Die Entwicklung der vergangenen fünf Jahre hat das Vorgehen der Täter mehrfach verschoben: von reiner Verschlüsselung über doppelte Erpressung – verbunden mit der Drohung, gestohlene Daten zu extrahieren – bis hin zur dreifachen Erpressung mit Veröffentlichung. Zugleich gingen Angreifer dazu über, Opfer direkt zu kontaktieren, um Zahlungen zu erzwingen.

Mick Coady, Field CTO bei Elisity Cybersecurity, beobachtet, dass Verbreitung und Qualität der Angriffe in den vergangenen 18 bis 20 Monaten gestiegen sind. Als früherer Sicherheitsverantwortlicher für Krankenhäuser verweist er auf eine Taktik: Medizingeräte, vor allem solche, die älter als fünf Jahre sind, lassen sich nicht durch EDR schützen, weshalb Angreifer gezielt diese statt patchbarer IT-Geräte ins Visier nehmen. Die Raffinesse liege vor allem darin, neue Angriffswinkel zu finden, so Coady.

Arctic Wolf kommt in seinem 2026 Threat Report zu ähnlichen Befunden: Ransomware machte im vergangenen Jahr 44 Prozent der Incident-Response-Fälle aus, die Täter arbeiteten mit erhöhter Geschwindigkeit und Spezialisierung. Sie nutzten Automatisierung, um die Angriffskette zu verkürzen, und umgingen Kontrollen, indem sie sich einloggten, statt einzubrechen. Kerri Shafer-Page, bei Arctic Wolf für digitale Forensik und Incident Response zuständig, nennt dies die auffälligste Verschiebung des Jahres: Angreifer dringen weiter über Schwachstellen in Firewalls und VPNs ein, verwenden aber auch gültige Zugangsdaten.

Ein Kernproblem sei das Zugriffsmanagement, sagt Shafer-Page. Zu viele Personen in Unternehmen besäßen überprivilegierte Identitäten; einmal im Besitz solcher Rechte bewegten sich Täter seitlich durch die Systeme, räumten alles aus und verschwänden schnell wieder.

Will Thomas, Threat-Intelligence-Berater bei Team Cymru, sieht den Einsatz offensiver Sicherheitswerkzeuge als eine der größten Verschiebungen. Hintergrund: Nach mehreren Abschaltaktionen wurden Malware-Familien wie Emotet, Trickbot und IcedID, die früher Ransomware auslieferten, weitgehend obsolet. Das zwang die Gruppen, selbst einsetzbare Werkzeuge zu nutzen. Die Einfallswege verlagerten sich von Malware-Loadern und Botnetzen hin zu Geräte-Exploits, Phishing, Brute-Force-Angriffen und Infostealern. “Infostealer brauchen nur eine Infektion, dann hat man die Zugangsdaten und loggt sich ein”, sagt Thomas.

Parallel zur KI-Einführung in Unternehmen setzen auch Angreifer auf die Technik – vor allem zur Informationsbeschaffung. Arctic Wolf beobachtete den Einsatz von KI für Schwachstellen- und Zielrecherche. Matt Hull, Vice President bei NCC Group, nennt zwei Hauptanwendungen: Skalierung und Automatisierung sowie täuschend echtes Social Engineering. NCC Group verzeichnete 2025 einen Anstieg der weltweiten Ransomware-Angriffe um 50 Prozent gegenüber dem Vorjahr. KI-gestützte Werkzeuge senkten die Einstiegshürde, sodass weniger versierte Täter anspruchsvolle Kampagnen im großen Maßstab führen könnten. Zudem registrierte das Unternehmen einen Anstieg von Echtzeit-Deepfake-Vishing, bei dem Angreifer die Stimmen vertrauter Führungskräfte oder Kollegen imitieren, um Verifizierungsverfahren auszuhebeln.

Das Ökosystem werde zunehmend dezentral, warnt Thomas. Wo früher fünf oder zehn große Akteure den Markt beherrschten, existierten nun zahlreiche Umbenennungen, Ableger und Täter, die geleakte Ransomware-Baukästen nutzten. Hull bezeichnet die Neuordnung der Täterhierarchie als prägendste Verschiebung des Jahres 2025: Strafverfolgungsmaßnahmen drängten LockBit 3.0 von der Spitze, Qilin trat als neuer Spitzenreiter hervor.

Qilins Bekanntheit zieht Nachahmer an. Arctic Wolf erlebte das in einem Fall, als Forderungsmuster von der üblichen Qilin-Aktivität abwichen: Die Erpresser gaben sich nur als die Gruppe aus und hatten den Firmennamen in deren Leak-Seite eingestellt. Auf Nachfrage erklärte die echte Gruppe, sie wisse von nichts, und entfernte den Eintrag. Shafer-Page rät Betroffenen, gegenüber CISOs und Vorstand offen zu kommunizieren, und mahnt, dass Unternehmen jeder Größe wissen müssen, wo ihre Daten liegen; kleinere IT-Abteilungen sollten ihr Zugriffsmanagement kontrollieren. Eine weitere Zunahme erwartet sie vor allem auf der Seite der Datenerpressung.