Ein schwerwiegender Cyberangriff hat einen bundesweit tätigen Klinik-Dienstleister getroffen und damit mehrere Krankenhäuser in Baden-Württemberg sowie deren Patientinnen und Patienten in Mitleidenschaft gezogen. Für Fachleute ist dieser Vorfall jedoch nur ein weiteres Beispiel für die alltägliche Bedrohung durch Cyberkriminalität. Immer wieder nutzen Kriminelle Sicherheitslücken, um in die IT-Netzwerke von Unternehmen, Behörden und auch Privatpersonen einzudringen.
Wie Cyberkriminelle vorgehen
Der erste Schritt eines solchen Angriffs besteht darin, Zugang zu einem IT-Netzwerk zu erlangen. Wie das Cybercrime-Zentrum (CCZ) Baden-Württemberg bei der Generalstaatsanwaltschaft Karlsruhe mitteilt, gibt es dafür viele Methoden: ausgespähte Zugangsdaten von Mitarbeitern, schwache Passwörter, die leicht geknackt werden können, oder bekannte Sicherheitslücken in veralteter Software. In manchen Fällen nutzen die Angreifer sogar bisher unbekannte Schwachstellen aus.
Eine weitere häufige Variante ist der Versand von E-Mails mit Schadcode, etwa in Form von Dokumenten mit Makros. Der Landesdatenschutzbeauftragte von Baden-Württemberg warnt: „Wenn der Empfänger diese schadhafte Software unabsichtlich ausführt, übernimmt die Schadsoftware die Kontrolle über den Computer. Die Angreifer versuchen dann, im lokalen Netz weitere Systeme zu übernehmen.“
Sobald die Täter im Netzwerk sind, breiten sie sich lateral aus und versuchen, höhere Zugriffsrechte zu erlangen – oft bis hin zu Administrator-Rechten. In der finalen Phase werden sensible Daten abgesaugt, Systeme verschlüsselt und vorhandene Backups gelöscht. Das Ziel: Erpressung.
Was mit gestohlenen Daten passiert
Die erbeuteten Daten dienen in der Regel als Druckmittel gegen das betroffene Unternehmen. Die Täter drohen damit, die Informationen auf speziellen Darknet-Seiten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Doch das ist nicht die einzige Gefahr. Ein Sprecher des CCZ erklärt: „Möglich ist auch ein Verkauf der Daten an andere Cyberkriminelle.“ Diese könnten die Daten dann für gezielte Phishing-Angriffe oder Betrugsmaschen nutzen. Auch Identitätsdiebstahl sei denkbar.
Der Landesdatenschutzbeauftragte veranschaulicht die Gefahr an einem Beispiel: Angreifer gelangen an das Buchungssystem eines Hotels oder eines Reisevermittlers. Sie kopieren die Daten und geben sich anschließend als das Hotel aus. Per E-Mail, SMS oder WhatsApp fordern sie Kunden auf, eine angebliche Buchung zu bestätigen – und locken sie so auf eine gefälschte Internetseite mit einer Zahlungsaufforderung. „Es sind reale Daten, wodurch die Kontaktaufnahme des Angreifers glaubwürdig wird“, warnt der Sprecher. Wer zahlt, verliert in der Regel sein Geld.
Wie man sich schützen kann
Laut dem Landesdatenschutzbeauftragten lassen sich viele Angriffe mit einfachen Mitteln verhindern. So sollten sensible Systeme wie Firewalls nicht direkt über das öffentliche Internet erreichbar sein. Die Ausführung von fremder, ungeprüfter Software sollte grundsätzlich unterbunden werden. „Wir empfehlen verantwortlichen Stellen sehr, IT-Sicherheit ernst zu nehmen und organisatorisch sowie personell angemessen zu berücksichtigen“, so die Behörde. Eine hundertprozentige Sicherheit gebe es zwar nie, doch viele Vorfälle ließen sich vermeiden, wenn alle Beteiligten die Grundlagen der IT-Sicherheit beachten und resiliente Systeme einsetzen.
Ein typischer Fehler von Verantwortlichen ist es, nach einem Angriff nur die Empfänger von Phishing-Mails zu informieren. „Vielmehr sollten die Verantwortlichen genau prüfen, auf welche Daten zugegriffen wurde – diese sind potenziell beim Angreifer“, mahnt der Sprecher.
Wie viele Fälle gibt es?
Die tatsächliche Zahl der Cyberangriffe ist unklar, die Dunkelziffer vermutlich hoch. „Wir sehen nur die Fälle, in denen die Unternehmen Strafanzeige erstatten oder der Angriff aus anderen Gründen öffentlich bekannt wird“, erklärt der CCZ-Sprecher. „Wenn ein Unternehmen keine Anzeige erstattet oder das geforderte Lösegeld bezahlt, erhalten wir in der Regel keine Kenntnis von dem Angriff.“
Das Bundeslagebild Cybercrime des Bundeskriminalamts zeigt einen Anstieg der gemeldeten Fälle: Im Jahr 2025 stieg die Zahl der angezeigten Angriffe mit Verschlüsselungstrojanern um zehn Prozent auf 1.041. 96 Prozent dieser Angriffe richteten sich gegen Unternehmen, Organisationen und Institutionen. Die Zahlungsbereitschaft der Geschädigten ist jedoch gesunken: Nur sieben Prozent der Betroffenen von Ransomware-Angriffen gaben an, Lösegeld gezahlt zu haben (2024: neun Prozent).
Auch beim Landesdatenschutzbeauftragten steigt die Anzahl gemeldeter Datenpannen seit Jahren. Im vergangenen Jahr wurden 4.059 Pannen gemeldet, im Jahr zuvor waren es 3.559. Bei mehr als 1.000 Meldungen handelte es sich um Phishing, Hackerangriffe oder Sicherheitslücken in technischen Systemen.
