Ransomware ist unvermeidbar: Warum Breach Containment heute eine geschäftliche Notwendigkeit ist

Ransomware

• 15.01.2026

Ransomware ist kein IT-Problem – sie ist ein strategisches Geschäftsrisiko mit Auswirkungen auf Vorstandsebene. Laut der Ponemon Institute Studie Global Cost of Ransomware mussten 55 Prozent der deutschen Unternehmen nach einem Ransomware-Angriff ihren Betrieb unterbrechen. 45 Prozent verzeichneten erhebliche Umsatzeinbußen, 36 Prozent mussten hinterher Stellen abbauen. In der heutigen digital vernetzten Wirtschaft gefährdet jede Minute Downtime die Geschäftskontinuität, den Unternehmenswert und die Einhaltung gesetzlicher Vorschriften.

Deutschland im Dauerstress: Ransomware bleibt die größte Bedrohung

Sowohl das Bundeslagebild Cybercrime 2024 des BKA und der jüngste BSI Lagebericht warnen: Ransomware ist die größte Cyberbedrohung für Organisationen in Deutschland. Laut BSI werden Cyberangreifer immer professioneller, arbeiten mit modernster Technologie und setzen – so unpassend es auch klingen mag – auf Arbeitsteilung. „Ransomware-as-a-Service“ hat sich leider zu einem Massengeschäft entwickelt, dass nahezu alle trifft – vom Mittelstand über Großunternehmen bis zu Behörden und kritischen Infrastrukturen.

Der Fall Fasana liefert ein eindrückliches Beispiel für die Gefahr: Der traditionsreiche Hersteller von Papierservietten erlitt einen Ransomware-Angriff im Frühjahr 2025. Danach war die gesamte IT zwei Wochen down. Produktionsstillstand, Lieferausfälle und Millionenverluste führten schließlich zur Insolvenz. Noch Monate nach dem Angriff kämpfte das Unternehmen mit eingeschränkten IT-Systemen.

Die wirtschaftlichen Schäden durch Ransomware sind enorm: Laut BSI wurden im Erhebungszeitraum über 1,1 Milliarden US-Dollar Lösegeldzahlungen erpresst – Tendenz steigend. Hinzu kommen Folgekosten für Stillstand, Wiederherstellung und Rechtsstreitigkeiten, die in keiner Statistik vollständig erfasst werden. Das BSI betont daher einen Paradigmenwechsel: Organisationen müssen resilienter werden und ihre Widerstandsfähigkeit gegenüber Ransomware und anderen Arten von Cyberangriffen erhöhen.

Wie das gelingt? Indem Organisationen sich – durch moderne Cybersecurity-Lösungen unterstützt – die Fähigkeit des „Breach Containment“ aneignen: Das bedeutet, Angriffe schnell und effizient einzudämmen. Die Messlatte für Cybersecurity ist heutzutage nicht mehr allein, zu versuchen zu verhindern, dass Cyberangreifer irgendein Einfallstor finden und ausnutzen. Denn das werden sie, früher oder später. Daher geht es jetzt ebenfalls darum, zu verhindern, dass die Angreifer tief in die IT-Landschaft eindringen und großen Schaden anrichten.

Von der Burgmauer zur Resilienz: Breach Containment

Die unzähligen Cyberangriffe mit katastrophalen Folgen, die bekannt werden, verdeutlichen: Herkömmliche IT-Sicherheit, die dem Prinzip der Burgmauer folgt (bekannt als Perimeterschutz), reicht nicht länger aus. Organisationen müssen heutzutage leider davon ausgehen, dass Angriffe jederzeit ihren Perimeterschutz überwinden können. Es reicht daher nicht mehr aus, die Burgmauer immer höher und dicker zu bauen. Auch hinter der Burgmauer müssen unzählige stabile Wände und Türen installiert werden, an denen Angreifer und Ransomware sich die Zähne ausbeißen und gestoppt werden. So dämmen Organisationen Cyberangriffe zügig ein. Dieses Vorgehen wird als Breach Containment bezeichnet.

• Ponemon Studie The Global Cost of Ransomware
• Ransomware mit Segmentierung eindämmen

Breach Containment in Aktion: schnell, zielgerichtet und grundlegend

Die schädlichste Phase eines Ransomware-Angriffs ist nicht die anfängliche Sicherheitsverletzung, sondern die unentdeckte Bewegung durch die Systeme eines Unternehmens. Um die Ransomware-Resilienz zu stärken, müssen Unternehmen proaktiv – d. h. präventiv – Lösungen integrieren, die Angriffe eindämmen, bevor sie eskalieren. Stabile Wände und Türen im Inneren hochziehen. Defense in Depth etablieren.

Eine Lösung, mit der Organisationen genau das umsetzen, ist Mikrosegmentierung. Bei diesem Ansatz wird die IT-Landschaft in kleinste Segmente unterteilt, die durch starke Grenzen geschützt sind. Mikrosegmentierung regelt zudem genau, wer oder was von einem Segment ins andere darf. Das stellt sicher, dass Angreifer auch hinter der Burgmauer nur einen winzigen Schritt vorwärtskommen, bevor sie mit der nächsten stabilen Hürde konfrontiert werden. Und selbst wenn sie diese Hürde überwinden, wartet die nächste stabile Hürde auf sie. Dadurch wird verhindert, dass Angreifer auf kritische Systeme und Daten zugreifen können, wodurch der Ausbreitungsradius einer Sicherheitsverletzung erheblich reduziert wird.

Neben Mikrosegmentierung brauchen Organisationen auch modernste Monitoring-Systeme, die unnormale Bewegungen hinter der Burgmauer erkennen und Alarm schlagen. Übertragen auf die digitale Infrastruktur bedeutet das: intelligente Systeme, die Datenflüsse in Echtzeit überwachen und gefährliche Muster sofort sichtbar machen.

Ein AI Security Graph liefert genau das: kontinuierliche, umfassende Einblicke in den Datenverkehr, die Kommunikationsströme und sämtliche Verbindungen innerhalb der unternehmenseigenen IT-Umgebung sichtbar machen. Diese Datenflut wird mithilfe von KI angereichert, um Bedrohungen anhand ihres Risikos und ihrer Auswirkungen zu priorisieren und beispielsweise verdächtigen Datenverkehr, der durch Ransomware verursacht wird, aufzudecken. Gleichzeitig wird der Kontext bereitgestellt, warum der Datenverkehr verdächtig ist, sodass Sicherheitsteams gefährliche Verhaltensmuster in Echtzeit erkennen können.

Diese Datenflut wird mit Hilfe von KI durchsucht und verdächtiger – zum Beispiel durch Ransomware verursachter – Datenverkehr visualisiert. Gleichzeitig wird Kontext bereitgestellt, warum der Datenverkehr verdächtig ist. Das ist KI-gestützte Observability. Sie befähigt Security Teams endlich dazu, gefährliche Verhaltensmuster in Echtzeit zu erkennen.

In einer Krisensituation können zusätzliche Türen per Knopfdruck geschlossen werden. Dies ermöglicht eine schnelle Segmentierung der IT-Landschaft, die Quarantäne infizierter Systeme und die Wiederherstellung kritischer Vorgänge – selbst wenn der Angreifer noch aktiv ist. Diese Fähigkeit ist für die Aufrechterhaltung der Geschäftskontinuität von entscheidender Bedeutung. Eine Führungskraft einer globalen Anwaltskanzlei drückt es so aus: „Wir haben so schnell reagiert, dass die Angreifer aus dem Netzwerk ausgesperrt waren, bevor sie überhaupt begriffen hatten, was passiert war.“

Die Ära des Breach Containment: Resilienz ist kein Luxus, sondern Pflicht

AI Security Graphs und Mikrosegmentierung sind Schlüsselinnovationen dieser neuen Sicherheitsära. Sie ermöglichen Echtzeittransparenz über dynamische IT-Landschaften hinweg und geben Sicherheitsteams die Möglichkeit, laterale Bewegungen zu erkennen, Anomalien zu isolieren und Segmentierung mit bislang unerreichter Skalierbarkeit, Effizienz und Präzision umzusetzen. Dass diese Schlüsselinnovationen marktreif sind, zeigt Microsofts Einsatz von Illumio Insights und Illumio Segmentation über die gesamte globale Microsoft IT-Infrastruktur hinweg. Die Implementierung belegt, dass Breach Containment keine Theorie, sondern operative Realität ist – selbst im Maßstab von Microsoft.

Die Daten des BSI, die Analysen des BKA und reale Fälle wie Fasana führen unmissverständlich vor Augen: Ransomware ist eine betriebswirtschaftliche Gefahr ersten Ranges. Unternehmen, die sich nicht auf diese Gefahr einstellen und weiterhin nur auf präventive Verteidigung verlassen, riskieren operative Ausfälle, finanzielle Verluste und Imageschäden.

Wer dagegen akzeptiert, dass Sicherheitsverletzungen unvermeidlich sind und auf Breach Containment setzt, senkt die Wahrscheinlichkeit für Cyberkatastrophen erheblich und steigert die Cyberresilienz. Das ist die Essenz moderner Cybersicherheit – und der Schlüssel, um auch im Ernstfall handlungsfähig zu bleiben. Denn am Ende geht es nicht nur um IT-Sicherheit, sondern um Wettbewerbsfähigkeit. Unternehmen, die operative Resilienz schaffen, sichern ihre Lieferfähigkeit, ihre Reputation und letztlich ihre Zukunftsfähigkeit.

Über Illumio

• ►
  Warum ist Ransomware ein strategisches Geschäftsrisiko?

  Ransomware kann kritische Betriebsabläufe zum Erliegen bringen und sensible Daten gefährden, was zu erheblichen finanziellen Verlusten und Rufschädigungen führen kann. Die Auswirkungen gehen über den IT-Bereich hinaus und gefährden die Geschäftskontinuität, den Umsatz und das langfristige Vertrauen von Kunden und Stakeholdern.

• ►
  Was versteht man unter 'Ransomware-as-a-Service'?

  Ransomware-as-a-Service ist ein Geschäftsmodell unter Cyberkriminellen, bei dem Ransomware-Tools als Dienstleistung angeboten werden, sodass jeder ohne technisches Fachwissen leicht Angriffe starten kann. Dieser Ansatz senkt die Einstiegshürden, sorgt für eine Zunahme von Ransomware-Angriffen und erhöht weltweit die generelle Bedrohung für Organisationen.

• ►
  Wie können Organisationen Ransomware-Angriffe schnell eindämmen?

  Unternehmen können Ransomware-Angriffe schnell mit Breach Containment und modernen IT-Sicherheitsstrategien wie Zero Trust eindämmen. Durch Technologien wie Mikrosegmentierung werden Netzwerke in kleinere, kontrollierte Segmente unterteilt, um die Ausbreitung von Bedrohungen sowohl proaktiv als auch reaktiv zu verhindern.

• ►
  Was ist der Vorteil eines AI Security Graphs in der Cybersecurity?

  Ein AI Security Graph bietet Visibilität in Echtzeit und umfangreiche Kontextinformationen zu Datenverkehr und Kommunikationsflüssen. Organisationen können alle Abhängigkeiten und Beziehungen zwischen allen Assets in ihrer Umgebung sehen, wodurch sie Bedrohungen priorisieren und verdächtige Muster frühzeitig erkennen können. Das versetzt sie in die Lage, Sicherheitsverletzungen effektiv zu identifizieren und einzudämmen.

• ►
  Wie verbessert Mikrosegmentierung die Cyberresilienz?

  Mikrosegmentierung verbessert die Cyberresilienz, indem sie kontrollierte Sicherheitszonen innerhalb des Netzwerks schafft und so die laterale Bewegung von Angreifern einschränkt. Dies reduziert den Blast Radius von Breaches, verhindert den Zugriff auf kritische Systeme sowie Daten und stellt sicher, dass der Geschäftsbetrieb selbst während eines Angriffs aufrechterhalten bleibt.