KI, Ransomware 3.0 und die neuen Spielregeln der Cyberrisiken: Was CISOs wirklich denken

Ransomware ist nicht in den Hintergrund getreten, sondern hat sich zu Ransomware 3.0 weiterentwickelt. Mithilfe KI-gestützter Werkzeuge können Angreifer heute Phishing automatisieren, den Diebstahl von Zugangsdaten beschleunigen und sich mit einem Tempo über Endpunkte bewegen, das noch vor wenigen Jahren undenkbar war. Für Sicherheitsverantwortliche ist das nicht nur ein weiterer Ausschlag in der Statistik – es ist ein struktureller Wandel darin, wie sich Risiken über E‑Mail, Identität und Cloud-Workloads materialisieren. 

Bedrohungsakteure nutzen Machine Learning, um nach Schwachstellen zu suchen, täuschend echte Köder in jeder Sprache zu erzeugen und Einbrüche mit sehr wenig menschlichem Aufwand aneinanderzuketten. Das Playbook wird somit schneller, anpassungsfähiger und zielgenauer. Für viele CISOs fühlt sich das unbehaglich vertraut an: dieselbe Ransomware-Geschichte, nur durch KI aufgeladen und im täglichen Betriebsrauschen schwerer erkennbar. 

In diesem Artikel beleuchten wir, wie sich Ransomware verändert hat, wie KI sowohl Angriff als auch Verteidigung neu formt und was unsere aktuellen CSR‑2026‑Daten über Sicherheitsbedenken in der Praxis zeigen. Wir betrachten, wo KI Verteidigern bereits nützt, wo sie die Angriffsfläche vergrößert und wie Erkenntnisse von CISOs helfen können, Resilienz aufzubauen statt lediglich auf die nächste Schlagzeile zu reagieren. 

Das Wiederaufleben von Ransomware im Jahr 2025 

Nach drei Jahren rückläufiger Entwicklung steht Ransomware nun wieder ganz oben auf der Liste der Cybersicherheitsprobleme. Daten von Hornetsecurity zeigen, dass im Jahr 2025 24 % der Unternehmen angaben, Opfer eines Ransomware-Angriffs geworden zu sein – ein deutlicher Anstieg gegenüber 18,6 % im Jahr 2024. Diese Umkehrung ist ein Warnsignal für die Bedrohungslage nach der Pandemie und zeigt, dass sich Angreifer immer schneller weiterentwickeln. 

Trotz jahrelanger Aufklärungskampagnen und Schulungsprogramme bleibt Ransomware ein kritisches Geschäftsrisiko, gerade weil sie sich an unsere Abwehrmaßnahmen anpasst. Bedrohungsakteure kombinieren nun KI-gestützte Automatisierung mit bewährten Social-Engineering-Methoden, um eine größere Reichweite, Präzision und Hartnäckigkeit zu erzielen. 

Automatisierung, KI und das neue Ransomware-Playbook 

Angreifer nutzen zunehmend generative KI und Automatisierung, um Schwachstellen zu identifizieren, überzeugendere Phishing-Köder zu entwickeln und mehrstufige Angriffe mit minimaler menschlicher Überwachung durchzuführen. Dies macht Ransomware-Aktivitäten leider skalierbarer und persönlicher. 

Einige wichtige Datenpunkte: 

• 61 % der CISOs glauben, dass KI das Risiko von Ransomware-Angriffen direkt erhöht hat. 

• 77 % identifizieren KI-generiertes Phishing als eine neue und ernsthafte Bedrohung. 

• 68 % investieren derzeit in KI-gestützte Erkennungs- und Schutzfunktionen. 

Das Ergebnis ist ein Wettrüsten, bei dem beide Seiten auf maschinelles Lernen setzen: die eine Seite mit dem Ziel zu täuschen, die andere, um zu verteidigen.   

Einstiegspunkte: Phishing verliert an Bedeutung, Endpunkte gewinnen 

Phishing ist mit 46 % der Befragten zwar nach wie vor der führende Infektionsvektor, verliert jedoch an Dominanz. Angreifer diversifizieren ihre Vorgehensweisen: 

Vector	2024	2025	Δ
Phishing / E-Mail-basiert	52.3%	46%	–6.3 pp
Kompromittierte Zugangsdaten	~20%	~25%	+5 pp
Ausgenutzte Schwachstellen	–	12%	n/a
Endpunktkompromittierung	–	26%	n/a

Die Daten zeigen eine deutliche Verschiebung hin zu Identitätsdiebstahl und Kompromittierung von Endpunkten, insbesondere in hybriden und Remote-Arbeitsumgebungen, in denen BYOD („Bring your own device“) und Patch-Lücken nach wie vor weit verbreitet sind. Ransomware ist nicht mehr nur ein E-Mail-Problem, sondern ein Problem des gesamten Ökosystems. 

Schulungsmüdigkeit und die Falle der „falschen Compliance“ 

Unternehmen investieren nach wie vor stark in Sensibilisierungsschulungen. 74 % bieten solche Schulungen an, doch 42 % davon halten sie für unzureichend. 

Viele Programme bleiben reine Pflichtübungen: jährlich, wenig motivierend und schnell vergessen. Das Ergebnis ist das, was Hornetsecurity als „falsche Compliance“ bezeichnet. Dabei handelt es sich um die Illusion von Vorbereitung ohne tatsächliche Verhaltensänderungen. 

Kleine und mittlere Unternehmen (KMU) sind am stärksten betroffen. Viele arbeiten mit minimalem IT-Personal und veralteter Infrastruktur und sind auf ausgelagerte Anbieter oder nicht gepatchte Cloud-Tenants angewiesen. Zwar geben immer mehr KMU an, über einen DR-Plan („Disaster Recovery Plan“) zu verfügen, doch bedeutet Bereitschaft auf dem Papier nicht immer auch Widerstandsfähigkeit in der Praxis. 

Wiederherstellung und Widerstandsfähigkeit: Der Silberstreif am Horizont 

Allerdings verbessern sich die Wiederherstellungsfähigkeiten trotz zunehmender Angriffe spürbar: 

• 62 % der Unternehmen verwenden mittlerweile unveränderliche Backup-Technologien. Dabei handelt es sich um Systeme, bei denen Daten nach dem Schreiben nicht mehr verändert oder verschlüsselt werden können– nicht einmal von Administratoren oder einem kompromittierten Administratorkonto während eines Angriffs. 

• 82 % haben einen Disaster-Recovery-Plan implementiert, der sich zunehmend zum neuen Standard für die operative Widerstandsfähigkeit entwickelt. 

• Eine weitere gute Nachricht ist, dass nur 13 % der Opfer im Jahr 2025 das Lösegeld gezahlt haben, gegenüber 16,3 % im Jahr 2024. 

Bei den Versicherungen sieht es jedoch anders aus. Die Versicherungsdeckung für Ransomware sank von 54,6 % im Jahr 2024 auf 46 % in diesem Jahr, da die Prämien und Ausschlüsse stiegen und das Vertrauen in die Auszahlungsbereitschaft der Versicherer sank. Diese Marktkorrektur deutet darauf hin, dass Unternehmen Risiken nicht länger auslagern können. Sie müssen Sicherheit in ihre Systeme integrieren und Resilienz in ihrer Unternehmenskultur verankern. 

Governance: Die Strategie hinkt der Bedrohungsrealität noch hinterher 

Cybersicherheit ist mittlerweile ein Thema auf Vorstandsebene, aber viele Unternehmen haben noch Nachholbedarf hinsichtlich der operativen Anforderungen an die Governance im Zeitalter von Ransomware. Nur wenige Vorstände führen Cyber-Krisensimulationen durch, und funktionsübergreifende Playbooks sind eher die Ausnahme als die Regel. 

Da KI-gesteuerte Fehlinformationen und Deepfake-Erpressung immer plausibler werden, ist Kommunikationsbereitschaft nun Teil der Cybersicherheit und glücklicherweise keine nachträgliche PR-Maßnahme mehr. 

Ausblick: Die Widerstandsfähigkeit nimmt zu, aber auch die Bedrohungen 

Die Daten für 2025 zeichnen ein differenziertes Bild: Ransomware-Angriffe nehmen zu, aber auch unsere Fähigkeit, uns davon zu erholen. Unternehmen, die diese neue Welle überstehen werden, sind diejenigen, die Resilienz als Strategie und nicht als Compliance betrachten. 

Unveränderliche Backups, gut getestete Wiederherstellungspläne und sinnvolle Benutzerschulungen sind nicht mehr optional, sondern die Mindestanforderung für eine funktionierende Verteidigung. 

Angreifer stehen nicht still, und Verteidiger können das auch nicht. Die Herausforderung für 2026 wird nicht darin bestehen, Ransomware vollständig zu verhindern, sondern sicherzustellen, dass die Geschäftskontinuität auch im Ernstfall erhalten bleibt. 

CISO-Perspektiven: Das Gleichgewicht zwischen Chancen und Risiken von KI 

Künstliche Intelligenz verändert die Cybersicherheit, und zwar nicht nur als Verteidigungsinstrument, sondern auch als strategische Frage. Die CISO Insights-Umfrage 2025 von Hornetsecurity wollte herausfinden, wie Sicherheitsverantwortliche in der Praxis mit KI umgehen: Wo funktioniert sie, wo birgt sie Risiken und welche Herausforderungen stehen einer verantwortungsvollen Einführung im Weg? 

Die Ergebnisse sind komplex. CISOs sind enthusiastisch, vorsichtig und in vielen Fällen noch am Experimentieren. KI ist allgegenwärtig, aber Vertrauen, Governance und Verständnis haben leider noch nicht aufgeholt. 

Einführung: Schnelles Wachstum, uneinheitliche Governance 

Die meisten befragten CISOs berichten von umfangreichen Experimenten mit KI, aber eine strukturierte Einführung ist nach wie vor selten. Einige Unternehmen integrieren KI in Arbeitsabläufe wie Triage, Anreicherung von Bedrohungsdaten und Ticketmanagement, während andere ihre Nutzung vollständig einschränken. 

Ein CISO eines globalen Finanzunternehmens merkte an:

Wir sehen in den letzten zwei Jahren eine Einführung von über 75 % innerhalb unseres Unternehmens.

Im Gegensatz dazu bemerkte ein virtueller CISO:

Vor zwei Jahren gab es noch keine Beschränkungen für alle KI-Dienste. Im vergangenen Jahr haben wir begonnen, mehr Prozesse und interne LLMs einzuführen.

Diese Variabilität zeigt die zentrale Herausforderung: Die Einführung von KI schreitet schneller voran als die KI-Governance, ähnlich wie bei früheren innovativen Trends im Technologiebereich. Viele Führungskräfte haben begonnen, die Kontrolle zu zentralisieren und interne Tools zu entwickeln, während andere weiterhin reaktiv agieren und eher auf Compliance setzen, als Innovationen voranzutreiben. 

Shadow IT, einst ein bekanntes Ärgernis, wurde durch KI zu Shadow AI umdefiniert. Nicht genehmigte Tools, Browser-Erweiterungen und SaaS-Integrationen schaffen neue, undurchsichtige Risiken. Ein CISO fasste es so zusammen: 

Sicherheitsbedenken hinsichtlich KI haben die Gefahren von Shadow IT verstärkt.

Bewusstsein der Endnutzer: Der neue menschliche Risikofaktor 

Wenn ein Unternehmen nur so stark ist wie sein am wenigsten vorbereiteter Mitarbeiter, hat KI diese Messlatte gesenkt. 

CISOs sind sich einig, dass das Bewusstsein der Endnutzer für KI-Risiken gefährlich gering ist. 

Während einige wenige Unternehmen eine starke Compliance-Kultur vorweisen können und sich selbst mit „5 von 5“ bewerten, schätzen die meisten CISOs das Bewusstsein eher mit „1 oder 2 von 5“ ein. 

Das Hauptproblem? Mitarbeiter nutzen öffentliche KI-Tools begeistert, ohne sich der Auswirkungen auf die Sicherheit oder Compliance bewusst zu sein. Ein virtueller CISO fasste zusammen:

Die Menschen haben die Risiken nicht verstanden, insbesondere wenn sie Unternehmensinformationen in einer öffentlichen KI teilen.

Verständnis der Führungskräfte: Die Bewusstseinslücke an der Spitze 

CISOs heben zudem eine große Diskrepanz im Verständnis der Führungskräfte für KI-bezogene Risiken hervor. Unsere Umfrage ergab die größte Streuung der Antworten auf diese Frage, die von „tiefem Bewusstsein“ bis zu „keinem wirklichen Verständnis“ reichten. Die mittlere Antwort war ein zurückhaltendes „die Führungskräfte kennen die Risiken einigermaßen“. Es ist klar, dass die Fortschritte uneinheitlich sind und von Unternehmen zu Unternehmen stark variieren. 

Einige Unternehmen gehen gemeinsam voran. Ein CISO aus dem deutschen Technologiesektor führte die Fortschritte auf gemeinsame Initiativen der Rechts- und Sicherheitsabteilungen zurück:

Das Management beginnt, die Probleme im Zusammenhang mit der KI-Sicherheit zu verstehen.

Andere berichten jedoch vom Gegenteil.

Das Management sieht die Produktivitätssteigerungen, aber nicht die Risiken,

sagte ein virtueller CISO.

Dieses ungleiche Bewusstsein stellt CISOs vor eine doppelte Verantwortung: Sie müssen sich gegen externe Bedrohungen verteidigen und gleichzeitig die Führungskräfte intern aufklären. 

Aufkommende Bedrohungen: Deepfakes, Model Poisoning und Datenlecks 

Fast alle befragten CISOs sind sich einig, dass der Missbrauch von KI in den nächsten 12 Monaten eine große Quelle für Cyberrisiken sein wird. 

Zu den dringendsten Anliegen gehören: 

• Synthetischer Identitätsbetrug unter Verwendung von KI-generierten Dokumenten oder Anmeldedaten 

• Stimmenklone und Deepfake-Videos, die zur Identitätsfälschung und zum Betrug verwendet werden

• Model Poisoning, bei dem bösartige Daten interne KI-Systeme beschädigen

• Offenlegung sensibler Daten durch den Missbrauch öffentlicher KI-Tools durch Mitarbeiter 

Ein CISO warnte:

Wir sind am meisten besorgt über Model Poisoning-Angriffe, da wir unsere eigenen Modelle intern betreiben.

Ein anderer merkte an:

Das größte Risiko der KI ist die freiwillige Weitergabe von Unternehmensdaten an öffentliche Systeme.

KI ist sowohl zu einem Werkzeug als auch zu einem Ziel geworden, und die Angriffsfläche wächst eindeutig schneller, als vielen bewusst ist. 

Einführung durch das Sicherheitsteam: Sorgfältig, kontrolliert und taktisch 

Im Bereich der Sicherheitsmaßnahmen ist der Einsatz von KI zwar noch begrenzt, nimmt aber zu. CISOs beschreiben begrenzte Einsätze, die sich auf spezifische Aufgaben mit geringem Risiko konzentrieren. Dazu gehören beispielsweise die Klassifizierung von Tickets oder die Anreicherung von Bedrohungsdaten. Ein CISO aus dem Finanzsektor berichtete von einem praktischen Erfolg:

KI hat sich für kundenbezogene Ticketnotizen als großartig erwiesen. Sie sind prägnant und unvoreingenommen.

Dieser „vorsichtige Optimismus“ ist charakteristisch für das Jahr 2025. Sicherheitsteams begrüßen die Automatisierung, sind jedoch weiterhin vorsichtig, sich zu sehr auf undurchsichtige Systeme oder unausgereifte Modelle zu verlassen. 

Herausforderungen bei der Implementierung: Die praktischen Hindernisse 

Der Weg zu einer verantwortungsvollen Einführung von KI ist alles andere als einfach. Unsere CISO-Umfrage ergab, dass folgende Aspekte zu den größten Hindernissen gehören: 

• Unsicherheit hinsichtlich der Risiken und des potenziellen Missbrauchs von KI

• Compliance- und rechtliche Auflagen

• Budgetbegründung und Nachweis der Kapitalrendite

• Integrationsprobleme mit älteren Tools

• Fachkräftemangel in den Bereichen KI und Datenwissenschaft

• Akzeptanz durch die Führungsetage 

Ein CISO erklärte:

Uns fehlen nach wie vor Fähigkeiten und spezialisierte Experten im Bereich KI.

Ein anderer fügte hinzu:

Das Erkennen eines Port-Scans durch das Lesen von zehn Zeilen Logs bringt nicht viel.

Trotz der Hürden bleiben CISOs pragmatisch: KI ist kein Hype, sondern eine unvermeidliche Entwicklung. Die Einführung wird jedoch weiterhin von Fall zu Fall erfolgen, bis Transparenz, Kompetenzen und Governance mit den Ambitionen Schritt halten können. 

Von der Neugier zur Leistungsfähigkeit 

KI in der Cybersicherheit ist nicht mehr experimentell, aber auch noch nicht vollständig ausgereift. In allen Branchen verlagert sich der Fokus von „Was kann KI leisten?“ zu „Wie steuern wir sie?“ 

Das kommende Jahr wird zeigen, ob Sicherheitsteams KI von einem Risiko in einen zuverlässigen Verbündeten verwandeln können. 

---

Sicherheitsrisiken in einen Resilienzvorteil verwandeln 

Hornetsecurity’s 365 Total Backup und VM Backup bieten Ihnen unveränderlichen Schutz für Microsoft 365, virtuelle Maschinen und andere geschäftskritische Workloads. Selbst KI-gestützte Ransomware und breitere KI-Sicherheitsrisiken, die versuchen, Ihre Umgebung zu verschlüsseln oder zu beschädigen, können Ihnen nichts anhaben. Statt auf Entschlüsselungsschlüssel zu hoffen, erhalten Sie eine schnelle, zuverlässige Wiederherstellung, die Ihr Geschäft am Laufen hält. 

Wenn Ihre Daten sicher sind, bleibt Ihr Unternehmen online. Mit einer Plattform, die Microsoft‑365‑Postfächer und virtuelle Infrastrukturen abdeckt, profitieren Sie von einer umfassenden Backup‑ und Recovery‑Lösung, die sich wiederholt als eine der benutzerfreundlichsten, robustesten und kosteneffizientesten VM‑Backup‑Optionen am Markt erwiesen hat. Vereinbaren Sie eine Demo, um zu sehen, wie schnell Sie Ihre Recovery‑Position stärken können. 

---

Fazit zu CISO‑Bedenken: Neue Regeln für Sicherheitsrisiken 

Das heutige Ransomware‑Ökosystem zeigt eine harte Wahrheit: Angreifer innovieren kontinuierlich, während Verteidiger oft Mühe haben, Schritt zu halten. 

KI‑gestützte Intrusionen, wachsende Angriffsflächen, wenig wirksame Schulungsprogramme und Wissenslücken im Management verändern das Erscheinungsbild von Cyberrisiken. Es gibt jedoch auch gute Nachrichten: Organisationen werden besser darin, sich zu erholen. 

Unveränderliche Backups, erprobte Wiederherstellungsprozeduren und reifere Resilienzstrategien helfen Unternehmen, Angriffe zu überstehen, ohne Lösegeld zu zahlen.