Ransomware as a Service (RaaS): Warum Angriffe auf KMU zunehmen

Q: Was ist Ransomware as a Service genau?

See section: Was ist Ransomware as a Service genau?

Q: Wie ein RaaS-Angriff auf Ihr KMU abläuft

See section: Wie ein RaaS-Angriff auf Ihr KMU abläuft

Q: Warum RaaS speziell Schweizer KMU gefährdet

See section: Warum RaaS speziell Schweizer KMU gefährdet

Q: Wie RaaS-Gruppen ihre Ziele auswählen

See section: Wie RaaS-Gruppen ihre Ziele auswählen

Q: Warum traditionelle Sicherheitsmassnahmen gegen RaaS versagen

See section: Warum traditionelle Sicherheitsmassnahmen gegen RaaS versagen

Q: Was tun, wenn Sie bereits Opfer eines RaaS-Angriffs wurden?

See section: Was tun, wenn Sie bereits Opfer eines RaaS-Angriffs wurden?

Ransomware as a Service (RaaS): Das Geschäftsmodell, das KMU bedroht

Ransomware as a Service hat die Cyberkriminalität demokratisiert und Schweizer KMU zu bevorzugten Angriffszielen gemacht — im Jahr 2023 verzeichnete das NCSC einen Anstieg der Ransomware-Meldungen um 61 Prozent gegenüber dem Vorjahr. Das Prinzip ist erschreckend einfach: Kriminelle mit kaum technischem Know-how mieten im Darknet fertige Ransomware-Pakete, führen Angriffe durch und teilen den Erlös mit den Software-Entwicklern. Diese Industrialisierung der Cyberkriminalität bedeutet, dass Ihr KMU heute von Hunderten potenziellen Angreifern ins Visier genommen werden kann — nicht nur von Elite-Hackern, sondern von jedermann mit einer Kreditkarte und kriminellen Absichten.

Was ist Ransomware as a Service genau?

Ransomware as a Service (RaaS) ist ein Geschäftsmodell im kriminellen Untergrund, das die erfolgreichen Praktiken der legalen Software-as-a-Service-Industrie (SaaS) kopiert. Genau wie Unternehmen Salesforce oder Microsoft 365 abonnieren, “abonnieren” Kriminelle Ransomware-Plattformen.

Die drei Rollen im RaaS-Ökosystem:

Entwickler (Core Developers): Schreiben und warten die eigentliche Ransomware-Software. Sie kümmern sich um Verschlüsselung, Obfuskation, Command-and-Control-Infrastruktur und die Leak-Webseiten im Darknet. Sie nehmen das geringste Risiko, verdienen aber am meisten.
Affiliates (Partner): Diese “Mitarbeiter” lizenzieren die Ransomware und führen die eigentlichen Angriffe durch. Sie müssen wissen, wie man in Netzwerke eindringt, sich lateral bewegt und Dateien verschlüsselt — aber die Malware selbst müssen sie nicht schreiben. Sie erhalten typischerweise 70–80 Prozent des Lösegeldes.
Initial Access Broker (IAB): Spezialisierte Kriminelle, die sich auf den Erstzugang zu Unternehmensnetzwerken konzentrieren. Sie verkaufen gestohlene Zugangsdaten, kompromittierte VPN-Zugänge und Remote-Desktop-Verbindungen im Darknet — oft für wenige Hundert bis wenige Tausend Dollar. Ein IAB für Ihr Unternehmen bedeutet, dass der eigentliche Ransomware-Angriff bereits vorbereitet sein könnte, ohne dass Sie es wissen.

Die typische RaaS-Infrastruktur umfasst:

Administrationspanel für Affiliates zur Kampagnenverwaltung
Verschlüsselungs-Toolkit mit verschiedenen Zieldateitypen
Automatisierte Lösegeldforderungen in mehreren Sprachen
Darknet-Leak-Seite zur Veröffentlichung gestohlener Daten
Verhandlungsplattform für Lösegeldverhandlungen
Kundenservice (tatsächlich) für Opfer beim Bezahlen
Affiliate-Dashboard mit Einnahmenstatistiken

Wie ein RaaS-Angriff auf Ihr KMU abläuft

Ein typischer RaaS-Angriff folgt einem strukturierten Muster, das die Cybersecurity-Industrie als “Kill Chain” bezeichnet. Das Verständnis dieser Phasen ist entscheidend, um Abwehrmassnahmen zu priorisieren:

Phase 1: Erstzugang (Initial Access)

Der Angreifer gelangt in Ihr Netzwerk über einen von mehreren Wegen:

Phishing-E-Mails mit schädlichen Anhängen oder Links (47% aller Fälle laut Verizon DBIR 2023)
Gestohlene Zugangsdaten (gekauft von Initial Access Brokern im Darknet)
Ungepatchte Schwachstellen in öffentlich erreichbaren Systemen (VPN, RDP, Webapplikationen)
Supply-Chain-Angriffe über kompromittierte Software-Drittanbieter

Für Schweizer KMU ist Phishing der häufigste Einstiegspunkt. Ein einziger Klick eines Mitarbeiters auf einen schädlichen Link kann den gesamten Prozess in Gang setzen.

Phase 2: Persistenz und Erkundung (Persistence & Reconnaissance)

Nach dem Erstzugang ist Eile kontraproduktiv — professionelle RaaS-Affiliates warten. Sie installieren zunächst unauffällige Backdoors für dauerhaften Zugriff, dann beginnen sie, Ihr Netzwerk systematisch zu kartieren:

Welche Systeme sind im Netzwerk vorhanden?
Wer hat Administrator-Rechte?
Wo sind Backups gespeichert?
Welche Daten sind am wertvollsten?
Welche Sicherheitstools sind aktiv?

Diese Phase kann Wochen bis Monate dauern. Die durchschnittliche Verweildauer vor der Entdeckung betrug 2023 laut IBM X-Force 24 Tage.

Phase 3: Privilegien-Eskalation (Privilege Escalation)

Der Angreifer versucht, von einem normalen Benutzerkonto zu Administrator- oder Domain-Admin-Rechten aufzusteigen. Häufige Techniken:

Pass-the-Hash: Nutzung gespeicherter Passwort-Hashes ohne Kenntnis des Klartextpassworts
Kerberoasting: Extraktion von Dienstkontopasswörtern aus dem Active Directory
Ausnutzung ungepatchter lokaler Schwachstellen

Phase 4: Laterale Bewegung (Lateral Movement)

Mit erhöhten Rechten breitet sich der Angreifer im Netzwerk aus. Ziel ist es, alle wertvollen Systeme zu erreichen — insbesondere Dateiserver, Datenbanken und Backup-Systeme.

Phase 5: Datenexfiltration (Data Exfiltration)

Bevor die Verschlüsselung beginnt, kopieren die Angreifer wertvolle Daten ins Darknet. Dies ist der “doppelte Erpressungsmechanismus”: Selbst wenn das Opfer aus einem Backup wiederherstellt, drohen die Kriminellen mit der Veröffentlichung der gestohlenen Daten.

Phase 6: Vorbereitung und Auslösung

Die Angreifer deaktivieren Sicherheits-Software, löschen Shadow Copies, deaktivieren Backup-Prozesse — und erst dann, wenn alles bereit ist, wird die Verschlüsselung ausgelöst. Oft ausserhalb der Geschäftszeiten, um die Reaktionszeit zu minimieren.

Die grössten RaaS-Gruppen und ihr Einfluss auf die Schweiz

LockBit

LockBit war bis zu seiner teilweisen Zerschlagung durch die Operation Cronos (Februar 2024) die produktivste Ransomware-Gruppe der Welt. In der Schweiz war LockBit für Angriffe auf Schweizer Gemeinden, Gesundheitseinrichtungen und KMU verantwortlich. Die Gruppe betrieb ein ausgefeiltes Affiliate-Programm mit bis zu 10’000 registrierten Partnern weltweit.

Schweizer Opfer: Mehrere Schweizer Unternehmen erschienen auf LockBits Leak-Seite, darunter ein grösser Logistikdienstleister (2022) und ein Zürcher Finanzdienstleister (2023). LockBit zeichnete sich durch schnelle Verschlüsselung (vergleichsweise kurze Angriffsdauer), hohe Affiliatebeteiligung (80%) und den Einsatz von “StealBit” für Datenexfiltration aus.

BlackCat / ALPHV

BlackCat (auch ALPHV genannt) war die erste grosse Ransomware-Gruppe, die ihre Malware in der Programmiersprache Rust implementierte — was sie besonders schwer erkennbar machte. Das FBI schätzte, dass BlackCat bis Ende 2023 über USD 300 Millionen Lösegeld erpresst hatte.

Besonders bemerkenswert: BlackCat entwickelte eine Webseite für Opfer, auf der Mitarbeiter und Kunden direkt sehen konnten, ob ihre Daten gestohlen worden waren — ein psychologischer Druck, der Unternehmen zur Zahlung bewegen sollte.

Cl0p

Cl0p spezialisierte sich auf sogenannte “Massenangriffe” über Zero-Day-Schwachstellen in weitverbreiteter Software. Der MOVEit-Angriff (2023) betraf über 2’000 Unternehmen weltweit — darunter auch Schweizer Firmen und Bundesstellen, die die betroffene Datentransfer-Software einsetzten.

Rhysida und Qilin

Neuere RaaS-Gruppen wie Rhysida (aktiv seit 2023) und Qilin (fokussiert auf VMware ESXi) zeigen, wie schnell neue Akteure in das RaaS-Ökosystem eintreten. Für KMU bedeutet das: Die Bedrohungslandschaft verändert sich kontinuierlich, und gestern noch unbekannte Gruppen können morgen Ihr Unternehmen angreifen.

Warum RaaS speziell Schweizer KMU gefährdet

“Die Schweiz ist ein besonders attraktives Ziel für Ransomware-Gruppen: hohe Kaufkraft, viele exportorientierte KMU mit wertvollen Daten, und historisch gesehen eine geringere Bereitschaft, über Cybervorfälle zu berichten. Das gibt Angreifern einen strategischen Vorteil.”

— Nicolas Mayencourt, CEO Dreamlab Technologies, Bern

Faktor 1: Hohe Zahlungsbereitschaft

Schweizer Unternehmen haben international den Ruf, diskret und zahlungsbereit zu sein. RaaS-Gruppen segmentieren ihre Opfer nach Zahlungswahrscheinlichkeit — und die Schweiz landet konsequent in der Hochwertkategorie. Das FBI berichtete, dass Schweizer Unternehmen im Durchschnitt höhere Lösegeldforderungen erhalten als vergleichbare Unternehmen in anderen Ländern.

Faktor 2: Wertvolle, exportierbare Daten

Schweizer KMU verfügen oft über proprietäres technisches Know-how, Kundendaten aus dem Finanzsektor, Patentinformationen und sensible Geschäftsgeheimnisse. Diese Daten sind im Darknet deutlich wertvoller als Daten eines durchschnittlichen KMU.

Faktor 3: Geringe IT-Sicherheitsressourcen

Laut einer Studie von gfs-zürich (2023) haben 68 Prozent der Schweizer KMU keinen dedizierten IT-Sicherheitsverantwortlichen. Viele verlassen sich auf einen einzelnen IT-Generalisten oder externe IT-Dienstleister ohne spezifische Cybersecurity-Expertise.

Faktor 4: Veraltete Infrastruktur

Viele Schweizer KMU betreiben kritische Systeme auf veralteter Software — ungepatchte Windows-Server, ältere VPN-Lösungen ohne Multi-Faktor-Authentifizierung, veraltete Webapplikationen. Für RaaS-Affiliates sind dies einfache Einstiegspunkte.

Faktor 5: Das KMU-Paradox

Grosse Konzerne sind für Angreifer attraktiver (höhere Lösegelder), aber schwerer zu kompromittieren (mehr Sicherheitsressourcen). KMU sind weniger attraktiv im Einzelfall, aber leichter anzugreifen — und mit RaaS lassen sich viele KMU parallel angreifen. Das Ergebnis: KMU sind zur bevorzugten Zielgruppe geworden.

Statistiken: Das Ausmass der RaaS-Bedrohung

61% Anstieg der Ransomware-Meldungen beim NCSC Schweiz zwischen 2022 und 2023
USD 1,1 Milliarden zahlten Opfer weltweit an Ransomware-Kriminelle im Jahr 2023 — ein Rekord (Chainalysis 2024)
70-80% des erpressten Lösegelds fliessen an RaaS-Affiliates, 20-30% an die Entwickler
47% aller Ransomware-Angriffe beginnen mit Phishing (Verizon DBIR 2023)
82% der erfolgreichen Angriffe nutzen kompromittierte Zugangsdaten (Verizon DBIR 2023)

Das “Darknet als Dienstleistungsmarkt” — weitere RaaS-Komponenten

Die Professionalisierung der Cyberkriminalität geht weit über die eigentliche Ransomware hinaus. Im Darknet existiert ein vollständiges Ökosystem:

Initial Access Broker (IAB): Kaufen und verkaufen Zugangsdaten zu Unternehmensnetzwerken. Ein kompromittierter VPN-Zugang zu einem Schweizer KMU kostet im Darknet durchschnittlich USD 500–5’000, abhängig von der Unternehmensgrösse und den verfügbaren Rechten.

Malware-as-a-Service: Neben Ransomware gibt es spezialisierte Dienste für Informationsdiebstahl (InfoStealers wie RedLine, Raccoon), die gezielt Passwörter, Browser-Cookies und Krypto-Wallets stehlen — und diese Daten an RaaS-Affiliates verkaufen.

Money Mules und Geldwäsche-as-a-Service: Kriminelle Netzwerke in der Schweiz und weltweit waschen die Lösegelder über Krypto-Mixer und Geldkuriere. Die Finanzierung des gesamten RaaS-Ökosystems ist damit professionalisiert und schwer rückverfolgbar.

Verhandlungsführer: Manche RaaS-Gruppen bieten Opfern sogar “Kundenservice” an — inklusive professioneller Verhandlungsführer, die auf Deutsch oder Französisch mit Schweizer Unternehmen kommunizieren.

Wie RaaS-Gruppen ihre Ziele auswählen

“Ransomware-Gruppen operieren wie Unternehmen. Sie haben Vertriebsstrategien, Zielkunden-Segmentierung und Kundenzufriedenheitsmetriken — gemessen daran, wie schnell Opfer zahlen. Wenn ich KMU-Besitzer wäre, würde ich nachts nicht gut schlafen, ohne zu wissen, ob mein Unternehmen bereits in einer Zieldatenbank steht.”

— Serge Droz, Senior Security Advisor, FIRST (Forum of Incident Response and Security Teams)

Automatisiertes Scanning: RaaS-Affiliates nutzen automatisierte Tools (Shodan, Censys, Masscan), um das gesamte Schweizer IP-Adressraum nach bekannten Schwachstellen zu scannen. Ungepatchte Exchange-Server, offene RDP-Ports und veraltete VPN-Software werden binnen Stunden nach Bekanntwerden einer Schwachstelle gescannt.

LinkedIn und OSINT: Gezielte Angreifer recherchieren Schweizer KMU auf LinkedIn, um Mitarbeiterstruktur, Technologiestack und potenzielle Phishing-Ziele zu identifizieren. Ein IT-Administrator, der auf LinkedIn seinen Arbeitgeber und seine technischen Kenntnisse öffentlich macht, ist ein wertvolles Ziel.

Datenlecks aus Vorfällen: Zugangsdaten aus früheren Datenlecks (Have I Been Pwned zeigt über 14 Milliarden kompromittierte Konten) werden gegen Schweizer Unternehmens-E-Mail-Adressen getestet. Viele Mitarbeiter verwenden das gleiche Passwort für private und berufliche Konten.

Warum traditionelle Sicherheitsmassnahmen gegen RaaS versagen

Antivirus und EDR allein reichen nicht: RaaS-Malware wird ständig weiterentwickelt, um Signatur-basierte Erkennung zu umgehen. LockBit 3.0 und BlackCat/Rust wurden speziell entwickelt, um moderne EDR-Systeme zu umgehen. Angreifer testen ihre Tools vor dem Einsatz systematisch gegen die gängigsten Sicherheitslösungen.

Firewalls schützen nicht vor dem Innentäter: Wenn ein Angreifer legitime Zugangsdaten eines Mitarbeiters verwendet, sieht eine Firewall keinen Unterschied zum normalen Benutzer. Die Lateral-Movement-Phase ist für klassische Perimeter-Sicherheit nahezu unsichtbar.

Schulungen allein ändern das Verhalten nicht nachhaltig: Phishing-Simulationen und Security-Awareness-Trainings sind wichtig, aber kein Mitarbeiter ist immun gegen hochgradig zielgerichtete Spear-Phishing-Angriffe. KMU brauchen technische Sicherheitsmassnahmen, die das Risiko menschlicher Fehler minimieren.

Red Teaming als Antwort auf RaaS-Angriffsmuster

RaaS-Angriffe folgen definierten Mustern — und diese Muster können simuliert und getestet werden. Red Teaming ist die einzige Methode, mit der ein Unternehmen realistisch prüfen kann, ob es einem RaaS-Angriff standhalten würde.

Was ein Red Team testet:

Initial Access: Kann ein simulierter Angreifer durch Phishing, kompromittierte Zugangsdaten oder ungepatchte Schwachstellen Zugang erlangen?
Persistenz: Kann sich das Red Team im Netzwerk festsetzen, ohne entdeckt zu werden?
Privilege Escalation: Sind Kerberoasting, Pass-the-Hash und andere Standard-Eskalationstechniken möglich?
Lateral Movement: Kann das Red Team sich zu kritischen Systemen (Backup-Server, Domain Controller, Datenbanken) bewegen?
Exfiltration: Können sensitive Daten das Netzwerk verlassen, ohne Alarm auszulösen?
Detection & Response: Erkennen Ihre Sicherheitssysteme und Ihr Team den Angriff? Wie schnell?

Der Unterschied zwischen einem Red Team und einem echten RaaS-Angriff: Das Red Team dokumentiert alle Schwachstellen und gibt Ihnen die Chance, diese zu schliessen — bevor echte Kriminelle sie ausnutzen.

Mehr zum Unterschied zwischen einem Standard-Penetrationstest und einem detaillierten Red Team Assessment finden Sie in unserem Vergleich: Red Teaming vs. Penetrationstest.

Wenn Sie zunächst verstehen möchten, welche finanziellen Konsequenzen ein Ransomware-Angriff hätte, lesen Sie unseren Artikel zu Ransomware-Kosten in der Schweiz.

Was tun, wenn Sie bereits Opfer eines RaaS-Angriffs wurden?

Wenn Sie einen aktiven Ransomware-Angriff vermuten oder bereits Erpressernachrichten erhalten haben:

Sofort vom Netzwerk trennen — betroffene Systeme isolieren, aber NICHT ausschalten (forensische Beweise erhalten)
NCSC informieren — Meldepflicht unter dem neuen nDSG, aber auch wertvolle Unterstützung: incidentreport.ch
Externe Hilfe hinzuziehen — spezialisierte Incident-Response-Teams kontaktieren (SWITCH-CERT, Dreamlab, scip AG)
Nicht sofort zahlen — Zahlung garantiert keine Entschlüsselung und finanziert weitere Angriffe
Backups prüfen — Wann wurde zuletzt gesichert? Sind Backups verfügbar und sauber?
Rechtliche Beratung — Datenschutzbehörde und Strafanzeige bei der Kantonspolizei

Einen vollständigen Notfallplan finden Sie in unserem Artikel Ransomware-Notfallplan: Was tun im Ernstfall?

Fazit

Ransomware as a Service hat die Cyberkriminalität fundamental verändert. Was früher hochspezialisiertes Wissen erforderte, ist heute ein abonnierbares Geschäftsmodell — mit Support, Affiliate-Programmen und professionellem Marketing. Schweizer KMU sind nicht zufällige Opfer, sondern gezielt ausgewählte Ziele mit hoher Zahlungsbereitschaft und oft unzureichendem Schutz.

Die gute Nachricht: RaaS-Angriffe folgen vorhersehbaren Mustern. Diese Muster können getestet, simuliert und damit entschärft werden. Ein Red Team Assessment zeigt Ihnen konkret, welche der typischen RaaS-Angriffspfade in Ihrem Unternehmen funktionieren würden — und liefert priorisierte Massnahmen, um diese zu schliessen.

Handeln Sie, bevor ein RaaS-Affiliate es für Sie tut. Kontaktieren Sie uns für eine unverbindliche Erstberatung zu unserem Red Teaming für Schweizer KMU und erfahren Sie, wie widerstandsfähig Ihr Unternehmen gegenüber den aktuellen RaaS-Bedrohungsgruppen ist.

Weiterführende Lektüre: