Eine traditionsreiche Rahmenmanufaktur wurde Ziel eines Ransomware-Angriffs: Über einen scheinbar harmlosen E-Mail-Anhang gelangten Schadprogramme ins Firmennetzwerk, trotz Firewall und aktueller Antivirensoftware. Innerhalb weniger Sekunden begann die Schadsoftware, sämtliche Dateien auf den Servern und Arbeitsstationen zu verschlüsseln - mit der Aufforderung, Lösegeld in Kryptowährung zu zahlen, um den Zugriff zurückzuerlangen. Der Schaden war groß: Kundendaten, Aufträge, Rechnungen - die gesamte Buchhaltung wurde unzugänglich.
Warum Antivirensoftware oft machtlos ist
Trotz aktueller Antivirensoftware blieb die Gefahr unentdeckt, denn viele Ransomware-Varianten sind heute so geschickt verschleiert, dass klassische Virenscanner oft keine passenden Signaturen finden. Das liegt daran, dass Schadcode mit Hilfe neuer KI-Tools in kürzester Zeit variiert werden kann, sodass Abwehrmechanismen ins Leere laufen. Die Einstiegshürde für Cyberkriminalität sinkt: Selbst weniger versierte Täter können mit Drag-&-Drop Werkzeugen wie n8n komplexe Angriffsketten zusammenstellen - schnell, modular und ohne tiefes Programmierwissen.
Technische Abwehr im Detail
Experten der Quellcode 360 GmbH stellten zunächst fest, dass alle Daten - PCs, Netzlaufwerke und selbst der Backup-Server - verschlüsselt worden waren. Danach startete das Team sofort eine mehrgleisige Rettungsaktion. Im Zentrum stand die Analyse der verwendeten Verschlüsselung. Schnell wurde klar, dass die Daten mittels SHA-256-Hash verschlüsselt worden war. Diese Verschlüsselung ist so stark, dass ein direktes Rückrechnen des Hash-Werts zum ursprünglichen Passwort aufgrund der großen Anzahl an Möglichkeiten praktisch unmöglich ist. Der einzige Weg ist das gezielte Ausprobieren von plausiblen Passwörtern und der Abgleich mit dem Hash.
Da Dateinamen erhalten geblieben waren und einzelne Systemdateien bekannt waren, konnte man Rückschlüsse auf Inhalte ziehen und vergleichen. Um das verwendete Passwort zu knacken, setzte Quellcode 360 auf Hashcat, ein Tool, das Brute-Force-Angriffe (=Erprobung vieler möglicher Passwörter) unterstützt.
Zwar verfügt die Quellcode 360 GmbH selbst über eine der leistungsstärksten GPUs am Markt – eine NVIDIA H100, doch angesichts der gewaltigen Anzahl zu berechnender Hashes reichte auch diese Power allein nicht aus. Deshalb wurde zusätzlich ein GPU-Cluster in Schweden angebunden, der eigentlich für kosmologische Simulationen genutzt wird. Durch diese Kombination ließ sich die Rechenleistung massiv steigern: Mehr als eine Million Hashversuche pro Minute wurden parallel ausgeführt.
Kein Lösegeld
Auf diese Weise gelang es, das von der Ransomware verwendete Passwort innerhalb von 48 Stunden zu finden: Der Vorfall ereignete sich am Freitagnachmittag, und bis Sonntagabend war das Problem bereits vollständig behoben. Mit Hilfe eines eigens entwickelten Python-Skripts konnten in kürzester Zeit alle verschlüsselten Dateien entschlüsselt und wiederhergestellt werden. Alle Daten wurden zurückgewonnen, ohne Lösegeldzahlung - und dank des Wochenend-Zeitfensters kam es zu keinen nennenswerten Produktionseinbußen. Ende gut, alles gut.
Lehre für KMUs: Ransomware kennt keine Branchen
Der Fall zeigt, dass Cyberangriffe nicht nur Großkonzerne treffen. Auch kleine und mittlere Unternehmen - selbst traditionelle Handwerksbetriebe - sind gefährdet. Und mit KI-gestützten Angriffsmethoden steigt das Risiko weiter. Deshalb müssen auch die Verteidigungsstrategien modernisiert werden.
„Viele Betriebe verlassen sich allein auf Antivirensoftware – doch das reicht längst nicht mehr“, erklärt Dr. Johannes Puschnig, Geschäftsführer der Quellcode 360 GmbH. „Entscheidend sind mehrschichtige Sicherheitskonzepte, Echtzeit-Überwachung und vor allem schnelle Reaktionsmöglichkeiten im Ernstfall.“
Warum Antivirensoftware oft machtlos ist
Trotz aktueller Antivirensoftware blieb die Gefahr unentdeckt, denn viele Ransomware-Varianten sind heute so geschickt verschleiert, dass klassische Virenscanner oft keine passenden Signaturen finden. Das liegt daran, dass Schadcode mit Hilfe neuer KI-Tools in kürzester Zeit variiert werden kann, sodass Abwehrmechanismen ins Leere laufen. Die Einstiegshürde für Cyberkriminalität sinkt: Selbst weniger versierte Täter können mit Drag-&-Drop Werkzeugen wie n8n komplexe Angriffsketten zusammenstellen - schnell, modular und ohne tiefes Programmierwissen.
Technische Abwehr im Detail
Experten der Quellcode 360 GmbH stellten zunächst fest, dass alle Daten - PCs, Netzlaufwerke und selbst der Backup-Server - verschlüsselt worden waren. Danach startete das Team sofort eine mehrgleisige Rettungsaktion. Im Zentrum stand die Analyse der verwendeten Verschlüsselung. Schnell wurde klar, dass die Daten mittels SHA-256-Hash verschlüsselt worden war. Diese Verschlüsselung ist so stark, dass ein direktes Rückrechnen des Hash-Werts zum ursprünglichen Passwort aufgrund der großen Anzahl an Möglichkeiten praktisch unmöglich ist. Der einzige Weg ist das gezielte Ausprobieren von plausiblen Passwörtern und der Abgleich mit dem Hash.
Da Dateinamen erhalten geblieben waren und einzelne Systemdateien bekannt waren, konnte man Rückschlüsse auf Inhalte ziehen und vergleichen. Um das verwendete Passwort zu knacken, setzte Quellcode 360 auf Hashcat, ein Tool, das Brute-Force-Angriffe (=Erprobung vieler möglicher Passwörter) unterstützt.
Zwar verfügt die Quellcode 360 GmbH selbst über eine der leistungsstärksten GPUs am Markt – eine NVIDIA H100, doch angesichts der gewaltigen Anzahl zu berechnender Hashes reichte auch diese Power allein nicht aus. Deshalb wurde zusätzlich ein GPU-Cluster in Schweden angebunden, der eigentlich für kosmologische Simulationen genutzt wird. Durch diese Kombination ließ sich die Rechenleistung massiv steigern: Mehr als eine Million Hashversuche pro Minute wurden parallel ausgeführt.
Kein Lösegeld
Auf diese Weise gelang es, das von der Ransomware verwendete Passwort innerhalb von 48 Stunden zu finden: Der Vorfall ereignete sich am Freitagnachmittag, und bis Sonntagabend war das Problem bereits vollständig behoben. Mit Hilfe eines eigens entwickelten Python-Skripts konnten in kürzester Zeit alle verschlüsselten Dateien entschlüsselt und wiederhergestellt werden. Alle Daten wurden zurückgewonnen, ohne Lösegeldzahlung - und dank des Wochenend-Zeitfensters kam es zu keinen nennenswerten Produktionseinbußen. Ende gut, alles gut.
Lehre für KMUs: Ransomware kennt keine Branchen
Der Fall zeigt, dass Cyberangriffe nicht nur Großkonzerne treffen. Auch kleine und mittlere Unternehmen - selbst traditionelle Handwerksbetriebe - sind gefährdet. Und mit KI-gestützten Angriffsmethoden steigt das Risiko weiter. Deshalb müssen auch die Verteidigungsstrategien modernisiert werden.
„Viele Betriebe verlassen sich allein auf Antivirensoftware – doch das reicht längst nicht mehr“, erklärt Dr. Johannes Puschnig, Geschäftsführer der Quellcode 360 GmbH. „Entscheidend sind mehrschichtige Sicherheitskonzepte, Echtzeit-Überwachung und vor allem schnelle Reaktionsmöglichkeiten im Ernstfall.“
