84 Ransomware-Gruppen, eine unbequeme Wahrheit: Strafverfolgungsmaßnahmen fragmentieren das Ökosystem – sie zerstören es nicht

Die Strafverfolgungsbehörden feierten, als LockBit zerschlagen wurde. Metaphorisch gesehen flogen die Korken, Pressemitteilungen wurden herausgegeben, und die Botschaft lautete, dass das Ransomware-Problem endlich kleiner wird. Dann veröffentlichte Travelers seinen Cyber Threat Report für Q1 2026 – und die Zahlen erzählten eine ganz andere Geschichte.

Das Scoreboard, das niemand wollte

Im ersten Quartal 2026 veröffentlichten Ransomware-Betreiber laut dem Q1 2026 Travelers Cyber Threat Report, zusammengefasst von PropertyCasualty360, 2.405 Opfer auf Dark-Web-Leakseiten. Diese Zahl liegt nur 2 % unter dem Allzeithoch aus Q4 2025 und ist 7 % höher als im gleichen Quartal des Vorjahres. Um den längerfristigen Trend einzuordnen: Ransomware-Schäden sind seit 2022 um 80 % gestiegen, und die Ransomware-Aktivität insgesamt hat sich im gleichen Zeitraum verdreifacht – laut Travelers-Daten, berichtet von PropertyCasualty360. Die Zahl der auf Leakseiten veröffentlichten Opfer stieg allein im Jahr 2025 um 50 %, so das Travelers Institute. Das sind keine Rundungsfehler. Es ist ein Trend, der klar in eine Richtung zeigt.

Die beunruhigendste Zahl ist jedoch nicht die Opferzahl. Es ist die Gruppenanzahl. Laut dem von PropertyCasualty360 berichteten Travelers-Report waren im Q1 2026 84 verschiedene kriminelle Gruppen aktiv – die höchste Zahl, die Travelers seit 2020 erfasst hat. Ein Jahr zuvor lag die vergleichbare Zahl bei 70. Von diesen 84 Gruppen tauchten 19 zum allerersten Mal in Leaksite-Daten auf, so Corvus by Travelers. Neulinge. Eine frische Klasse von Betreibern, die genau in dem Zeitraum auftaucht, in dem groß angelegte Strafverfolgungsmaßnahmen den Markt eigentlich abschrecken sollten.

Das Fragmentierungsproblem – erklärt

Hier ist die unbequeme strategische Erkenntnis, die in den Daten steckt: Die Zerschlagung einer dominanten Ransomware-Gruppe beseitigt nicht die kriminelle Kapazität, die diese Gruppe repräsentierte. Sie verteilt sie neu. Wenn eine große Operation gestört wird, zerstreuen sich ihre Affiliates, ihre Werkzeuge und manchmal ihre Entwickler. Einige ziehen sich zurück. Viele nicht. Sie gründen neue Operationen, schließen sich kleineren Gruppen an oder starten eigenständige Marken. Das Ergebnis ist ein Ökosystem mit mehr Knotenpunkten, nicht weniger.

Travelers spricht diese Dynamik direkt an. Wie PropertyCasualty360 berichtete, stellte der Versicherer fest, dass Fragmentierung die Bekämpfung von Ransomware erschwert, weil die Verhaftung einer einzelnen Gruppe weniger Wirkung zeigt, wenn Angriffe auf mehrere, sich ständig verändernde Akteure verteilt sind. Eine konzentrierte Bedrohung ist paradoxerweise leichter zu überwachen und zu stören als eine diffuse. Die Sicherheitscommunity hat das seit Jahren theoretisch verstanden. Die Q1-2026-Daten sind nun der empirische Beweis.

Die führenden Gruppen in Q1 2026 veranschaulichen sowohl die Beständigkeit etablierter Akteure als auch das Chaos der neuen Landschaft. Qilin veröffentlichte 414 Opfer und beanspruchte damit den Spitzenplatz, während eine Gruppe namens the Gentlemen 207 Opfer verzeichnete, laut PropertyCasualty360. Zu den betroffenen Organisationen zählten auch Unternehmen aus dem Finanzdienstleistungssektor, so derselbe Bericht. Zwei sehr unterschiedliche Betreiber, die beide im selben Quartal florieren. So sieht ein fragmentiertes Ökosystem in der Praxis aus.

Die VPN-Tür steht weiterhin sperrangelweit offen

Fragmentierung bei den Bedrohungsakteuren bedeutet keine Willkür bei den Einstiegspunkten. Travelers' Daten zeigen eine auffallende Konsistenz auf der Einbruchsseite: Mehr als 85 % der bei Travelers zwischen August und Dezember 2025 eingereichten Cyber-Schadenmeldungen involvierten VPNs als initialen Einstiegspunkt, laut dem Travelers Institute. Diese Zahl verdient es, langsam gelesen zu werden. Nicht eine Pluralität. Nicht eine Mehrheit. Mehr als 85 %. Virtuelle private Netzwerke, eigentlich als Sicherheitsmaßnahme gedacht, sind zu einer der zuverlässigsten Eingangstüren in Unternehmensumgebungen geworden.

Der Mechanismus ist kein Geheimnis. Ungepatchte VPN-Appliances, gestohlene Zugangsdaten für VPN-Portale und falsch konfigurierte Multi-Faktor-Authentifizierung rund um den VPN-Zugang sind allesamt gut dokumentierte Angriffsflächen. Emsisofts Q1-2026-Analyse zur Lage der Ransomware stellt fest, dass die aktuelle Bedrohungslandschaft nicht nur durch Volumen, sondern auch durch Absicht geprägt ist – Bedrohungsakteure priorisieren zunehmend Ziele, die über einfache Verschlüsselung zur Lösegeldforderung hinausgehen. Die von Industrial Cyber dokumentierte Verschiebung hin zu Datendiebstahl statt Störung, unter Berufung auf BlackFogs Q1-2026-Erkenntnisse, verstärkt dies: Betreiber exfiltrieren Daten zunehmend vor oder anstelle von Verschlüsselung, weil gestohlene Daten Erpressungshebel erzeugen, selbst wenn Opfer aus Backups wiederherstellen. Das VPN ist die Eingangstür; was danach passiert, ist zunehmend ein Datenraub und nicht nur eine Aussperrung.

Was das konkret für Sie bedeutet

Wenn Sie die Sicherheit einer Organisation verantworten, lautet die strategische Konsequenz der Fragmentierungserkenntnis: Ihr Bedrohungsmodell darf nicht darauf aufgebaut sein, benannte Gruppen zu verfolgen. Auf LockBit-Kompromittierungsindikatoren zu achten, während 19 neue Gruppen in einem einzigen Quartal debütieren, ist so, als würden Sie die Schlösser austauschen, nachdem Sie Schlüssel an Fremde verteilt haben, die Sie nie getroffen haben.

Die praktische Reaktion besteht darin, sich auf die unveränderlichen Teile des Problems zu konzentrieren: initiale Zugriffsvektoren (patchen Sie Ihre VPN-Appliances, setzen Sie phishing-resistente Multi-Faktor-Authentifizierung durch), Erkennung von Lateral Movement und Kontrolle der Datenexfiltration – denn selbst wenn die Gruppe, die Sie beobachten, morgen verschwindet, wird die nächste dieselbe Tür nutzen.

Das Travelers Institute weist darauf hin, dass der Versicherer fünf Cyber-Readiness-Praktiken empfiehlt, um Organisationen beim Schutz vor sich entwickelnden Bedrohungen zu unterstützen, wobei die Details dieser Praktiken im vollständigen Q1 2026 Travelers Cyber Threat Report ausgeführt werden. Dieser Bericht ist es wert, vollständig gelesen zu werden – nicht wegen der genannten Gruppen (die werden sich ändern), sondern wegen der strukturellen Muster, die es nicht tun werden.

Das Scoreboard mit 84 aktiven Gruppen wird in Q2 anders aussehen. Die Lektion, die es vermittelt, bleibt dieselbe.

Quellen

• Travelers: Ransomware attacks hit near-record high - PropertyCasualty360(opens in new tab)
• Ransomware Hits Near-Record Highs as AI Governance Gaps Widen Inside Organizations - Risk & Insurance(opens in new tab)
• Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
• Threat Intel Insights from Corvus by Travelers(opens in new tab)
• The State of Ransomware in Q1 2026(opens in new tab)
• Ransomware activity holds steady in Q1 2026 as threat actors prioritise data theft over disruption, BlackFog finds - Industrial Cyber(opens in new tab)

Quellen

• Ransomware Hits Near-Record Highs as AI Governance Gaps Widen Inside Organizations - Risk & Insurance : Risk & Insurance(opens in new tab)
• Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
• Ransomware activity holds steady in Q1 2026 as threat ...(opens in new tab)
• Threat Intel Insights from Corvus by Travelers(opens in new tab)
• The State of Ransomware in Q1 2026(opens in new tab)
• Travelers: Ransomware attacks hit near-record high - PropertyCasualty360(opens in new tab)
• Ransomware Hits Near-Record Highs as AI Governance Gaps ...(opens in new tab)
• Ransomware activity holds steady in Q1 2026 as threat ...(opens in new tab)
• Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
• Threat Intel Insights from Corvus by Travelers(opens in new tab)