Wie Daten-Erpressung funktioniert – und warum sie Ransomware abgelöst hat

Eine neue Art von Cyber-Bedrohung

Jahrelang dominierte Ransomware die Cyberkriminalität: Angreifer verschlüsselten die Dateien eines Opfers und forderten dann eine Zahlung für den Entschlüsselungsschlüssel. Doch eine stillere, effizientere Taktik hat sie überholt. Bei der Daten-Erpressung verzichten Kriminelle ganz auf die Verschlüsselung. Sie stehlen sensible Dateien – Geschäftsgeheimnisse, Mitarbeiterdaten, Kundendatenbanken, interne E-Mails – und drohen mit deren Veröffentlichung oder Verkauf, wenn das Opfer nicht zahlt.

Der Wandel ist dramatisch. Laut dem Arctic Wolf Threat Report 2025 stiegen die reinen Daten-Erpressungsvorfälle im Jahresvergleich um das Elffache, von 2 % auf 22 % aller Incident-Response-Einsätze. Gruppen wie ShinyHunters, Silent Ransom und die neu gegründete PEAR konzentrieren sich nun ausschließlich auf den Diebstahl von Daten, anstatt Systeme zu sperren.

Wie der Angriff abläuft

Ein typischer Daten-Erpressungsangriff folgt einem erkennbaren Muster. Zunächst verschaffen sich die Angreifer einen ersten Zugang – oft durch Social Engineering. ShinyHunters ist beispielsweise für Voice-Phishing-Kampagnen bekannt, bei denen sich die Täter als IT-Supportmitarbeiter ausgeben und Mitarbeiter dazu bringen, den Zugriff auf Single-Sign-On-Plattformen wie Okta oder Salesforce zu gewähren.

Einmal im System bewegen sich die Angreifer lateral durch Cloud-Umgebungen und zielen auf hochprivilegierte Engineering-Konten, Git-Repositories, CI/CD-Pipelines und Cloud-Storage-Buckets. Sie exfiltrieren still und leise Hunderte von Gigabyte an Daten – E-Mails, Verträge, Anmeldedaten, Datenbank-Dumps –, bevor das Opfer die Intrusion überhaupt bemerkt.

Dann kommt die Erpressungsnachricht. Die Opfer erhalten eine Forderung, in der die gestohlenen Daten, ein Lösegeldbetrag (oft über 1 Million Dollar für große Organisationen), eine Kryptowährungs-Wallet-Adresse und eine Frist – in der Regel 72 Stunden – angegeben sind. Wenn sich das Opfer weigert, veröffentlichen die Angreifer die Daten auf Dark-Web-Leak-Seiten oder verkaufen sie an Wettbewerber und andere Kriminelle.

Warum Angreifer sie Ransomware vorziehen

Die Abkehr von verschlüsselungsbasierter Ransomware wird von kalter Ökonomie angetrieben. Die Verschlüsselung eines gesamten Netzwerks erfordert den Einsatz komplexer Malware, die Aufrechterhaltung einer Entschlüsselungsinfrastruktur und das Risiko der Entdeckung durch Endpoint-Security-Tools. Die Datenexfiltration hingegen ist schneller, billiger und schwerer zu stoppen.

Organisationen sind auch besser darin geworden, sich von Verschlüsselungsangriffen zu erholen. Robuste Backup-Strategien und Incident-Response-Pläne bedeuten, dass viele Opfer Systeme wiederherstellen können, ohne zu zahlen. Aber gestohlene Daten können nicht "entwendet" werden. Sobald Kundendaten oder Geschäftsgeheimnisse in den Händen eines Angreifers sind, kann kein Backup den Schaden ungeschehen machen. Wie BlackFogs Forschung feststellt, macht dies die Hebelwirkung weitaus nachhaltiger.

Die Zahlen bestätigen diesen Trend. VikingCloud berichtet, dass Ransomware im Jahr 2025 in 44 % der Datenschutzverletzungen vorhanden war, gegenüber 32 %, aber ein wachsender Anteil dieser Vorfälle beinhaltete Erpressung ohne Verschlüsselung – eine Verdoppelung von 3 % auf 6 % innerhalb eines einzigen Jahres.

Wer ist gefährdet

Daten-Erpressungsziele umfassen jeden Sektor. Gesundheitsorganisationen sind der Offenlegung von Patientendaten ausgesetzt. Finanzunternehmen riskieren das Durchsickern von Transaktionsdaten. Technologieunternehmen können proprietären Quellcode verlieren. Selbst Regierungsinstitutionen sind anfällig – die Europäische Kommission bestätigte im März 2026, dass ShinyHunters über 350 GB Daten aus ihrer Europa.eu-Cloud-Infrastruktur exfiltriert hat, darunter E-Mail-Archive und interne Anmeldedaten.

Kleine und mittlere Unternehmen sind besonders gefährdet. Sie verfügen oft nicht über dedizierte Sicherheitsteams, was sie zu leichteren Zielen mit weniger Ressourcen macht, um Intrusionen frühzeitig zu erkennen.

Wie sich Organisationen dagegen verteidigen

Da Daten-Erpressung traditionelle Anti-Ransomware-Abwehrmaßnahmen umgeht, erfordert der Schutz eine andere Denkweise. CISA empfiehlt mehrere Kernstrategien:

• Zero-Trust-Architektur – gehen Sie standardmäßig davon aus, dass kein Benutzer oder Gerät vertrauenswürdig ist, und erzwingen Sie Least-Privilege-Zugriff auf allen Systemen.
• Data Loss Prevention (DLP) – stellen Sie Inline-Tools bereit, die ungewöhnliche Datentransfers überwachen und blockieren, bevor die Exfiltration erfolgt.
• Netzwerksegmentierung – begrenzen Sie die laterale Bewegung, sodass ein einzelnes kompromittiertes Konto nicht den gesamten Datenbestand erreichen kann.
• Mitarbeiterschulung – da Social Engineering nach wie vor der häufigste Einstiegspunkt ist, sind regelmäßige Phishing-Awareness-Programme von entscheidender Bedeutung.
• Incident-Response-Planung – führen Sie ein Response-Playbook, das speziell Datendiebstahlszenarien behandelt und nicht nur Verschlüsselung, und proben Sie es.

Das größere Bild

Daten-Erpressung stellt eine grundlegende Weiterentwicklung der Cyberkriminalität dar. Sie nutzt das eine aus, was Organisationen nicht rückgängig machen können: die Offenlegung von Informationen. Da die Cloud-Einführung immer schneller voranschreitet und Unternehmen immer mehr sensible Daten online speichern, wächst die Angriffsfläche. Sicherheitsexperten warnen, dass Erpressergruppen so lange florieren werden, bis Organisationen Datendiebstahl genauso ernst nehmen wie Systemsperren.