Sie haben Fragen zu Produkte und Dienstleistungen?
IT Security Blog abonnieren um immer auf dem neuesten Stand zu bleiben.
Managed Security
Weitere IT-Sicherheitslösungen
Managed Services
Weitere IT-Servicelösungen
Unsere KI-Lösungen
Karriere bei BRANDMAUER IT
Kostenlose Downloads
Weiterbildungen
Kostenlose Webinaraufzeichnungen
Unser Blog
Kundenstimmen und Partner
Coworking bei uns
Software-Lösungen
4 Min. Lesezeit
Elisa Maier
:
01.06.2026 14:10:24
Inhalte
Klassische Ransomware befällt einen Computer, verschlüsselt dessen Daten und fordert Lösegeld. Das ist schlimm genug. Remote Ransomware ist eine andere Kategorie. Hier wird ein einziges kompromittiertes Gerät im Netzwerk als Ausgangspunkt genutzt um von dort aus alle erreichbaren Systeme zu verschlüsseln, während die schädliche Aktivität auf dem infizierten Gerät selbst kaum sichtbar ist. Laut einer Analyse von Sophos kommt diese Technik bei etwa 60 Prozent aller manuell gesteuerten Ransomware-Angriffe zum Einsatz. Und die Angriffszahlen steigen: In Deutschland verzeichnete Acronis allein zwischen dem vierten Quartal 2023 und dem ersten Quartal 2024 einen Anstieg der Ransomware-Erkennungen um 32 Prozent.
Bei klassischer Ransomware läuft der gesamte Angriff auf dem infizierten Gerät ab: Die Schadsoftware wird heruntergeladen, verschlüsselt lokale Dateien und macht sich dadurch bemerkbar. Herkömmliche Sicherheitslösungen sind darauf trainiert genau diese Muster auf dem lokalen System zu erkennen.
Remote Ransomware funktioniert anders. Der eigentliche Verschlüsselungsprozess findet nicht auf dem Gerät statt das angegriffen wird, sondern auf einem bereits kompromittierten Gerät im selben Netzwerk. Dieses Gerät liest über Netzwerkfreigaben auf andere Systeme zu und verschlüsselt deren Dateien aus der Ferne. Die Zielsysteme selbst führen keinen verdächtigen Code aus, weshalb deren Sicherheitssoftware keinen Alarm schlägt.
Das Ergebnis: Der Angriff bleibt unsichtbar bis die Verschlüsselung abgeschlossen ist und der Erpresserbrief erscheint.
Der Angriff beginnt fast immer mit einem einzelnen kompromittierten Gerät. Der häufigste Einstiegsweg ist eine Phishing-E-Mail die ein Mitarbeiter öffnet, eine ungesicherte Remote-Desktop-Verbindung (RDP) oder eine ungepatchte Schwachstelle in einem System das vom Internet erreichbar ist. Ab diesem Moment hat der Angreifer einen Fuß in der Tür.
Sobald das erste Gerät kompromittiert ist beginnt die eigentliche Aufklärungsarbeit. Der Angreifer bewegt sich still durch das Netzwerk, kartiert welche Systeme erreichbar sind, welche Daten wo liegen und welche Zugriffsrechte das kompromittierte Konto hat. Dieser Prozess kann sich über Tage oder Wochen hinziehen, ohne dass irgendjemand etwas bemerkt.
Wenn der Angreifer bereit ist, startet er die Verschlüsselung nicht auf den Zielgeräten, sondern vom kompromittierten Gerät aus über Netzwerkfreigaben. Die Zielgeräte sehen nur normalen Netzwerkverkehr, keinen Schadcode, keine auffälligen Prozesse. Ihre Sicherheitssoftware schweigt.
Wenn die Verschlüsselung abgeschlossen ist erscheint die Forderung. Zu diesem Zeitpunkt sind oft Dutzende oder Hunderte von Systemen betroffen, Backups möglicherweise eingeschlossen wenn sie über dasselbe Netzwerk erreichbar waren.
Remote Ransomware ist kein Nischenphänomen mehr. Zu den bekanntesten Gruppen die diese Technik aktiv einsetzen gehören:
Akira hat sich seit 2023 zu einer der aktivsten Ransomware-Gruppen entwickelt und nutzt Remote-Verschlüsselung gezielt um Endpoint-Schutzlösungen zu umgehen.
LockBit war bis zur Zerschlagung durch Strafverfolgungsbehörden 2024 für seine Geschwindigkeit bekannt, mit der es Netzwerke verschlüsseln konnte. Zwischen 2022 und 2024 führte die Gruppe laut der britischen National Crime Agency mehr als 7.000 Angriffe weltweit durch.
WannaCry war einer der ersten Angriffe die das Ausmaß netzwerkweiter Verschlüsselung öffentlich gemacht haben. Der Angriff von 2017 legte in wenigen Stunden hunderttausende Systeme weltweit lahm.
BlackCat (ALPHV) kombiniert Remote-Verschlüsselung mit Dateiexfiltration, um Opfer doppelt zu erpressen: erst Lösegeld für die Entschlüsselung, dann Lösegeld für die Nichtveröffentlichung der gestohlenen Daten.
Herkömmliche Antivirenlösungen und EDR-Systeme analysieren das Verhalten von Prozessen auf dem lokalen Gerät. Sie suchen nach verdächtigen Dateioperationen, unbekannten Signaturen oder auffälligem Prozessverhalten. Bei Remote Ransomware passiert auf den Zielgeräten nichts davon. Die Dateien werden über legitime Netzwerkprotokolle von außen verändert, was sich von normalem Netzwerkverkehr kaum unterscheidet.
Das ist der Grund warum viele Unternehmen erst dann von einem Angriff erfahren wenn die Dateien bereits verschlüsselt sind.
Wer sein Netzwerk in logisch getrennte Bereiche aufteilt begrenzt wie weit sich ein Angreifer nach dem Erstzugang bewegen kann. Ein kompromittiertes Gerät in einem Segment sollte nicht auf Freigaben in anderen Segmenten zugreifen können.
Das kompromittierte Konto bestimmt wie weit die Verschlüsselung reicht. Mitarbeiter sollten nur auf die Dateien und Systeme zugreifen können die sie für ihre Arbeit tatsächlich brauchen. Administratorenrechte gehören nicht auf alltägliche Arbeitskonten.
Sicherheitslösungen die nicht nur Prozesse überwachen sondern Dateiinhalte auf Anzeichen schädlicher Verschlüsselung analysieren, können Remote Ransomware auch dann erkennen wenn der Verschlüsselungsprozess auf einem anderen Gerät läuft. Sophos CryptoGuard ist eine solche Technologie: Sie erkennt schädliche Verschlüsselungsaktivitäten unabhängig davon wo der Prozess ausgeführt wird, stoppt ihn und stellt veränderte Dateien in den Ursprungszustand zurück.
Backups die über das Netzwerk erreichbar sind werden bei einem Remote-Ransomware-Angriff oft mitverschlüsselt. Wirksame Backups müssen physisch oder logisch vom Produktionsnetzwerk getrennt sein, entweder als Offline-Kopien oder als unveränderliche Cloud-Backups.
Da Remote Ransomware sich über Tage oder Wochen unbemerkt vorbereitet, ist kontinuierliches Netzwerkmonitoring entscheidend. Auffällige laterale Bewegungen, ungewöhnliche Zugriffsmengen auf Netzwerkfreigaben oder neue Verbindungen zwischen Systemen sind Warnsignale die erkannt werden müssen bevor die Verschlüsselung startet. Ein Managed SOC Service übernimmt genau diese Überwachung rund um die Uhr.
Remote Ransomware ist nicht die Weiterentwicklung einer Bedrohung, sie ist eine andere Kategorie. Ein einziges ungeschütztes Gerät kann reichen um das gesamte Unternehmensnetzwerk zu verschlüsseln, ohne dass Sicherheitslösungen auf den betroffenen Systemen auch nur einen Alarm schlagen. Wer sich darauf verlässt dass sein Virenschutz ausreicht, hat ein falsches Sicherheitsgefühl.
Der einzig wirksame Schutz ist ein mehrschichtiges Konzept aus Netzwerksegmentierung, minimalen Zugriffsrechten, inhaltsbasierter Erkennung und kontinuierlichem Monitoring. Gerne helfen wir Ihnen dabei Ihr Sicherheitskonzept auf Remote-Ransomware-Angriffe auszurichten. Sprechen Sie uns an.
Klassische Ransomware befällt ein Gerät direkt und verschlüsselt dessen lokale Dateien. Remote Ransomware nutzt ein bereits kompromittiertes Gerät im Netzwerk um von dort aus andere Systeme über Netzwerkfreigaben zu verschlüsseln. Die Zielsysteme führen dabei keinen Schadcode aus, weshalb herkömmlicher Endpoint-Schutz den Angriff oft nicht erkennt.
In vielen Fällen wochenlang. Angreifer nehmen sich nach dem Erstzugang Zeit um das Netzwerk zu erkunden, Zugriffsrechte zu erweitern und Backupsysteme zu identifizieren. Die eigentliche Verschlüsselung findet oft erst dann statt, wenn der Angreifer sichergestellt hat dass möglichst viele Systeme gleichzeitig getroffen werden.
Nur wenn es richtig umgesetzt ist. Backups die über das Netzwerk erreichbar sind können mitverschlüsselt werden. Wirksam sind Offline-Backups oder unveränderliche Cloud-Backups die nicht über dieselben Netzwerkfreigaben zugänglich sind wie die Produktionssysteme.
Nein. BSI und Strafverfolgungsbehörden empfehlen das ausdrücklich nicht. Eine Zahlung garantiert nicht die Wiederherstellung der Daten, finanziert kriminelle Strukturen und signalisiert den Angreifern dass das Unternehmen bereit ist zu zahlen. Stattdessen sollten Backups aktiviert, Behörden informiert und externe Sicherheitsspezialisten hinzugezogen werden.
Nein. Herkömmlicher Virenschutz analysiert lokale Prozesse und Dateien auf dem geschützten Gerät. Bei Remote Ransomware läuft der schädliche Prozess auf einem anderen Gerät. Nötig sind inhaltsbasierte Verschlüsselungserkennnung, Netzwerkmonitoring und Netzwerksegmentierung, also ein mehrschichtiges Sicherheitskonzept statt einer einzelnen Lösung.
Eric Weis : 01.06.2026 10:44:12
Jeden Tag werden Unternehmen im Mittelstand Opfer von Cyberangriffen die niemand bemerkt hat, bis es zu spät war. Nicht weil keine Schutzmaßnahmen...
Eric Weis : 01.06.2026 14:36:15
Die Bedrohungen und Gefahren im Netz sind vielfältig. Entsprechend gibt es viele Begriffe für verschiedene Cyber-Bedrohungen. Besonders häufig hört...
Volker Bentz : 21.07.2025 10:03:01
Backups mit klassischer 3-2-1 Regel werden heutzutage nicht mehr gänzlich als effektive Datensicherheitsstrategie gegen Hacker und Ransomware...