Wir können Provisionen für empfohlene Produkte verdienen. Erfahre mehr.

Was ist Ransomware, wie funktioniert sie und wie entfernt man sie?

Aktualisiert am: 12. Dezember 2025
Computer screen with lock and money

Ransomware gehört zu den schlimmsten Arten von Malware, sie verursacht jährlich Schäden in Milliardenhöhe. Für Unternehmen wie Privatpersonen bedeutet eine Ransomware-Infektion oft den Verlust unersetzlicher Dateien und wochenlange Wiederherstellungsarbeiten.

In diesem Artikel erfährst du, was Ransomware genau ist, wie sie funktioniert und wie du sie von deinem Computer entfernst.

Definition von Ransomware

Wie Adware und Spyware ist auch Ransomware eine Form von Malware (Schadsoftware). Im Gegensatz zu Viren oder Trojanern hat Ransomware ein sehr spezifisches Ziel: die Software verschlüsselt die Dateien des Opfers, anschließend wird Lösegeld für die Entschlüsselung verlangt. In der Regel fordern die Ransomware-Hacker die Zahlung in Bitcoin oder einer anderen schwer nachverfolgbaren Kryptowährung.

Während die meisten Ransomware-Varianten nur die Dateien eines Nutzers verschlüsseln, drohen andere zusätzlich mit deren Veröffentlichung. Dadurch kann Ransomware enormen Schaden in den betroffenen Organisationen anrichten, sowohl finanziell als auch für deren Ruf.

Ständig werden neue Ransomware-Varianten entwickelt. Die Zahl der Ransomware-Angriffe stieg während der COVID-19-Pandemie sprunghaft an, da viele Arbeitnehmer ins Homeoffice wechselten und dabei Schwachstellen in Remote-Systemen entstanden.

So funktioniert Ransomware

Kurz gesagt missbraucht Ransomware die Verschlüsselung, eine Technologie zum Schutz von Daten. Wenn die Opfer nicht zahlen, bleiben ihre Daten verschlüsselt und der Zugriff wird unmöglich. Nachdem ein Opfer die Schadsoftware unwissentlich installiert hat, folgt Ransomware meist demselben Muster:

  1. Im Hintergrund verschlüsselt das Ransomware-Programm die Dateien des Nutzers sukzessiv und löscht die Originale.
  2. Die Ransomware zeigt die Lösegeldforderung an, entweder durch Änderung des Desktop-Hintergrunds oder durch Öffnen eines Popups im Vollbildmodus.
  3. In der Lösegeldforderung wird dem Nutzer ein Ultimatum gestellt: Entweder er zahlt und bekommt seine Dateien zurück, oder der Angreifer löscht den Entschlüsselungscode und die Dateien sind für immer verloren.
  4. Auf derselben Seite wie die Lösegeldforderung zeigt das Programm eine Bitcoin-Adresse (oder andere Kryptowährung) an. Wenn der Nutzer die geforderte Anzahl Bitcoin kauft und an die angegebene Adresse sendet, erhält er (angeblich) eine Datei oder ein Passwort, um seine Daten zu entschlüsseln.
  5. Der Nutzer gibt den Freischaltcode in einen Teil des Ransomware-Programms ein. Theoretisch entschlüsselt das Programm die Dateien des Nutzers und löscht sich anschließend selbst. Dies geschieht jedoch nicht immer: Manchmal nimmt der Kriminelle einfach das Geld des Opfers und tut nichts oder fordert noch mehr.

Verschlüsselung ist dieselbe Technologie, die Online-Banking sicher macht. Sie schützt dich auch beim Surfen im Internet, beim Versenden von Sofortnachrichten oder E-Mails (zwischen großen Anbietern). Hacker können Verschlüsselung jedoch auch nutzen, um Opfer von den eigenen Daten auszusperren.

Wie verbreitet sich Ransomware?

Es gibt verschiedene Wege, Nutzer mit Ransomware zu infizieren. Im Folgenden einige der wichtigsten Fragen und Antworten zur Verbreitung dieser Schadsoftware:

  • Kann sich Ransomware über infizierte Dokumente verbreiten? Ja. Die meisten Ransomware-Varianten gelangen über infizierte Downloads oder E-Mail-Anhänge auf die Systeme. Sogenannte dokumentbasierte Malware, bei der bösartige Microsoft Office-Dateien versteckte Schadsoftware enthalten, ist immer stärker verbreitet. Ein einziger Klick auf "Makros aktivieren" genügt (und manchmal nicht einmal das, wenn der Hacker eine Sicherheitslücke ausnutzt), schon werden deine Daten als Geisel genommen.
  • Kann sich Ransomware über WLAN verbreiten? Ja. Manche Ransomware verbreitet sich automatisch weiter, sobald sie in ein Netzwerk gelangt. Mit anderen Worten: Sie nutzt Sicherheitslücken in Software im Netzwerk, um einen Computer nach dem anderen zu infizieren. Hacker zielen dabei oft auf Schwachstellen in Dateifreigabe- und Remote-Desktop-Protokollen ab.
  • Kann sich Ransomware über USB verbreiten? Ja. Wenn du einen infizierten USB-Stick von deinem Freund ausleihst und an deinem Computer verwendest, kann dieser mit Ransomware infiziert werden.

Leider ist Ransomware extrem schnell, sobald sie in dein System gelangt. Es dauert nur wenige Sekunden, um alle deine Dateien zu verschlüsseln. Deshalb solltest du dich darauf konzentrieren, Infektionen von vornherein zu vermeiden.

Welche Arten von Ransomware gibt es?

Ransomware gehört heutzutage zu den beliebtesten und erfolgreichsten Malware-Arten. Damit können Cyberkriminelle erfolgreich den Zugriff auf deine eigenen Daten und Geräte blockieren, sensible Informationen stehlen und ein Vermögen verdienen, indem sie dich zur Zahlung von Lösegeld zwingen.

Deshalb entwickelt sich Ransomware ständig weiter und existiert mittlerweile in vier verschiedenen Varianten: Locker-, Krypto-, Double-Extortion- und RaaS-Ransomware. Die beiden Haupttypen sind jedoch Locker- und Krypto-Ransomware.

Locker-Ransomware

Diese Art von Ransomware blockiert den Zugriff auf dein Gerät. Sie nutzt gestohlene Zugangsdaten und Social-Engineering-Techniken, um ins System zu gelangen. Nachdem sie ins System eingedrungen ist, fordern die Cyberkriminellen die Zahlung des Lösegelds. Der Schaden ist jedoch nicht behoben, da die Eindringlinge deine Daten bereits haben.

Krypto-Ransomware

Bei dieser Art von Ransomware versucht der Hacker, deine sensiblen Informationen zu verschlüsseln, ohne die Funktionalität deines Computers zu beeinträchtigen. Sobald der Hacker eingedrungen ist, kannst du deine Dateien nur noch sehen, aber nicht mehr darauf zugreifen. An diesem Punkt erhältst du auch eine Nachricht über das Lösegeld und den möglichen Verlust der Dateien, falls du den geforderten Geldbetrag nicht zahlst.

Wie wir bereits sehen können, ist Ransomware für Kriminelle ein schneller und einfacher Weg, Dateien zu stehlen und Geld zu verdienen. Eine der besten Schutzmöglichkeiten ist die Nutzung einer Antivirensoftware mit Ransomware-Schutz.

So verhinderst du Ransomware

Die meisten Ransomware-Typen benötigen irgendeinen Benutzerfehler als Auslöser. Gelegentlich nutzt Ransomware Sicherheitslücken in Software oder Remote-Access-Protokollen zur Verbreitung.

Grundsätzlich ähnelt die Prävention von Ransomware-Angriffen der Prävention anderer Angriffsarten. Hier einige spezifische Empfehlungen:

  • Vermeide Downloads von nicht vertrauenswürdigen Seiten.
  • Sei vorsichtig bei E-Mails, öffne keine Anhänge oder Links von unzuverlässigen oder unbekannten Absendern.
  • Halte dein Betriebssystem und deine Software aktuell. Stelle sicher, dass dein Webbrowser, Antivirenprogramm und andere sicherheitskritische Software regelmäßig Updates erhalten. Das kann helfen, Ransomware zu vermeiden, die Sicherheitslücken ausnutzt.
  • Nutze den Hintergrund-Scanmodus in deiner Antivirensoftware, um sicherzustellen, dass jeder Download auf Malware überprüft wird. Da du Ransomware nach der Installation nicht effektiv entfernen kannst, ohne deinen Computer komplett zu löschen, reichen gelegentliche Scans nicht aus.

Andere allgemeine Sicherheitsmaßnahmen können Ransomware fernhalten, doch der Nutzer ist das wichtigste Element des Sicherheitssystems. Durch sorgfältigen und skeptischen Umgang mit Webseiten, E-Mails und anderen Informationen auf deinem Computer kannst du Ransomware vermeiden.

So entfernst du Ransomware

Da deine Dateien vollständig verschlüsselt sind, ist es unmöglich, Ransomware zu entfernen, ohne deinen Computer komplett zu löschen und neu zu installieren. Du kannst deine Dateien nur zurückbekommen, wenn du ein Backup von vor der Ransomware-Installation hast.

So löschst und stellst du deinen Computer wieder her:

  1. Erstelle auf einem sauberen Computer ein bootfähiges Wiederherstellungslaufwerk speziell für dein Betriebssystem. Bei einem Mac brauchst du keinen zweiten Computer.
    1. Unter Windows nutze Microsofts USB/DVD Download Tool. Dies ist ein kostenloser und einfacher Download direkt von Microsoft.
    2. Unter macOS starte von der Wiederherstellung, indem du nach dem Neustart die Befehls- und R-Tasten gedrückt hältst. Das Wiederherstellungslaufwerk ist in dein Betriebssystem integriert.
  2. Starte deinen Computer vom externen oder internen Wiederherstellungslaufwerk neu. Folge den Bildschirmanweisungen, um deine Festplatte zu löschen und das Betriebssystem neu zu installieren.
  3. Starte deinen Computer neu, wenn du dazu aufgefordert wirst, und entferne das Wiederherstellungslaufwerk.
  4. Richte deinen Computer wie neu ein. Nachdem du die Einrichtung abgeschlossen hast, übertrage deine Dateien aus deinem Backup auf den Computer.
  5. Vermeide dieselben Fehler, die zur Ransomware-Installation geführt haben. Falls du zuvor keine guten Sicherheitspraktiken befolgt hast, nimm dir Zeit, deine Gewohnheiten zu überdenken und sei beim nächsten Mal vorsichtiger.

Falls du kein Backup hast, sind deine Daten unter Umständen verloren. Im letzten Abschnitt dieses Artikels besprechen wir kurz, warum du das Lösegeld nicht zahlen solltest. Es gibt keine Garantie, dass der Kriminelle nicht einfach dein Geld nimmt, ohne den Zugriff auf deine Dateien wiederherzustellen. Andererseits: Wenn du mit dem Verlust deiner Dateien leben kannst, lösche einfach deinen Computer komplett und stelle keine Backups wieder her.

Ransomware-Beispiele

WannaCry ransomware example

In den letzten Jahren tauchen Ransomware-Angriffe ständig in den Nachrichten auf. Vom berüchtigten WannaCry-Angriff, der Hunderte großer Organisationen traf, bis zu den Petya- und NotPetya-Varianten ist Ransomware seit einigen Jahren ein zentrales Problem der Cybersicherheit.

Hier findest du eine Übersicht der bedeutendsten Ransomware-Varianten:

  • WannaCry war der bekannteste Ransomware-Angriff. Durch Ausnutzung der EternalBlue-Sicherheitslücke in Microsoft Windows verbreitete er sich mit beispielloser Geschwindigkeit über den gesamten Globus. Einigen Schätzungen zufolge könnten die Verluste durch diesen Angriff vier Milliarden Dollar übersteigen.
  • SamSam griff kritische Infrastruktur mit gestohlenen Microsoft-Remote-Desktop-Zugangsdaten an. Im Gegensatz zu vielen anderen Ransomware-Arten begingen die Opfer von SamSam nicht unbedingt selbst einen Fehler.
  • Locky gelangte über eine gefälschte Microsoft-Word-Rechnung mit Malware auf die Computer der Opfer. Das Dokument schien ungültig zu sein und brachte den Nutzer dazu, Makros zu aktivieren, um das Dokument zu "dekodieren". Nach Aktivierung der Word-Makros wurde der Computer des Opfers mit Ransomware gesperrt.
  • Petya und NotPetya sind Varianten eines ähnlichen Ransomware-Programms, das kritische Boot-Sektoren auf den Computern seiner Opfer überschrieb. Im Vergleich zu anderen Ransomware-Arten verwendet Petya eine Low-Level-Technik, die vollständiger wirkt und befallene Systeme komplett unbrauchbar macht.
  • Ryuk griff Ende 2018 Unternehmenssysteme an, später als viele dieser anderen Ransomware-Beispiele. Die Schadsoftware nutzt dateilose Malware (einschließlich PowerShell-Skripte), um sich über Firmennetzwerke zu verbreiten und dabei so viele Computer wie möglich schnell zu verschlüsseln.

Sollte ich zahlen, wenn ich von Ransomware betroffen bin?

Zahle nach Möglichkeit niemals das Lösegeld. Mit der Zahlung ermutigst du die Ransomware-Hacker, weitere Personen und Organisationen anzugreifen. Manchmal kannst du die Zahlung jedoch nicht vermeiden, weil du keine Backups hast und der Wert deiner Daten die Kosten des Lösegelds übersteigt.

Bedenke, dass die Ransomware-Hacker keinen Anreiz haben, deine Dateien tatsächlich zu entsperren, wenn du das Lösegeld zahlst. Obwohl sie meistens die Dateien der Opfer freigeben, gibt es keine Garantie. Als ein Krankenhaus in Kansas von einem Ransomware-Angriff betroffen war, wurden die Daten trotz Zahlung des Lösegelds nicht zurückgegeben.

Ein weiterer Grund, nicht nachzugeben, ist die Möglichkeit, dass gleichzeitig andere Malware installiert wurde. Malware tritt oft in Gruppen auf, selbst wenn du das Lösegeld zahlst, könnte dein Computer immer noch mit anderer, weniger offensichtlicher Malware infiziert sein.

Wenn du gut vorbereitet warst und Backups hast, lösche jeden infizierten Computer und stelle die Daten aus deinen Backups wieder her. So behältst du deine Daten und förderst keine Cyberkriminalität in der Zukunft.

Kann Ransomware externe Festplatten infizieren?

Ja. Manchmal kann Ransomware sogar externe Speichergeräte verschlüsseln. Um dies zu vermeiden, lasse deine externe Festplatte nicht dauerhaft mit deinem Computer verbunden.

Wie häufig sind Ransomware-Angriffe?

Leider sind sie ziemlich häufig. Schätzungen zufolge finden täglich mehrere Tausend Ransomware-Angriffe statt.

Solltest du Ransomware-Lösegeld zahlen?

Nach Möglichkeit nein. Die Zahlung des Lösegelds ermutigt Hacker nur dazu, weitere Geräte zu infizieren. Außerdem gibt es keine Garantie, dass deine Daten entschlüsselt werden.

Kann Ransomware Daten stehlen?

Ja. Einige Ransomware-Arten können all deine persönlichen Daten stehlen, bevor sie deine Dateien verschlüsseln.

Deutsch English Português (BR) Español Français Niederländisch Italian (IT)
Empfehlungen für dich
Ersetzen eSIMs physische SIM-Karten?
Facebook trackt dich: so löschst du alle deine Facebook-Daten
So löschst du den Cache in Android
Wie kann man ein Handy orten?
Sicher und anonym online bezahlen – Komplette Anleitung für 2026
E-Mail in Gmail zurückrufen: Schritt-für-Schritt-Notfallanleitung