{"id":88,"date":"2026-06-14T08:20:36","date_gmt":"2026-06-14T08:20:36","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/14\/akira-ransomware-244-mio-dach-2026\/"},"modified":"2026-06-14T08:22:10","modified_gmt":"2026-06-14T08:22:10","slug":"akira-ransomware-244-mio-dach-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/akira-ransomware-244-mio-dach-2026\/","title":{"rendered":"Akira Ransomware: 244 Mio. $, DACH im Visier [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Akira Ransomware hat sich 2025 und 2026 zur zweitaktivsten Erpressergruppe der Welt entwickelt, direkt hinter Qilin. Am 13. November 2025 bezifferten FBI und CISA in einer aktualisierten Warnung die L\u00f6segeldeinnahmen der Bande auf mehr als 244 Millionen US-Dollar seit M\u00e4rz 2023. Die Gruppe trifft l\u00e4ngst nicht mehr nur Konzerne in den USA. Der Mittelstand in der DACH-Region, von Maschinenbauern in Ober\u00f6sterreich bis zu IT-Dienstleistern in Wien, steht im Fadenkreuz. Diese Analyse zeigt, wie Akira arbeitet, warum eine SonicWall-Schwachstelle zum T\u00fcr\u00f6ffner wurde und was \u00f6sterreichische Unternehmen jetzt tun m\u00fcssen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"akira-ransomware-kurz-erklaert-was-2026-auf-dem-spiel-steht\">Akira Ransomware kurz erkl\u00e4rt: Was 2026 auf dem Spiel steht<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Akira Ransomware ist eine Ransomware-as-a-Service-Operation (RaaS), die im M\u00e4rz 2023 erstmals dokumentiert wurde. Sicherheitsforscher verbinden die Gruppe technisch und personell mit der zerschlagenen Conti-Bande, deren Quellcode und Methoden nach 2022 in zahlreiche Nachfolgeprojekte einflossen. Akira verschl\u00fcsselt Unternehmensdaten und stiehlt sie zugleich, ein Vorgehen, das als doppelte Erpressung bekannt ist. Opfer sollen zahlen, damit ihre Systeme entsperrt und die gestohlenen Daten nicht auf der Leak-Seite der Gruppe ver\u00f6ffentlicht werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Was die Gruppe 2026 so gef\u00e4hrlich macht, ist die Kombination aus Tempo, Reichweite und Spezialisierung auf den Mittelstand. W\u00e4hrend fr\u00fchere Marktf\u00fchrer wie LockBit durch Strafverfolgung geschw\u00e4cht wurden, f\u00fcllte Akira die L\u00fccke. Laut der Analysefirma CybelAngel rangierte Akira im ersten Quartal 2026 weltweit auf Platz zwei aller Ransomware-Gruppen. Die Sicherheitsfirma Picus Security z\u00e4hlte f\u00fcr das Gesamtjahr 2025 rund 717 von Akira ausgel\u00f6ste Datenexpositionen, ebenfalls Rang zwei hinter Qilin.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr \u00f6sterreichische Betriebe ist die Entwicklung deshalb relevant, weil Akira keine Gro\u00dfkonzerne braucht, um profitabel zu sein. Die Gruppe greift gezielt kleine und mittlere Unternehmen an, die oft schw\u00e4cher abgesichert sind, aber dennoch zahlungsf\u00e4hig. Genau dieses Profil passt auf weite Teile der heimischen Wirtschaft.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"244-millionen-dollar-loesegeld-die-zahlen-hinter-dem-aufstieg\">244 Millionen Dollar L\u00f6segeld: Die Zahlen hinter dem Aufstieg<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die zentrale Zahl stammt aus der gemeinsamen Warnung von FBI und CISA: mehr als 244 Millionen US-Dollar an gezahlten L\u00f6segeldern, Stand sp\u00e4ten September 2025. Zum Vergleich nannte eine fr\u00fchere Einsch\u00e4tzung aus dem Jahr 2024 noch rund 42 Millionen Dollar. Innerhalb von rund einem Jahr hat sich die kriminelle Bilanz der Gruppe damit fast versechsfacht. Die Blockchain-Analysefirma TRM Labs z\u00e4hlte zwischen dem 1. J\u00e4nner und dem 11. Dezember 2025 etwa 980 Opfer auf der Leak-Seite der Gruppe.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgende Tabelle fasst die wichtigsten belegten Kennzahlen zusammen. Alle Werte stammen aus Berichten von Beh\u00f6rden und Sicherheitsfirmen aus den Jahren 2025 und 2026.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Kennzahl<\/th><th>Wert<\/th><th>Quelle<\/th><\/tr><\/thead><tbody>\n<tr><td>L\u00f6segeld gesamt seit M\u00e4rz 2023<\/td><td>\u00fcber 244 Mio. USD<\/td><td>FBI\/CISA, Nov. 2025<\/td><\/tr>\n<tr><td>Opfer 1. J\u00e4n. bis 11. Dez. 2025<\/td><td>rund 980<\/td><td>TRM Labs<\/td><\/tr>\n<tr><td>Opfer in 90 Tagen (Sp\u00e4tjahr 2025)<\/td><td>149<\/td><td>Sophos X-Ops<\/td><\/tr>\n<tr><td>Opfer im M\u00e4rz 2026 (ein Monat)<\/td><td>84<\/td><td>CybelAngel<\/td><\/tr>\n<tr><td>Geforderte L\u00f6segelder je Fall<\/td><td>200.000 USD bis mehrere Mio.<\/td><td>CybelAngel, FBI<\/td><\/tr>\n<tr><td>Angriffe im Jahr 2024<\/td><td>\u00fcber 300<\/td><td>Bitdefender<\/td><\/tr>\n<tr><td>Weltweiter Rang 2026<\/td><td>Platz 2 (hinter Qilin)<\/td><td>CybelAngel, Picus<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die Spanne der Forderungen ist bewusst breit. Akira hinterl\u00e4sst laut FBI keine fixe Summe in der Erpressernachricht, sondern verhandelt erst nach Kontaktaufnahme. Das erlaubt der Gruppe, die Forderung an Umsatz und Versicherungsstatus des Opfers anzupassen. F\u00fcr einen mittelst\u00e4ndischen Maschinenbauer kann das einen sechsstelligen Betrag bedeuten, f\u00fcr einen gr\u00f6\u00dferen Dienstleister mehrere Millionen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-fbi-cisa-warnung-vom-november-2025-im-detail\">Die FBI-CISA-Warnung vom November 2025 im Detail<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Am 13. November 2025 ver\u00f6ffentlichten das FBI und die US-Cyberbeh\u00f6rde CISA gemeinsam mit dem Cyber Crime Center des Verteidigungsministeriums (DC3), dem Gesundheitsministerium HHS und internationalen Partnern eine aktualisierte Ausgabe der #StopRansomware-Warnung zu Akira. Das Dokument listet Indikatoren f\u00fcr eine Kompromittierung, beschreibt die Taktiken der Gruppe und richtet sich ausdr\u00fccklich an Betreiber kritischer Infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Brett Leatherman, stellvertretender Direktor der FBI Cyber Division, und Nick Andersen, der bei der CISA f\u00fcr Cybersicherheit zust\u00e4ndige Executive Assistant Director, zeichneten f\u00fcr die beh\u00f6rdliche Einsch\u00e4tzung verantwortlich. Die Kernaussage der Beh\u00f6rde: Akira habe seit der Entdeckung im M\u00e4rz 2023 mehr als 244 Millionen US-Dollar an L\u00f6segeldern kassiert und betreffe inzwischen Organisationen in Nordamerika, Europa und Australien. Die Warnung nennt das verarbeitende Gewerbe, Bildung, Gesundheitswesen, IT, Finanzdienstleister sowie die Lebensmittel- und Landwirtschaftsbranche als bevorzugte Ziele.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bemerkenswert ist der internationale Charakter der Warnung. Anders als bei rein US-zentrierten Hinweisen waren europ\u00e4ische Stellen eingebunden, was die globale Ausbreitung der Gruppe unterstreicht. F\u00fcr \u00f6sterreichische Sicherheitsverantwortliche liefert das Dokument konkrete technische Indikatoren, die sich direkt in die eigene Abwehr \u00fcbernehmen lassen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sonicwall-luecke-cve-2024-40766-das-einfallstor\">SonicWall-L\u00fccke CVE-2024-40766: Das Einfallstor<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein entscheidender Treiber des Akira-Booms ist die Schwachstelle CVE-2024-40766 in den SSL-VPN-Funktionen von SonicWall-Firewalls. \u00dcber diese L\u00fccke verschaffen sich Angreifer Zugang zu Unternehmensnetzen, in denen die VPN-Komponente am Rand des Netzwerks erreichbar ist. Laut Cybersecurity Dive registrierten Sicherheitsfirmen ab Juli 2025 eine deutliche Welle von Angriffen auf SonicWall-Kunden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Randger\u00e4te wie VPN-Gateways, Firewalls und Fernzugangsl\u00f6sungen sind ein wiederkehrendes Muster bei Akira. Sie stehen per Definition im Internet, werden aber oft seltener gepatcht als interne Server. Genau hier setzt die Gruppe an. Wer seine SonicWall-Appliance nicht zeitnah aktualisiert und keine Multi-Faktor-Authentifizierung erzwingt, bietet eine offene T\u00fcr. Eine konsequente H\u00e4rtung der Fernzug\u00e4nge geh\u00f6rt deshalb zu den wichtigsten Sofortma\u00dfnahmen. Wer eine selbst gehostete Alternative pr\u00fcft, findet in unserer Anleitung zum <a href=\"\/at\/wireguard-einrichten\/\">WireGuard-VPN-Server<\/a> einen praxisnahen Einstieg.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Lehre f\u00fcr die DACH-Region ist eindeutig. Tausende Betriebe in \u00d6sterreich, Deutschland und der Schweiz setzen SonicWall-Hardware ein. Jede ungepatchte Appliance ist ein potenzieller Erstzugang, den Akira-Partner systematisch suchen. Schwachstellen-Management an der Netzwerkgrenze ist 2026 keine K\u00fcr mehr, sondern Pflicht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"in-unter-vier-stunden-zum-totalausfall-die-angriffskette\">In unter vier Stunden zum Totalausfall: Die Angriffskette<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das vielleicht beunruhigendste Detail betrifft die Geschwindigkeit. Forschung der Sicherheitsfirma Halcyon, zitiert von CybelAngel, dokumentiert F\u00e4lle, in denen Akira vom ersten Zugriff bis zur vollst\u00e4ndigen Verschl\u00fcsselung des Netzwerks weniger als vier Stunden ben\u00f6tigte. F\u00fcr die Verteidigung bleibt damit kaum Reaktionszeit. Ein Alarm um Mitternacht kann bedeuten, dass die Produktion am Morgen stillsteht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die typische Kette l\u00e4uft in mehreren Phasen ab. Zun\u00e4chst verschaffen sich die T\u00e4ter \u00fcber eine VPN-L\u00fccke oder Phishing-Mails mit sch\u00e4dlichen Anh\u00e4ngen Zugang. Danach bewegen sie sich seitlich durch das Netz, greifen Zugangsdaten ab und deaktivieren Sicherheitswerkzeuge. Erst am Ende folgt die Verschl\u00fcsselung, h\u00e4ufig zeitgleich auf vielen Systemen. Die Datenexfiltration geschieht meist vor der Verschl\u00fcsselung, damit die Erpresser auch bei vorhandenen Backups Druck aus\u00fcben k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Choreografie erkl\u00e4rt, warum reine Backup-Strategien nicht mehr ausreichen. Wer seine Daten zwar wiederherstellen kann, aber die Ver\u00f6ffentlichung sensibler Unterlagen f\u00fcrchten muss, ger\u00e4t trotzdem unter Zahlungsdruck. Wirksame Abwehr setzt deshalb fr\u00fcher an, bei der Erkennung verd\u00e4chtiger Bewegungen im Netz und beim Schutz der Zugangsdaten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"warum-oesterreich-und-die-dach-region-im-visier-stehen\">Warum \u00d6sterreich und die DACH-Region im Visier stehen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Im Mai 2026 berichtete Industrial Cyber, dass Deutschland zum Brennpunkt einer eskalierenden Cyberkampagne in der DACH-Region geworden sei, getrieben von Ransomware und geopolitischen Spannungen. Akira geh\u00f6rt zu den Gruppen, deren Opfergeografie ausdr\u00fccklich deutsche Organisationen einschlie\u00dft. \u00d6sterreich und die Schweiz teilen die gleichen Risikofaktoren: eine exportstarke Industrie, viele hoch spezialisierte Familienbetriebe und eine dichte Lieferkette.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gerade der \u00f6sterreichische Maschinen- und Anlagenbau ist ein attraktives Ziel. Diese Unternehmen besitzen wertvolles geistiges Eigentum, sind eng in internationale Lieferketten eingebunden und k\u00f6nnen sich Produktionsausf\u00e4lle kaum leisten. Wer eine Woche nicht liefern kann, verliert Auftr\u00e4ge und Vertragsstrafen drohen. Diese Abh\u00e4ngigkeit macht die Zahlungsbereitschaft hoch, genau das Kalk\u00fcl von Akira.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hinzu kommt der regulatorische Druck. Mit der Umsetzung der NIS2-Richtlinie steigen die Anforderungen an Risikomanagement und Meldepflichten erheblich. Details dazu liefert unsere Analyse zu <a href=\"\/at\/nis2-oesterreich-nisg-2026\/\">NIS2 in \u00d6sterreich<\/a>. Wie sich die Bedrohungslage im gesamten deutschsprachigen Raum entwickelt, zeigt unser \u00dcberblick zu den <a href=\"\/at\/cyberangriffe-dach-2026\/\">Cyberangriffen in der DACH-Region 2026<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"akira-gegen-qilin-und-lockbit-das-kraefteverhaeltnis-2026\">Akira gegen Qilin und LockBit: Das Kr\u00e4fteverh\u00e4ltnis 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Ransomware-Markt funktioniert wie ein Verdr\u00e4ngungswettbewerb. F\u00e4llt ein Anbieter durch Strafverfolgung aus, wandern die Partner zur n\u00e4chsten Plattform. Genau das geschah nach der Schw\u00e4chung von LockBit und dem Kollaps von RansomHub. Heute teilen sich vor allem Qilin und Akira die Spitze. Im Februar 2026 z\u00e4hlte Breachsense 680 Ransomware-Opfer \u00fcber 54 Gruppen, mit Qilin erneut auf Platz eins.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgende Tabelle ordnet die wichtigsten aktiven Gruppen ein. Eine ausf\u00fchrliche Analyse der Nummer eins finden Sie in unserem Beitrag zu <a href=\"\/at\/qilin-ransomware-die-linke-2026\/\">Qilin Ransomware<\/a>.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Gruppe<\/th><th>Position 2026<\/th><th>Charakteristik<\/th><th>Code-Basis<\/th><\/tr><\/thead><tbody>\n<tr><td>Qilin (Agenda)<\/td><td>Platz 1<\/td><td>H\u00f6chste Opferzahl, breite Branchenstreuung<\/td><td>Rust und C<\/td><\/tr>\n<tr><td>Akira<\/td><td>Platz 2<\/td><td>Fokus auf KMU, Randger\u00e4te, hohes Tempo<\/td><td>C++ und Rust<\/td><\/tr>\n<tr><td>LockBit<\/td><td>geschw\u00e4cht<\/td><td>Durch Strafverfolgung stark dezimiert<\/td><td>C\/C++<\/td><\/tr>\n<tr><td>RansomHub<\/td><td>kollabiert<\/td><td>2025 zerfallen, Partner abgewandert<\/td><td>Go und C++<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Der Unterschied zwischen Qilin und Akira liegt weniger in der Technik als in der Zielwahl. Qilin streut breiter und trifft auch gro\u00dfe Einrichtungen wie Gesundheitsdienstleister. Akira hat sich auf den breiten Mittelbau spezialisiert, wo viele Ziele bei vergleichsweise geringem Aufwand profitabel sind. F\u00fcr die DACH-Wirtschaft mit ihrer starken KMU-Struktur ist genau dieses Profil besonders gef\u00e4hrlich.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"technische-analyse-rust-esxi-und-nutanix\">Technische Analyse: Rust, ESXi und Nutanix<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Akira begann mit einer in C++ geschriebenen Verschl\u00fcsselungssoftware und stellte sp\u00e4ter auf Rust um. Die Rust-basierten Varianten, intern als Megazord und Akira_v2 bezeichnet, gelten als robuster und schwerer zu analysieren. Rust erschwert das Reverse Engineering und erlaubt zugleich eine plattform\u00fcbergreifende Kompilierung, was die Gruppe gezielt nutzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Laut Picus Security unterh\u00e4lt Akira Verschl\u00fcsselungswerkzeuge f\u00fcr Windows, Linux, VMware ESXi und Nutanix AHV. Damit zielt die Gruppe direkt auf die Virtualisierungsschicht moderner Rechenzentren. Wer eine ESXi-Umgebung verschl\u00fcsselt, legt mit einem Schlag Dutzende virtuelle Maschinen lahm. Diese Hebelwirkung erkl\u00e4rt, warum Hypervisoren f\u00fcr Akira so attraktiv sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-werkzeuge-akira-einsetzt\">Welche Werkzeuge Akira einsetzt<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die Phasen nach dem Erstzugang greift die Gruppe auf bekannte Werkzeuge zur\u00fcck, darunter legitime Fernwartungssoftware und Tools zum Abgreifen von Zugangsdaten. Sicherheitsmechanismen werden vor der Verschl\u00fcsselung gezielt deaktiviert. Das Muster ist typisch f\u00fcr moderne Ransomware: Die eigentliche Verschl\u00fcsselung ist nur der letzte Schritt einer l\u00e4ngeren, leisen Operation. Wer Authentifizierung absichern will, findet Grundlagen in unserem \u00dcberblick zur <a href=\"\/at\/passwortsicherheit\/\">Passwortsicherheit<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"doppelte-erpressung-wie-akira-verhandelt\">Doppelte Erpressung: Wie Akira verhandelt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Akira nutzt konsequent doppelte Erpressung. Daten werden zuerst gestohlen, dann verschl\u00fcsselt. In der Erpressernachricht fehlt zun\u00e4chst eine konkrete Summe. Stattdessen werden die Opfer aufgefordert, \u00fcber einen anonymen Kanal Kontakt aufzunehmen. Erst in der Verhandlung nennt die Gruppe ihre Forderung, oft gestaffelt und mit Fristen verbunden, um Druck aufzubauen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die entscheidende Frage lautet: Funktioniert Zahlen \u00fcberhaupt? Beh\u00f6rden raten klar davon ab. Eine Zahlung finanziert das n\u00e4chste Verbrechen, garantiert keine vollst\u00e4ndige Wiederherstellung und sch\u00fctzt nicht zuverl\u00e4ssig vor sp\u00e4terer Ver\u00f6ffentlichung. Hinzu kommt das rechtliche Risiko, falls Zahlungen an sanktionierte Akteure flie\u00dfen. Trotzdem zahlen Unternehmen, wenn der Produktionsausfall existenzbedrohend wird. Genau auf diese Zwangslage setzt das Gesch\u00e4ftsmodell.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wer im Ernstfall richtig reagieren will, braucht einen geprobten Notfallplan, getrennte und offline gehaltene Backups sowie klare Zust\u00e4ndigkeiten. Die Entscheidung \u00fcber eine Zahlung sollte niemals improvisiert in der Krise fallen, sondern vorab mit Rechtsberatung und Versicherung durchdacht sein.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"marktauswirkungen-was-der-akira-boom-fuer-versicherer-und-kmu-bedeutet\">Marktauswirkungen: Was der Akira-Boom f\u00fcr Versicherer und KMU bedeutet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Anstieg auf 244 Millionen Dollar an Einnahmen hat Folgen weit \u00fcber die direkten Opfer hinaus. Cyberversicherer kalkulieren Pr\u00e4mien und Selbstbehalte neu, wenn eine Gruppe mit hoher Frequenz den Mittelstand trifft. F\u00fcr KMU in \u00d6sterreich kann das bedeuten, dass eine Cyberpolizze teurer wird oder strengere Auflagen wie verpflichtende Multi-Faktor-Authentifizierung und regelm\u00e4\u00dfige Patches voraussetzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auch der Markt f\u00fcr Sicherheitsdienstleistungen profitiert. Managed Detection and Response, also die ausgelagerte \u00dcberwachung von Netzwerken rund um die Uhr, wird f\u00fcr Betriebe interessant, die kein eigenes Sicherheitsteam stellen k\u00f6nnen. Genau diese L\u00fccke trifft viele heimische Mittelst\u00e4ndler. Der wirtschaftliche Schaden durch Cyberkriminalit\u00e4t summiert sich l\u00e4ngst zu Milliardenbetr\u00e4gen, wie unser \u00dcberblick zur <a href=\"\/at\/cyberkriminalitaet-oesterreich-2026\/\">Cyberkriminalit\u00e4t in \u00d6sterreich<\/a> zeigt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die Volkswirtschaft entsteht ein Dominoeffekt. F\u00e4llt ein Zulieferer aus, stockt die gesamte Kette. In einer exportorientierten Industrie wie der \u00f6sterreichischen kann ein einzelner erfolgreicher Akira-Angriff \u00fcber Wochen Auftr\u00e4ge gef\u00e4hrden und das Vertrauen internationaler Partner besch\u00e4digen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"historischer-kontext-vom-conti-erbe-zur-nummer-zwei\">Historischer Kontext: Vom Conti-Erbe zur Nummer zwei<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Um Akira zu verstehen, hilft ein Blick zur\u00fcck. Nach dem Zerfall der Conti-Bande 2022 zersplitterte die Ransomware-Szene in viele kleinere Projekte. Akira tauchte im M\u00e4rz 2023 auf und wurde rasch mit dem Conti-Umfeld in Verbindung gebracht, sowohl technisch als auch \u00fcber Geldfl\u00fcsse in Kryptow\u00e4hrungen. Ein fr\u00fcher Bericht z\u00e4hlte bereits im Juli 2023 mindestens 63 Opfer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2024 folgte die Skalierung mit \u00fcber 300 dokumentierten Angriffen laut Bitdefender. 2025 wurde dann zum Durchbruchsjahr. Mit dem Niedergang von LockBit und RansomHub wanderten erfahrene Partner ab und suchten sich neue Plattformen. Akira bot ihnen funktionierende Infrastruktur, verl\u00e4ssliche Auszahlungen und eine bew\u00e4hrte Methodik. Das Ergebnis ist die heutige Spitzenposition.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieses Muster wiederholt sich seit Jahren. Strafverfolgung zerschl\u00e4gt eine Marke, doch die Menschen und das Know-how dahinter verschwinden nicht. Sie formieren sich unter neuem Namen. Akira ist das j\u00fcngste Beispiel f\u00fcr diese Resilienz des kriminellen \u00d6kosystems.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"stimmen-aus-der-sicherheitsbranche\">Stimmen aus der Sicherheitsbranche<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die beh\u00f6rdliche Einsch\u00e4tzung ist eindeutig. In der gemeinsamen Warnung erkl\u00e4ren FBI und CISA, Akira habe seit M\u00e4rz 2023 mehr als 244 Millionen US-Dollar an L\u00f6segeldern erpresst und bedrohe weiterhin kritische Infrastruktur in mehreren Sektoren. Verantwortlich f\u00fcr die Aussage zeichnen Brett Leatherman von der FBI Cyber Division und Nick Andersen von der CISA.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Analyse von Sophos X-Ops, zitiert von Cybersecurity Dive, dokumentiert allein 149 Akira-Opfer innerhalb von 90 Tagen im Sp\u00e4tjahr 2025, ein Beleg f\u00fcr die hohe Schlagzahl der Gruppe. TRM Labs kommt f\u00fcr das Gesamtjahr 2025 auf rund 980 Opfereintr\u00e4ge. Die Forscher von Halcyon betonen das Tempo: vom Erstzugang bis zur Verschl\u00fcsselung vergehen in dokumentierten F\u00e4llen weniger als vier Stunden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CybelAngel ordnet Akira im ersten Quartal 2026 als zweitaktivste Gruppe der Welt ein, mit insgesamt \u00fcber 1.400 beanspruchten Opfern seit 2023. Die Sicherheitsforscher von Picus Security best\u00e4tigen diese Spitzenposition mit 717 dokumentierten Datenexpositionen f\u00fcr 2025. Der Tenor aller Quellen ist gleich: Akira ist kein vor\u00fcbergehendes Ph\u00e4nomen, sondern ein etablierter Akteur mit professioneller Struktur.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"schutzmassnahmen-was-unternehmen-jetzt-tun-muessen\">Schutzma\u00dfnahmen: Was Unternehmen jetzt tun m\u00fcssen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die gute Nachricht: Akira nutzt \u00fcberwiegend bekannte Schw\u00e4chen. Wer die Grundlagen beherrscht, senkt sein Risiko erheblich. Die wichtigsten Hebel liegen an der Netzwerkgrenze, bei den Zugangsdaten und bei der Erkennung.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Randger\u00e4te patchen:<\/strong> SonicWall-, Firewall- und VPN-Software sofort aktualisieren, insbesondere gegen CVE-2024-40766. Ver\u00f6ffentlichte Sicherheitsupdates ohne Verz\u00f6gerung einspielen.<\/li>\n<li><strong>Multi-Faktor-Authentifizierung erzwingen:<\/strong> F\u00fcr alle Fernzug\u00e4nge, VPNs und Verwaltungskonten. Reine Passw\u00f6rter reichen nicht mehr aus.<\/li>\n<li><strong>Offline-Backups f\u00fchren:<\/strong> Mindestens eine Kopie getrennt vom Netzwerk, regelm\u00e4\u00dfig auf Wiederherstellbarkeit getestet.<\/li>\n<li><strong>Netzwerk segmentieren:<\/strong> Die seitliche Bewegung der Angreifer durch klare Zonen und eingeschr\u00e4nkte Rechte bremsen.<\/li>\n<li><strong>Erkennung rund um die Uhr:<\/strong> Endpoint Detection and Response oder ein Managed-Service, der verd\u00e4chtige Aktivit\u00e4ten in Echtzeit meldet.<\/li>\n<li><strong>Notfallplan proben:<\/strong> Rollen, Kontakte und Abl\u00e4ufe vorab festlegen und in \u00dcbungen durchspielen.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Ein praktischer Baustein gegen automatisierte Angriffe auf erreichbare Dienste ist die Begrenzung von Anmeldeversuchen. Wie das funktioniert, zeigt unsere Anleitung zu <a href=\"\/at\/fail2ban-einrichten\/\">Fail2ban<\/a>. Den gr\u00f6\u00dferen Rahmen der digitalen Selbstverteidigung erkl\u00e4rt unser Leitfaden zur <a href=\"\/at\/security-hub\/\">Online-Sicherheit<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fuenf-prognosen-fuer-akira-und-ransomware-2026\">F\u00fcnf Prognosen f\u00fcr Akira und Ransomware 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Auf Basis der aktuellen Datenlage lassen sich f\u00fcr den weiteren Jahresverlauf 2026 f\u00fcnf Entwicklungen ableiten.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Akira bleibt in den Top zwei.<\/strong> Solange Partner verl\u00e4ssliche Auszahlungen erhalten, gibt es keinen Grund zum Wechsel. Eine Verdr\u00e4ngung droht nur durch Strafverfolgung.<\/li>\n<li><strong>Randger\u00e4te bleiben das Haupteinfallstor.<\/strong> VPNs, Firewalls und Fernzug\u00e4nge bleiben im Mittelpunkt. Neue Schwachstellen in solchen Produkten werden binnen Tagen ausgenutzt.<\/li>\n<li><strong>Der DACH-Mittelstand ger\u00e4t st\u00e4rker ins Visier.<\/strong> Die Kombination aus Zahlungsf\u00e4higkeit und teils l\u00fcckenhafter Absicherung macht heimische KMU zu lohnenden Zielen.<\/li>\n<li><strong>Cyberversicherungen werden teurer und strenger.<\/strong> Versicherer koppeln Deckung zunehmend an nachweisbare Mindeststandards wie MFA und Patch-Disziplin.<\/li>\n<li><strong>Regulatorischer Druck w\u00e4chst.<\/strong> Mit der NIS2-Umsetzung steigen Melde- und Sorgfaltspflichten, was Sicherheit von der K\u00fcr zur dokumentierten Pflicht macht.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufige-fragen-zu-akira-ransomware\">H\u00e4ufige Fragen zu Akira Ransomware<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-akira-ransomware\">Was ist Akira Ransomware?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Akira ist eine seit M\u00e4rz 2023 aktive Ransomware-as-a-Service-Gruppe, die Unternehmensdaten verschl\u00fcsselt und stiehlt. Laut FBI und CISA hat sie bis Ende 2025 mehr als 244 Millionen US-Dollar an L\u00f6segeldern erpresst und gilt 2026 als zweitaktivste Erpressergruppe der Welt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-gelangt-akira-in-unternehmensnetzwerke\">Wie gelangt Akira in Unternehmensnetzwerke?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">H\u00e4ufigste Einfallstore sind verwundbare Randger\u00e4te, allen voran SonicWall-VPNs \u00fcber die Schwachstelle CVE-2024-40766, sowie Phishing-Mails mit sch\u00e4dlichen Anh\u00e4ngen. Ab Juli 2025 registrierten Sicherheitsfirmen eine deutliche Angriffswelle gegen SonicWall-Kunden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sind-oesterreichische-unternehmen-von-akira-betroffen\">Sind \u00f6sterreichische Unternehmen von Akira betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Akira greift Organisationen in ganz Europa an, und die DACH-Region r\u00fcckt 2025 und 2026 st\u00e4rker in den Fokus. Die exportstarke, mittelst\u00e4ndisch gepr\u00e4gte \u00f6sterreichische Wirtschaft passt genau in das bevorzugte Beuteschema der Gruppe.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-schnell-verschluesselt-akira-ein-netzwerk\">Wie schnell verschl\u00fcsselt Akira ein Netzwerk?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Forschung von Halcyon dokumentiert F\u00e4lle, in denen vom ersten Zugriff bis zur vollst\u00e4ndigen Verschl\u00fcsselung weniger als vier Stunden vergingen. Diese Geschwindigkeit l\u00e4sst der Verteidigung kaum Reaktionszeit und macht fr\u00fche Erkennung entscheidend.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"soll-man-das-loesegeld-zahlen\">Soll man das L\u00f6segeld zahlen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Beh\u00f6rden raten klar von Zahlungen ab. Eine Zahlung garantiert keine vollst\u00e4ndige Wiederherstellung, finanziert weitere Verbrechen und birgt rechtliche Risiken. Besser sind geprobte Notfallpl\u00e4ne, offline gehaltene Backups und vorab gekl\u00e4rte Zust\u00e4ndigkeiten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-unterscheidet-sich-akira-von-qilin\">Wie unterscheidet sich Akira von Qilin?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Qilin f\u00fchrt die Rangliste mit der h\u00f6chsten Opferzahl und breiter Branchenstreuung an. Akira folgt auf Platz zwei und hat sich auf kleine und mittlere Unternehmen sowie verwundbare Randger\u00e4te spezialisiert, mit besonders hohem Tempo bei der Verschl\u00fcsselung.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-systeme-greift-akira-an\">Welche Systeme greift Akira an?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Laut Picus Security verf\u00fcgt Akira \u00fcber Verschl\u00fcsselungswerkzeuge f\u00fcr Windows, Linux, VMware ESXi und Nutanix AHV. Besonders die Virtualisierungsschicht ist ein bevorzugtes Ziel, weil sich damit viele virtuelle Maschinen gleichzeitig lahmlegen lassen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-die-wichtigste-sofortmassnahme\">Was ist die wichtigste Sofortma\u00dfnahme?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das zeitnahe Patchen von Randger\u00e4ten und das Erzwingen von Multi-Faktor-Authentifizierung f\u00fcr alle Fernzug\u00e4nge. Beide Ma\u00dfnahmen schlie\u00dfen die h\u00e4ufigsten Einfallstore von Akira und reduzieren das Risiko erheblich.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fazit-eine-bedrohung-die-man-kennen-muss\">Fazit: Eine Bedrohung, die man kennen muss<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Akira Ransomware hat sich in drei Jahren von einem Conti-Ableger zur Nummer zwei der globalen Ransomware-Szene entwickelt. Mehr als 244 Millionen Dollar erpresstes L\u00f6segeld, rund 980 Opfer allein 2025 und eine Spezialisierung auf den Mittelstand machen die Gruppe zu einer konkreten Gefahr f\u00fcr \u00f6sterreichische Unternehmen. Die gute Nachricht bleibt: Die Angriffe nutzen bekannte Schw\u00e4chen. Wer Randger\u00e4te patcht, Multi-Faktor-Authentifizierung erzwingt, Backups offline h\u00e4lt und sein Netzwerk \u00fcberwacht, nimmt Akira die wichtigsten Werkzeuge aus der Hand.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"verwandte-beitraege\">Verwandte Beitr\u00e4ge<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/at\/qilin-ransomware-die-linke-2026\/\">Qilin Ransomware: 131 Opfer, Die Linke gehackt<\/a><\/li>\n<li><a href=\"\/at\/cyberangriffe-dach-2026\/\">Cyberangriffe DACH 2026: 289 Mrd. Euro Schaden<\/a><\/li>\n<li><a href=\"\/at\/cyberkriminalitaet-oesterreich-2026\/\">Cyberkriminalit\u00e4t \u00d6sterreich: 62.328 F\u00e4lle<\/a><\/li>\n<li><a href=\"\/at\/nis2-oesterreich-nisg-2026\/\">NIS2 \u00d6sterreich: 5.000 Betroffene<\/a><\/li>\n<li><a href=\"\/at\/wireguard-einrichten\/\">WireGuard einrichten: VPN-Server in 12 Schritten<\/a><\/li>\n<li><a href=\"\/at\/fail2ban-einrichten\/\">Fail2ban einrichten: SSH-Schutz in 12 Schritten<\/a><\/li>\n<li><a href=\"\/at\/security-hub\/\">Online-Sicherheit verst\u00e4ndlich erkl\u00e4rt<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quellen-und-weiterfuehrende-links\">Quellen und weiterf\u00fchrende Links<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.ic3.gov\/CSA\/2025\/251113.pdf\" target=\"_blank\" rel=\"noopener nofollow\">FBI\/CISA #StopRansomware: Akira Ransomware Advisory (13.11.2025)<\/a><\/li>\n<li><a href=\"https:\/\/www.cybersecuritydive.com\/news\/akira-ransomware-critical-sectors-fbi-cisa\/805508\/\" target=\"_blank\" rel=\"noopener nofollow\">Cybersecurity Dive: Akira engaged in attacks against critical sectors<\/a><\/li>\n<li><a href=\"https:\/\/www.trmlabs.com\/resources\/intel-library\/akira\" target=\"_blank\" rel=\"noopener nofollow\">TRM Labs: Akira Ransomware Group Threat Profile<\/a><\/li>\n<li><a href=\"https:\/\/www.picussecurity.com\/resource\/blog\/akira-ransomware-analysis-simulation-and-mitigation-cisa-alert-aa24-109a\" target=\"_blank\" rel=\"noopener nofollow\">Picus Security: Akira Ransomware 2025 Analyse<\/a><\/li>\n<li><a href=\"https:\/\/industrialcyber.co\/ransomware\/germany-becomes-focal-point-of-escalating-dach-cyber-campaign-amid-ransomware-geopolitical-attacks\/\" target=\"_blank\" rel=\"noopener nofollow\">Industrial Cyber: DACH-Cyberkampagne 2026<\/a><\/li>\n<li><a href=\"https:\/\/www.cert.at\/\" target=\"_blank\" rel=\"noopener nofollow\">CERT.at: Nationales Computer Emergency Response Team \u00d6sterreich<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Akira Ransomware hat sich 2025 und 2026 zur zweitaktivsten Erpressergruppe der Welt entwickelt, direkt hinter Qilin. Am 13. November 2025 bezifferten FBI und CISA in einer aktualisierten Warnung die L\u00f6segeldeinnahmen\u2026<\/p>\n","protected":false},"author":4,"featured_media":89,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-88","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/88","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/comments?post=88"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/88\/revisions"}],"predecessor-version":[{"id":90,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/88\/revisions\/90"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/media\/89"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/media?parent=88"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/categories?post=88"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/tags?post=88"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}