Am 9. April 2026 tauchte ein deutscher Fensterbauer auf einer Erpresserseite im Darknet auf. Die Gruppe hinter dem Eintrag, Akira, drohte der Sehlmann Fensterbau GmbH mit der Veröffentlichung von 44 GB gestohlener Daten. Der Mittelständler war kein Einzelfall, sondern Teil einer Angriffswelle, die seit Sommer 2025 vor allem über verwundbare SonicWall-Firewalls läuft. Akira hat seit 2023 mehr als 1.400 Organisationen erpresst und nach Branchenschätzungen über 244 Millionen US-Dollar Lösegeld eingenommen. In manchen Fällen vergingen zwischen dem ersten Zugriff und der vollständigen Verschlüsselung nur 55 Minuten.
Diese Analyse ordnet die Akira-Kampagne ein: die Technik hinter den Angriffen, die Zahlen, die deutschen Opfer, der Vergleich mit konkurrierenden Gruppen wie LockBit und Qilin sowie die Marktfolgen für Cyberversicherer, Mittelstand und Lieferketten. Stand: 14. Juni 2026.
Was ist die Akira-Ransomware?
Akira ist eine Ransomware-as-a-Service-Operation (RaaS), die laut Check Point erstmals im ersten Quartal 2023 auftauchte. Die Gruppe verschlüsselt sowohl Windows- als auch Linux-Systeme und setzt zusätzlich auf das Prinzip der doppelten Erpressung: Daten werden vor der Verschlüsselung abgezogen und mit Veröffentlichung gedroht. Wer nicht zahlt, findet seine internen Dokumente auf der Akira-Leak-Seite wieder.
Der Name und die Ästhetik der Gruppe sind an den Cyberpunk-Anime von 1988 angelehnt. Hinter der nostalgischen Fassade steckt eine professionell organisierte kriminelle Struktur. Sicherheitsforscher ordnen Akira personellen und technischen Überschneidungen mit der zerschlagenen Conti-Gruppe zu, was die schnelle Reife der Operation erklärt. Akira betreibt ein Partnerprogramm, bei dem sogenannte Affiliates die eigentlichen Einbrüche durchführen und einen Teil des Lösegelds an die Kerngruppe abführen.
Die Lösegeldforderungen reichen laut der gemeinsamen Warnung von FBI und CISA von rund 200.000 US-Dollar bei kleinen Firmen bis zu mehr als 4 Millionen US-Dollar bei größeren Zielen. Die Höhe richtet sich am geschätzten Jahresumsatz des Opfers aus. Akira gehört damit nicht zu den lautesten, aber zu den effizientesten Gruppen am Markt. Wer die Mechanik von Erpressersoftware grundsätzlich verstehen will, findet in unserer Übersicht zu Datenlecks und ihren Ursachen eine Einordnung.
Die SonicWall-Kampagne: Wie Akira ins Netz kommt
Der entscheidende Wendepunkt kam Ende Juli 2025. Das Threat-Intelligence-Team von Arctic Wolf registrierte einen sprunghaften Anstieg von Akira-Vorfällen, die alle einen gemeinsamen Nenner hatten: kompromittierte SonicWall-SSL-VPN-Zugänge. Innerhalb weniger Wochen meldeten unabhängig voneinander Rapid7, ReliaQuest, Darktrace und Arete dieselbe Beobachtung. Akira hatte einen verlässlichen Türöffner ins Unternehmensnetz gefunden.
SonicWall-Firewalls sind im deutschen Mittelstand weit verbreitet, weil sie als kostengünstige Perimeter-Lösung mit integriertem VPN gelten. Genau diese VPN-Funktion wurde zum Einfallstor. Über kompromittierte Zugangsdaten meldeten sich die Angreifer als legitime Nutzer an, oft ohne dass eine klassische Schwachstelle ausgenutzt werden musste. Wer die Risiken von VPN-Gateways generell verstehen will, findet in unserer Analyse zur Citrix-NetScaler-Lücke ein vergleichbares Muster.
CVE-2024-40766 im Detail
Im Zentrum steht CVE-2024-40766, eine Schwachstelle in der Zugriffskontrolle des SonicWall-SSL-VPN. SonicWall bewertete den Fehler mit einem CVSS-Score von 9.3 und stufte ihn damit als kritisch ein. Betroffen waren Appliances der Generationen 5, 6 und 7. Der Hersteller veröffentlichte die Warnung bereits im August 2024. Die Kampagne von 2025 zeigt, dass viele Unternehmen den Patch nie eingespielt oder die nötigen Folgeschritte ausgelassen haben.
Die OTP- und Migrationsfalle
Der gefährlichste Aspekt: Das Einspielen des Patches allein reichte nicht. SonicWall stellte klar, dass bei der Migration von Gen-6- auf Gen-7-Firewalls die lokalen Konto-Passwörter zurückgesetzt werden mussten. Wo das unterblieb, blieben alte, häufig bereits geleakte Zugangsdaten gültig. Arctic Wolf beobachtete, dass Akira selbst Konten mit aktivierter Einmalpasswort-Funktion (OTP) übernahm, weil die Angreifer offenbar Zugriff auf zuvor exfiltrierte Anmeldedaten und teilweise auf die zugehörigen OTP-Seeds hatten. Mehrfaktor-Authentifizierung, die nicht sauber neu aufgesetzt wurde, bot also nur eine Scheinsicherheit. Grundlagen dazu liefert unser Beitrag zur Passwortsicherheit.
55 Minuten bis zur Verschlüsselung: Das Akira-Playbook
Was Akira besonders gefährlich macht, ist die Geschwindigkeit. Die Sicherheitsfirma CybelAngel verweist auf Untersuchungen, wonach Akira den Weg vom Erstzugriff bis zur vollständigen Verschlüsselung in unter vier Stunden zurücklegt. Arctic Wolf dokumentierte einen Fall, in dem zwischen Anmeldung am VPN und Verschlüsselung nur 55 Minuten lagen. Für Verteidiger bedeutet das: Wer einen Alarm erst am nächsten Morgen prüft, kommt zu spät.
Der typische Ablauf folgt einem eingespielten Muster. Nach dem VPN-Login orientieren sich die Angreifer im Netz, lesen Zugangsdaten aus dem Speicher aus und nutzen legitime Werkzeuge wie RustDesk, AnyDesk oder das Windows-eigene PsExec zur Fortbewegung. Backups werden gezielt gesucht und gelöscht, bevor die eigentliche Verschlüsselung startet. Diese Strategie, vorhandene Systemwerkzeuge statt auffälliger Schadsoftware zu verwenden, wird als Living-off-the-Land bezeichnet und erschwert die Erkennung erheblich.
Erst am Ende der Kette legen die Angreifer die Verschlüsselung los und hinterlassen eine Lösegeldforderung namens akira_readme.txt. Bis dahin haben sie die wertvollsten Daten längst kopiert. Die kurze Verweildauer ist kein Zufall, sondern Teil des Geschäftsmodells: Je weniger Zeit zwischen Einbruch und Schaden vergeht, desto geringer die Chance, dass Sicherheitsteams eingreifen.
Akira in Zahlen
Die folgende Tabelle fasst die wichtigsten verifizierten Kennzahlen zur Akira-Operation zusammen. Die Werte stammen aus Berichten von FBI/CISA, Arctic Wolf, ReliaQuest und CybelAngel aus den Jahren 2024 bis 2026.
| Kennzahl | Wert | Quelle / Zeitraum |
|---|---|---|
| Erstmals beobachtet | Q1 2023 | Check Point |
| Betroffene Organisationen (kumuliert) | über 1.400 | CybelAngel, 2026 |
| Geschätzte Lösegeldeinnahmen | über 244 Mio. US-Dollar | Branchenschätzung 2025 |
| Einnahmen laut FBI/CISA-Warnung | über 42 Mio. US-Dollar (bei 250+ Opfern) | Advisory AA24-109A, Stand 2024 |
| Lösegeldforderung (Spanne) | 200.000 bis 4 Mio. US-Dollar | FBI/CISA |
| Aktivitätswachstum Q2 2025 | +348 % gegenüber Vorjahr | ReliaQuest |
| Gelistete Opfer pro Quartal (2025) | rund 130 | ReliaQuest |
| Schnellste Zeit bis Verschlüsselung | 55 Minuten | Arctic Wolf |
Besonders aussagekräftig ist das Wachstum. ReliaQuest meldete für das zweite Quartal 2025 einen Anstieg der Akira-Aktivität um 348 Prozent gegenüber dem Vorjahresquartal. Bereits in der ersten Jahreshälfte 2025 listete die Gruppe 15 Prozent mehr Opfer als im gesamten Jahr 2024. Akira gehört damit zu den am schnellsten wachsenden Ransomware-Marken überhaupt.
Deutschland und der Mittelstand im Visier
Deutschland ist für Ransomware-Gruppen ein lohnendes Ziel. Die EU-Agentur ENISA nennt Deutschland in ihrem Threat Landscape 2025 als das am häufigsten referenzierte EU-Land bei Ransomware- und Datenleck-Vorfällen mit einem Anteil von 23,4 Prozent, vor Italien (11,3 Prozent) und Spanien (9,8 Prozent). Im selben Bericht ist Akira mit 11,6 Prozent die am häufigsten eingesetzte Ransomware-Variante in der EU, gefolgt von SafePay (10,1 Prozent) und Qilin (7,5 Prozent).
Der Grund für die Konzentration auf Deutschland liegt im Wirtschaftsmodell. Der Mittelstand verbindet hohe Zahlungsfähigkeit mit oft begrenzten Sicherheitsressourcen. Familienbetriebe mit 50 bis 500 Beschäftigten betreiben häufig eine schlanke IT-Abteilung, die Perimeter-Geräte wie SonicWall-Firewalls einmal aufsetzt und danach selten aktualisiert. Genau diese Lücke nutzt Akira aus. ENISA verortet die Fertigungsindustrie mit einem Anteil von 14,9 Prozent als am stärksten betroffenen Sektor, eine Branche, die in Deutschland das Rückgrat der Exportwirtschaft bildet.
Die DACH-Region insgesamt erlebte 2025 laut Check Point einen Anstieg der Cyberangriffe um 124 Prozent, wobei Deutschland mehr als 80 Prozent aller registrierten Vorfälle auf sich vereinte. Den breiteren Kontext dieser Welle beleuchtet unsere Analyse zu den Cyberangriffen in Deutschland und im DACH-Raum. Wie sehr Erpressersoftware speziell deutsche Behörden und Firmen trifft, zeigt zudem unser Beitrag zur Qilin-Ransomware mit über 500 Opfern.
Sehlmann Fensterbau und weitere deutsche Opfer
Der Fall Sehlmann Fensterbau steht beispielhaft für die Akira-Masche im deutschen Mittelstand. Am 9. April 2026 listete die Gruppe das Unternehmen auf ihrer Leak-Seite und drohte mit der Veröffentlichung von 44 GB interner Daten. Solche Datensätze enthalten typischerweise Konstruktionsunterlagen, Personalakten, Buchhaltung und Verträge. Für einen Fertigungsbetrieb ist der drohende Reputations- und Wettbewerbsschaden oft gravierender als der reine Produktionsausfall.
Das Muster wiederholt sich quer durch die Branchen. ENISA dokumentierte für Deutschland mindestens zwei Fälle, in denen Ransomware-Angriffe zur Verschiebung medizinischer Eingriffe führten. Im Gesundheitswesen werden aus IT-Vorfällen so unmittelbar Risiken für Menschenleben. Akira selbst nennt als bevorzugte Ziele Fertigung, professionelle Dienstleistungen, Finanzdienstleister und die Technologiebranche, eine Mischung, die genau auf die deutsche Wirtschaftsstruktur passt.
Viele deutsche Opfer tauchen nie öffentlich auf, weil sie zahlen oder den Vorfall nur an die Behörden melden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht von einer hohen Dunkelziffer aus. Details zur offiziellen Einschätzung liefert unser Überblick zum BSI-Lagebericht 2025.
Chronologie der SonicWall-Kampagne
Die folgende Zeitleiste zeigt, wie sich eine zwei Jahre alte Schwachstelle 2025 zur größten Ransomware-Welle gegen Edge-Geräte entwickelte.
| Datum | Ereignis | Akteur |
|---|---|---|
| August 2024 | SonicWall veröffentlicht Warnung zu CVE-2024-40766 (CVSS 9.3) | SonicWall PSIRT |
| Ende Juli 2025 | Sprunghafter Anstieg von Akira-Vorfällen über SonicWall-SSL-VPN | Arctic Wolf |
| August 2025 | Rapid7, Arete und ThreatLocker bestätigen die Kampagne unabhängig | mehrere |
| 17. September 2025 | SonicWall meldet separaten Vorfall mit MySonicWall-Cloud-Backups | Rapid7 / SonicWall |
| 20. September 2025 | Arctic Wolf beobachtet neue Angriffsinfrastruktur | Arctic Wolf |
| Oktober 2025 | Darktrace ordnet Welle eindeutig der alten Schwachstelle zu | Darktrace |
| 9. April 2026 | Akira listet Sehlmann Fensterbau (44 GB) auf der Leak-Seite | Akira |
Bemerkenswert ist der parallele Vorfall vom 17. September 2025. SonicWall musste einräumen, dass Angreifer auf Cloud-Backup-Dateien von MySonicWall-Konten zugegriffen hatten. Solche Backups enthalten Konfigurationen und Zugangsdaten von Firewalls. Damit verschärfte sich die Lage zusätzlich, denn die Angreifer erhielten potenziell Baupläne der Verteidigung gleich mitgeliefert.
Wie Akira verschlüsselt: ChaCha und RSA
Technisch setzt Akira auf eine hybride Verschlüsselung. Die eigentlichen Dateien werden mit dem schnellen Stromchiffre-Verfahren ChaCha bearbeitet, der zugehörige Schlüssel wiederum mit RSA geschützt. Dieses Vorgehen ist Standard bei moderner Ransomware: Die symmetrische ChaCha-Chiffre arbeitet schnell genug, um Terabyte an Daten in kurzer Zeit unbrauchbar zu machen, während das asymmetrische RSA verhindert, dass Opfer den Schlüssel ohne Mitwirkung der Täter wiederherstellen.
Frühere Akira-Versionen waren in C++ geschrieben. Später entwickelte die Gruppe eine Rust-Variante sowie die Linux- und VMware-ESXi-fähige Ausgabe namens Megazord, die gezielt Virtualisierungsserver angreift. Der Wechsel auf Rust ist ein Trend in der Szene, weil die Sprache plattformübergreifende, schwerer analysierbare Binärdateien erlaubt. Für ein grundlegendes Verständnis der eingesetzten Bausteine lohnt unser Beitrag zur Kryptographie und Hashing.
Im Jahr 2023 leistete sich Akira einen folgenschweren Fehler: Avast veröffentlichte einen Entschlüsseler für eine frühe Version. Die Gruppe reagierte schnell, überarbeitete ihre Kryptografie und schloss die Lücke. Seitdem gilt: Aktuelle Akira-Verschlüsselung lässt sich nicht ohne den privaten Schlüssel rückgängig machen. Die einzig verlässliche Versicherung sind getrennte, getestete Backups.
Akira im Vergleich: LockBit, Qilin und RansomHub
Akira agiert in einem umkämpften kriminellen Markt. Nach der Zerschlagung von LockBit durch die Operation Cronos im Februar 2024 und dem Verschwinden von ALPHV/BlackCat ist ein Machtvakuum entstanden, das mehrere Gruppen füllen. Die folgende Tabelle vergleicht die derzeit aktivsten Akteure entlang ihrer Merkmale.
| Gruppe | Erstmals aktiv | Verschlüsselung | Hauptzugangsweg | Status 2026 |
|---|---|---|---|---|
| Akira | 2023 | ChaCha + RSA | VPN-/Firewall-Zugänge | stark wachsend |
| Qilin | 2022 | AES/ChaCha20 + RSA | Phishing, Edge-Geräte | sehr aktiv |
| RansomHub | 2024 | AES/ChaCha20 + Curve25519 | Zugangsdaten-Broker | aktiv |
| LockBit | 2019 | AES + RSA | diverse | nach Cronos geschwächt |
| Play | 2022 | AES + RSA (intermittierend) | exponierte Dienste | aktiv |
Der Vergleich zeigt ein gemeinsames Muster: Fast alle führenden Gruppen kombinieren eine schnelle Stromchiffre mit asymmetrischer Schlüsselsicherung und setzen auf exponierte Netzwerkgeräte als Eintrittspunkt. Akira hebt sich durch Tempo und Disziplin ab. Wo LockBit lange auf maximale Reichweite und Marketing setzte, optimiert Akira auf einen reibungslosen, schnellen Ablauf vom Login bis zur Erpressung. Diese operative Effizienz erklärt, warum die Gruppe trotz vergleichsweise zurückhaltendem Auftreten an die Spitze der ENISA-Statistik gerückt ist.
Stimmen aus der Sicherheitsforschung
Die Einordnung der Fachleute fällt ungewöhnlich einheitlich aus. Das Threat-Intelligence-Team von Arctic Wolf beschreibt die SonicWall-Welle als Kampagne, bei der Angreifer sich mit “wahrscheinlich zuvor exfiltrierten” Zugangsdaten anmeldeten, teils trotz aktivierter Einmalpasswörter. Die Botschaft der Forscher: Ein Patch ohne anschließenden Passwort-Reset bleibt wirkungslos.
Das Incident-Response-Team von Rapid7 betont, dass es sich bei der Welle nicht um einen neuen Zero-Day handele, sondern um die konsequente Ausnutzung einer bekannten, unvollständig behobenen Schwachstelle. Diese Unterscheidung ist wichtig, weil sie die Verantwortung klar verortet: Die Angriffe waren vermeidbar.
Die ENISA fasst die Gesamtlage in ihrem Threat Landscape 2025 nüchtern zusammen: Ransomware bleibe die wirtschaftlich schädlichste Bedrohung in der EU, und Deutschland stehe an der Spitze der betroffenen Mitgliedstaaten. Das BSI bezeichnet die Bedrohungslage im Cyberraum unter Präsidentin Claudia Plattner in seinen Lageberichten anhaltend als “angespannt bis kritisch”. Diese Formulierung ist kein rhetorisches Mittel, sondern die offizielle Risikobewertung der obersten deutschen Cyber-Sicherheitsbehörde.
Marktauswirkungen: Versicherung, M&A und Lieferketten
Die Akira-Welle hat ökonomische Nebenwirkungen, die über das einzelne Opfer hinausreichen. Cyberversicherer haben SonicWall-SSL-VPN-Konfigurationen zu einem festen Prüfpunkt bei der Risikobewertung gemacht. Unternehmen mit ungepatchten oder falsch migrierten Geräten zahlen höhere Prämien oder verlieren den Versicherungsschutz ganz. Die Versicherungsbranche wirkt damit als zweiter, marktwirtschaftlicher Durchsetzungsmechanismus neben der Regulierung.
ReliaQuest hat zudem auf ein unterschätztes Risiko bei Fusionen und Übernahmen hingewiesen. Wird ein Unternehmen mit kompromittierten SonicWall-Geräten gekauft, übernimmt der Käufer das Sicherheitsrisiko gleich mit. Eine schlecht abgesicherte Firewall im Zielunternehmen kann so zur Hypothek einer Milliardentransaktion werden. Due-Diligence-Prüfungen umfassen daher zunehmend technische Sicherheitsaudits der Netzwerk-Peripherie.
Am gravierendsten wirkt der Lieferketteneffekt. Wenn ein mittelständischer Zulieferer tagelang produktionsunfähig ist, stehen schnell auch die Bänder bei Großkunden still. Die deutsche Automobil- und Maschinenbauindustrie ist über tausende spezialisierte Zulieferer eng vernetzt. Ein einzelner Akira-Vorfall bei einem kritischen Lieferanten kann Kaskaden auslösen, deren Gesamtschaden die Lösegeldforderung um ein Vielfaches übersteigt. Die volkswirtschaftliche Dimension verdeutlicht unser Beitrag zu den Cyberschäden in Deutschland von 289 Milliarden Euro.
Historischer Kontext: Von Conti und REvil zu Akira
Akira ist kein isoliertes Phänomen, sondern ein Glied in einer Entwicklungskette. Die großen RaaS-Marken der Jahre 2020 bis 2022, allen voran Conti und REvil, prägten das doppelte Erpressungsmodell. Strafverfolgung und interne Leaks zerschlugen diese Gruppen, doch das Personal und das Know-how verschwanden nicht. Sie verteilten sich auf Nachfolgeoperationen. Wie konsequent Behörden inzwischen vorgehen, zeigt unser Bericht zur Enttarnung von REvil durch das BKA.
Der Trend der vergangenen drei Jahre lässt sich in einem Satz zusammenfassen: weg von wenigen Megamarken, hin zu vielen mittelgroßen, beweglichen Gruppen. Nach dem Fall von LockBit im Februar 2024 entstand kein neuer Marktführer, sondern ein Schwarm. Akira, Qilin, RansomHub und Play teilen sich die Beute. Diese Fragmentierung macht die Strafverfolgung schwieriger, weil das Abschalten einer Marke die anderen kaum bremst.
Gleichzeitig hat sich der bevorzugte Angriffsvektor verschoben. Früher dominierten Phishing-Mails und unsichere Remote-Desktop-Zugänge. Heute stehen Edge-Geräte im Mittelpunkt: VPN-Gateways, Firewalls und Fernzugriffslösungen. Akiras SonicWall-Kampagne ist das Lehrbuchbeispiel dieser Verlagerung. Wer den Perimeter nicht aktuell hält, lädt die nächste Generation der Erpresser direkt ins Netz ein.
NIS2, DORA und die rechtliche Lage in Deutschland
Die regulatorische Antwort auf die Bedrohung ist 2026 deutlich greifbarer als noch vor zwei Jahren. Die EU-Richtlinie NIS2 weitet Pflichten zu Risikomanagement und Meldewesen auf zehntausende Unternehmen aus, darunter viele Mittelständler, die sich bisher nicht als kritische Infrastruktur verstanden. Den Stand der deutschen Umsetzung samt Bußgeldrahmen erläutert unsere Analyse zu NIS2 in Deutschland.
Für den Finanzsektor gilt zusätzlich DORA, der Digital Operational Resilience Act, der EU-weit hohe Anforderungen an die IT-Widerstandsfähigkeit stellt. Beide Regelwerke verfolgen dasselbe Ziel: Sicherheit von der freiwilligen Kür zur gesetzlichen Pflicht machen. Für Akira-typische Opfer bedeutet das konkret, dass ein nicht eingespielter SonicWall-Patch künftig nicht nur ein technisches, sondern auch ein haftungsrechtliches Problem ist.
Ob diese Regulierung schnell genug wirkt, ist offen. Meldepflichten und Audits erhöhen den Druck, schließen aber keine technischen Lücken im Tagesgeschäft. Der Engpass bleibt die Umsetzung in der Fläche, gerade bei kleinen Firmen ohne eigenes Sicherheitsteam.
Schutzmaßnahmen: So wehren Sie Akira ab
Die gute Nachricht: Die Akira-Welle nutzt keine geheimnisvolle Magie, sondern vermeidbare Versäumnisse. Wer die folgenden Schritte umsetzt, entzieht der Gruppe ihren wichtigsten Zugangsweg. Im Zentrum steht die Behandlung von Edge-Geräten als Hochrisikozone.
- CVE-2024-40766 patchen und nach der Gen-6-zu-Gen-7-Migration alle lokalen Konto-Passwörter zurücksetzen.
- SSL-VPN-Zugang auf bekannte IP-Bereiche beschränken oder ganz deaktivieren, wo nicht zwingend nötig.
- Mehrfaktor-Authentifizierung neu aufsetzen und alte OTP-Seeds invalidieren, nicht nur formal aktivieren.
- Geleakte Zugangsdaten gegen Threat-Intelligence-Feeds abgleichen und betroffene Konten sperren.
- Offline- und unveränderliche Backups vorhalten und Wiederherstellung regelmäßig testen.
- VPN-Logins außerhalb der Geschäftszeiten und ungewöhnliche Anmeldungen in Echtzeit überwachen.
Ein einfacher erster Check auf einer SonicWall-Appliance ist die Prüfung des aktiven SSL-VPN-Dienstes und seiner Nutzerkonten. Das folgende Beispiel zeigt das Prinzip einer protokollbasierten Erstanalyse.
# SSL-VPN-Anmeldungen der letzten Stunde aus dem Syslog filtern
grep "SSL VPN" /var/log/sonicwall.log \
| grep "login" \
| awk '{print $1, $2, $7, $9}'
# Anmeldungen ausserhalb der Geschaeftszeiten (22:00-06:00) markieren
grep "SSL VPN INFO User login" /var/log/sonicwall.log \
| awk -F'[ :]' '$2 < 6 || $2 >= 22 {print "VERDAECHTIG:", $0}'
# Aktive VPN-Sessions nach Quell-IP zaehlen
grep "SSLVPN session" /var/log/sonicwall.log \
| awk '{print $8}' | sort | uniq -c | sort -rnDas Skript ersetzt kein professionelles Monitoring, verdeutlicht aber den Kerngedanken: Ungewöhnliche VPN-Anmeldungen sind das früheste sichtbare Signal eines Akira-Angriffs. Wer dieses Signal automatisiert auswertet, gewinnt die entscheidenden Minuten zurück, die das Playbook der Gruppe sonst zu seinem Vorteil nutzt. Grundlagen zur sicheren Authentifizierung liefert unser Beitrag zur Passwortsicherheit.
Prognosen: Wohin sich Akira 2026 entwickelt
Auf Basis der vorliegenden Daten lassen sich fünf belastbare Entwicklungen ableiten:
- Edge-Geräte bleiben Hauptziel. Solange SonicWall-, Cisco- und Fortinet-Appliances ungepatcht im Netz hängen, wird Akira diesen Weg weitergehen. Die Verlagerung weg von Phishing hin zur Perimeter-Ausnutzung verfestigt sich.
- Die Verweildauer sinkt weiter. Mit Automatisierung und KI-gestützter Aufklärung dürfte die Spanne zwischen Erstzugriff und Verschlüsselung von Stunden auf Minuten schrumpfen. Der 55-Minuten-Fall wird vom Ausreißer zur Norm.
- Deutschland bleibt EU-Spitzenreiter. Die Kombination aus zahlungsfähigem Mittelstand und ungleichmäßiger Sicherheitsreife hält Deutschland auch 2026 an der Spitze der ENISA-Statistik.
- Regulierung verschiebt die Haftung. Mit NIS2 und DORA werden ungepatchte Systeme zum Vorstands- und Haftungsthema. Versäumte Updates münden zunehmend in Bußgelder und persönliche Verantwortung.
- Die Fragmentierung hält an. Selbst wenn Strafverfolger Akira treffen, übernehmen Qilin, RansomHub und Nachfolger den Markt. Der Kampf richtet sich gegen ein Geschäftsmodell, nicht gegen eine einzelne Marke.
Related Coverage
- Qilin Ransomware: 500+ Opfer, Die Linke gehackt [2026]
- Cyberangriffe Deutschland: +124% im DACH-Raum [2026]
- BSI Lagebericht: 280.000 Schadprogramme pro Tag [2026]
- NIS2 Deutschland: 29.500 Firmen, 10 Mio € Strafe [2026]
- Cyberschäden Deutschland: 289 Mrd € Rekord [2026]
- Citrix NetScaler Lücke: CVSS 9.3, KEV in 7 Tagen [2026]
Häufige Fragen zur Akira-Ransomware
Was ist die Akira-Ransomware?
Akira ist eine seit 2023 aktive Ransomware-as-a-Service-Gruppe, die Windows- und Linux-Systeme verschlüsselt und gestohlene Daten zur doppelten Erpressung nutzt. Sie hat über 1.400 Organisationen getroffen und nach Branchenschätzungen mehr als 244 Millionen US-Dollar Lösegeld eingenommen.
Wie dringt Akira in Netzwerke ein?
Seit Sommer 2025 nutzt Akira vor allem SonicWall-SSL-VPN-Zugänge. Über die Schwachstelle CVE-2024-40766 und nicht zurückgesetzte Passwörter nach Firewall-Migrationen melden sich die Angreifer mit geleakten Zugangsdaten als legitime Nutzer an, teils trotz aktivierter Einmalpasswörter.
Kann man von Akira verschlüsselte Daten wiederherstellen?
Für aktuelle Versionen gibt es keinen kostenlosen Entschlüsseler. Avast veröffentlichte 2023 ein Werkzeug für eine frühe Variante, doch Akira schloss die Lücke. Die einzige verlässliche Wiederherstellung erfolgt über getrennte, getestete Offline-Backups.
Wie schnell verschlüsselt Akira?
Sehr schnell. Untersuchungen zeigen einen Weg vom Erstzugriff bis zur Verschlüsselung in unter vier Stunden. Arctic Wolf dokumentierte einen Fall mit nur 55 Minuten. Diese Geschwindigkeit lässt Verteidigern kaum Reaktionszeit.
Warum ist Deutschland besonders betroffen?
Laut ENISA entfallen 23,4 Prozent aller EU-Ransomware-Vorfälle auf Deutschland. Der zahlungsfähige Mittelstand, eine starke Fertigungsindustrie und oft knappe Sicherheitsressourcen machen deutsche Unternehmen zu attraktiven Zielen für Gruppen wie Akira.
Soll man das Lösegeld zahlen?
BSI und Strafverfolgungsbehörden raten von Zahlungen ab. Eine Zahlung garantiert weder die vollständige Wiederherstellung noch das Löschen gestohlener Daten und finanziert weitere Angriffe. Wichtiger sind Prävention, getestete Backups und ein vorbereiteter Notfallplan.
Was ist der wichtigste Schutz gegen Akira?
Edge-Geräte aktuell halten, nach Migrationen alle Passwörter zurücksetzen, Mehrfaktor-Authentifizierung sauber neu aufsetzen und ungewöhnliche VPN-Anmeldungen in Echtzeit überwachen. Diese vier Maßnahmen entziehen Akira den Großteil seiner bekannten Zugangswege.
Fazit
Akira hat 2025 und 2026 vorgeführt, wie wenig es braucht, um ein Unternehmen lahmzulegen: eine zwei Jahre alte Schwachstelle, einen vergessenen Passwort-Reset und 55 Minuten Zeit. Die Gruppe steht für eine neue Generation effizienter, schneller und disziplinierter Erpresser, die den Mittelstand über seinen Netzwerkrand angreifen. Der Fall Sehlmann Fensterbau ist kein Ausreißer, sondern die Regel. Wer seine Edge-Geräte pflegt, Backups testet und VPN-Logins überwacht, nimmt Akira die wirksamste Waffe. Die Technik dafür existiert. Es fehlt fast immer nur an der konsequenten Umsetzung.
Quellen und weiterführende Informationen: Arctic Wolf (SonicWall-Kampagne), Rapid7, NVD CVE-2024-40766, ENISA Threat Landscape 2025, SonicWall PSIRT, BSI Lageberichte.
