So läuft ein Angriff ab
Ein Ransomware-Angriff ist selten ein lauter Knall, sondern ein leiser, geplanter Prozess. In aller Regel folgt er fünf Phasen:

1. Erstzugang. Die Täter verschaffen sich einen ersten Fuß in die Tür – häufig über eine täuschend echte Phishing-Mail (eine gefälschte Nachricht, die zum Klick auf einen Anhang oder Link verleitet), über ein veraltetes, nicht aktualisiertes Fernzugangssystem (VPN) oder über zuvor gestohlene Zugangsdaten.
2. Ausbreitung. Einmal im Netzwerk, bewegen sich die Angreifer unbemerkt von System zu System und verschaffen sich nach und nach weitreichende Rechte – bis hinauf zur vollständigen Kontrolle über die zentrale Benutzerverwaltung.
3. Datendiebstahl. Bevor irgendetwas verschlüsselt wird, kopieren die Täter still und leise die wertvollsten Daten heraus. Dieser Schritt ist entscheidend – und der Grund, warum ein reines Backup heute nicht mehr ausreicht.
4. Verschlüsselung. Erst jetzt schlagen die Angreifer sichtbar zu: Dateien und Server werden verschlüsselt, der Betrieb steht still. Auf den Bildschirmen erscheint die Lösegeldforderung.
5. Erpressung. Gefordert wird Geld – kombiniert mit der Drohung, die gestohlenen Daten zu veröffentlichen.
Besonders tückisch: Zwischen Erstzugang und Verschlüsselung vergehen oft Tage bis Wochen, in denen die Angreifer unbemerkt im System sitzen. Wer Auffälligkeiten frühzeitig erkennt, kann den Schaden in dieser Phase noch verhindern.