Ransomware war schon immer eine ernsthafte und lästige Bedrohung. Mit dem Einsatz von KI wird sie noch raffinierter – und damit beunruhigender. Cyberkriminelle nutzen KI, um ihre Angriffe zu perfektionieren. Aber die Verteidigung ist nicht machtlos.
Ransomware stellt das Damoklesschwert über den Unternehmen dar. Gelenkt von den Hackern, war Ransomware schon immer ein fatales Mittel, um Unternehmen stillzulegen.
(Bild: Canva / KI-generiert)
Ransomware bleibt das Damoklesschwert über jedem Unternehmen – vom Handwerksbetrieb bis zum Konzern. Was früher oft Wochen oder sogar Monate dauerte, geschieht heute in kürzester Zeit: Systeme brechen zusammen, Produktionslinien stehen still, Kundendaten werden verschlüsselt. Die Folgen? Meist verheerend – und längst nicht nur finanziell. Jetzt kommt KI ins Spiel und verstärkt die Bedrohungslage. Cyberangriffe werden gezielter, automatisierter und schwerer zu erkennen. Das zwingt Unternehmen zum Umdenken: IT-Sicherheit und Compliance dürfen keine getrennten Baustellen mehr sein. Denn Sicherheit ohne Compliance ist blind, und Compliance ohne Sicherheit ist leer – nur gemeinsam schaffen sie wirksamen und nachweisbaren Schutz. Auch IT-Dienstleister – Systemhäuser, MSP, Integratoren – geraten stärker in den Fokus: Sie sind zugleich lohnendes Ziel und unverzichtbarer Schutzfaktor.
KI als Treiber moderner Ransomware
Künstliche Intelligenz macht Ransomware effizienter – und das ist beunruhigend konkret. Angreifer scannen automatisiert ganze Netzwerke, priorisieren Schwachstellen und variieren Exploit-Kits sowie Angriffsketten. Was IT-Teams früher Tage kostete, läuft heute in Minuten bis Stunden – oft vollautomatisiert. Besonders perfide: Stimmen- und zunehmend Video-Deepfakes machen Social Engineering zum Präzisionsinstrument; Phishing-Inhalte sind so glaubwürdig, dass sie selbst geschulte Mitarbeitende treffen können, auch direkt in Kollaborations-Tools. Ransomware-as-a-Service senkt seit Jahren die Einstiegshürden. KI senkt sie weiter durch Automatisierung, bessere Täuschung und schnellere Skalierung. Die Hemmschwelle sinkt, die Schlagkraft steigt.
Das Problem verschärft sich für IT-Dienstleister. Wer Systeme überwacht oder Sicherheitsdienste anbietet, steht im Fadenkreuz: RMM-/Supply-Chain-Angriffe zielen auf die zentrale Rolle von MSP. Eine durchdachte Sicherheitsstrategie muss beide Perspektiven zusammenführen: Früh erkennen, schnell reagieren und im Ernstfall eindämmen — ergänzt um robuste Prävention (Härtung, MFA, EDR, Backups, Least Privileg) und Lieferketten-/RMM-Kontrollen (Remote Monitoring und Management).
Schutzstrategien & Handlungsfelder
Die Abwehr KI-gestützter Ransomware erfordert ein integriertes Vorgehen, das im Wesentlichen vier Handlungsfelder umfasst:
1. Technische Abwehrmaßnahmen
Technische Schutzmaßnahmen sind das Fundament. Dazu gehören:
Regelmäßige Updates und Patch-Management: Lücken werden zeitnah geschlossen, bevor Angreifer sie automatisiert ausnutzen.
Endpoint-Security und EDR/XDR: Moderne Lösungen mit Verhaltensanalysen und Threat Hunting erkennen verdächtige Aktivitäten frühzeitig – klassischer „Antivirus“ genügt nicht mehr.
Backups und Restore-Tests: Nicht nur die Erstellung, sondern auch die regelmäßige Wiederherstellung wird geprüft. Idealerweise werden Backups immutable, offline oder in strikt getrennten Clouds gespeichert.
Netzwerk- und Mikrosegmentierung: Kritische Systeme werden isoliert, damit ein Angriff nicht das gesamte Unternehmensnetzwerk kompromittiert.
Zugriffskontrollen und Zero-Trust: Mitarbeitende erhalten nur die Rechte, die sie benötigen; Identitäten werden konsequent überprüft und jede Aktion protokolliert.
Diese Maßnahmen reduzieren die Angriffsfläche erheblich und bilden die Basis für organisatorische und rechtliche Schritte.
2. Rechtliche und regulatorische Anforderungen
Technik allein genügt nicht. Parallel ist die rechtliche Absicherung zwingend:
DSGVO: Unternehmen müssen Datenschutzverletzungen binnen 72 Stunden melden (Art. 33) und jederzeit nachweisen, dass „angemessene technische und organisatorische Maßnahmen“ (Art. 32) umgesetzt sind. Ergänzend kann eine Datenschutz-Folgenabschätzung (DSFA, Art. 35) erforderlich sein, insbesondere wenn KI-gestützte Systeme eingesetzt werden, die ein hohes Risiko für die Rechte und Freiheiten von Betroffenen mit sich bringen. Ziel ist es, Risiken strukturiert zu identifizieren, zu bewerten und durch Schutzmaßnahmen zu minimieren. Ergebnisse und ergriffene Maßnahmen sind zu dokumentieren und fortlaufend zu überprüfen.
IT-Sicherheitsgesetz 2.0: Höhere Anforderungen an KRITIS-Betreiber und Hersteller kritischer Komponenten; auch andere Organisationen orientieren sich daran, um den Stand der Technik einzuhalten.
NIS2/DORA: Erweitern die Pflichten für zahlreiche Branchen (im Falle von DORA insbesondere für Finanzinstitute), unter anderem durch Vorfallmeldungen, Risikomanagement und Lieferkettenkontrollen.
Verantwortung der Leitung: Die Geschäftsführung trägt die Gesamtverantwortung für die Einhaltung rechtlicher und technischer Anforderungen und kann bei Pflichtverletzungen persönlich haftbar gemacht werden.
Auch Partner und Dienstleister sind einzubeziehen: Wer Monitoring, Betrieb oder Patch-Management übernimmt, agiert oft als Auftragsverarbeiter, NIS2-relevante Lieferkette und/oder als IKT-Drittdienstleister im Sinne des DORA. Verträge und Service-Level-Agreements müssen Zuständigkeiten klar regeln – sowohl für technische Sicherheit als auch für rechtliche Absicherung.
3. Organisatorische Prozesse
Mitarbeitende bleiben eine zentrale Angriffsfläche – und zugleich der wichtigste Sensor. Effektive organisatorische Maßnahmen umfassen:
Schulungen und Awareness: Rollenbasiert, szenario- und verhaltensorientiert (u. a. Phishing, Social Engineering, Deepfakes). Ergänzt durch Kennzahlen zur Wirksamkeit wie Reporting-Quote und Time-to-Report.
Notfallpläne und Eskalation: Klar definierte Rollen und Phasen im Incident Response (Triage, Analyse, Containment, Eradication, Recovery, Lessons Learned). Dazu feste Kommunikationswege – auch für Datenschutzmeldungen – sowie ein abgestimmtes Eskalationsschema.
Simulationen und Übungen: Tabletop-, technische und Live-Übungen, die reale Angriffe nachstellen, erhöhen die Reaktionsfähigkeit und führen zu messbaren Verbesserungen in Prozessen und Abläufen.
4. Zusammenarbeit mit Partnern
Viele Maßnahmen gelingen nur in enger Abstimmung mit Systemhäusern, Managed Service Providern und Integratoren. Klare Vereinbarungen regeln Zuständigkeiten so, dass technische, organisatorische und rechtliche Aufgaben ineinandergreifen:
Datenschutz-Verträge: Schriftliche Auftragsverarbeitungsverträge mit klaren Mindestinhalten, insbesondere zu TOMs, Weisungen, Nachweisen und Unterauftragsvergabe.
Risikomanagement und Lieferkette: Sicherheits- und Meldepflichten müssen vertraglich und organisatorisch verankert sein; auch Lieferkettenkontrollen gehören dazu.
RMM-/MSP-Sicherungen: Missbrauch legitimer Fernwartungstools ist ein häufiger Angriffsvektor. Dagegen helfen Allow-Lists, signierte Binaries, Telemetrie und strenges Rechte- sowie Zugangsmanagement.
KI im Kampf gegen KI
KI kann auch die Verteidigung stärken: Moderne Systeme nutzen Anomalie- und Verhaltensanalysen sowie (teil-)automatisierte Reaktionen. Wichtig bleibt jedoch, dass menschliche Expertise eingebunden ist und Modelle regelmäßig überwacht und angepasst werden, um Fehler und Umgehungen zu vermeiden. Angreifer entwickeln ihre Verfahren kontinuierlich weiter; erste KI-gestützte Ransomware-Prototypen zeigen, wohin sich die Bedrohungslage entwickelt. Unternehmen müssen daher ihre Strategien fortlaufend anpassen und gegensteuern.
Fazit
KI verändert die Spielregeln bei Ransomware grundlegend: Angriffe werden raffinierter, automatisierter und schwerer zu erkennen, während regulatorische Anforderungen wachsen. Unternehmen und ihre Partner müssen deshalb alle Handlungsfelder konsequent angehen – Technik, Organisation, Recht/Compliance und Partnerkoordination. Nur im Zusammenspiel entsteht wirksamer und nachweisbarer Schutz, der langfristige Resilienz ermöglicht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor
Dr. Jan Scharfenberg, Rechtsanwalt
(Bild: SRD Rechtsanwälte)
Dr. Jan Scharfenberg, LL.M. (Stellenbosch), ist Director für Informationssicherheit bei der ISiCO Datenschutz GmbH. Dort unterstützt er Unternehmen beim Aufbau von Informationssicherheitsmanagementsystemen (ISMS) sowie bei der Compliance mit Regulierungen wie DORA, NIS2, BSI-G, KRITIS-VO und dem Cyber Resilience Act. Darüber hinaus ist er als Rechtsanwalt bei Schürmann Rosenthal Dreyer Rechtsanwälte tätig.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/17/fd1778d08449fea134998137a6b60297/0129245350v1.jpeg "Nur 1.034 Gramm bringt das Acer Travelmate P6 14 AI in der von uns getesteten Version auf die Waage. In dem Chassis aus Aluminium-Magnesium-Legierung sitzt ein Mainboard mit einem Intel Core Ultra 7 258V. Das 14-Zoll-IPS-Display liefert die Full-HD+-Auflösung, allerdings nur mit 60 Hz. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/64/95/64952f6ea7a90e5b05cfee86750f54a9/0129232332v1.jpeg "Der CM5-Pico von Zotac ist als Gerät auf Basis des Raspberry Pi Compute Module 5 für Linux als Betriebssystem ausgelegt. Der kleine Rechner kommt ohne aktive Kühlung aus und soll sich für den 24/7-Betrieb eignen. (Bild: Zotac)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a0/5c/a05cfe3e617700d99328e49729937bc1/0125401080v1.jpeg "NIS2 und Dora sollen die Resilienz wichtiger IT-Systeme stärken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/ba/03ba8dcadcbc14c197e1df761c974152/0126011498v1.jpeg "Die Anbieter Impossible Cloud und Nakivo launchen gemeinsam eine souveräne Backup-Lösung für den europäischen Markt. (Bild: Canva / KI-generiert)")