Drei Namen dominieren die Ransomware-Lage in der DACH-Region: Akira, Qilin und LockBit. Das FBI beziffert allein die Einnahmen von Akira auf über 244 Millionen US-Dollar seit März 2023. Qilin stellt nach Daten von PI Solutions in jeder Woche des Jahres 2026 mehr neue Opfer auf seine Leak-Seite als jede andere Erpressergruppe. Und LockBit, totgesagt nach den Polizeischlägen von 2024, ist mit der Version 5.0 zurück. Dieser Vergleich stellt die drei gefährlichsten Ransomware-Operationen Seite an Seite: Technik, Geschäftsmodell, reale Angriffe und die konkrete Gefahr für Unternehmen in Österreich, Deutschland und der Schweiz.
Wir vergleichen entlang harter Daten aus mehr als sechs unabhängigen Quellen, darunter das gemeinsame Advisory von FBI, CISA und Europol vom 13. November 2025, die Quartalsberichte von Arete sowie die Threat-Profile von Halcyon, FortiGuard Labs und Check Point. Am Ende steht ein klares Urteil, welche Gruppe 2026 das größte Risiko darstellt, plus ein Migrationsleitfaden für die Abwehr.
Akira vs. Qilin vs. LockBit: Die wichtigsten Unterschiede auf einen Blick
Alle drei Gruppen betreiben Ransomware-as-a-Service (RaaS). Sie entwickeln die Schadsoftware zentral und vermieten sie an Partner, sogenannte Affiliates, die die eigentlichen Einbrüche durchführen. Alle drei setzen auf Double Extortion, also den doppelten Druck aus Verschlüsselung und Drohung mit Datenveröffentlichung. Die Unterschiede liegen im Detail: in der Verschlüsselungstechnik, den bevorzugten Einfallstoren, der Reife des Partnerprogramms und der schieren Schlagzahl. Die folgende Tabelle fasst die zentralen Merkmale zusammen, soweit sie sich aus den Quellen von 2025 und 2026 belegen lassen.
| Merkmal | Akira | Qilin (Agenda) | LockBit 5.0 |
|---|---|---|---|
| Erstmals beobachtet | März 2023 | 2022 | 2019 (LockBit), 5.0 ab Sept. 2025 |
| Mutmaßliche Herkunft | Sehr wahrscheinlich Conti-Nachfolge | Russischsprachiger Raum | Russischsprachiger Raum |
| Modell | RaaS, Affiliate-getrieben | RaaS, reifes Affiliate-Modell | RaaS, nach Takedown reaktiviert |
| Programmiersprache | C++, später Rust (Megazord) | Anfangs Go, später Rust | Windows- und Linux-Builds |
| Verschlüsselung | ChaCha20 (symmetrisch) | AES-256-CTR oder ChaCha20 | Nicht offengelegt |
| Schlüsselschutz | RSA | RSA-4096 OAEP | Nicht offengelegt |
| Zielplattformen | Windows, Linux/ESXi, Nutanix AHV | Windows, Linux, VMware ESXi | Windows, Linux |
| Initialer Zugriff | Gestohlene Zugangsdaten, VPN ohne MFA, CVE-Exploits | Phishing, Zugangsdaten, Exploits | Affiliate-abhängig |
| Double Extortion | Ja | Ja | Ja |
| Affiliate-Anteil | Nicht offengelegt | Berichtet: 80 bis 85 % | Nicht offengelegt |
| Dateiendung | .akira, .powerranges | variabel | 16-Zeichen-Endung pro Opfer |
| Kumulierte Opfer | ca. 1.520 (Ransomware.live) | über 500 allein 2026 (MoxFive) | nach Takedown im Wiederaufbau |
| Bekanntestes Opfer | kritische Infrastruktur, Industrie | Synnovis (NHS), Die Linke | frühere Großangriffe vor 2024 |
Schon diese Übersicht zeigt das Muster: Akira ist der erfahrene Dauerläufer mit den höchsten dokumentierten Einnahmen, Qilin der aggressivste Volumen-Player mit dem großzügigsten Partnerprogramm, und LockBit die wiederauferstandene Marke, deren Comeback die Branche aufmerksam beobachtet. Die nächsten Abschnitte zerlegen jede Dimension einzeln.
Wer steckt hinter den drei Gruppen? Herkunft und Conti-Verbindung
Die Abstammung sagt viel über die Fähigkeiten einer Ransomware-Gruppe aus. Das kanadische Cyber Centre stuft Akira in seinem Threat Outlook 2025 bis 2027 als sehr wahrscheinlich mit der aufgelösten Conti-Gruppe verbunden ein. Conti war bis 2022 eine der professionellsten und brutalsten Erpresseroperationen überhaupt. Diese Erbschaft erklärt, warum Akira schon kurz nach dem Auftauchen im März 2023 mit dem Werkzeugkasten und der Disziplin eines reifen Akteurs operierte, nicht wie ein Newcomer. Akira hat nach Einschätzung der Behörde vor allem Industrie und Telekommunikation global getroffen.
Qilin, intern und in älteren Berichten auch Agenda genannt, existiert seit 2022 und hat sich zu einem der reifsten Affiliate-Programme im Untergrund entwickelt. Halcyon beschreibt die Gruppe als RaaS-Operation mit einem ausgereiften Partnermodell und Double-Extortion-Taktik, die Windows-, Linux- und VMware-ESXi-Umgebungen gezielt angreift. Der entscheidende Wachstumsschub kam Mitte 2025: Nach dem Niedergang konkurrierender Marken wanderten deren Affiliates massenhaft zu Qilin ab. Barracuda datiert den Moment, in dem Qilin zur aktivsten Bedrohung wurde, auf den Juni 2025.
LockBit ist der Veteran unter den dreien. Seit 2019 aktiv, war die Gruppe jahrelang die mit Abstand produktivste RaaS-Operation, bis eine internationale Polizeiaktion 2024 die Infrastruktur lahmlegte. Totgesagt war die Marke damit nicht. Arete berichtet, dass LockBit 5.0 erstmals Anfang September 2025 angekündigt und im Januar 2026 erneut beobachtet wurde. Die Rückkehr zeigt, dass selbst massiver Strafverfolgungsdruck eine etablierte Ransomware-Marke nicht zwangsläufig auslöscht.
Die Kartellisierung der Szene 2026
Ein wichtiger Kontext für 2026: Sicherheitsforscher beobachten eine Annäherung der drei Gruppen. Eine Analyse von SecureBlink aus dem März 2026 beschreibt eine Kartellisierung des Ökosystems, bei der sich Infrastruktur und Affiliates zwischen Qilin, LockBit und Akira überschneiden. Affiliates arbeiten heute oft für mehrere Marken gleichzeitig. Das verwischt die Grenzen und erklärt, warum sich Taktiken und Werkzeuge der Gruppen immer ähnlicher werden. Wer eine Gruppe versteht, versteht damit zu großen Teilen auch die anderen.
Verschlüsselungstechnik im Vergleich: ChaCha20, AES-256 und RSA
Im Kern arbeiten alle modernen Ransomware-Familien mit hybrider Verschlüsselung. Ein schneller symmetrischer Algorithmus verschlüsselt die eigentlichen Dateien, ein asymmetrisches Verfahren schützt den symmetrischen Schlüssel. Ohne den privaten Schlüssel der Angreifer bleibt die Entschlüsselung mathematisch aussichtslos. Wer die Grundlagen vertiefen will, findet sie in unserer Einführung zu SHA-256 und kryptografischen Verfahren.
Akira setzt laut dem FBI- und CISA-Advisory vom November 2025 auf ein hybrides Schema aus ChaCha20 für die symmetrische Dateiverschlüsselung und RSA zum Schutz der ChaCha20-Schlüssel. Die Behörden dokumentieren zudem einen Rust-basierten Encryptor namens Megazord und die Fähigkeit, je nach Dateityp und Größe vollständig oder nur teilweise zu verschlüsseln. Teilverschlüsselung beschleunigt den Angriff dramatisch, weil bei großen Dateien nur Fragmente bearbeitet werden, das Ergebnis für das Opfer aber genauso unbrauchbar ist. Frühere Akira-Versionen waren in C++ geschrieben und nutzten die Endungen .akira und .powerranges.
Qilin gilt technisch als ähnlich modern. Technische Analysen ordnen der Variante Qilin.B AES-256-CTR oder ChaCha20 für die Dateiverschlüsselung zu, kombiniert mit RSA-4096 im OAEP-Modus zum Schlüsselschutz. Die Payloads waren anfangs in Go geschrieben und wurden später in Rust neu entwickelt, was die plattformübergreifende Reichweite verbessert. Die Wahl von Rust ist kein Zufall: Die Sprache erzeugt schwer analysierbare Binärdateien und läuft nativ auf Windows wie Linux.
Zu LockBit 5.0 sind die öffentlich belegten technischen Details dünner. Arete bestätigt Windows- und Linux-Builds, zusätzliche Anti-Analyse-Funktionen sowie eindeutige 16-Zeichen-Endungen, die an verschlüsselte Dateien angehängt werden. Den konkreten Verschlüsselungsalgorithmus nennen die vorliegenden Quellen für die Version 5.0 nicht. Wir verzichten bewusst darauf, hier eine Zahl zu erfinden. Wie hybride Verschlüsselung in der Praxis funktioniert, erklären wir am Beispiel des Web-Verkehrs in unserem Beitrag zu HTTPS und TLS.
Initiale Zugriffswege: Wie die Angreifer ins Netzwerk kommen
Die Verschlüsselung ist nur der letzte Akt. Entscheidend für die Abwehr ist der erste Schritt: Wie verschaffen sich die Gruppen Zugang? Hier liegt der größte Hebel für Verteidiger, weil ein verhinderter Erstzugriff den gesamten Angriff stoppt.
Akira ist hier am besten dokumentiert. Das Advisory nennt gestohlene Zugangsdaten als Haupteinfallstor, oft erbeutet über Spear-Phishing oder Brute-Force-Angriffe. Die Gruppe kauft Zugänge zusätzlich bei Initial Access Brokern ein und nimmt besonders gern VPN-Zugänge ohne Multi-Faktor-Authentifizierung ins Visier. Dokumentiert ist die Ausnutzung von Schwachstellen in Cisco-Produkten sowie der SonicWall-Lücke CVE-2024-40766. FortiGuard Labs listet zusätzlich Infektionsvektoren über Cisco ASA/FTD, SonicWall SonicOS, VMware ESXi und Veeam Backup & Replication. Nach dem Einbruch nutzt Akira legitime Fernwartungstools wie LogMeIn und AnyDesk für die Persistenz.
Qilin folgt einem ähnlichen Muster aus Phishing, gestohlenen Zugangsdaten und der Ausnutzung exponierter Dienste, auch wenn die vorliegenden Quellen die Aufschlüsselung weniger granular belegen als bei Akira. Bei LockBit hängt der Erstzugriff stark vom jeweiligen Affiliate ab, was für RaaS-Modelle typisch ist: Der Entwickler liefert die Waffe, der Partner sucht sich das Ziel und den Weg hinein.
Die gemeinsame Lehre für die DACH-Region: Perimeter-Systeme sind das Schlachtfeld. VPN-Gateways, ESXi-Hosts, SonicWall- und Cisco-Appliances sowie Veeam-Backups gehören zu den am häufigsten attackierten Komponenten, und genau diese Systeme sind in deutschsprachigen Unternehmen weit verbreitet. Wer hier Multi-Faktor-Authentifizierung erzwingt und Patches zeitnah einspielt, entzieht allen drei Gruppen ihre liebste Tür. Ergänzend lohnt ein Blick auf unseren Leitfaden zur Abwehr von Phishing-Angriffen, dem häufigsten Auslöser der Angriffskette.
Double Extortion: Das Geschäftsmodell der Erpressung
Reine Verschlüsselung reicht den Gruppen längst nicht mehr. Alle drei praktizieren Double Extortion: Sie stehlen vor der Verschlüsselung große Datenmengen und drohen mit deren Veröffentlichung, falls das Opfer nicht zahlt. Dieser doppelte Druck hebelt die klassische Verteidigung durch Backups aus. Selbst wer seine Systeme sauber wiederherstellen kann, steht weiter unter der Drohung, dass Kundendaten, Verträge oder Geschäftsgeheimnisse im Netz landen.
Für die Exfiltration nutzt Akira laut FortiGuard Labs einen klassischen Mix aus legitimen und kriminellen Werkzeugen: Cobalt Strike für Command-and-Control, Mimikatz zum Auslesen von Zugangsdaten, NetExec für laterale Bewegung, Rclone und FileZilla für den Datentransfer, dazu WinRAR und PowerShell. Dieser Living-off-the-Land-Ansatz, also das Zweckentfremden bordeigener Systemwerkzeuge, macht die Erkennung schwer, weil viele dieser Tools auch legitim im Einsatz sind.
Qilins Leak-Seite ist 2026 die produktivste der Szene. Nach Daten von PI Solutions postet die Gruppe in jeder beliebigen Woche mehr neue Opfer als jede andere Operation weltweit. Das Geschäftsmodell skaliert über die Masse der Affiliates, die mit dem großzügigen Anteil von berichteten 80 bis 85 Prozent gelockt werden. Wer einmal Opfer wurde und die Veröffentlichung von Daten erlebt hat, weiß: Die eigentliche Erpressung beginnt oft erst nach der Wiederherstellung der Systeme. Wie Datenlecks entstehen und welche Folgen sie haben, vertieft unser Beitrag zu Datenlecks.
Opferzahlen und Marktanteile 2025 bis 2026
Wie misst man die Gefährlichkeit einer Ransomware-Gruppe? Ein belastbarer Indikator ist die Zahl der öffentlich gelisteten Opfer. Diese Werte stammen aus Leak-Seiten-Tracking und Incident-Response-Telemetrie. Sie unterschätzen die Realität, weil zahlende Opfer oft nie öffentlich werden, liefern aber den besten verfügbaren Vergleichsmaßstab. Die folgende Tabelle bündelt Kennzahlen aus mehreren unabhängigen Quellen.
| Kennzahl | Wert | Quelle |
|---|---|---|
| Akira: kumulierte Opfer (Tracker) | ca. 1.520 | Ransomware.live, Juni 2026 |
| Akira: Opfer im März 2026 | 84 in einem Monat | CybelAngel |
| Akira: Anteil an allen Angriffen Jan. 2026 | 17 % | Arete |
| Akira: kumulierte Einnahmen | über 244 Mio. USD | FBI / CISA, Nov. 2025 |
| Qilin: Opfer allein 2026 | über 500 | MoxFive |
| Qilin: Länder mit Opfern (Mitte 2025) | über 60 | Halcyon |
| Qilin: Status pro Woche 2026 | aktivste Leak-Seite | PI Solutions |
| Top-3-Gruppen: Anteil Dez. 2025 | 57 % | Arete |
| Top-3-Gruppen: Anteil Jan. 2026 | 34 % | Arete |
| Ransomware global: Anstieg Q1 2026 | +126 % ggü. Q1 2025 | Total Assure |
Zwei Trends stechen heraus. Erstens: Akira bleibt nach Arete auch im Januar 2026 die aktivste einzelne Gruppe, doch ihr Anteil sank auf 17 Prozent, nach deutlich höheren Werten Ende 2025. Zweitens: Die Szene fragmentiert. Der Anteil der drei größten Gruppen fiel von 57 Prozent im Dezember 2025 auf 34 Prozent im Januar 2026. Die Bedrohung verschwindet damit nicht, sie verteilt sich auf mehr Akteure. Gleichzeitig meldet Total Assure für das erste Quartal 2026 einen Anstieg der Ransomware-Aktivität um 126 Prozent gegenüber dem Vorjahresquartal. Mehr Gruppen, mehr Angriffe, kleinere Marktanteile pro Marke: Das ist die paradoxe Lage 2026.
Qilin sticht beim reinen Volumen hervor. Mit über 500 gelisteten Opfern allein 2026 und der durchgängig produktivsten Leak-Seite ist die Gruppe der quantitative Spitzenreiter. Akira führt dagegen bei den dokumentierten Einnahmen und der Konstanz über drei Jahre. Beide Perspektiven sind für eine Risikobewertung relevant.
Lösegeldforderungen und Affiliate-Modell im Vergleich
Die wirtschaftliche Seite entscheidet, wie attraktiv eine RaaS-Marke für ihre Partner ist und wie hart sie ihre Opfer presst. Die folgende Tabelle vergleicht die finanziellen Eckdaten, soweit belegbar. Beträge, die in den Quellen nicht eindeutig belegt sind, kennzeichnen wir ausdrücklich als nicht offengelegt.
| Wirtschaftsmerkmal | Akira | Qilin | LockBit 5.0 |
|---|---|---|---|
| Lösegeldforderung (Spanne) | 200.000 bis über 4 Mio. USD | nicht einheitlich offengelegt | nicht offengelegt |
| Kumulierte Einnahmen | über 244 Mio. USD | nicht offengelegt | nicht offengelegt |
| Affiliate-Anteil | nicht offengelegt | berichtet 80 bis 85 % | nicht offengelegt |
| Zahlungsdruck | Verschlüsselung + Leak | Verschlüsselung + Leak | Verschlüsselung + Leak |
| Verhandlung | individuelle Opferportale | individuelle Opferportale | individuelle Opferportale |
| Krypto-Abwicklung | überwiegend Bitcoin | überwiegend Bitcoin | überwiegend Bitcoin |
Die dokumentierten Akira-Forderungen reichen laut AttackIQ von 200.000 US-Dollar bis über vier Millionen US-Dollar pro Opfer. Wichtig: Das sind Forderungen, nicht durchschnittliche Zahlungen. Die vorliegenden Quellen liefern keinen belastbaren globalen Durchschnitt der tatsächlich gezahlten Beträge, und wir erfinden hier keine Zahl. Die über 244 Millionen US-Dollar an kumulierten Einnahmen, die das FBI Akira zuschreibt, zeigen aber die Dimension des Geschäfts.
Qilins Stärke liegt im Partnermodell. Der berichtete Affiliate-Anteil von 80 bis 85 Prozent gehört zu den großzügigsten der Szene und erklärt den Zustrom an Partnern Mitte 2025. Diese Zahl stammt aus einem einzelnen Branchenbericht von 2026 und ist als Schätzung zu verstehen, nicht als universell bestätigter Fakt. Die Abwicklung läuft bei allen drei Gruppen weiterhin überwiegend über Bitcoin, dessen Sicherheit auf demselben SHA-256-Verfahren beruht, das wir an anderer Stelle ausführlich erklären.
Reale Angriffe 2025 bis 2026: Fünf Fälle im Detail
Statistiken werden konkret, wenn man die Opfer betrachtet. Die folgenden fünf Fälle stammen sämtlich aus belegten Berichten von 2024 bis 2026.
- Synnovis (Qilin, Juni 2024): Der Angriff auf den britischen Pathologie-Dienstleister Synnovis, einen Partner des NHS, gilt als Qilins bekanntester Coup. Tausende Operationen und Bluttests in Londoner Kliniken mussten verschoben werden. Der Fall zeigte, wie ein Ransomware-Angriff auf einen Dienstleister eine gesamte Gesundheitsversorgungskette lahmlegt.
- SK Inc. (Qilin, April 2025): Der Angriff auf das südkoreanische Großunternehmen unterstreicht Qilins globale Reichweite über mehr als 60 Länder hinweg.
- Die Linke (Qilin, 2026): Die deutsche Partei wurde laut CybelAngel-Berichterstattung Ziel von Qilin. Der Fall ist der greifbarste DACH-nahe Bezug in den aktuellen Quellen und zeigt, dass auch politische Organisationen im deutschsprachigen Raum nicht außen vor sind.
- Akira gegen kritische Infrastruktur (2025): Das Advisory vom November 2025 hebt hervor, dass Akira verstärkt kritische Infrastruktur ins Visier nimmt, unter anderem über die SonicWall-Lücke CVE-2024-40766 und Cisco-Schwachstellen.
- Akira-Welle im März 2026: CybelAngel dokumentiert 84 Akira-Opfer in einem einzigen Monat, bei einer Fähigkeit, ein Netzwerk in unter einer Stunde zu verschlüsseln. Diese Geschwindigkeit lässt Verteidigern kaum Reaktionszeit.
Der rote Faden: Keine Branche ist sicher. Gesundheitswesen, Industrie, Telekommunikation und politische Organisationen tauchen gleichermaßen auf. FortiGuard Labs beschreibt Akira ausdrücklich als global agierende RaaS-Operation, die Branchen wahllos angreift. Genau diese Wahllosigkeit macht die Gruppen für die DACH-Region so gefährlich, denn sie selektieren nach Verwundbarkeit, nicht nach Land oder Sektor.
DACH und Österreich im Visier: Wie groß ist die Gefahr?
Eine ehrliche Einordnung: Die ausgewerteten Quellen von 2025 und 2026 benennen keinen bestätigten österreichischen Einzelfall für Akira, Qilin oder LockBit. Den klarsten DACH-Bezug liefert der Angriff auf Die Linke in Deutschland. Wir behaupten daher keine konkreten Austria-Opfer, die sich nicht belegen lassen. Das wäre unseriös.
Die strukturelle Gefahr ist trotzdem real und hoch. Die bevorzugten Einfallstore aller drei Gruppen, also VPN-Gateways, ESXi-Hosts, SonicWall- und Cisco-Appliances sowie Veeam-Backups, sind in österreichischen, deutschen und Schweizer Unternehmen flächendeckend im Einsatz. Eine Gruppe, die nach Verwundbarkeit statt nach Geografie auswählt, trifft die DACH-Region zwangsläufig. Wie sich die Bedrohungslage regional darstellt, zeigen unsere Auswertungen zu Cyberangriffen in der DACH-Region 2026 und zur Cyberkriminalität in Österreich.
Hinzu kommt der regulatorische Druck. Mit der EU-Richtlinie NIS2, in Österreich über das NISG umgesetzt, müssen tausende Unternehmen ihre Abwehr nachweislich verbessern und Vorfälle melden. Ransomware ist damit nicht mehr nur ein IT-Problem, sondern eine Compliance-Pflicht. Was NIS2 konkret für österreichische Betriebe bedeutet, erläutern wir im Detail in unserem Beitrag zu NIS2 und dem NISG.
Was Sicherheitsforscher und Behörden sagen
Statt erfundener Promi-Zitate lassen wir die Institutionen sprechen, die diese Gruppen tatsächlich verfolgen. Ihre Einschätzungen wiegen schwerer als jede Meinung.
Das gemeinsame Advisory von FBI und CISA, mitgetragen von HHS, Europol, OFAC und dem niederländischen NCSC, beschreibt Akiras Taktiken als sich ständig weiterentwickelnd. Die Behörden betonen die Verschiebung von reinen Windows-Zielen hin zu Linux- und ESXi-Umgebungen und zuletzt sogar Nutanix-AHV-Disk-Dateien. Diese Verbreiterung des Angriffsspektrums ist ein klares Warnsignal für virtualisierte Rechenzentren.
FortiGuard Labs charakterisiert Akira als reife, affiliate-getriebene Enterprise-Bedrohung mit einem breiten Werkzeugkasten und konsequenter Double-Extortion-Strategie. Halcyon ordnet Qilin als eine der weltweit aktivsten Bedrohungen Mitte 2025 ein. Arete liefert die nüchternste Beobachtung des Jahres: Trotz Takedown konnte sich die LockBit-Marke mit Version 5.0 neu formieren, ergänzt um Anti-Analyse-Funktionen. Strafverfolgung schwächt eine Marke, löscht sie aber nicht zwangsläufig aus.
Die übergreifende Botschaft der Fachwelt: Die Professionalisierung schreitet voran, die Werkzeuge konvergieren, und der Anstieg von 126 Prozent im ersten Quartal 2026 laut Total Assure zeigt, dass das Geschäftsmodell trotz aller Polizeiaktionen floriert. Wer sich auf eine einzige Gruppe konzentriert, übersieht das eigentliche Problem: ein ganzes Ökosystem.
Migrationsleitfaden: Von reaktiver zu proaktiver Abwehr
Viele Organisationen sichern sich noch immer reaktiv ab: Backups, Virenschutz, Notfallplan für den Schadensfall. Gegen Gruppen, die ein Netzwerk in unter einer Stunde verschlüsseln und vorher Daten stehlen, reicht das nicht. Dieser Leitfaden skizziert den Umstieg auf eine proaktive Verteidigung in fünf Phasen.
- Perimeter härten: Multi-Faktor-Authentifizierung für jeden Fernzugang erzwingen, besonders auf VPN-Gateways. Akira nimmt gezielt VPNs ohne MFA ins Visier. Das ist der wirksamste Einzelhebel.
- Schwachstellen schließen: Bekannte ausgenutzte Lücken priorisiert patchen, allen voran SonicWall CVE-2024-40766 sowie Schwachstellen in Cisco-, VMware-ESXi- und Veeam-Systemen. Diese Vektoren listet FortiGuard explizit.
- Erkennung statt nur Schutz: Endpoint-Detection einsetzen, die auch legitime, zweckentfremdete Werkzeuge wie Cobalt Strike, Mimikatz und Rclone erkennt. Die Gruppen leben von Living-off-the-Land-Techniken.
- Backups isolieren: Unveränderliche, offline gehaltene Backups einrichten, die selbst bei kompromittiertem Veeam-Server überleben. Backups, die im Netz hängen, sind das erste Ziel.
- Exfiltration verhindern: Ausgehenden Datenverkehr überwachen und ungewöhnliche Übertragungen via Rclone oder FileZilla blockieren. Wer die Datenabflüsse stoppt, entwaffnet die zweite Stufe der Double Extortion.
Der Umstieg ist kein Einmalprojekt, sondern ein fortlaufender Prozess. Entscheidend ist die Reihenfolge: Erst das Einfallstor schließen, dann die laterale Bewegung erschweren, zuletzt den Datenabfluss kappen. Wer alle fünf Phasen umsetzt, verwandelt das eigene Netzwerk vom leichten Ziel in einen teuren, riskanten Angriff, den Affiliates lieber meiden.
Stärken und Schwächen der drei Gruppen aus Verteidigersicht
Eine Pro-und-Contra-Betrachtung aus Sicht der Angreifer hilft, das eigene Risiko realistisch einzuordnen. Was eine Gruppe stark macht, ist gleichzeitig der Ansatzpunkt für die Abwehr.
- Akira, Stärken: Conti-Erbe, dreijährige Konstanz, über 244 Mio. USD Einnahmen, extreme Verschlüsselungsgeschwindigkeit, breite Plattformabdeckung bis Nutanix AHV.
- Akira, Schwächen für Verteidiger nutzbar: Stark abhängig von bekannten CVEs und VPN ohne MFA. Wer diese Türen schließt, nimmt der Gruppe ihren liebsten Weg.
- Qilin, Stärken: Höchstes Opfervolumen 2026, großzügiges Affiliate-Modell, moderne Rust-Payloads, breite ESXi-Abdeckung.
- Qilin, Schwächen: Stark affiliate-abhängig, dadurch uneinheitliche Vorgehensweise, die sich mit guter Erkennung oft an einem Glied der Kette stoppen lässt.
- LockBit 5.0, Stärken: Etablierte Marke, Anti-Analyse-Funktionen, Windows- und Linux-Builds.
- LockBit 5.0, Schwächen: Durch den Takedown 2024 angeschlagenes Vertrauen unter Affiliates, im Wiederaufbau, öffentlich dünn dokumentiert.
Die gemeinsame Schwäche aller drei: Sie sind auf vermeidbare Fehler der Opfer angewiesen. Fehlende MFA, ungepatchte Perimeter-Systeme und ungeschützte Backups. Keine der Gruppen verfügt über magische Zero-Day-Arsenale für den Masseneinsatz. Sie nutzen das, was offen steht.
Use-Case-Empfehlungen: Welche Abwehr für welche Organisation
Nicht jede Organisation hat dasselbe Risikoprofil. Die folgenden fünf Empfehlungen ordnen die Schwerpunkte nach Unternehmenstyp.
- KMU mit VPN-Fernzugang: Höchste Priorität auf MFA für alle Remote-Zugänge und sofortiges Patchen von SonicWall- und Cisco-Appliances. Dies ist Akiras Hauptweg und für kleine Teams der wirksamste, günstigste Schutz.
- Gesundheitswesen und Dienstleister: Der Synnovis-Fall zeigt das Lieferketten-Risiko. Drittanbieter-Zugänge segmentieren und Notfallpläne für den Ausfall von Dienstleistern testen.
- Industrie und kritische Infrastruktur: ESXi- und Nutanix-Umgebungen härten, da Akira gezielt Virtualisierung angreift. Unter NIS2 ohnehin verpflichtend.
- Große Konzerne: Vollständige EDR-Abdeckung gegen Living-off-the-Land-Tools wie Cobalt Strike und Mimikatz, plus Überwachung ausgehender Daten gegen Exfiltration.
- Politische und öffentliche Organisationen: Der Angriff auf Die Linke belegt das Risiko. Phishing-Awareness und gehärtete Identitäten sind hier zentral.
Über alle Fälle hinweg gilt: Multi-Faktor-Authentifizierung, zeitnahes Patchen und isolierte Backups bilden das Fundament. Ohne dieses Fundament hilft kein einzelnes Spezialwerkzeug.
Erkennung und Abwehr: Welche Signale auf einen Angriff hindeuten
Bevor die Verschlüsselung zuschlägt, hinterlassen alle drei Gruppen verräterische Spuren. Wer diese Frühwarnsignale kennt, gewinnt entscheidende Stunden. Auffällig sind etwa plötzlich installierte Fernwartungstools wie AnyDesk oder LogMeIn auf Servern, auf denen sie nichts zu suchen haben. Akira nutzt genau diese Werkzeuge für die Persistenz, und ihr Auftauchen außerhalb der regulären IT-Prozesse ist ein klares Alarmsignal.
Ein zweites Warnsignal sind ungewöhnliche Anmeldungen über VPN-Zugänge, besonders außerhalb der Geschäftszeiten oder aus untypischen Regionen. Da Akira gestohlene Zugangsdaten und VPN ohne MFA bevorzugt, fallen solche Anmeldungen mit aktivierter Multi-Faktor-Authentifizierung sofort auf. Ein drittes Signal ist verdächtiger ausgehender Datenverkehr: Große Übertragungen via Rclone oder zu unbekannten Cloud-Speichern deuten auf die Exfiltrationsphase hin, die der Verschlüsselung vorausgeht.
Viertens lohnt die Überwachung von Prozessen, die Schattenkopien löschen oder Backups manipulieren. Genau das tun Ransomware-Familien kurz vor der Verschlüsselung, um die Wiederherstellung zu verhindern. Wer auf diese vier Signale, fremde Fernwartungstools, anomale VPN-Logins, ungewöhnliche Datenabflüsse und Backup-Manipulation, automatisiert reagiert, kann einen Angriff stoppen, bevor er sein zerstörerisches Finale erreicht. Diese Erkennung ist die Brücke zwischen der reaktiven Vergangenheit und der proaktiven Abwehr, die alle Behörden inzwischen fordern.
Anatomie eines Angriffs: Die Kill-Chain Schritt für Schritt
Um die Unterschiede zwischen Akira, Qilin und LockBit wirklich zu verstehen, hilft ein Blick auf den typischen Ablauf. Die drei Gruppen folgen einer erstaunlich ähnlichen Angriffskette, was die These der Kartellisierung stützt. Jede Phase bietet einen eigenen Ansatzpunkt für die Verteidigung.
In der ersten Phase, dem Erstzugriff, kommen die Angreifer über gestohlene Zugangsdaten, einen ungepatchten VPN-Zugang oder eine ausgenutzte Schwachstelle wie SonicWall CVE-2024-40766 ins Netzwerk. Bei Akira ist dieser Schritt am besten dokumentiert: Das FBI nennt VPN ohne MFA als Hauptweg. Wird hier Multi-Faktor-Authentifizierung erzwungen, scheitert ein großer Teil aller Angriffe bereits an dieser Tür, lange bevor eine einzige Datei verschlüsselt wird.
In der zweiten Phase, der Verankerung und Ausbreitung, installieren die Angreifer Fernwartungstools wie AnyDesk oder LogMeIn für die Persistenz, lesen mit Mimikatz Zugangsdaten aus und bewegen sich mit NetExec lateral durch das Netz. Cobalt Strike dient als Command-and-Control-Zentrale. Weil all diese Werkzeuge teilweise legitim sind, bleibt diese Phase ohne spezialisierte Endpoint-Erkennung oft unsichtbar. Genau hier entscheidet sich, ob ein Einbruch ein isolierter Vorfall bleibt oder das gesamte Netzwerk erfasst.
In der dritten Phase, der Exfiltration, ziehen die Angreifer mit Rclone und FileZilla große Datenmengen ab, oft in WinRAR-Archive gepackt. Erst danach folgt in der vierten Phase die eigentliche Verschlüsselung, bei Akira mit ChaCha20 und in unter einer Stunde. Wer den ausgehenden Datenverkehr überwacht und ungewöhnliche Übertragungen blockiert, kann den Angriff selbst in dieser späten Phase noch entwaffnen, indem er der Double Extortion ihre zweite Stufe nimmt.
Lösegeld zahlen oder nicht? Was die Faktenlage nahelegt
Die Frage nach der Zahlung stellt sich jedem Opfer. Sie ist heikel, und seriöse Quellen liefern keine einfache Antwort. Klar ist die wirtschaftliche Logik der Täter: Solange Zahlungen fließen, lohnt sich das Geschäft. Die über 244 Millionen US-Dollar, die das FBI Akira zuschreibt, sind der direkte Beweis, dass genügend Opfer zahlen, um das Modell am Leben zu halten.
Gegen eine Zahlung sprechen mehrere Argumente. Erstens gibt es keine Garantie, dass der Entschlüsselungsschlüssel funktioniert. Der Dienstleister SOS Ransomware dokumentierte 2025 einen Fall, in dem selbst der von Akira gelieferte Decryptor versagte und eine maßgeschneiderte Lösung nötig wurde. Zweitens beseitigt eine Zahlung nicht die Drohung der Double Extortion, da die gestohlenen Daten bereits in fremder Hand sind. Drittens kann eine Zahlung an sanktionierte Gruppen rechtliche Konsequenzen haben, was das OFAC im Advisory ausdrücklich adressiert.
Die belastbarste Schlussfolgerung aus der Datenlage: Prävention schlägt jede nachträgliche Entscheidung. Wer in MFA, Patches und isolierte Backups investiert, muss die Zahlungsfrage im Idealfall nie beantworten. Genau deshalb verlagern Behörden wie das österreichische CERT.at und das deutsche BSI ihren Fokus konsequent auf die Abwehr vor dem Vorfall, nicht auf das Krisenmanagement danach.
Ausblick: Wie sich die Bedrohung 2026 weiterentwickelt
Mehrere Quellen zeichnen ein konsistentes Bild der Entwicklung. Erstens setzt sich die Fragmentierung fort. Der Rückgang des Top-3-Anteils von 57 auf 34 Prozent zwischen Dezember 2025 und Januar 2026 zeigt, dass neue und kleinere Gruppen Marktanteile gewinnen. Für Verteidiger bedeutet das: Sich auf einen einzigen Namen zu fixieren, greift zu kurz. Die Taktiken sind übergreifend, die Marken austauschbar.
Zweitens verschiebt sich der technische Fokus weiter in Richtung Virtualisierung. Die Aufnahme von Nutanix AHV in Akiras Zielspektrum, dokumentiert vom FBI, signalisiert, dass die Gruppen über reine ESXi-Angriffe hinausdenken. Rechenzentren mit hoher Konsolidierung sind besonders attraktiv, weil ein einziger kompromittierter Hypervisor dutzende virtuelle Maschinen auf einen Schlag verschlüsselt.
Drittens wächst der Druck durch Regulierung und Strafverfolgung gleichzeitig mit dem Angriffsvolumen. Der LockBit-Takedown von 2024 hat die Marke geschwächt, ihre Rückkehr mit Version 5.0 zeigt aber die Grenzen reiner Strafverfolgung. Parallel zwingt NIS2 in Österreich und der gesamten EU tausende Unternehmen zu nachweisbarer Härtung. Die Kombination aus steigender Bedrohung und steigender Pflicht macht 2026 zum Jahr, in dem proaktive Ransomware-Abwehr von der Kür zur Pflicht wird. Wer die Grundlagen der digitalen Verteidigung auffrischen möchte, findet einen Einstieg in unserem Überblick zur Cybersicherheit.
Das Urteil: Welche Ransomware-Gruppe ist 2026 die größte Bedrohung?
Die Daten erlauben ein differenziertes Urteil statt eines einfachen Siegers. Misst man nach Volumen, führt Qilin: über 500 Opfer allein 2026 und die durchgängig produktivste Leak-Seite der Szene. Misst man nach finanzieller Schlagkraft und Konstanz, führt Akira: über 244 Millionen US-Dollar Einnahmen, drei Jahre ununterbrochene Aktivität und eine Verschlüsselungsgeschwindigkeit von unter einer Stunde pro Netzwerk. LockBit 5.0 ist die Wildcard: gefährlich durch Erfahrung und Markenwert, aber nach dem Takedown noch im Wiederaufbau und öffentlich am dünnsten belegt.
Für die DACH-Region lautet das praktische Urteil: Akira ist die unmittelbarste Gefahr, weil die Gruppe genau jene Perimeter-Systeme attackiert, die in deutschsprachigen Unternehmen Standard sind, und das mit hoher Frequenz und Geschwindigkeit. Qilin ist die wahrscheinlichste Gefahr schlicht aufgrund des Volumens. Beide zusammen, plus ein wiedererstarktes LockBit, bilden ein Bedrohungstrio, gegen das nur eine proaktive, mehrschichtige Abwehr besteht.
Die gute Nachricht aus allen Quellen: Die Einfallstore sind bekannt und schließbar. MFA, Patches und isolierte Backups entwaffnen alle drei Gruppen an ihrer größten Schwäche, der Abhängigkeit von vermeidbaren Fehlern. Die Abwehr ist keine Frage exotischer Technik, sondern konsequenter Hygiene.
Related Coverage
- Akira Ransomware: 244 Mio. $, DACH im Visier [2026]
- Qilin Ransomware: 131 Opfer, Die Linke gehackt [2026]
- Cyberangriffe DACH 2026: 289 Mrd. € Schaden
- Cyberkriminalität Österreich: 62.328 Fälle
- NIS2 Österreich: 5.000 Betroffene, EU-Verfahren
- Phishing-Angriffe erkennen und richtig reagieren
- Mehr zum Thema Cybersicherheit
Häufige Fragen zu Akira, Qilin und LockBit
Welche Ransomware-Gruppe ist 2026 die aktivste?
Nach Volumen ist Qilin die aktivste Gruppe. PI Solutions zufolge postet Qilin in jeder Woche des Jahres 2026 mehr neue Opfer als jede andere Operation, mit über 500 gelisteten Opfern allein 2026. Akira bleibt nach Arete jedoch die aktivste einzelne Gruppe im Januar 2026, allerdings mit einem gesunkenen Anteil von 17 Prozent.
Wie viel Geld hat Akira mit Ransomware verdient?
Laut dem FBI-gestützten Advisory vom November 2025 hat Akira seit dem ersten Auftauchen im März 2023 über 244 Millionen US-Dollar an Lösegeldern eingenommen. Die einzelnen Forderungen reichen nach AttackIQ von 200.000 bis über vier Millionen US-Dollar.
Welche Verschlüsselung nutzen die Gruppen?
Akira kombiniert ChaCha20 für die Dateiverschlüsselung mit RSA zum Schlüsselschutz. Qilin.B nutzt AES-256-CTR oder ChaCha20 mit RSA-4096 im OAEP-Modus. Für LockBit 5.0 ist der konkrete Algorithmus öffentlich nicht eindeutig belegt.
Gab es Angriffe auf Unternehmen in Österreich oder der DACH-Region?
Die aktuellen Quellen belegen keinen bestätigten österreichischen Einzelfall für diese drei Gruppen. Der klarste DACH-Bezug ist der Qilin-Angriff auf die deutsche Partei Die Linke. Die strukturelle Gefahr bleibt hoch, da die bevorzugten Einfallstore in DACH-Unternehmen weit verbreitet sind.
Ist LockBit nach dem Takedown von 2024 noch gefährlich?
Ja. Arete berichtet, dass LockBit mit Version 5.0 zurückkehrte, erstmals angekündigt im September 2025 und im Januar 2026 erneut beobachtet. Die neue Variante bietet Windows- und Linux-Builds sowie Anti-Analyse-Funktionen. Strafverfolgung hat die Marke geschwächt, aber nicht ausgelöscht.
Wie schützt man sich am wirksamsten?
Die drei wichtigsten Maßnahmen sind Multi-Faktor-Authentifizierung für alle Fernzugänge, zeitnahes Patchen bekannter Schwachstellen (besonders an VPN-, SonicWall-, Cisco-, ESXi- und Veeam-Systemen) sowie unveränderliche, offline gehaltene Backups. Diese drei Bausteine entziehen allen drei Gruppen ihre liebsten Einfallstore.
Was bedeutet Double Extortion?
Double Extortion bedeutet, dass Angreifer Daten zuerst stehlen und dann verschlüsseln. Selbst wer seine Systeme aus Backups wiederherstellt, steht weiter unter der Drohung, dass die gestohlenen Daten veröffentlicht werden. Alle drei Gruppen, Akira, Qilin und LockBit, praktizieren diese Taktik.
Quellen und weiterführende Informationen
Dieser Vergleich stützt sich auf öffentlich zugängliche Quellen von 2025 und 2026. Vertiefende Informationen bieten das gemeinsame Ransomware-Advisory von FBI und CISA, das Qilin-Threat-Profil von Halcyon, der Opfer-Tracker von Ransomware.live, das österreichische CERT.at sowie das deutsche BSI. Aktuelle Lageberichte veröffentlicht zudem Europol.
