Ransomware
Warum ungepatchte Firewalls zum größten Einfallstor für Ransomware werden
Barracuda Threat Report zeigt dass 90 Prozent der Ransomware-Angriffe über Schwachstellen in der Firewall erfolgen
Stellen Sie sich vor, ein Angreifer dringt morgens in Ihr Unternehmensnetzwerk ein – und noch vor dem Mittagessen sind alle wichtigen Daten verschlüsselt. Genau dieses Szenario ist längst keine Ausnahme mehr, sondern bittere Realität. Das zeigt der aktuelle Barracuda Managed XDR Global Threat Report von Barracuda Networks Inc., der Tausende reale Sicherheitsvorfälle aus dem Jahr 2025 ausgewertet hat.
Die zentrale Erkenntnis: 90 Prozent aller beobachteten Ransomware-Angriffe nutzten Schwachstellen in Firewalls aus – meist verursacht durch nicht gepatchte Software oder kompromittierte Konten.
Firewalls: Schutzschild mit Sollbruchstellen
Firewalls gelten in vielen Unternehmen als letzte Bastion der IT-Sicherheit. Doch genau hier setzen Angreifer gezielt an. Laut Report umgehen sie den Schutz häufig über bekannte Software-Schwachstellen (CVEs) oder über Zugangsdaten, die längst hätten deaktiviert werden müssen. Das Problem: Diese Lücken sind oft banal. Ein vergessenes Benutzerkonto, eine alte Anwendung, ein Server mit veralteter Verschlüsselung – mehr braucht es nicht. Cyberkriminelle müssen nur eine Schwachstelle finden, um erfolgreich zu sein.
Ransomware in Rekordzeit
Besonders alarmierend ist die Geschwindigkeit moderner Angriffe. Der schnellste im Report dokumentierte Ransomware-Vorfall dauerte nur drei Stunden – vom ersten Eindringen bis zur vollständigen Verschlüsselung der Daten. Für IT-Teams bleibt in solchen Fällen kaum Zeit, verdächtige Aktivitäten zu erkennen, geschweige denn darauf zu reagieren. Andere Angriffe ziehen sich zwar über Wochen oder sogar Monate hin, doch auch das ist kein gutes Zeichen: In dieser Zeit bewegen sich Angreifer unbemerkt lateral durch das Netzwerk und bereiten den finalen Schlag vor. In 96 Prozent der beobachteten Fälle, in denen eine solche seitliche Bewegung stattfand, endete der Vorfall mit Ransomware.
Alte Schwachstellen, neue Gefahren
Ein weiteres Detail aus dem Report wirkt fast absurd – und ist doch bezeichnend: Eine der am häufigsten ausgenutzten Schwachstellen stammt aus dem Jahr 2013. Veraltete Verschlüsselungsalgorithmen in alten Servern, Embedded-Systemen oder Anwendungen sind auch zwölf Jahre später noch ein gefundenes Fressen für Angreifer. Hinzu kommt ein wachsendes Risiko aus der Lieferkette. 66 Prozent der Vorfälle betrafen Drittanbieter oder Partnerunternehmen. Wer sich also ausschließlich auf die eigene IT konzentriert, übersieht oft den indirekten Weg ins Netzwerk.
Identitäten im Fadenkreuz
An der Spitze der erkannten Bedrohungen stehen Angriffe auf digitale Identitäten: ungewöhnliche Logins, verdächtige Zugriffsrechte oder privilegierte Konten, die plötzlich aktiv werden. Sie sind häufig die ersten Warnsignale – und werden dennoch im stressigen Alltag leicht übersehen.
Kleine Teams, große Verantwortung
Gerade kleinere Unternehmen und IT-Abteilungen mit nur einer oder wenigen Personen stehen vor einer enormen Herausforderung. Sie müssen mit begrenzten Ressourcen eine immer komplexere Bedrohungslandschaft im Blick behalten. „Was Ziele verwundbar macht, ist oftmals leicht zu übersehen“, erklärt Merium Khalid, Director SOC Offensive Security bei Barracuda. „Ein einzelnes nicht autorisiertes Gerät, eine inaktive Anwendung oder ein Konto, das nach dem Ausscheiden eines Mitarbeiters nicht deaktiviert wurde – Angreifer brauchen nur eine einzige Schwachstelle.“
Fazit: Prävention schlägt Reaktion
Der Report macht deutlich: Klassische Sicherheitsmaßnahmen reichen längst nicht mehr aus. Regelmäßiges Patchen, sauberes Identitätsmanagement und die Überwachung von Drittanbietern sind keine „Nice-to-haves“, sondern Grundvoraussetzungen. In einer Welt, in der ein Angriff nur wenige Stunden dauern kann, entscheiden integrierte, intelligente Sicherheitslösungen und erfahrene Unterstützung darüber, ob ein Vorfall glimpflich endet – oder zum Stillstand des gesamten Unternehmens führt.
