logo ntadmins

Ransomware Analyse Q1/2025: 68 Prozent der Angriffe treffen die Fertigung

4. Juli 2025
Breaking free a glowing padlock shattering red ransomware chains digital security virtual environment close up view
Quelle: Youttakone, Adobe Stockphoto

Angreifer im Ransomware-Umfeld gehen immer gezielter, ausdauernder und strategischer vor. Das wachsende Risiko betrifft besonders Industrieunternehmen auf der ganzen Welt. Die Industrial Ransomware Analysis Q1/2025 von Dragos liefert fundierte Einblicke in diese anhaltenden Gefahren und zeigt wichtige Entwicklungen, regionale Besonderheiten sowie Schwachstellen einzelner Branchen.

Im ersten Quartal 2025 beobachtete Dragos 708 Ransomware-Angriffe auf Industrieunternehmen weltweit. Das entspricht einem deutlichen Anstieg im Vergleich zu rund 600 Fällen im vierten Quartal 2024. Nordamerika bleibt mit 413 gemeldeten Vorfällen, was etwa 58 Prozent aller weltweiten Aktivitäten ausmacht, die am stärksten betroffene Region. Europa folgt mit 102 bis 135 Angriffen (etwa 19 Prozent), wobei Deutschland weiterhin zu den Hauptzielen zählt.

Der Anstieg verdeutlicht die zunehmende Häufigkeit und Komplexität von Ransomware-Angriffen, die vor allem Branchen wie Fertigung, Transport, industrielle Steuerungssysteme (ICS) und Maschinenbau treffen. Auch wenn viele der eingesetzten Techniken nicht neu oder besonders ausgefeilt sind, fallen Ransomware-Angriffe aufgrund ihrer gezielten Vorgehensweise, ihrer nachhaltigen Wirkung und ihrer wachsenden Verbreitung durch immer raffiniertere Akteure klar in die Kategorie der sogenannten „Advanced Persistent Threats“ (APT).

Mit 68 Prozent war der Fertigungssektor im ersten Quartal weiterhin am stärksten betroffen, auch wenn der Anteil leicht unter den 70 Prozent im vierten Quartal 2024 liegt. Industrieunternehmen, die eine Schlüsselrolle in globalen Lieferketten und Infrastrukturen spielen, sind besonders gefährdet, da Ransomware-Gruppen ihre Taktiken stetig weiterentwickeln.

Die zunehmende Vernetzung von IT und OT verstärkt die betrieblichen Folgen zusätzlich, da sich IT-Störungen direkt auf operative Prozesse auswirken können. Zudem setzen Angreifer vermehrt auf irreführende Erpressungsmethoden, was die Verteidigung zusätzlich erschwert. So machen sie häufig unbegründete Behauptungen über angebliche Sicherheitsvorfälle und üben psychologischen Druck aus, etwa durch das erneute Veröffentlichen veralteter oder gefälschter Datenlecks. Diese Täuschungen behindern nicht nur die Reaktion auf Vorfälle, sondern erschweren auch die Überprüfung und belasten die betroffenen Unternehmen erheblich.

Zwar hat Dragos in diesem Zeitraum keine neuen Ransomware-Varianten identifiziert, die speziell auf ICS-Umgebungen abzielen, doch schwere Vorfälle wie der Angriff auf Unimicron – einen führenden Hersteller von Leiterplatten – zeigen, wie stark Ransomware den Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigen kann.

Muster und Beobachtungen zu Ransomware-Gruppen

Im ersten Quartal 2025 haben Ransomware-Gruppen ihre Taktiken weiter verfeinert. Neben etablierten Akteuren traten auch neue Gruppen in Erscheinung, die unter anderem KI-gestützte Schadsoftware und ausgeklügelte Methoden zur Umgehung von EDR-Systemen einsetzten. Ihre Angriffe richteten sich gezielt gegen Schwachstellen in IT-Infrastrukturen, wie etwa in Cleo-Dateiübertragungsplattformen, Fernzugriffsanwendungen oder veralteter Software. Hinzu kamen Versäumnisse beim Schutz von Remote-Zugängen, ein mangelhafter Umgang mit Anmeldedaten und Sicherheitslücken entlang der Lieferkette. Diese Faktoren führten zu erheblichen Störungen und erschwerten eine schnelle und koordinierte Reaktion auf die Angriffe.

Um dieser dynamischen Bedrohungslage wirksam zu begegnen, braucht es vorausschauende Sicherheitsstrategien, eine schnelle Erkennung verdächtiger Aktivitäten und kontinuierlich weiterentwickelte Schutzmaßnahmen. Dazu zählen der breite Einsatz robuster Multi-Faktor-Authentifizierung, die kontinuierliche Überwachung sensibler Netzwerkbereiche, zuverlässige Offline-Backups sowie ein sicherer und kontrollierter Fernzugriff. Ergänzend sollten Unternehmen ihre Mitarbeitenden gezielt schulen, ihre Netzwerkarchitektur regelmäßig überprüfen und moderne Erkennungssysteme einsetzen, die auch KI-gestützte Angriffsformen erkennen.

Da sich das Ransomware-Ökosystem zunehmend ausdifferenziert und dynamisch an neue Bedingungen anpasst, gewinnt die frühzeitige Erkennung von Bedrohungen, der zeitnahe Informationsaustausch und eine koordinierte Reaktion auf Angriffe enorm an Bedeutung. Nur durch ein entschlossenes und abgestimmtes Vorgehen lassen sich kritische Infrastrukturen und industrielle Abläufe wirksam schützen.

Unternehmen müssen vor allem die Risiken der IT-OT-Konvergenz aktiv angehen, Schwachstellen in der Lieferkette absichern und Meldeprozesse für sicherheitsrelevante Vorfälle weiterentwickeln. Wer hier systematisch ansetzt, stärkt die eigene Resilienz gegenüber den wachsenden Bedrohungen durch hochentwickelte Ransomware-Gruppen.

Abdulrahman H. Alamri ist Principal Threat Intelligence Analyst bei Dragos.

Dragos

Lesen Sie auch

cyber security concept, Login, User, identification information security and encryption, secure Internet access, cybersecurity, secure access to user's personal information

Reifeprüfung für CISOs – Die fünf Stufen zur Cyber-Resilienz

Login Information Attached To Large Hook Under Water With Sunlight Phishing Concept

Betrugsfälle auf mobilen Endgeräten auf dem Vormarsch

A glowing red "Fake Website" warning appearing over a browser window, distorted login fields and glitch effects, symbolizing phishing and online fraud

Phishing hat viele Gesichter: Schutz gegen Smishing und Vishing