{"id":119,"date":"2026-06-14T08:19:13","date_gmt":"2026-06-14T08:19:13","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/14\/akira-ransomware-deutschland-2026\/"},"modified":"2026-06-14T12:05:51","modified_gmt":"2026-06-14T12:05:51","slug":"akira-ransomware-deutschland-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/14\/akira-ransomware-deutschland-2026\/","title":{"rendered":"Akira Ransomware: 1.400 Opfer, 244 Mio $ [2026]"},"content":{"rendered":"\n

Am 9. April 2026 tauchte ein deutscher Fensterbauer auf einer Erpresserseite im Darknet auf. Die Gruppe hinter dem Eintrag, Akira<\/strong>, drohte der Sehlmann Fensterbau GmbH mit der Ver\u00f6ffentlichung von 44 GB gestohlener Daten. Der Mittelst\u00e4ndler war kein Einzelfall, sondern Teil einer Angriffswelle, die seit Sommer 2025 vor allem \u00fcber verwundbare SonicWall-Firewalls l\u00e4uft. Akira hat seit 2023 mehr als 1.400 Organisationen erpresst und nach Branchensch\u00e4tzungen \u00fcber 244 Millionen US-Dollar L\u00f6segeld eingenommen. In manchen F\u00e4llen vergingen zwischen dem ersten Zugriff und der vollst\u00e4ndigen Verschl\u00fcsselung nur 55 Minuten.<\/p>\n\n\n\n

Diese Analyse ordnet die Akira-Kampagne ein: die Technik hinter den Angriffen, die Zahlen, die deutschen Opfer, der Vergleich mit konkurrierenden Gruppen wie LockBit und Qilin sowie die Marktfolgen f\u00fcr Cyberversicherer, Mittelstand und Lieferketten. Stand: 14. Juni 2026.<\/p>\n\n\n\n

Was ist die Akira-Ransomware?<\/h2>\n\n\n\n

Akira ist eine Ransomware-as-a-Service-Operation (RaaS), die laut Check Point erstmals im ersten Quartal 2023 auftauchte. Die Gruppe verschl\u00fcsselt sowohl Windows- als auch Linux-Systeme und setzt zus\u00e4tzlich auf das Prinzip der doppelten Erpressung: Daten werden vor der Verschl\u00fcsselung abgezogen und mit Ver\u00f6ffentlichung gedroht. Wer nicht zahlt, findet seine internen Dokumente auf der Akira-Leak-Seite wieder.<\/p>\n\n\n\n

Der Name und die \u00c4sthetik der Gruppe sind an den Cyberpunk-Anime von 1988 angelehnt. Hinter der nostalgischen Fassade steckt eine professionell organisierte kriminelle Struktur. Sicherheitsforscher ordnen Akira personellen und technischen \u00dcberschneidungen mit der zerschlagenen Conti-Gruppe zu, was die schnelle Reife der Operation erkl\u00e4rt. Akira betreibt ein Partnerprogramm, bei dem sogenannte Affiliates die eigentlichen Einbr\u00fcche durchf\u00fchren und einen Teil des L\u00f6segelds an die Kerngruppe abf\u00fchren.<\/p>\n\n\n\n

Die L\u00f6segeldforderungen reichen laut der gemeinsamen Warnung von FBI und CISA von rund 200.000 US-Dollar bei kleinen Firmen bis zu mehr als 4 Millionen US-Dollar bei gr\u00f6\u00dferen Zielen. Die H\u00f6he richtet sich am gesch\u00e4tzten Jahresumsatz des Opfers aus. Akira geh\u00f6rt damit nicht zu den lautesten, aber zu den effizientesten Gruppen am Markt. Wer die Mechanik von Erpressersoftware grunds\u00e4tzlich verstehen will, findet in unserer \u00dcbersicht zu Datenlecks und ihren Ursachen<\/a> eine Einordnung.<\/p>\n\n\n\n

Die SonicWall-Kampagne: Wie Akira ins Netz kommt<\/h2>\n\n\n\n

Der entscheidende Wendepunkt kam Ende Juli 2025. Das Threat-Intelligence-Team von Arctic Wolf registrierte einen sprunghaften Anstieg von Akira-Vorf\u00e4llen, die alle einen gemeinsamen Nenner hatten: kompromittierte SonicWall-SSL-VPN-Zug\u00e4nge. Innerhalb weniger Wochen meldeten unabh\u00e4ngig voneinander Rapid7, ReliaQuest, Darktrace und Arete dieselbe Beobachtung. Akira hatte einen verl\u00e4sslichen T\u00fcr\u00f6ffner ins Unternehmensnetz gefunden.<\/p>\n\n\n\n

SonicWall-Firewalls sind im deutschen Mittelstand weit verbreitet, weil sie als kosteng\u00fcnstige Perimeter-L\u00f6sung mit integriertem VPN gelten. Genau diese VPN-Funktion wurde zum Einfallstor. \u00dcber kompromittierte Zugangsdaten meldeten sich die Angreifer als legitime Nutzer an, oft ohne dass eine klassische Schwachstelle ausgenutzt werden musste. Wer die Risiken von VPN-Gateways generell verstehen will, findet in unserer Analyse zur Citrix-NetScaler-L\u00fccke<\/a> ein vergleichbares Muster.<\/p>\n\n\n\n

CVE-2024-40766 im Detail<\/h3>\n\n\n\n

Im Zentrum steht CVE-2024-40766, eine Schwachstelle in der Zugriffskontrolle des SonicWall-SSL-VPN. SonicWall bewertete den Fehler mit einem CVSS-Score von 9.3 und stufte ihn damit als kritisch ein. Betroffen waren Appliances der Generationen 5, 6 und 7. Der Hersteller ver\u00f6ffentlichte die Warnung bereits im August 2024. Die Kampagne von 2025 zeigt, dass viele Unternehmen den Patch nie eingespielt oder die n\u00f6tigen Folgeschritte ausgelassen haben.<\/p>\n\n\n\n

Die OTP- und Migrationsfalle<\/h3>\n\n\n\n

Der gef\u00e4hrlichste Aspekt: Das Einspielen des Patches allein reichte nicht. SonicWall stellte klar, dass bei der Migration von Gen-6- auf Gen-7-Firewalls die lokalen Konto-Passw\u00f6rter zur\u00fcckgesetzt werden mussten. Wo das unterblieb, blieben alte, h\u00e4ufig bereits geleakte Zugangsdaten g\u00fcltig. Arctic Wolf beobachtete, dass Akira selbst Konten mit aktivierter Einmalpasswort-Funktion (OTP) \u00fcbernahm, weil die Angreifer offenbar Zugriff auf zuvor exfiltrierte Anmeldedaten und teilweise auf die zugeh\u00f6rigen OTP-Seeds hatten. Mehrfaktor-Authentifizierung, die nicht sauber neu aufgesetzt wurde, bot also nur eine Scheinsicherheit. Grundlagen dazu liefert unser Beitrag zur Passwortsicherheit<\/a>.<\/p>\n\n\n\n

55 Minuten bis zur Verschl\u00fcsselung: Das Akira-Playbook<\/h2>\n\n\n\n

Was Akira besonders gef\u00e4hrlich macht, ist die Geschwindigkeit. Die Sicherheitsfirma CybelAngel verweist auf Untersuchungen, wonach Akira den Weg vom Erstzugriff bis zur vollst\u00e4ndigen Verschl\u00fcsselung in unter vier Stunden zur\u00fccklegt. Arctic Wolf dokumentierte einen Fall, in dem zwischen Anmeldung am VPN und Verschl\u00fcsselung nur 55 Minuten lagen. F\u00fcr Verteidiger bedeutet das: Wer einen Alarm erst am n\u00e4chsten Morgen pr\u00fcft, kommt zu sp\u00e4t.<\/p>\n\n\n\n

Der typische Ablauf folgt einem eingespielten Muster. Nach dem VPN-Login orientieren sich die Angreifer im Netz, lesen Zugangsdaten aus dem Speicher aus und nutzen legitime Werkzeuge wie RustDesk, AnyDesk oder das Windows-eigene PsExec zur Fortbewegung. Backups werden gezielt gesucht und gel\u00f6scht, bevor die eigentliche Verschl\u00fcsselung startet. Diese Strategie, vorhandene Systemwerkzeuge statt auff\u00e4lliger Schadsoftware zu verwenden, wird als Living-off-the-Land bezeichnet und erschwert die Erkennung erheblich.<\/p>\n\n\n\n

Erst am Ende der Kette legen die Angreifer die Verschl\u00fcsselung los und hinterlassen eine L\u00f6segeldforderung namens akira_readme.txt<\/code>. Bis dahin haben sie die wertvollsten Daten l\u00e4ngst kopiert. Die kurze Verweildauer ist kein Zufall, sondern Teil des Gesch\u00e4ftsmodells: Je weniger Zeit zwischen Einbruch und Schaden vergeht, desto geringer die Chance, dass Sicherheitsteams eingreifen.<\/p>\n\n\n\n

Akira in Zahlen<\/h2>\n\n\n\n

Die folgende Tabelle fasst die wichtigsten verifizierten Kennzahlen zur Akira-Operation zusammen. Die Werte stammen aus Berichten von FBI\/CISA, Arctic Wolf, ReliaQuest und CybelAngel aus den Jahren 2024 bis 2026.<\/p>\n\n\n\n

\n
Kennzahl<\/th>Wert<\/th>Quelle \/ Zeitraum<\/th><\/tr><\/thead>
Erstmals beobachtet<\/td>Q1 2023<\/td>Check Point<\/td><\/tr>\n
Betroffene Organisationen (kumuliert)<\/td>\u00fcber 1.400<\/td>CybelAngel, 2026<\/td><\/tr>\n
Gesch\u00e4tzte L\u00f6segeldeinnahmen<\/td>\u00fcber 244 Mio. US-Dollar<\/td>Branchensch\u00e4tzung 2025<\/td><\/tr>\n
Einnahmen laut FBI\/CISA-Warnung<\/td>\u00fcber 42 Mio. US-Dollar (bei 250+ Opfern)<\/td>Advisory AA24-109A, Stand 2024<\/td><\/tr>\n
L\u00f6segeldforderung (Spanne)<\/td>200.000 bis 4 Mio. US-Dollar<\/td>FBI\/CISA<\/td><\/tr>\n
Aktivit\u00e4tswachstum Q2 2025<\/td>+348 % gegen\u00fcber Vorjahr<\/td>ReliaQuest<\/td><\/tr>\n
Gelistete Opfer pro Quartal (2025)<\/td>rund 130<\/td>ReliaQuest<\/td><\/tr>\n
Schnellste Zeit bis Verschl\u00fcsselung<\/td>55 Minuten<\/td>Arctic Wolf<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Besonders aussagekr\u00e4ftig ist das Wachstum. ReliaQuest meldete f\u00fcr das zweite Quartal 2025 einen Anstieg der Akira-Aktivit\u00e4t um 348 Prozent gegen\u00fcber dem Vorjahresquartal. Bereits in der ersten Jahresh\u00e4lfte 2025 listete die Gruppe 15 Prozent mehr Opfer als im gesamten Jahr 2024. Akira geh\u00f6rt damit zu den am schnellsten wachsenden Ransomware-Marken \u00fcberhaupt.<\/p>\n\n\n\n

Deutschland und der Mittelstand im Visier<\/h2>\n\n\n\n

Deutschland ist f\u00fcr Ransomware-Gruppen ein lohnendes Ziel. Die EU-Agentur ENISA nennt Deutschland in ihrem Threat Landscape 2025 als das am h\u00e4ufigsten referenzierte EU-Land bei Ransomware- und Datenleck-Vorf\u00e4llen mit einem Anteil von 23,4 Prozent, vor Italien (11,3 Prozent) und Spanien (9,8 Prozent). Im selben Bericht ist Akira mit 11,6 Prozent die am h\u00e4ufigsten eingesetzte Ransomware-Variante in der EU, gefolgt von SafePay (10,1 Prozent) und Qilin (7,5 Prozent).<\/p>\n\n\n\n

Der Grund f\u00fcr die Konzentration auf Deutschland liegt im Wirtschaftsmodell. Der Mittelstand verbindet hohe Zahlungsf\u00e4higkeit mit oft begrenzten Sicherheitsressourcen. Familienbetriebe mit 50 bis 500 Besch\u00e4ftigten betreiben h\u00e4ufig eine schlanke IT-Abteilung, die Perimeter-Ger\u00e4te wie SonicWall-Firewalls einmal aufsetzt und danach selten aktualisiert. Genau diese L\u00fccke nutzt Akira aus. ENISA verortet die Fertigungsindustrie mit einem Anteil von 14,9 Prozent als am st\u00e4rksten betroffenen Sektor, eine Branche, die in Deutschland das R\u00fcckgrat der Exportwirtschaft bildet.<\/p>\n\n\n\n

Die DACH-Region insgesamt erlebte 2025 laut Check Point einen Anstieg der Cyberangriffe um 124 Prozent, wobei Deutschland mehr als 80 Prozent aller registrierten Vorf\u00e4lle auf sich vereinte. Den breiteren Kontext dieser Welle beleuchtet unsere Analyse zu den Cyberangriffen in Deutschland und im DACH-Raum<\/a>. Wie sehr Erpressersoftware speziell deutsche Beh\u00f6rden und Firmen trifft, zeigt zudem unser Beitrag zur Qilin-Ransomware mit \u00fcber 500 Opfern<\/a>.<\/p>\n\n\n\n

Sehlmann Fensterbau und weitere deutsche Opfer<\/h2>\n\n\n\n

Der Fall Sehlmann Fensterbau steht beispielhaft f\u00fcr die Akira-Masche im deutschen Mittelstand. Am 9. April 2026 listete die Gruppe das Unternehmen auf ihrer Leak-Seite und drohte mit der Ver\u00f6ffentlichung von 44 GB interner Daten. Solche Datens\u00e4tze enthalten typischerweise Konstruktionsunterlagen, Personalakten, Buchhaltung und Vertr\u00e4ge. F\u00fcr einen Fertigungsbetrieb ist der drohende Reputations- und Wettbewerbsschaden oft gravierender als der reine Produktionsausfall.<\/p>\n\n\n\n

Das Muster wiederholt sich quer durch die Branchen. ENISA dokumentierte f\u00fcr Deutschland mindestens zwei F\u00e4lle, in denen Ransomware-Angriffe zur Verschiebung medizinischer Eingriffe f\u00fchrten. Im Gesundheitswesen werden aus IT-Vorf\u00e4llen so unmittelbar Risiken f\u00fcr Menschenleben. Akira selbst nennt als bevorzugte Ziele Fertigung, professionelle Dienstleistungen, Finanzdienstleister und die Technologiebranche, eine Mischung, die genau auf die deutsche Wirtschaftsstruktur passt.<\/p>\n\n\n\n

Viele deutsche Opfer tauchen nie \u00f6ffentlich auf, weil sie zahlen oder den Vorfall nur an die Beh\u00f6rden melden. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) geht von einer hohen Dunkelziffer aus. Details zur offiziellen Einsch\u00e4tzung liefert unser \u00dcberblick zum BSI-Lagebericht 2025<\/a>.<\/p>\n\n\n\n

Chronologie der SonicWall-Kampagne<\/h2>\n\n\n\n

Die folgende Zeitleiste zeigt, wie sich eine zwei Jahre alte Schwachstelle 2025 zur gr\u00f6\u00dften Ransomware-Welle gegen Edge-Ger\u00e4te entwickelte.<\/p>\n\n\n\n

\n
Datum<\/th>Ereignis<\/th>Akteur<\/th><\/tr><\/thead>
August 2024<\/td>SonicWall ver\u00f6ffentlicht Warnung zu CVE-2024-40766 (CVSS 9.3)<\/td>SonicWall PSIRT<\/td><\/tr>\n
Ende Juli 2025<\/td>Sprunghafter Anstieg von Akira-Vorf\u00e4llen \u00fcber SonicWall-SSL-VPN<\/td>Arctic Wolf<\/td><\/tr>\n
August 2025<\/td>Rapid7, Arete und ThreatLocker best\u00e4tigen die Kampagne unabh\u00e4ngig<\/td>mehrere<\/td><\/tr>\n
17. September 2025<\/td>SonicWall meldet separaten Vorfall mit MySonicWall-Cloud-Backups<\/td>Rapid7 \/ SonicWall<\/td><\/tr>\n
20. September 2025<\/td>Arctic Wolf beobachtet neue Angriffsinfrastruktur<\/td>Arctic Wolf<\/td><\/tr>\n
Oktober 2025<\/td>Darktrace ordnet Welle eindeutig der alten Schwachstelle zu<\/td>Darktrace<\/td><\/tr>\n
9. April 2026<\/td>Akira listet Sehlmann Fensterbau (44 GB) auf der Leak-Seite<\/td>Akira<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Bemerkenswert ist der parallele Vorfall vom 17. September 2025. SonicWall musste einr\u00e4umen, dass Angreifer auf Cloud-Backup-Dateien von MySonicWall-Konten zugegriffen hatten. Solche Backups enthalten Konfigurationen und Zugangsdaten von Firewalls. Damit versch\u00e4rfte sich die Lage zus\u00e4tzlich, denn die Angreifer erhielten potenziell Baupl\u00e4ne der Verteidigung gleich mitgeliefert.<\/p>\n\n\n\n

Wie Akira verschl\u00fcsselt: ChaCha und RSA<\/h2>\n\n\n\n

Technisch setzt Akira auf eine hybride Verschl\u00fcsselung. Die eigentlichen Dateien werden mit dem schnellen Stromchiffre-Verfahren ChaCha bearbeitet, der zugeh\u00f6rige Schl\u00fcssel wiederum mit RSA gesch\u00fctzt. Dieses Vorgehen ist Standard bei moderner Ransomware: Die symmetrische ChaCha-Chiffre arbeitet schnell genug, um Terabyte an Daten in kurzer Zeit unbrauchbar zu machen, w\u00e4hrend das asymmetrische RSA verhindert, dass Opfer den Schl\u00fcssel ohne Mitwirkung der T\u00e4ter wiederherstellen.<\/p>\n\n\n\n

Fr\u00fchere Akira-Versionen waren in C++ geschrieben. Sp\u00e4ter entwickelte die Gruppe eine Rust-Variante sowie die Linux- und VMware-ESXi-f\u00e4hige Ausgabe namens Megazord, die gezielt Virtualisierungsserver angreift. Der Wechsel auf Rust ist ein Trend in der Szene, weil die Sprache plattform\u00fcbergreifende, schwerer analysierbare Bin\u00e4rdateien erlaubt. F\u00fcr ein grundlegendes Verst\u00e4ndnis der eingesetzten Bausteine lohnt unser Beitrag zur Kryptographie und Hashing<\/a>.<\/p>\n\n\n\n

Im Jahr 2023 leistete sich Akira einen folgenschweren Fehler: Avast ver\u00f6ffentlichte einen Entschl\u00fcsseler f\u00fcr eine fr\u00fche Version. Die Gruppe reagierte schnell, \u00fcberarbeitete ihre Kryptografie und schloss die L\u00fccke. Seitdem gilt: Aktuelle Akira-Verschl\u00fcsselung l\u00e4sst sich nicht ohne den privaten Schl\u00fcssel r\u00fcckg\u00e4ngig machen. Die einzig verl\u00e4ssliche Versicherung sind getrennte, getestete Backups.<\/p>\n\n\n\n

Akira im Vergleich: LockBit, Qilin und RansomHub<\/h2>\n\n\n\n

Akira agiert in einem umk\u00e4mpften kriminellen Markt. Nach der Zerschlagung von LockBit durch die Operation Cronos im Februar 2024 und dem Verschwinden von ALPHV\/BlackCat ist ein Machtvakuum entstanden, das mehrere Gruppen f\u00fcllen. Die folgende Tabelle vergleicht die derzeit aktivsten Akteure entlang ihrer Merkmale.<\/p>\n\n\n\n

\n
Gruppe<\/th>Erstmals aktiv<\/th>Verschl\u00fcsselung<\/th>Hauptzugangsweg<\/th>Status 2026<\/th><\/tr><\/thead>
Akira<\/td>2023<\/td>ChaCha + RSA<\/td>VPN-\/Firewall-Zug\u00e4nge<\/td>stark wachsend<\/td><\/tr>\n
Qilin<\/td>2022<\/td>AES\/ChaCha20 + RSA<\/td>Phishing, Edge-Ger\u00e4te<\/td>sehr aktiv<\/td><\/tr>\n
RansomHub<\/td>2024<\/td>AES\/ChaCha20 + Curve25519<\/td>Zugangsdaten-Broker<\/td>aktiv<\/td><\/tr>\n
LockBit<\/td>2019<\/td>AES + RSA<\/td>diverse<\/td>nach Cronos geschw\u00e4cht<\/td><\/tr>\n
Play<\/td>2022<\/td>AES + RSA (intermittierend)<\/td>exponierte Dienste<\/td>aktiv<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Der Vergleich zeigt ein gemeinsames Muster: Fast alle f\u00fchrenden Gruppen kombinieren eine schnelle Stromchiffre mit asymmetrischer Schl\u00fcsselsicherung und setzen auf exponierte Netzwerkger\u00e4te als Eintrittspunkt. Akira hebt sich durch Tempo und Disziplin ab. Wo LockBit lange auf maximale Reichweite und Marketing setzte, optimiert Akira auf einen reibungslosen, schnellen Ablauf vom Login bis zur Erpressung. Diese operative Effizienz erkl\u00e4rt, warum die Gruppe trotz vergleichsweise zur\u00fcckhaltendem Auftreten an die Spitze der ENISA-Statistik ger\u00fcckt ist.<\/p>\n\n\n\n

Stimmen aus der Sicherheitsforschung<\/h2>\n\n\n\n

Die Einordnung der Fachleute f\u00e4llt ungew\u00f6hnlich einheitlich aus. Das Threat-Intelligence-Team von Arctic Wolf beschreibt die SonicWall-Welle als Kampagne, bei der Angreifer sich mit “wahrscheinlich zuvor exfiltrierten” Zugangsdaten anmeldeten, teils trotz aktivierter Einmalpassw\u00f6rter. Die Botschaft der Forscher: Ein Patch ohne anschlie\u00dfenden Passwort-Reset bleibt wirkungslos.<\/p>\n\n\n\n

Das Incident-Response-Team von Rapid7 betont, dass es sich bei der Welle nicht um einen neuen Zero-Day handele, sondern um die konsequente Ausnutzung einer bekannten, unvollst\u00e4ndig behobenen Schwachstelle. Diese Unterscheidung ist wichtig, weil sie die Verantwortung klar verortet: Die Angriffe waren vermeidbar.<\/p>\n\n\n\n

Die ENISA fasst die Gesamtlage in ihrem Threat Landscape 2025 n\u00fcchtern zusammen: Ransomware bleibe die wirtschaftlich sch\u00e4dlichste Bedrohung in der EU, und Deutschland stehe an der Spitze der betroffenen Mitgliedstaaten. Das BSI bezeichnet die Bedrohungslage im Cyberraum unter Pr\u00e4sidentin Claudia Plattner in seinen Lageberichten anhaltend als “angespannt bis kritisch”. Diese Formulierung ist kein rhetorisches Mittel, sondern die offizielle Risikobewertung der obersten deutschen Cyber-Sicherheitsbeh\u00f6rde.<\/p>\n\n\n\n

Marktauswirkungen: Versicherung, M&A und Lieferketten<\/h2>\n\n\n\n

Die Akira-Welle hat \u00f6konomische Nebenwirkungen, die \u00fcber das einzelne Opfer hinausreichen. Cyberversicherer haben SonicWall-SSL-VPN-Konfigurationen zu einem festen Pr\u00fcfpunkt bei der Risikobewertung gemacht. Unternehmen mit ungepatchten oder falsch migrierten Ger\u00e4ten zahlen h\u00f6here Pr\u00e4mien oder verlieren den Versicherungsschutz ganz. Die Versicherungsbranche wirkt damit als zweiter, marktwirtschaftlicher Durchsetzungsmechanismus neben der Regulierung.<\/p>\n\n\n\n

ReliaQuest hat zudem auf ein untersch\u00e4tztes Risiko bei Fusionen und \u00dcbernahmen hingewiesen. Wird ein Unternehmen mit kompromittierten SonicWall-Ger\u00e4ten gekauft, \u00fcbernimmt der K\u00e4ufer das Sicherheitsrisiko gleich mit. Eine schlecht abgesicherte Firewall im Zielunternehmen kann so zur Hypothek einer Milliardentransaktion werden. Due-Diligence-Pr\u00fcfungen umfassen daher zunehmend technische Sicherheitsaudits der Netzwerk-Peripherie.<\/p>\n\n\n\n

Am gravierendsten wirkt der Lieferketteneffekt. Wenn ein mittelst\u00e4ndischer Zulieferer tagelang produktionsunf\u00e4hig ist, stehen schnell auch die B\u00e4nder bei Gro\u00dfkunden still. Die deutsche Automobil- und Maschinenbauindustrie ist \u00fcber tausende spezialisierte Zulieferer eng vernetzt. Ein einzelner Akira-Vorfall bei einem kritischen Lieferanten kann Kaskaden ausl\u00f6sen, deren Gesamtschaden die L\u00f6segeldforderung um ein Vielfaches \u00fcbersteigt. Die volkswirtschaftliche Dimension verdeutlicht unser Beitrag zu den Cybersch\u00e4den in Deutschland von 289 Milliarden Euro<\/a>.<\/p>\n\n\n\n

Historischer Kontext: Von Conti und REvil zu Akira<\/h2>\n\n\n\n

Akira ist kein isoliertes Ph\u00e4nomen, sondern ein Glied in einer Entwicklungskette. Die gro\u00dfen RaaS-Marken der Jahre 2020 bis 2022, allen voran Conti und REvil, pr\u00e4gten das doppelte Erpressungsmodell. Strafverfolgung und interne Leaks zerschlugen diese Gruppen, doch das Personal und das Know-how verschwanden nicht. Sie verteilten sich auf Nachfolgeoperationen. Wie konsequent Beh\u00f6rden inzwischen vorgehen, zeigt unser Bericht zur Enttarnung von REvil durch das BKA<\/a>.<\/p>\n\n\n\n

Der Trend der vergangenen drei Jahre l\u00e4sst sich in einem Satz zusammenfassen: weg von wenigen Megamarken, hin zu vielen mittelgro\u00dfen, beweglichen Gruppen. Nach dem Fall von LockBit im Februar 2024 entstand kein neuer Marktf\u00fchrer, sondern ein Schwarm. Akira, Qilin, RansomHub und Play teilen sich die Beute. Diese Fragmentierung macht die Strafverfolgung schwieriger, weil das Abschalten einer Marke die anderen kaum bremst.<\/p>\n\n\n\n

Gleichzeitig hat sich der bevorzugte Angriffsvektor verschoben. Fr\u00fcher dominierten Phishing-Mails und unsichere Remote-Desktop-Zug\u00e4nge. Heute stehen Edge-Ger\u00e4te im Mittelpunkt: VPN-Gateways, Firewalls und Fernzugriffsl\u00f6sungen. Akiras SonicWall-Kampagne ist das Lehrbuchbeispiel dieser Verlagerung. Wer den Perimeter nicht aktuell h\u00e4lt, l\u00e4dt die n\u00e4chste Generation der Erpresser direkt ins Netz ein.<\/p>\n\n\n\n

NIS2, DORA und die rechtliche Lage in Deutschland<\/h2>\n\n\n\n

Die regulatorische Antwort auf die Bedrohung ist 2026 deutlich greifbarer als noch vor zwei Jahren. Die EU-Richtlinie NIS2 weitet Pflichten zu Risikomanagement und Meldewesen auf zehntausende Unternehmen aus, darunter viele Mittelst\u00e4ndler, die sich bisher nicht als kritische Infrastruktur verstanden. Den Stand der deutschen Umsetzung samt Bu\u00dfgeldrahmen erl\u00e4utert unsere Analyse zu NIS2 in Deutschland<\/a>.<\/p>\n\n\n\n

F\u00fcr den Finanzsektor gilt zus\u00e4tzlich DORA, der Digital Operational Resilience Act, der EU-weit hohe Anforderungen an die IT-Widerstandsf\u00e4higkeit stellt. Beide Regelwerke verfolgen dasselbe Ziel: Sicherheit von der freiwilligen K\u00fcr zur gesetzlichen Pflicht machen. F\u00fcr Akira-typische Opfer bedeutet das konkret, dass ein nicht eingespielter SonicWall-Patch k\u00fcnftig nicht nur ein technisches, sondern auch ein haftungsrechtliches Problem ist.<\/p>\n\n\n\n

Ob diese Regulierung schnell genug wirkt, ist offen. Meldepflichten und Audits erh\u00f6hen den Druck, schlie\u00dfen aber keine technischen L\u00fccken im Tagesgesch\u00e4ft. Der Engpass bleibt die Umsetzung in der Fl\u00e4che, gerade bei kleinen Firmen ohne eigenes Sicherheitsteam.<\/p>\n\n\n\n

Schutzma\u00dfnahmen: So wehren Sie Akira ab<\/h2>\n\n\n\n

Die gute Nachricht: Die Akira-Welle nutzt keine geheimnisvolle Magie, sondern vermeidbare Vers\u00e4umnisse. Wer die folgenden Schritte umsetzt, entzieht der Gruppe ihren wichtigsten Zugangsweg. Im Zentrum steht die Behandlung von Edge-Ger\u00e4ten als Hochrisikozone.<\/p>\n\n\n\n