Cyberangriff bestätigt: Ideal wird Ziel einer aktiven Ransomware-Gruppe
Berlin. Die anfängliche Störungsmeldung ist zur Gewissheit geworden: Nachdem die Ideal Versicherung am Donnerstag einen massiven IT-Ausfall gemeldet hatte, bestätigte der Berliner Lebensversicherer am Freitagabend einen gezielten Hackerangriff. Nach Angaben des Unternehmens steckt die Ransomware „Akira“ dahinter – ein Name, der in der Cybersecurity-Szene längst als rotes Tuch gilt. Die Attacke traf den Versicherer ins digitale Rückgrat: Systeme mussten vorsorglich vom Netz genommen werden, um weiteren Schaden zu verhindern. Wer, wie und warum? Die Spur führt laut mehreren Experten zu einer international agierenden Gruppe, die seit Anfang 2023 aktiv ist und von Fachleuten vielfach mit Russland in Verbindung gebracht wird.
Ransomware als Geschäftsmodell: viel Aktivität, wenig Transparenz
„Sie sind sehr umtriebig“, sagt Cyber-Krisenmanager Uwe Grams von ResponseOne im Gespräch mit procontra – und beschreibt damit eine Gruppierung, die weniger im Verborgenen agiert als vielmehr im Dauerbetrieb. Allein 2025 betreute ResponseOne drei Vorfälle mit Bezug zu „Akira“. Auch internationale Behörden schlagen Alarm: In einer gemeinsamen Mitteilung warnten im Oktober die Schweizer Bundesanwaltschaft, die Bundespolizei und das Bundesamt für Cybersicherheit vor einer Rekordzahl von vier bis fünf Fällen pro Woche, rund 200 Unternehmen waren bis dahin betroffen. Bestätigt wird das Bild durch das US-Cybersicherheitsunternehmen Arctic Wolf, das seit Juli eine deutliche Häufung entsprechender Angriffe beobachtet. Auch in Deutschland ist die Liste der Opfer länger geworden – darunter die Südwestfalen-IT, die Hotelkette Arcona und die Berliner Hochschule für Technik. Paradox dabei: Klar ist, welche Ransomware eingesetzt wird, unklar bleibt oft, wer konkret angreift. „Man muss von Ransomware-as-a-Service sprechen“, erklärt Grams. Eine Kerngruppe stellt Schadsoftware und Infrastruktur bereit – wie ein Franchise-System – und kassiert anteilig am Lösegeld, während externe Akteure die Angriffe ausführen.
Doppelte, dreifache Erpressung – und erste Entwarnung bei Ideal
Das Prinzip ist perfide und effektiv: Daten werden verschlüsselt, Systeme blockiert, Lösegeld gefordert – meist in Kryptowährungen. Parallel drohen die Täter mit der Veröffentlichung sensibler Informationen auf sogenannten Data-Leak-Sites im Darknet, die berüchtigte „Double Extorsion“. In besonders aggressiven Fällen kommt laut Grams sogar die „Triple Extorsion“ hinzu: Angreifer kontaktieren Kunden oder Geschäftspartner direkt, um zusätzlichen Druck aufzubauen. „Heutzutage geht ein Ransomware-Angriff fast immer mit einem Datenabfluss einher“, so Grams – auch wenn dieser nicht immer nachweisbar sei. Die Ideal Versicherung widerspricht bislang: In zwei Pressemitteilungen erklärte das Unternehmen, es gebe derzeit keine Hinweise auf einen Abfluss oder Missbrauch von Kundendaten. Gleichzeitig meldet der Versicherer Fortschritte beim Wiederhochfahren der IT. Erste Systeme laufen wieder, Kunden und Vertriebspartner sind telefonisch erreichbar, Leistungsfälle können erneut eingereicht werden. Entwarnung? Vielleicht. Doch der Fall zeigt erneut, wie verwundbar selbst regulierte Finanz- und Versicherungsunternehmen im digitalen Dauerbeschuss geworden sind.
Quelle
