Ransomware hat sich weiterentwickelt und ist gefährlicher geworden. Bei einem Angriff ist Ransomware heute zerstörerischer und schwieriger zu bekämpfen denn je. Viele Unternehmen werden Opfer solcher Attacken und erleiden dadurch Millionenschäden. In diesem Blogbeitrag beleuchten wir, wie moderne Ransomware-Angriffe ablaufen, teilen Beispiele zu solchen Attacken und diskutieren Sicherheitslösungen wie Mikrosegmentierung, um Ransomware zu bekämpfen.
Marks & Spencer (M&S) ist ein multinationales Einzelhandelsunternehmen mit Sitz in Großbritannien mit knapp 1.400 Filialen weltweit. Zuletzt M&S meldete einen Umsatz von über 18,8 Milliarden US-Dollar. Neben den stationären Filialen verfügt das Unternehmen über eine starke Online-Präsenz, die zum Umsatzwachstum beiträgt.1
Im April 2025 wurde das Unternehmen Opfer eines Ransomware-Angriffs, der den Geschäftsbetrieb wochenlang lahmlegte und die Umsätze in der Osterwoche erheblich beeinträchtigte. Es handelte sich um einen Phishing- und Social-Engineering-Angriff von Kriminellen im Cyberspace (Scattered Spider und DragonForce). Die Hacker erlangten über die Helpdesk-Systeme (die wahrscheinlich von einem externen Dienstleister betrieben wurden) Zugang zu kritischen M&S-Systemen.
Angreifer hatten sich Zugang verschafft und eine Position im Netzwerk eingenommen. Dort setzen sie dann Ransomware ein, die einige Systeme des Unternehmens verschlüsselte. M&S reagierte umgehend und sperrte ein paar seiner Systeme, weil man verhindern wollte, dass sich die Ransomware weiter ausbreitet. In der Zwischenzeit griff das Unternehmen auf altbewährte manuelle Methoden zurück, um den Geschäftsbetrieb aufrechtzuerhalten. Doch die Einnahmen im E-Commerce fielen über einen Zeitraum von etwa sechs Wochen oder länger drastisch.2
Es entstanden geschätzte Verluste in Höhe von rund 400 Millionen US-Dollar. Auch der Aktienkurs des Einzelhändlers brach ein, was zu einem Marktwertverlust von mehreren hundert Millionen Dollar führte. Außerdem bestätigte das Unternehmen, dass zudem auch Kundendaten gestohlen wurden.3
Obwohl das Unternehmen über umfangreiche Sicherheitsmaßnahmen verfügte, hat der Vorfall deutlich gezeigt, dass diese Maßnahmen nicht ausreichten, insbesondere im Hinblick auf den Schutz vor Ransomware-Angriffen. Nachdem das Unternehmen mit mehreren Sicherheitsbehörden zusammengearbeitet hat, konnten die Systeme einige Wochen nach dem Angriff wiederhergestellt werden. M&S plant, seine Investitionen in Sicherheit zu erhöhen, um das Unternehmen besser gegen Cyberangriffe zu wappnen.
Im Laufe der Jahre hat sich Ransomware rasant weiterentwickelt. Moderne Angriffe basieren nicht mehr ausschließlich auf der Verschlüsselung von Dateien. Stattdessen wird ein komplexeres Erpressungsmodell verfolgt, bei dem Daten vor der Verschlüsselung gestohlen werden und damit gedroht wird, sie zu veröffentlichen. Dann werden DDoS-Angriffe gestartet oder Behörden und Kunden informiert, um die Opfer zur Zahlung zu zwingen.
Bei heutigen Ransomware-Angriffen muss nicht zwangsläufig eine Datenverschlüsselung stattfinden, was vor einigen Jahren noch Standard war. Ungefähr 30 % der Unternehmen (mit 501 bis 5.000 Mitarbeitenden) sind sowohl von Datenverschlüsselung als auch von Datendiebstahl betroffen.4
Solche Angriffsstrategien sind sehr zielgerichtet: Die Angreifer nutzen soziale Manipulation, kompromittierte Drittanbieter und gestohlene Anmeldeinformationen, um Zugang zu Netzwerken zu erhalten und sich weiter durch das System zu bewegen. Viele Angriffe werden mittlerweile von Menschen gesteuert und es kommt sogar KI zum Einsatz, um die Aufklärung (d. h. das Sammeln von Informationen) zu automatisieren und Erkennungssysteme zu umgehen.
Kritische Infrastrukturen und Operational Technology (Betriebstechnik), wie beispielsweise Produktionsanlagen und Krankenhäuser, sind zu Angriffszielen geworden, weil sie häufig von veralteten Systemen abhängig sind und ein hohes Störungsrisiko aufweisen. Diese Entwicklung hat dazu geführt, dass Ransomware sich zu einer professionalisierten und profitorientierten Branche gewandelt hat. Herkömmliche Schutzmaßnahmen wie Datensicherungen reichen nicht mehr aus, stattdessen braucht es fortschrittliche Anti-Ransomware-Maßnahmen.
Neben den finanziellen Folgen leiden Sicherheitsabteilungen in Unternehmen nach einem Ransomware-Angriff unter erhöhtem Stress und Schuldgefühlen. Daher sollten Unternehmen unbedingt die Ursachen von Ransomware-Angriffen ermitteln. Zu den häufigsten Ursachen gehören dabei Sicherheitslücken, kompromittierte Anmeldeinformationen, bösartige E-Mails, Phishing-Angriffe, Brute-Force-Angriffe und Downloads.
Viele Unternehmen sehen unzureichende Sicherheitsmaßnahmen als einen Hauptgrund für Ransomware-Angriffe – neben Faktoren wie mangelndem Fachwissen und einem unzureichenden Bewusstsein für bestehende Sicherheitslücken.
Was sie brauchen, um gegen neuartige Ransomware gewappnet zu sein, ist ein mehrstufiger Sicherheitsansatz, der Netzwerksegmentierung, Zero-Trust-Architektur, Endpoint Detection and Response (EDR) und aktive Bedrohungsüberwachung umfasst. In diesem Blogbeitrag erläutern wir, wie Mikrosegmentierung Unternehmen dabei helfen kann, die Ausbreitung von Ransomware-Angriffen zu verhindern.
Bei einem Ransomware-Angriff ist Mikrosegmentierung ein entscheidender Mechanismus, um den möglichen Schadenbereich einzudämmen und zu kontrollieren. Im Gegensatz zur herkömmlichen Netzwerksegmentierung, die auf umfassenden, perimeterspezifischen Grenzen wie virtuellen lokalen Netzwerken (Virtual Local Access Networks, VLANs) oder Subnetzen basiert, implementiert die Mikrosegmentierung präzise, anwendungsorientierte Sicherheitsrichtlinien auf Workload- oder Host-Ebene. Dies ermöglicht es Unternehmen, den Datenverkehr zwischen Geräten innerhalb desselben Netzwerks oder Rechenzentrums (auch als Ost-West-Datenverkehr bezeichnet) zu begrenzen. Falls eine Ransomware-Variante einen Endpunkt angreift, kann sie dann nicht seitwärts in andere Systeme gelangen und diese infizieren.
Aus technischer Sicht wird Mikrosegmentierung mithilfe von softwaregesteuerten Sicherheitskontrollen implementiert, die auf der Kernel- oder Hypervisor-Ebene wirken und häufig Agenten verwenden, die auf Endpunkten, virtuellen Maschinen oder Containern installiert sind. Diese Kontrollmechanismen funktionieren unabhängig von der zugrunde liegenden Netzwerkinfrastruktur, was insbesondere in dynamischen Umgebungen wie Rechenzentren oder hybriden Cloud-Systemen von Vorteil ist.
Eine Zero-Trust-Mikrosegmentierungsrichtlinie kann beispielsweise die Kommunikation zwischen einem Webserver und einem Dateiserver einschränken, es sei denn, diese wird explizit anhand von Identität, Rolle oder Prozess gestattet. Dadurch wird ein unbefugter Zugriff verhindert, selbst wenn der Angreifer gültige Anmeldeinformationen erhält oder eine Sicherheitslücke auf einem Host ausnutzt.
In einem Ransomware-Szenario bietet Mikrosegmentierung zwei Funktionen: Prävention und Eindämmung. Erstens reduziert sie die Fläche, auf der ein horizontaler Zugriff möglich ist, drastisch, indem sie das Prinzip der geringsten Privilegien durchsetzt. Zweitens ermöglicht sie während eines aktiven Angriffs die Echtzeit-Isolation infizierter Workloads, ohne die Funktionsfähigkeit nicht betroffener Dienste zu beeinträchtigen. Diese Eindämmungsmaßnahme verhindert nicht nur, dass die Ransomware kritische Systeme oder Backup-Speicher verschlüsselt, sondern gibt den Sicherheitsteams auch die notwendige Zeit, den Vorfall zu untersuchen und zu beheben.
Zusätzlich können Richtlinien zur Mikrosegmentierung mit Systemen für Sicherheitsinformationen und Ereignismanagement (SIEM) oder erweiterten Erkennungs- und Beseitigungsplattformen (XDR) integriert werden, um basierend auf verdächtigem Verhalten automatische Reaktionen auszulösen, etwa das Blockieren von Netzwerkverkehr, die Quarantäne betroffener Systeme oder das Senden von Warnmeldungen.
Zusammenfassend lässt sich sagen, dass Mikrosegmentierung die Netzwerksicherheit von einem perimetersicheren Schutzmodell hin zu einer dezentralen, kontextbasierten Sicherheitslösung transformiert. Sie ist ein grundlegendes Sicherheitsmerkmal für Zero-Trust-Architekturen und bietet entscheidenden Schutz gegen die Verbreitung von Ransomware. Deshalb sollten Unternehmen, denen Cyberresilienz wichtig ist, Mikrosegmentierung als zentralen Bestandteil ihrer mehrstufigen Sicherheitsstrategie implementieren.
Laut Gartner werden bis 2027 etwa 25 % der Unternehmen, die eine Zero-Trust-Technologie einsetzen, mehr als eine Mikrosegmentierungslösung implementiert haben. Außerdem prognostiziert Gartner, dass immer mehr Unternehmen auf Mikrosegmentierung setzen werden, um eine präzisere Netzwerksegmentierung zu erreichen, Richtlinien auf Workload-Ebene zu implementieren, Einblick in den Netzwerkverkehr zu erhalten und Workload-Richtlinien in großem Umfang zu verwalten.6
Zurück zum Ransomware-Angriff auf M&S: Hier hätte die Anwendung von Mikrosegmentierung den Schaden deutlich reduzieren können, weil sie die Angreifer daran gehindert hätte, sich innerhalb des internen Netzwerks weiter auszubreiten. Die Sicherheitslücke war durch einen externen Dienstleister entstanden und hatte sich anschließend auf die Kernbereiche des Einzelhandels und die E-Commerce-Systeme ausgedehnt. Eine Mikrosegmentierung hätte strenge, regelbasierte Kontrollen zwischen den verschiedenen Systembereichen ermöglicht, beispielsweise durch die Trennung der Zugriffsbereiche für externe Dienstleister von den Produktionssystemen oder die Isolierung von E-Commerce-Anwendungen von Backend-Datenbanken und Zahlungssystemen.
Dies hätte unbefugte Kommunikationswege blockiert und verhindert, dass sich die Ransomware über die anfänglich infizierten Endpunkte hinaus ausbreitet, wodurch die Funktionsfähigkeit kritischer Systeme gewährleistet worden wäre. Zudem wären die Ausfallzeiten vermutlich deutlich kürzer ausgefallen.
Mikrosegmentierung blockiert nicht nur Bedrohungen, sondern bietet auch umfassende Transparenz hinsichtlich des Netzwerkverkehrs auf Anwendungs- und Workload-Ebene. Im Gegensatz zu herkömmlichen Firewalls, die den Netzwerkverkehr zwischen verschiedenen Zonen überwachen, zeigen Tools für Mikrosegmentierung (wie Akamai Guardicore) an, welche Geräte miteinander kommunizieren, welche Dienste dabei verwendet werden und ob diese Kommunikation überhaupt notwendig ist. Egal ob Cloud-, On-Premise- oder Hybridumgebung: Diese Transparenz hilft IT-Teams, Fehlkonfigurationen, Schatten-IT-Systeme und risikobehaftetes Verhalten zu erkennen. Es ist, als ob man das Licht in einem Netzwerk einschaltet.
Dabei ist diese Form der Transparenz entscheidend für Sicherheit und Compliance. Sie ermöglicht Unternehmen, Abhängigkeiten zwischen Anwendungen zu erfassen, unbefugte Verbindungen zu erkennen und äußerst präzise Zugriffsvorschriften zu erstellen. Während eines Angriffs können laterale Bewegungen schneller erkannt und gezielt eingedämmt werden. Darüber hinaus werden Compliance-Standards wie HIPAA, PCI oder SOC 2 unterstützt, indem anzeigt wird, welche Systeme mit sensiblen Daten interagieren, und sichergestellt wird, dass die Segmentierungsrichtlinien eingehalten werden.
Ein US-amerikanischer Gesundheitsdienstleister implementierte die Netzwerksegmentierungslösung Akamai Guardicore und erhielt dadurch sofort Einblick in den internen Netzwerkverkehr. Bereits am ersten Tag wurden über 4.000 Angriffsversuche erkannt. Das Team konnte ein fehlerhaft konfiguriertes Gerät identifizieren und die Kommunikation zwischen den Geräten im Netzwerk steuern. So war es möglich, die Sicherheit zu erhöhen, die Angriffsfläche zu verringern und die Compliance zu verbessern – und das alles mit einem kleinen Team und ohne die Patientenversorgung oder die bestehenden Systeme zu beeinträchtigen.7
Die meisten Cyberangriffe bleiben für Unternehmen unsichtbar. Mit den richtigen Tools lassen sich solche Bedrohungen jedoch erkennen und abwehren. Die Anzahl der Attacken auf ein Unternehmen kann täglich in die Tausende gehen, wobei jeder Versuch zu einem ausgewachsenen Cyberangriff führen kann. Laut einem Bericht von Microsoft werden weltweit an einem durchschnittlichen Tag etwa 600 Millionen Angriffsversuche registriert.8
Unternehmen, die Mikrosegmentierung implementieren, sind besser vor internen Bedrohungen und Aktivitäten nach dem Sicherheitsvorfall geschützt, wie beispielsweise der horizontalen Verbreitung von Ransomware oder der Privilegienerweiterung. Da der Datenverkehr auf das ausdrücklich Genehmigte beschränkt ist, ist die Wahrscheinlichkeit geringer, dass kompromittierte Geräte oder Benutzerkonten andere Ressourcen gefährden, insbesondere sensible Daten wie Finanzdaten, geistiges Eigentum oder geschützte Kundendaten.
Aus unternehmerischer Sicht führt das zu einem geringeren Risiko im Bereich Cybersicherheit, niedrigeren Kosten im Fall eines Sicherheitsverstoßes und damit zu einer höheren betrieblichen Stabilität. Mikrosegmentierung unterstützt Unternehmen außerdem dabei, die Einhaltung aller Compliance-Anforderungen (wie PCI DSS, HIPAA und DSGVO) zu gewährleisten, indem sie die Trennung sensibler Datenumgebungen sicherstellt. Darüber hinaus vereinfacht sie die Reaktion auf Vorfälle, indem sie Angriffsflächen verkleinert und die Eindämmung beschleunigt.
Merkmale
Vorteile
Der Kampf gegen Ransomware erfordert fundiertes Fachwissen im Bereich Cybersicherheit, Echtzeittransparenz und ein mehrstufiges Sicherheitssystem. T-Systems ist Anbieter von Managed Detection and Response (MDR)-Diensten und bietet Kunden die nötige Expertise durch Rund-um-die-Uhr-Überwachung über Security Operations Center (SOC), Bedrohungsanalyse und modernste Technologien, darunter die Mikrosegmentierungslösung von Akamai Guardicore. Durch starke Präventionsfunktionen, eine schnelle Reaktion auf Vorfälle sowie eine proaktive Bedrohungssuche können Unternehmen mit T-Systems komplexe Ransomware-Bedrohungen abwehren und gleichzeitig ihre Geschäftskontinuität aufrechterhalten sowie Vertrauen sicherstellen.
Um sich vor modernen Ransomware-Angriffen zu schützen, kontaktieren Sie uns noch heute.
1 Marks and Spencer Statistics, 2025, Statista
2 M&S Cyber Attack Article, 2025, BBC
3 Marks & Spencer Breach, 2025, Blackfog
4 The State of Ransomware Report, 2025, Sophos
5 The State of Ransomware Report, 2025, Sophos
6 Market Guide for Microsegmentation, 2025, Gartner
7 Healthcare Case Study, 2025, Akamai
8 Microsoft Digital Defense Report, 2024, Microsoft.
