Sean Deuby | Leitender Technologe, Amerika

CISOs werden ständig mit ernsten Warnungen über die nächste kritische Bedrohung für die Infrastruktur Ihres Unternehmens konfrontiert. Diese Warnungen sind zwar ein wichtiger Bestandteil der Bedrohungsanalyse, helfen Ihnen und Ihrem Sicherheitsteam jedoch nicht dabei, eine umsetzbare Verteidigungsstrategie zu entwickeln. Sie benötigen keine weiteren alarmierenden Berichte über Ransomware. Sie benötigen Informationen, auf deren Grundlage Sie handeln können – und einen Plan, den Ihr Vorstand unterstützt.

Das ganze Jahr über führen die Experten von Semperis branchenübergreifende Studien durch, um das globale Risiko durch Ransomware, die Vorbereitung auf Bedrohungen und die Krisenreaktion zu verstehen und zu verfolgen. In diesen Studien finden Sie Ansatzpunkte und Erkenntnisse, die Ihnen dabei helfen können, eine pragmatische Strategie zu entwickeln, um nicht nur Verteidigungspläne gegen Ransomware zu erstellen, sondern auch echte Widerstandsfähigkeit gegen dynamische und ausgeklügelte Ransomware-Angriffe aufzubauen.


Ransomware-Risiko: Beobachtungen aus dem Jahr 2025 und deren Relevanz für 2026

Aus den diesjährigen Untersuchungen geht eine Tatsache eindeutig hervor: Der schnellste Weg, einen Cybervorfall in einen Geschäftsausfall zu verwandeln, ist die Kompromittierung der Identitätsinfrastruktur – insbesondere von Active Directory (AD) und Entra ID.

Unser Bericht zum Ransomware-Risiko 2025 zeigt, dass 83 % der erfolgreichen Ransomware-Angriffe die Identitätsinfrastruktur kompromittiert haben. Dennoch verfügen viele Unternehmen über keinen getesteten AD-Wiederherstellungsplan, und noch mehr Unternehmen verfügen nicht über AD-spezifische Backup-Funktionen.

Abbildung 1: Studien von Semperis zeigen, dass die Identitätsinfrastruktur das primäre Ziel von Ransomware ist, jedoch nicht immer im Fokus der Wiederherstellungsplanung steht.

Warum stellt dies ein kritisches Problem dar? Weil die Wiederherstellung von Active Directory komplex, aufwendig und äußerst zeitintensiv ist. 76 % der Opfer von Ransomware benötigten weit mehr als einen Tag – viele sogar bis zu einem Monat –, um wieder zum normalen Betrieb zurückzukehren.

Abbildung 2: Die Befragten gaben an, dass nach einem Ransomware-Angriff mehr Zeit erforderlich war, um zum normalen Betrieb zurückzukehren.

Darüber hinaus planen Angreifer, die stets opportunistisch agieren, ihre Kampagnen für Momente, in denen Unternehmen abgelenkt sind. In unserem Bericht „Ransomware Holiday Risk Report 2025“gaben die Befragten an, dass 52 % der Ransomware-Angriffe an Wochenenden oder Feiertagen stattfanden und 60 % auf wichtige Unternehmensereignisse wie Fusionen und Übernahmen folgten.

Obwohl die meisten Unternehmen der Befragten über ein Security Operations Center (SOC) verfügen, reduzieren 78 % von ihnen die Personalausstattung des SOC an Wochenenden und Feiertagen um mehr als 50 % – und 6 % geben an, dass das SOC zu diesen Zeiten überhaupt nicht besetzt ist.

Dies ist eine Deckungslücke, die Sie schließen können.

Abbildung 3: Ob es sich um eine Notbesetzung während der Feiertage, Fusionen und Übernahmen oder einen Börsengang handelt – Cyberangreifer sind bereit und warten darauf, dass Sie Ihre Wachsamkeit verringern.

Für einen CISO, der im Jahr 2026 gegen Ransomware kämpft, erfordert eine effektive Cyber-Resilienz nicht nur robuste Abwehrmaßnahmen gegen Ransomware, sondern auch einen Krisenreaktionsplan, der eine schnelle Wiederherstellung eines vertrauenswürdigen Zustands ermöglicht.


Die „Wir haben einen Plan“-Falle

Die meisten Unternehmen können behaupten: „Wir verfügen über einen Cyber-Krisenplan.“ In unserer Studie zum „The State of Enterprise Cyber Crisis Readiness“geben 96 % der Unternehmen an, dass sie über einen solchen Plan verfügen.

Dennoch waren 71 % von mindestens einem Cybervorfall betroffen, der wichtige Geschäftsfunktionen lahmlegte, und 90 % haben in den letzten 12 Monaten Krisenteams aktiviert.

Die Lücke liegt nicht in der Absicht, sondern in der Umsetzung: 90 % der Teams gaben an, dass es erhebliche Hindernisse für eine effektive Reaktion auf Cybervorfälle gibt.

Abbildung 4: Fragmentierte Systeme, Kommunikationswege und Tools verhindern eine effektive Koordination der Reaktion auf Vorfälle.

Die Lösung besteht in Zentralisierung, Koordination und umfangreicher Übung.


Ihr Sicherheitsteam muss über robuste Verteidigungs- und Überwachungsfunktionen verfügen. Außerdem muss es Vertrauen in seinen Identitätswiederherstellungsprozess haben. Mit einer Out-of-Band-Kommandozentrale (wie dem Ready1 Plattform), in der Ihre Mitarbeiter, Prozesse und Technologien vereint sind, können Sie nicht nur Ihre Reaktion auf Vorfälle planen, sondern auch dafür trainieren.

Ohne die kontinuierliche Zusammenarbeit mit erfahrenen Experten für die Reaktion auf Vorfälle erstellen Teams ihre Pläne oft auf der Grundlage von Annahmen und nicht auf der Grundlage realer Bedrohungen und Trends. Diese Lücke wird bei einem tatsächlichen Vorfall schmerzlich deutlich.

Jeff Wichman, Leiter des Bereichs Incident Response bei Semperis

Warum das Risiko der Identitätswiederherstellung auf Ihrer ersten Folie für den Vorstand aufgeführt sein sollte

Häufig konzentrieren sich Unternehmen auf Datenschutz und Backups und vernachlässigen dabei die Wiederherstellungsplanung. Defensive Maßnahmen sind zweifellos unerlässlich und können die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs verringern. Aber Verteidigung ist nur ein Teil der Gleichung. Die Identität ist der erste Angriffsvektor – und das Erste, was Sie wiederherstellen müssen.

Lassen Sie uns dies in geschäftliche Begriffe übersetzen. Jedes System in Ihrem Unternehmen ist von der Identitätsinfrastruktur abhängig, von Anwendungen über Betriebsabläufe bis hin zu Mitarbeitern, Systemen, Diensten und Unternehmensressourcen – sowohl in lokalen Umgebungen als auch in der Cloud.

Wenn das Identitätssystem ausfällt, versagt alles, was davon abhängt. Das bedeutet, dass der Ausfall des Identitätssystems ein hohes Risiko für das Unternehmen darstellt – und die Wiederherstellung des Identitätssystems hat im Krisenreaktionsplan des Unternehmens Priorität.


Eine integre Wiederherstellung – die Rückkehr von AD und Entra ID in einen vertrauenswürdigen Zustand – ist die Voraussetzung für die schnelle Wiederherstellung von Anwendungen, Zugriffs- und Umsatzprozessen.


Die Kennzahl für 2026: Zeit für die Bereinigung der Identitätswiederherstellung und die damit verbundene Reduzierung der Ausfallzeiten.


Identitätsresilienz: Verbesserung der Sicherheitslage und Wiederherstellung

Sie haben wahrscheinlich Identitätsbedrohungserkennung und -reaktion (ITDR) . Allerdings bieten Lücken in der Umsetzung Angreifern eine Angriffsfläche. Vielen Unternehmen mangelt es an umsetzbaren Plänen zur Identitätswiederherstellung und einer konsequenten Nachverfolgung von Abhilfemaßnahmen. Nur:

  • 66 % geben an, über einen AD-Wiederherstellungsplan zu verfügen.
  • 55 % verfügen über einen Plan zur Wiederherstellung der Entra-ID.
  • 63 % automatisieren die Wiederherstellung des Identitätssystems
  • 45 % verfügen über Verfahren zur Behebung von Identitätsrisiken.

Diese Zahlen sind ein Geschenk für jeden Gegner.

In Bezug auf die Identitätssicherheit stellt der diesjährige Purple Knight Community-Bewertung, warum Fehlkonfigurationen weiterhin bestehen. Die durchschnittliche anfängliche Sicherheitsbewertung lag im Jahr 2025 bei 61 von 100 Punkten – eine fast ungenügende Note. Dies ist nicht nur ein Cyberrisiko, sondern auch ein Missionsrisiko.

Die positive Nachricht: Teams, die die Korrekturhinweise des Tools umgesetzt haben, konnten sich im Durchschnitt um 21 Punkte verbessern, wobei die besten Verbesserungen bei 61 Punkten lagen – ein Beweis dafür, dass Sie von Quartal zu Quartal messbare Fortschritte erzielen können.


Was für 2026 geändert werden sollte: Pragmatische, vorbereitete Maßnahmen

Sie benötigen nicht 30 Prioritäten, sondern die richtigen fünf.

  • Reduzieren Sie die Angriffsfläche Ihrer Identität. Trotz aller Aufregung verwenden die meisten Angreifer nur eine kleine Anzahl bewährter Techniken, um Identitätssysteme zu kompromittieren. Durch deren Beseitigung können Sie Ihr Risiko erheblich verringern. Legen Sie einen Rhythmus fest, um Indikatoren für Risiken und Kompromittierungen (IOEs und IOCs) in hybriden AD mithilfe priorisierter Leitlinien zu erkennen und zu beheben. Purple Knight zeigen glaubwürdige, berichtsfähige Verbesserungen, die Vorstände nachvollziehen können.
  • Machen Sie die Wiederherstellung einer sauberen Identitätsstruktur zu Ihrem RTO-Anker. Dokumentieren, automatisieren und testen Sie die Wiederherstellung von AD und Entra ID in einen vertrauenswürdigen Zustand – nicht nur in einen betriebsbereiten Zustand. Verfolgen Sie Ihre Wiederherstellungszeit (RTO) und Ihren Wiederherstellungspunkt (RPO) für Identitäten als wichtigste Geschäftskennzahlen und verknüpfen Sie diese direkt mit vermiedenen Ausfallzeiten.
  • Bleiben Sie in Zeiten der Ablenkung wachsam. Betrachten Sie Wochenenden, Feiertage und wichtige Unternehmensveranstaltungen als Zeiten mit erhöhtem Risiko. Die Daten zeigen, dass Angreifer bereits in diesen Zeiten mit geringerer Überwachung aktiv sind. Legen Sie Entscheidungsschwellen im Voraus fest, definieren Sie Bereitschaftsdienste und halten Sie Kommunikationswege außerhalb des normalen Netzwerks bereit.
  • Verbessern Sie Ihre Tischübungen. Beziehen Sie die Teams für Recht, Finanzen, Geschäftskontinuität und Notfallwiederherstellung mit ein, da diese im Ernstfall eine entscheidende Rolle spielen werden. Denken Sie daran, dass im letzten Jahr in 90 % der Unternehmen Krisenteams aktiviert wurden. Bereiten Sie sich so vor, als wäre es eine Gewissheit und keine Möglichkeit.
  • Übergang vom Chaos zur Kontrolle. Pläne scheitern unter Stress, wenn die Kommunikation fragmentiert ist und sich die Werkzeuge vermehren – daher entsteht selbst bei Organisationen, die „einen Plan haben“, eine Lücke in der Umsetzung. Zentralisieren Sie die Krisenkoordination und die Erfassung von Beweisen. Legen Sie klare Rollen und Verantwortlichkeiten fest.

Wie Sie die Ransomware-Forschung in diesem Quartal nutzen können

Wenn Sie sofortige Unterstützung von Ihrem Führungsteam wünschen:

  • Bitte teilen Sie die wichtigsten Grafiken aus dem Ransomware-Risikobericht 2025– insbesondere die Folien zu Identitätsdiebstahl und Wiederherstellungszeit – und legen Sie verbindliche RTO- und RPO-Ziele für die Identität fest.
  • Nutzen Sie den Ransomware Holiday Risk Report, um eine vorübergehende Auslastungsdeckung für die bevorstehende Welle von Wochenenden und Feiertagen festzulegen und die Governance in Bezug auf Fusionen und Übernahmen, Börsengänge und Entlassungen zu verstärken.
  • Beauftragen Sie eine schnelle Identitätsanalyse mit Purple Knighteine schnelle Identitätsbewertung durchführen lassen; präsentieren Sie Ihre aktuelle Punktzahl und den Verbesserungsplan mit Terminen und Verantwortlichen. Dies ist eine einfache und glaubwürdige Methode, um Dynamik und ROI zu demonstrieren.
  • Aktualisieren Sie Ihre Krisenübungen, um auch die nicht-technischen Stakeholder einzubeziehen, die tatsächlich die Entscheidungsgeschwindigkeit und das Vertrauen in die Regulierung bestimmen. Die teamübergreifende Kommunikation stellt ein großes Hindernis dar. Beginnen Sie damit, eine umfassende, bandunabhängige Krisenmanagement-Plattform wie Ready1 zu identifizieren.

Behalten Sie den menschlichen Aspekt bei – und die Messbarkeit

Ja, wir haben in diesem Jahr eine leichte Verbesserung bei der Erfolgsquote von Ransomware-Angriffen festgestellt. Die grundlegenden Tatsachen bleiben jedoch bestehen: Die Kompromittierung der Identitätsinfrastruktur ist der schnellste Weg zu erheblichen geschäftlichen Auswirkungen, und die Integrität der Wiederherstellung ist der Engpass, der über die Dauer Ihrer Ausfallzeit entscheidet.

Der Schwerpunkt für 2026 liegt nicht auf einer Steigerung aller Aspekte, sondern auf einer präzisen Fokussierung auf die Widerstandsfähigkeit der Identität und die entscheidenden Momente, in denen die Gegner weiterhin erfolgreich sind.

Sie übernehmen bereits eine Führungsrolle. Die Teams, die Sie unterstützen, erzielen ihre besten Ergebnisse, wenn der Weg klar ist und die Kennzahlen transparent sind. Im Jahr 2026 bedeutet dies: weniger unerwartete Fenster, weniger Identitäts-Hintertüren, eine schnellere Wiederherstellung des sauberen Zustands und eine sicherere Kommunikation, wenn der Druck steigt.

Das ist die Widerstandsfähigkeit, die Ihr Vorstand spüren wird – und von der Ihr Unternehmen profitieren wird.


Ressourcen, die Sie mit Ihrem Führungsteam teilen können