Echte Windows-Vorfälle, die mit eingefrorener Festplatte nicht passiert wären
Jeden Tag werden weltweit Tausende Windows-Rechner durch Ransomware, Trojaner, fehlerhafte Updates und Zero-Day-Exploits lahmgelegt. In unseren Schadenbeispielen zeigen wir echte Vorfälle aus der Windows-Welt – und erklären, warum eine eingefrorene Festplatte (Deep Freeze) den Schaden in jedem einzelnen Fall verhindert hätte.
Das Prinzip ist einfach: Die meisten Angriffe funktionieren mehrstufig. Zunächst wird ein winziger Code auf den Rechner geschleust – oft über eine E-Mail, eine manipulierte Website oder ein Office-Dokument. Dieser kleine „Dropper" lädt dann im Hintergrund die eigentliche Schadsoftware nach. Ein Virenscanner kann diese neue Variante oft nicht erkennen, weil sie noch unbekannt ist.
Deep Freeze löst das Problem an der Wurzel: Nach jedem Neustart wird die Festplatte in den Originalzustand zurückgesetzt. Egal was der Dropper heruntergeladen hat, egal welche Änderungen vorgenommen wurden – nach einem Reboot ist alles weg. Kein Virus, kein Trojaner, keine Ransomware überlebt einen Neustart.
Im Mai 2017 verschlüsselt WannaCry in wenigen Stunden hunderttausende Rechner weltweit. Krankenhäuser müssen Patienten abweisen. Ein einfacher Neustart hätte gereicht.
Zum Fall: WannaCry legt 230.000 Computer lahm – Krankenhäuser stehen still →StripedFly infizierte über eine Million PCs und blieb fünf Jahre unentdeckt – weil alle es für einen harmlosen Cryptominer hielten.
Zum Fall: StripedFly: Fünf Jahre Spionage im Tarnmantel eines Miners →Die Petya/GoldenEye-Ransomware überschrieb den Master Boot Record, verbreitete sich über gefälschte Bewerbungs-E-Mails und traf 2016 gezielt deutsche Unternehmen.
Zum Fall: Petya/GoldenEye: Ransomware verbreitete sich über gefälschte Bewerbungen in Deutschland →Die russische Hackergruppe APT28 (Fancy Bear) kompromittiert seit Jahren Regierungen und Organisationen weltweit – mit Office-Zero-Days, Phishing und mehrstufiger Malware.
Zum Fall: APT28/Fancy Bear: Russische Staatshacker nutzen Office-Zero-Days und Phishing →Für 200 Dollar im Monat konnte jeder Kriminelle einen professionellen Passwort-Dieb mieten – Raccoon Stealer stahl Millionen von Zugangsdaten weltweit.
Zum Fall: Raccoon Stealer: Der Info-Dieb aus dem Abo-Modell →Dell lieferte Laptops mit einem selbstsignierten Root-Zertifikat samt privatem Schlüssel aus – jeder konnte damit verschlüsselte Verbindungen mitlesen.
Zum Fall: eDellRoot: Dells fatales Werks-Zertifikat →Als Microsoft Office-Makros blockierte, wichen Emotet-Angreifer auf OneNote-Anhänge mit versteckten Skripten aus.
Zum Fall: Emotet über OneNote: Der Trojaner findet neue Wege →GhostEngine nutzte verwundbare Treiber, um Sicherheitssoftware komplett zu deaktivieren – dann schürfte ein XMRig-Miner ungestört Kryptowährung.
Zum Fall: GhostEngine: Cryptominer schaltet Virenscanner ab →Eine Zero-Day-Lücke in Windows SmartScreen ließ Malware ohne Warnung passieren – der Phemedrone Stealer nutzte sie sofort aus.
Zum Fall: SmartScreen-Bypass CVE-2023-36025: Wenn Windows selbst die Tür öffnet →Ein einzelner Anruf beim IT-Helpdesk genügte, um MGM Resorts lahmzulegen – 10 Tage Chaos in Casinos und Hotels, 100 Millionen Dollar Schaden.
Zum Fall: BlackCat/ALPHV vs. MGM Resorts: 100 Millionen Dollar durch einen Anruf →Eine Schwachstelle im Windows Common Log File System wurde gezielt von Nokoyawa-Ransomware ausgenutzt – bevor Microsoft einen Patch liefern konnte.
Zum Fall: Windows CLFS Zero-Day: Nokoyawa Ransomware über Systemlücke →FacexWorm verbreitete sich über Facebook Messenger, stahl Kryptowährung und schürfte im Browser – alles getarnt als harmloser Video-Link.
Zum Fall: FacexWorm: Krypto-Diebstahl über Facebook Messenger →WannaMine nutzte denselben EternalBlue-Exploit wie WannaCry – aber statt Daten zu verschlüsseln, schürfte die fileless Malware heimlich Kryptowährung und bremste Rechner aus.
Zum Fall: WannaMine: Der unsichtbare Kryptominer, der PCs in die Knie zwang →Das Windows 11 24H2-Update verursachte SSD-Leistungseinbrüche, Bluetooth-Ausfälle, Spielabstürze und Bluescreens – auf Millionen von Rechnern.
Zum Fall: Windows 11 24H2: Wenn das Update selbst der Angreifer ist →Im Oktober 2021 trifft Ransomware die Stadt Witten. Wochen ohne Bürgerservice, keine Ausweise, keine Kfz-Zulassungen. Ein Neustart hätte gereicht.
Zum Fall: Stadt Witten: Ransomware legt komplette Verwaltung lahm – Bürger ohne Ausweise →Im November 2021 trifft Ransomware den Praxissoftware-Anbieter Medatixx. Ein Viertel aller deutschen Arztpraxen ist betroffen. Passwörter könnten kompromittiert sein.
Zum Fall: Medatixx-Hack: 25 % aller deutschen Arztpraxen müssen Passwörter ändern →Im August 2022 gehen alle 79 deutschen IHKs gleichzeitig vom Netz. E-Mail, Websites, Mitgliederdienste – alles down. Wochenlang.
Zum Fall: IHK-Cyberangriff: Alle 79 Industrie- und Handelskammern gleichzeitig offline →Im Oktober 2023 hacken Angreifer den kommunalen IT-Dienstleister Südwestfalen-IT. 72 Kommunen mit 1,6 Millionen Bürgern verlieren ihre digitale Verwaltung – monatelang.
Zum Fall: Südwestfalen-IT: Akira-Ransomware legt 72 Kommunen für Monate lahm →Im Januar 2024 macht ein Windows-Update Millionen PCs unbrauchbar. Fehler 0x80070643 führt zu Boot-Loops. Microsoft hat monatelang keine Lösung.
Zum Fall: Windows-Update KB5034441: BitLocker-Bug verursacht Boot-Loops auf Millionen PCs →Von 2014 bis 2022 stiehlt der Dridex-Trojaner über Word-Makros Bankzugangsdaten weltweit. Über 100 Millionen Dollar Schaden. Die Bande Evil Corp operiert ungestraft aus Russland.
Zum Fall: Dridex: Der Banking-Trojaner, der über 100 Millionen Dollar stahl →Ende 2024 entdecken Sicherheitsforscher den StaryDobry-Cryptominer in gecrackten Spielen auf Torrent-Seiten. Er nutzt den Windows Task Scheduler für Persistenz und schürft heimlich Monero.
Zum Fall: StaryDobry: Cryptominer versteckt sich in gecrackten Spielen und schürft Monero →Im Mai 2021 trifft DarkSide-Ransomware den deutschen Chemie-Distributor Brenntag. 150 GB Daten gestohlen. Das Unternehmen zahlt 4,4 Millionen Dollar Lösegeld in Bitcoin.
Zum Fall: Brenntag zahlt 4,4 Millionen Dollar an DarkSide-Ransomware →Im August 2024 macht ein Windows-Update PCs mit BitLocker und SSDs unbrauchbar. Ohne den 48-stelligen Recovery-Key sind alle Daten verloren.
Zum Fall: Windows August 2024: Update KB5041585 löst BitLocker-Boot-Loops auf SSDs aus →Die Magniber-Ransomware tarnt sich als Windows-Update oder JavaScript-Datei und verschlüsselt gezielt die Daten von Privatnutzern – besonders in Asien und Europa.
Zum Fall: Magniber Ransomware: Als Windows-Update getarnt, trifft Privatnutzer →Lenovo lieferte 2014/2015 Laptops mit vorinstallierter Adware aus, die HTTPS-Verschlüsselung unterwanderte und Man-in-the-Middle-Angriffe ermöglichte.
Zum Fall: Superfish auf Lenovo-Laptops: Vorinstallierte Adware brach HTTPS-Verschlüsselung →NotPetya tarnt sich als Ransomware, ist aber eine Cyberwaffe. Die Reederei Maersk muss 45.000 PCs und 4.000 Server neu aufsetzen. Ein Neustart hätte gereicht.
Zum Fall: NotPetya zerstört Daten unwiederbringlich – Maersk verliert 300 Millionen Dollar →Nordkoreanische Hacker kompromittierten die Desktop-App des VoIP-Anbieters 3CX und verteilten einen Info-Stealer an 600.000 Unternehmen – über ein ganz normales Software-Update.
Zum Fall: 3CX Supply Chain: Wenn Deine Telefonanlage zum Trojaner wird →Emotet kapert echte E-Mail-Verläufe und antwortet Deinen Kollegen in Deinem Namen. Was als harmlose Antwort-Mail beginnt, endet mit Ransomware.
Zum Fall: Emotet – das BKA nennt ihn die 'gefährlichste Malware der Welt →Ryuk wird gezielt gegen Krankenhäuser und Stadtverwaltungen eingesetzt. Die Angreifer wissen genau, was sie tun – und was ihre Opfer zu zahlen bereit sind.
Zum Fall: Ryuk erpresst Krankenhäuser und Kommunen – Lösegelder in Millionenhöhe →Ein Landkreis in Sachsen-Anhalt ruft den Katastrophenfall aus – nicht wegen Hochwasser, sondern wegen Ransomware. Die Verwaltung fällt monatelang aus.
Zum Fall: Landkreis Anhalt-Bitterfeld: Deutschlands erster Cyber-Katastrophenfall →DarkSide-Ransomware stoppt die Treibstoffversorgung der US-Ostküste. Tankstellen laufen leer, der Notstand wird ausgerufen. Bezahlt werden 4,4 Millionen Dollar.
Zum Fall: Colonial Pipeline: Ransomware legt die größte US-Benzinleitung lahm →Eine Patientin stirbt, weil das Krankenhaus sie wegen eines Ransomware-Angriffs nicht aufnehmen kann. DoppelPaymer dringt über eine Citrix-Schwachstelle ein.
Zum Fall: Uniklinik Düsseldorf: Ransomware kostet Menschenleben →Eine gefälschte Rechnung per E-Mail, ein Klick auf das Word-Makro – und alle Deine Dateien heißen plötzlich .locky. 2016 trifft es tausende deutsche Unternehmen.
Zum Fall: Locky: Die Ransomware-Welle, die Deutschland überrollte →TrickBot überlebt mehrere Abschaltversuche von Microsoft und dem US-Militär. Als Türöffner für Ryuk und Conti richtet er Milliardenschäden an.
Zum Fall: TrickBot: Vom Banking-Trojaner zur Malware-Verteilplattform →Das irische Gesundheitssystem HSE braucht Monate für die Wiederherstellung. 80.000 Mitarbeiter sind betroffen. Die Kosten übersteigen 100 Millionen Euro.
Zum Fall: Conti legt Irlands Gesundheitssystem lahm – 20 Millionen Dollar Lösegeld →Hacker kompromittierten ein Software-Update von SolarWinds und schleusten eine Backdoor in 18.000 Organisationen ein – darunter das US-Finanzministerium und das Pentagon.
Zum Fall: SolarWinds Sunburst: Der verheerendste Supply-Chain-Angriff der Geschichte →Die Ransomware-Gruppe REvil nutzte eine Schwachstelle in der Fernwartungssoftware Kaseya VSA und verschlüsselte an einem Wochenende 1.500 Unternehmen weltweit – Lösegeldforderung: 70 Millionen US-Dollar.
Zum Fall: Kaseya VSA: Wie REvil über einen IT-Dienstleister 1.500 Unternehmen verschlüsselte →Hacker schleusten eine Backdoor in CCleaner ein – das meistgenutzte PC-Reinigungstool der Welt. 2,27 Millionen Nutzer luden die infizierte Version herunter. Das eigentliche Ziel: Tech-Giganten wie Google, Microsoft und Samsung.
Zum Fall: CCleaner: Das beliebte Aufräum-Tool, das 2,27 Millionen Rechner infizierte →Die BlackCat/ALPHV-Ransomware-Gruppe legte den US-Gesundheitsdienstleister Change Healthcare wochenlang lahm – 22 Millionen Dollar Lösegeld wurden gezahlt.
Zum Fall: BlackCat vs. Change Healthcare: 22 Millionen Dollar Lösegeld und 100 Millionen Patientendaten →Eine kritische Schwachstelle im Windows-Druckdienst ermöglichte es Angreifern, aus der Ferne beliebigen Code mit SYSTEM-Rechten auszuführen – auf jedem Windows-Rechner weltweit.
Zum Fall: PrintNightmare: Wie ein Druckertreiber alle Windows-Rechner angreifbar machte →Eine triviale Sicherheitslücke in der Java-Bibliothek Log4j ermöglichte es Angreifern, mit einer einzigen Textzeile beliebigen Code auf Millionen von Servern und Arbeitsplätzen auszuführen.
Zum Fall: Log4Shell: Die Schwachstelle, die das halbe Internet bedrohte →Eine Zero-Day-Schwachstelle in Microsoft Office ermöglichte es Angreifern, über ein simples Word-Dokument beliebigen Code auszuführen – ganz ohne Makros und ohne einen einzigen Klick des Opfers.
Zum Fall: Follina: Der Office-Angriff, der keine Makros brauchte →QakBot begann 2007 als Banking-Trojaner und entwickelte sich zur größten Malware-Verteilplattform der Welt. Erst 2023 gelang dem FBI die Abschaltung – nach 16 Jahren und Millionen infizierter Windows-Rechner.
Zum Fall: QakBot: 16 Jahre lang unentdeckt – vom Banking-Trojaner zur Ransomware-Plattform →RedLine Stealer ist der produktivste Info-Stealer unserer Zeit – er stiehlt Passwörter, Krypto-Wallets und Session-Cookies und wird als Malware-as-a-Service für 150 Dollar im Monat vermietet.
Zum Fall: RedLine Stealer: Die meistverbreitete Passwort-Diebstahl-Malware der Welt →Die Ransomware-Gruppe LockBit legte den internationalen Versand der Royal Mail wochenlang lahm und forderte 80 Millionen US-Dollar Lösegeld. 11.500 Postfilialen konnten keine internationalen Pakete mehr versenden.
Zum Fall: LockBit vs. Royal Mail: Wie Ransomware den britischen Postdienst lahmlegte →Ein fehlerhaftes Sicherheitsupdate von CrowdStrike legte im Juli 2024 weltweit 8,5 Millionen Windows-Rechner lahm – Flughäfen, Banken und Krankenhäuser standen still.
Zum Fall: CrowdStrike Falcon Update: 8,5 Millionen Windows-PCs mit Bluescreen lahmgelegt →Das Windows 10 Oktober 2018 Update löschte bei Tausenden Nutzern den gesamten Dokumente-Ordner – Microsoft musste das Update zurückziehen.
Zum Fall: Windows 10 Oktober-Update 1809: Microsofts Update löschte persönliche Dateien →Ein Windows-Update vom März 2021 verursachte Bluescreens beim Drucken – weltweit konnten Unternehmen und Behörden nicht mehr drucken.
Zum Fall: Windows Drucker-Bluescreen: Update KB5000802 legte Drucker weltweit lahm →Die Clop-Ransomware-Gruppe nutzte eine Zero-Day-Lücke in MOVEit Transfer aus und stahl Daten von über 2.500 Organisationen – ohne eine einzige Datei zu verschlüsseln.
Zum Fall: Clop und MOVEit: Zero-Day-Angriff traf 2.500 Organisationen weltweit →2025 entdecken Sicherheitsforscher RaccoonO365 – ein Phishing-Kit, das Microsofts Multi-Faktor-Authentifizierung umgeht und gezielt deutsche Unternehmen angreift.
Zum Fall: RaccoonO365: Phishing-Plattform umgeht Microsoft-365-MFA und stiehlt Sitzungen →