Ransomware-as-a-Service (RaaS): Warum der Mittelstand das Ziel Nr. 1 ist

CyberLord Threat Intel

Ransomware-as-a-Service (RaaS): Warum der Mittelstand das Ziel Nr. 1 ist

Stellen Sie sich vor, Cyberkriminalität wäre ein Franchise-Unternehmen wie McDonald's.

Sie müssen kein technisches Genie sein, um eine Filiale zu eröffnen. Sie zahlen einfach eine Gebühr, bekommen die Ausrüstung, das Branding und die Anleitung. Den Gewinn teilen Sie mit der Zentrale.

Genau so funktioniert Ransomware-as-a-Service (RaaS) im Jahr 2025.

Es ist eine hochprofessionelle Industrie mit Support-Hotlines, Marketing-Abteilungen und Gewinnbeteiligungen. Und ihr liebstes Opfer ist nicht mehr der Großkonzern mit Millionen-Budget, sondern der deutsche Mittelstand: Das Ingenieurbüro in Stuttgart, der Handwerker in Hamburg, die Zahnarztpraxis in München.

Warum? Und wie können Sie sich wehren?

Das Geschäftsmodell: Wie RaaS funktioniert

Früher musste ein Hacker alles selbst machen: Den Virus programmieren, ins Netzwerk eindringen, die Verschlüsselung managen und das Geld waschen. Das war mühsam.

Heute gibt es Arbeitsteilung:

1. Die Operatoren (Die Bosse)

Gruppen wie LockBit, BlackCat oder Play. Sie sind die Software-Entwickler. Sie programmieren die extrem leistungsfähige Ransomware, die Server in Minuten verschlüsselt. Sie betreiben auch die "Leak Sites" im Darknet, wo Daten veröffentlicht werden.

2. Die Affiliates (Die Franchisenehmer)

Das sind die "Fußsoldaten". Sie mieten die Software von den Operatoren. Ihre einzige Aufgabe ist es, in Ihr Netzwerk einzubrechen (den Virus zu platzieren). Sie sind oft technisch weniger versiert und kaufen einfach gestohlene Passwörter im Darknet ("Initial Access Broker").

3. Das Geschäft

Wenn ein Angriff erfolgreich ist und das Opfer 100.000 € Lösegeld zahlt:

  • Bekommt der Affiliate oft 70-80% (für das Risiko).
  • Bekommt der Operator 20-30% (für die Bereitstellung der Software).

Dieses Modell hat die Einstiegshürde dramatisch gesenkt. Jeder Teenager mit krimineller Energie kann heute zum Erpresser werden.

Warum ausgerechnet KMU? (Kleine und mittlere Unternehmen)

Viele Geschäftsführer sagen uns: "Wir sind doch zu klein. Bei uns gibt es nichts zu holen. Die Hacker greifen doch sicher die Allianz oder VW an."

Das ist ein tödlicher Irrtum.

1. Das "Soft Target"-Prinzip

Großkonzerne haben ein Cyber-Defense-Team von 50 Leuten und geben Millionen für Sicherheit aus. Das ist harte Arbeit für Hacker. Ein Mittelständler hat oft nur einen externen "IT-Mann", der einmal die Woche vorbeischaut. Die Firewall ist 5 Jahre alt. Backups liegen unverschlüsselt auf dem Server. Für Hacker ist das "Low Hanging Fruit" (leicht pflückbares Obst).

2. Die Masse macht's

Hacker denken ökonomisch.

  • Einen Konzern zu hacken dauert 6 Monate für 5 Millionen Euro Lösegeld (hohes Risiko zu scheitern).
  • 100 Mittelständler zu hacken dauert 1 Woche (automatisiert) für je 50.000 Euro Lösegeld.
  • Ergebnis: 5 Millionen Euro, aber viel schneller und sicherer.

3. Existenzangst

Ein Konzern kann einen Ausfall von 3 Tagen verkraften. Ein Handwerksbetrieb, dessen Auftragsbücher und Baupläne verschlüsselt sind, geht nach 2 Wochen Pleite. Die Zahlungsbereitschaft im Mittelstand ist aus purer Verzweiflung extrem hoch.

Der Angriffsverlauf: Anatomie eines Hacks

Wie kommen sie rein? Es ist selten "Hollywood-Style".

  1. Phishing (Der Klassiker): Eine gefälschte Rechnung ("Mahnung") als PDF oder Word-Datei mit Makros. Ein Mitarbeiter klickt drauf.
  2. RDP (Remote Desktop): Viele Firmen nutzen Fernzugriff für Homeoffice. Wenn das Passwort schwach ist ("Firma2025!") oder keine 2-Faktor-Authentifizierung (MFA) aktiv ist, scannen Hacker das Internet danach und brechen ein.
  3. Ungepatchte Software: Eine Sicherheitslücke in der VPN-Box oder dem Exchange-Server, für die es seit 2 Monaten ein Update gibt, das aber niemand eingespielt hat.

Nach dem Einbruch: Sie verschlüsseln nicht sofort. Sie schauen sich um. Wochenlang.

  • Sie suchen Ihre Backups und löschen sie.
  • Sie stehlen Kundendaten für die Erpressung (Exfiltration).
  • Dann, meist an einem Freitagabend oder Feiertag (wenn niemand in die Logs schaut), drücken sie den Knopf.

Schutzstrategie: Das 3-2-1 Backup reicht nicht mehr

Früher sagte man: Hab ein Backup, dann bist du sicher. Heute greifen Hacker die Backups gezielt an.

1. Immutable Backups (Unveränderbar)

Sie brauchen ein Backup, das physikalisch nicht überschrieben werden kann.

  • Altmodisch aber gut: Bänder (Tapes), die im Safe liegen.
  • Modern: Cloud-Speicher mit "Object Lock" (WORM - Write Once Read Many). Selbst wenn Sie als Admin eingeloggt sind, können Sie diese Daten für z.B. 30 Tage nicht löschen.

2. Netzwerk-Segmentierung

Trennen Sie Produktion, Büro und Gast-WLAN. Wenn der PC der Empfangsdame infiziert ist, darf der Virus nicht bis zur Produktionssteuerung in der Halle kommen.

3. MFA Überall (Multi-Faktor-Authentifizierung)

Jeder Zugang von außen (VPN, RDP, E-Mail) muss mit einem zweiten Faktor (Handy-App) gesichert sein. Das stoppt 99% der Angriffe über gestohlene Passwörter.

4. EDR statt Antivirus

Der klassische (kostenlose) Virenscanner erkennt nur bekannte Viren. EDR (Endpoint Detection & Response) erkennt Verhalten.

  • "Warum versucht Word gerade, die PowerShell zu öffnen und Daten nach Russland zu senden?" -> Blockieren.

Fazit

Ransomware-as-a-Service hat die Spielregeln verändert. Cyber-Angriffe sind kein "Naturereignis", das nur Pechvögel trifft. Sie sind ein industrialisiertes Geschäftsmodell, das ständig nach ungeschützten Zielen scannt.

Das Ziel sind nicht Ihre Daten. Das Ziel ist Ihr Geldbeutel.

Machen Sie es den Hackern nicht so leicht. Sorgen Sie dafür, dass Ihr Unternehmen für die Affiliates zu "anstrengend" ist, sodass sie zum nächsten (leichteren) Ziel weiterziehen.

Checkliste anfordern: Ist meine Firma sicher vor RaaS?

Überblick

Wichtige Entscheidungen, Risiken und Umsetzungsmaßnahmen zu diesem Thema.