesetzten Druckmittel.

Supply-Chain-Kompromittierung: Einige Gruppen setzen auf Angriffe über die Software-Lieferkette. Sie kompromittieren Build-Prozesse oder Distributionskanäle, injizieren bösartigen Code in legitime Software und verteilen so ihre Malware breit. Einmal installiert, zielt diese auf sensible Geheimnisse wie Cloud-Token, SSH-Schlüssel oder Kubernetes-Secrets und exfiltriert sie automatisiert.

Solche Gruppen arbeiten zunehmend arbeitsteilig mit Ransomware-as-a-Service- (RaaS) und Extortion-as-a-Service- (EaaS) Betreibern zusammen. Während die einen für initialen Zugang und Datendiebstahl sorgen, übernehmen andere die Monetarisierung über Erpressungsplattformen und Leak-Sites. Die Veröffentlichung von Werkzeugen als Open Source im Untergrund erschwert zusätzlich die Attribution, da Nachahmer dieselben Tools in eigenen Kampagnen einsetzen können.

Vishing und SaaS-Fokus: Andere Akteure konzentrieren sich auf Cloud- und SaaS-Umgebungen. Sie nutzen Vishing – also telefonische Täuschung – um Mitarbeitende auf Phishing-Seiten zu lotsen, Zugangsdaten und MFA-Codes abzugreifen und anschliessend eigene Geräte zu registrieren. So etablieren sie dauerhafte Zugänge zu Kunden-Tenants und können dort gezielt Daten abziehen.

Diese Gruppen kombinieren Datendiebstahl häufig mit weiteren Druckmitteln wie DDoS-Angriffen oder gezielten Informationslecks an Medien, um den öffentlichen Druck auf das Opfer zu erhöhen. Gemeinsame Merkmale sind ein stark standardisiertes Vorgehen, wiederverwendete Kommunikationskanäle (z.B. feste Messenger-IDs) und der Betrieb eigener Tor-basierter Leak-Sites.

Frontier-AI-Modelle als Beschleuniger

Mit der Verfügbarkeit leistungsfähiger Frontier-AI-Modelle verändert sich auch die Arbeitsweise von Erpressungsgruppen. KI kann Angreifern helfen, grosse Datenmengen schneller zu sichten, sensible Informationen zu identifizieren und zielgerichtete Drohszenarien zu formulieren. Zudem lassen sich Social-Engineering-Kampagnen – etwa Vishing-Skripte oder überzeugende Phishing-Inhalte – effizienter und in höherer Qualität erstellen.

Für Verteidiger bedeutet dies, dass klassische Signatur- und Mustererkennung allein nicht mehr ausreicht. Notwendig sind KI-gestützte Detektionsmechanismen, die Anomalien im Datenabfluss, ungewöhnliche Zugriffsprofile in SaaS-Umgebungen und verdächtige Aktivitäten entlang der Lieferkette frühzeitig erkennen können.

Was Organisationen jetzt tun sollten

Um sich gegen die neue Erpressungsökonomie zu wappnen, sollten Unternehmen mehrere Ebenen adressieren:

  • Datenklassifizierung und -minimierung: Wissen, wo welche sensiblen Daten liegen, und unnötige Datenbestände reduzieren.
  • Starke Identitäts- und Zugriffsverwaltung: Harter Schutz von Admin- und Cloud-Konten, konsequente MFA, Überwachung von Anomalien in SaaS-Tenants.
  • Supply-Chain-Sicherheit: Prüfung von Build-Pipelines, Signierung von Artefakten, Monitoring von Abhängigkeiten und Drittsoftware.
  • Exfiltrationsschutz: Technische Kontrollen für Datenabfluss (DLP, egress-Kontrollen, Netzwerksegmentierung) und Überwachung ungewöhnlicher Transfers.
  • Regulatorische Vorbereitung: Klare Prozesse für Meldepflichten, abgestimmte Kommunikation mit Aufsichtsbehörden und Rechtsabteilung, vorab definierte Entscheidungswege für Krisenfälle.
  • Übungen und Playbooks: Regelmässige Tabletop-Übungen zu Daten-Erpressungsszenarien, inklusive Umgang mit Leak-Sites und Medienanfragen.

Fazit

Die Cyber-Erpressungsökonomie hat sich aus dem Schatten klassischer Ransomware gelöst. Reine Datendiebstahl- und Erpressungskampagnen, unterstützt durch arbeitsteilige Untergrundstrukturen und Frontier-AI-Modelle, setzen Unternehmen zunehmend unter Druck – nicht mehr primär durch Betriebsunterbrechungen, sondern durch regulatorische, juristische und reputative Risiken. Wer seine Sicherheitsstrategie weiterhin nur auf die Abwehr von Verschlüsselungsangriffen ausrichtet, unterschätzt die Dynamik dieser Entwicklung. Entscheidend ist ein ganzheitlicher Ansatz, der Daten, Identitäten, Lieferketten und Compliance gleichermassen berücksichtigt und auf schnelle Erkennung sowie strukturierte Reaktion ausgelegt ist.

Quelle: https://unit42.paloaltonetworks.com/cyber-extortion-economy/