Die Meldung über die Zerschlagung von Emotet ging Anfang des Jahres um die Welt. Doch statt Erleichterung macht sich nun Sorge breit, dass die Schadsoftware nur den Anfang einer neuen Reihe von Angriffen markiert, die als Ransomware-as-a-Service (RaaS) bezeichnet werden.
Ransomware-as-a-Service (RaaS) ist nicht erst seit Emotet massiv auf dem Vormarsch und kann von jedem erworben werden, der bereit ist, den geforderten Preis zu zahlen.
Experten warnen davor, dass die von Emotet ausgehende Gefahr nur temporär gebannt ist und ein Kurswechsel zu einem erneuten Aufflammen der RaaS-Methodik führen wird.
Emotet hat seit seinem initialen Erscheinen 2014 zahlreiche Netzwerke von Privatpersonen, Unternehmen, Behörden und Institutionen infiziert. So waren allein in Deutschland unter anderem das Krankenhaus im bayrischen Fürstenfeld, das Berliner Kammergericht, die Universität Gießen sowie die Stadt Frankfurt am Main betroffen. Prinzipiell können wir davon ausgehen, dass die Dunkelziffer jener Organisationen, die Opfer eines Cyberangriffs werden – sei es durch Emotet oder durch andere Schädlinge – weitaus höher ist als die veröffentlichten Statistiken es vermuten lassen. Denn aus Furcht vor Reputationsschäden, scheuen sich viele Unternehmen davor, einen Angriff zu melden.
Müssen Unternehmen sich nun auf die RaaS-Ära einstellen?
Laut Sicherheitsexperten wie dem Bundeskriminalamt war Emotet die weltweit gefährlichste Schadsoftware, die bisher verzeichnet wurde. Das liegt zum einen daran, dass Emotet mithilfe raffinierter Ausweichtechniken über einen langen Zeitraum im Verborgenen agieren konnte und zum anderen an der Tatsache – und hier wird es besonders prekär – dass die gekaperten Unternehmenszugriffe im Darknet als Ransomware-as-a-Service an Dritte verkauft wurden. Die Cybercrime-Methode wird auch als Malware-as-a-Service oder Cybercrime-as-a-Service bezeichnet.
Doch auch unabhängig von den Begrifflichkeiten steht Emotet für die Geburtsstunde eines neuen Dienstleistungsmodells, für dessen Abwehr sich Unternehmen wappnen sollten. RaaS agiert als eine Art Einfallstor für Computersysteme und kann von jedem erworben werden, der bereit ist, den geforderten Preis zu zahlen. Somit haben auch „Amateur“-Kriminelle ohne tieferes Programmierverständnis die Möglichkeit, Erpressungskampagnen zu starten. Für die Hintermänner ist dieses Geschäft nicht nur lukrativ, sie gehen gleichzeitig ein geringeres Risiko ein, weil die Erpressung selbst von anderen Kriminellen ausgeht.
Cyber-Dienstleistungen erobern das Darknet
Das Darknet ist eine Art unregulierter wilder Westen des Internets und ein Marktplatz für den Austausch illegaler Waren und Dienstleistungen. Mithilfe von Anonymisierungstechnologien und digitalen Währungen kann hier Handel auf globaler Ebene betrieben werden und die Strafverfolgungsbehörden können dieses Geschehen oft nur eingeschränkt mitverfolgen. Auch der Handel mit RaaS scheint mit der Zerschlagung von Emotet kein Ende gefunden zu haben. Ganz im Gegenteil: IT-Spezialisten haben bereits erste Recycling-Modelle der Emotet-Infrastruktur identifiziert. So sind beispielsweise bereits die Schädlinge DarkSide und TrickBot auf dem Radar erschienen. Beide Bedrohungen funktionieren wie auch Emotet nach dem RaaS-Prinzip. Die Hintermänner gehen in diesen Fällen sogar so weit, die Dateien befallener Systeme nicht nur zu verschlüsseln, sie drohen den Betroffenen bei Nichtzahlung auch damit, Unternehmensgeheimnisse offenzulegen. Diese Form der Erpressung ist im Grunde kein neues Phänomen, jedoch befürchten Experten, dass solche Fälle in Zukunft häufiger auftreten werden – nicht zuletzt wegen der neuen Möglichkeiten, die RaaS bietet.
Bedrohungen à la Emotet, DarkSide oder TrickBot können zwar im besten Fall mit Raffinesse und Geduld gestoppt werden, doch wie bei jeder anderen technologischen Entwicklung, bauen die feindlichen Akteure auf dem Fundament bereits bestehender Codes und Methoden auf. Das bedeutet, dass es auch in Zukunft neue Angriffsmethoden geben wird, die in immer professionellerer Gestalt daherkommen. Auch Ransomware wird dadurch komplexer und schwieriger zu erkennen.
Ransomware: Eine wachsende Bedrohung für Unternehmen jeder Größe
Unternehmen sollten das Risiko, eines Tages selbst Opfer eines Ransomware-Angriffs vom Kaliber Emotet zu werden, nicht unterschätzen. Laut einer Studie des Sicherheitsanbieters Sophos waren im vergangenen Jahr 47 Prozent und damit knapp die Hälfte der befragten kleineren Unternehmen (100-1.000 Mitarbeiter) von einem Ransomware-Vorfall betroffen. Bei größeren Unternehmen (1.001-5.000 Mitarbeiter) waren es mit 54 Prozent sogar etwas mehr als die Hälfte. Dabei benötigte ein Drittel der betroffenen Unternehmen für die Wiederherstellung ihrer gekaperten Daten etwa eine Woche oder länger. Die Kosten, die mit einer solchen Geschäftsunterbrechung einhergehen, können immens sein.
Was können Unternehmen tun, um sich zu schützen?
Zur Vorbeugung von Ransomware-Angriffen gibt es eine Vielzahl an Möglichkeiten, die IT-Experten in Unternehmen beherzigen sollten, darunter
die Sicherung kritischer Daten mit einer sicheren Cloud-Backup- oder Offline-Lösung,
die Verbesserung von Cybersicherheitsschulungen für Mitarbeiter,
die regelmäßige Aktualisierung der Betriebssysteme und Anwendungen,
die Installation der neuesten Sicherheit-Patches sowie die
Verwendung verschlüsselter Protokolle wie SSL, wo immer möglich.
Außerdem sollten Unternehmen darauf vorbereitet sein, dass ein Cyberangriff an jedem Tag und zu jedem Zeitpunkt stattfinden kann. Demnach ist es sinnvoll, das interne Sicherheitsteam durch Managed Detection and Response (MDR) zu ergänzen. Mit MDR wird das Unternehmensnetzwerk rund um die Uhr von externen Experten überwacht, die mögliche Schäden sofort identifizieren und eingrenzen können. Ein solches Frühwarnsystem, das rund um die Uhr aktiv ist, ist auch unter dem Gesichtspunkt wichtig, dass Verschlüsselungen und Systemsperrungen nur äußerst schwer rückgängig gemacht werden können, wenn diese einmal aktiviert sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wir müssen davon ausgehen, dass auch in Zukunft neue Bedrohungen auf uns warten, insbesondere weil Modelle wie RaaS im Umlauf sind. Denn zu den Profis unter den Cyberkriminelle reihen sich nun auch digitale Kleinkriminelle in die Erpresserszene ein. Auch Automatisierung und Machine Learning sorgen für immer wieder neue und verbesserte Varianten von Angriffsmethoden wie Phishing oder Social Engineering. Folglich müssen Unternehmen unbedingt für effektive Sicherheitssysteme und -prozesse sorgen und ein Blick auf moderne Sicherheitslösungen wie MDR ist dabei unabdingbar.
* Der Autor Moritz Mann ist Chief Strategy Officer bei Open Systems. Er studierte an der Dualen Hochschule Baden-Württemberg (DHBW) sowie London und hat einen Abschluss in Wirtschaftsinformatik und Business Administration.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/ae/f4/aef413ed4859bbee6c1d3c45af147619/0128069563v1.jpeg "Microsoft stellt Microsoft 365 Local vor, das speziell auf europäische Anforderungen zugeschnitten ist: Exchange, SharePoint und Skype for Business lassen sich künftig lokal betreiben – auf Basis von Azure Local. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/87/cc/87cc46c6c556a3562a37df663392d122/0128734661v1.jpeg "Indem Prozesse, Architektur und Technologie Hand in Hand gehen, lassen sich Unternehmen erfolgreich und effizient steuern. (Bild: © Tida - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/4b/184b80efa4e9d1d4d905806db297dd02/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/de/b9/deb9b7f5a96c953565fadeea9cf56104/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/28/2d2879636a16ebf0af36abf0f874ad9e/0128472093v1.jpeg "Das BSI hat gängige Passwortmanager getestet mit dem Ergebnis: Auch wenn nicht alle perfekt sind, überwiegt ihr Nutzen bei weitem die Defizite. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/87/4187221cff2be0b0bb5f87337c5f2f76/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c1/97c1849a879c70ecbc6c2c9861497ef1/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/b9/67b9409702654e1a76bb8f97ed963873/0128380190v1.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4c/7b/4c7b3c364f1606ce3a140912b6ac6ffe/0128555714v1.jpeg "2026 werden Unternehmen KI-Technologien von Pilotprojekten zu konkreten Anwendungsfällen umsetzen. Die souveräne Cloud wird von einem vagen Konzept in eine konkrete Umsetzung übergehen. Auch werden Unternehmen werden die Notwendigkeit erkennen, alternative Hyperscaler zu nutzen, um Vendor-Lock-in zu vermeiden. (Bild: © Cre-AI-Tor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/43/73431f0d870ce966776025426b5934ba/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/f1/3cf11e80cb5ef8a61266cf8fe4235118/0128725329v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f0/f9/f0f9978110b9ae17672080f2691b9296/0125931804v1.jpeg "Die Analysten von Check Point werfen einen Blick auf die aktuellen Techniken, Taktiken und Verkaufsmodelle von Ransomware-Akteuren. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/4c/cd/4ccd3c2e2cc33aafdf01b3eb28619d6f/0123274160v1.jpeg "RATs, eine Art von Cyberangriff, erlauben es Hackern, Daten zu stehlen, Anmeldedaten zu entwenden und Nutzer auszuspionieren, was die wachsende Komplexität alltäglicher Cybergefahren widerspiegelt. Dass die Anzahl der RATs 2024 deutlich sichtbar gestiegen ist, belegt Darktrace in seinem Threat Report. (Bild: DigitalArt Max - stock.adobe.com)")