Vor zwei Jahren habe ich für meine Redaktion ein NAS aufgesetzt, das angeblich „narrensicher“ war. Automatisches Backup, Cloud-Sync, alles blinkte grün. Als ich es dann wirklich brauchte, weil eine Testumgebung sich selbst zerschossen hatte, stellte sich heraus: Die Schattenkopien lagen genau dort, wo auch der Rest lag. Ein einziger Ordner, ein einziger Angriffspunkt. Genau dieses Prinzip – Backup und Produktivsystem im selben Korb – ist inzwischen keine private Bastelprojekt-Peinlichkeit mehr, sondern ein handfestes Sicherheitsrisiko für ganze Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik warnt aktuell vor einer neuen Ransomware-Gruppe namens „The Gentlemen“, die genau solche Schwachstellen gezielt ausnutzt. Und im Ernst: Der Name klingt nach Gentleman’s Club, das Verhalten aber eher nach digitalem Einbruchskommando mit Vorschlaghammer.
Wer oder was ist „The Gentlemen“?
Die Gruppe ist noch jung, aber sie hat sich mit erstaunlichem Tempo an die Spitze der globalen Bedrohungslandschaft gearbeitet. Erste Aktivitäten wurden Mitte 2025 beobachtet, seit September 2025 betreibt die Gruppe ein offenes Ransomware-as-a-Service-Modell. Microsoft Threat Intelligence verfolgt die Gruppe intern unter dem Namen Storm-2697 und hat in einer technischen Analyse vom 28. Mai 2026 nachgezeichnet, wie rasant sich das Ökosystem um „The Gentlemen“ entwickelt hat.
Ransomware-as-a-Service bedeutet vereinfacht: Ein Kernteam baut die Schadsoftware und die Infrastruktur, sogenannte Affiliates mieten sich ein und führen die eigentlichen Angriffe durch. Das ist kein neues Prinzip, aber „The Gentlemen“ betreibt es mit einer Professionalität, die selbst erfahrene Sicherheitsforscher aufhorchen lässt. Die Gruppe ist damit ein Paradebeispiel dafür, wie sich Cybersicherheit als Wettrüsten entwickelt: Kaum hat die Verteidigung aufgeholt, liefert die kriminelle Seite ein neues Werkzeug nach.
Die Zahlen: Vom Nischenakteur zur Nummer zwei
Spoiler: Die Wachstumskurve ist beängstigend steil. Laut der Microsoft-Analyse vom Mai 2026 wurden im April 2026 allein 73 dokumentierte Opfer der Gruppe registriert, das entspricht rund zehn Prozent aller weltweit gemeldeten Ransomware-Angriffe in diesem Monat. Seit ihrem ersten Auftreten zählt Microsoft insgesamt 231 registrierte Opfer weltweit. Damit ist „The Gentlemen“ mittlerweile die zweitaktivste Ransomware-Gruppe überhaupt, nur noch Qilin liegt davor.
Andere Auswertungen kommen zu noch höheren Zahlen: Die Plattform Ransomware.live, die unter anderem geleakte Command-and-Control-Daten auswertet, dokumentiert für den Zeitraum Juli bis August 2025 bereits mehr als 320 identifizierte Opfer in über 17 Ländern. Auf einem kompromittierten Steuerungsserver der Gruppe fanden sich sogar Hinweise auf mehr als 1.570 verknüpfte Opferdatensätze. Wichtig für die Einordnung: Solche Zahlen sind Mindestwerte, kein exaktes Register. Viele betroffene Organisationen melden Vorfälle nicht öffentlich, aus Angst vor Reputationsschäden oder aus regulatorischen Gründen. Das Dunkelfeld dürfte also größer sein, als jede Statistik zeigt.
Gerade für den Mittelstand zeigt sich hier ein klares Muster: Angreifer suchen sich systematisch Organisationen aus, deren IT-Abteilungen personell dünn besetzt sind und bei denen Schutzmaßnahmen oft nicht sofort umgesetzt werden können. Das macht kleinere und mittlere Unternehmen nicht weniger wichtig, aber deutlich verwundbarer als Konzerne mit dedizierten Security-Operations-Centern.
Die Technik hinter dem höflichen Namen
Nerd-Alarm: Jetzt wird es technisch, aber im positiven Sinn interessant. Der zentrale Verschlüsselungstrojaner der Gruppe ist in der Programmiersprache Go geschrieben und wird mit dem Verschleierungswerkzeug Garble bearbeitet, um Analyse und Erkennung durch klassische Antivirus-Signaturen zu erschweren. Für die eigentliche Verschlüsselung nutzt die Schadsoftware pro Datei einzeln erzeugte Curve25519-Schlüssel in Kombination mit dem Stream-Cipher XChaCha20. Ohne den passenden privaten Schlüssel ist eine Entschlüsselung nach aktuellem Stand praktisch ausgeschlossen, ein nachträgliches Knacken über Brute-Force ist unrealistisch.
Besonders unangenehm ist die Selbstverbreitung. Sicherheitsforscher haben laut aktuellen Berichten rund 21 unterschiedliche Methoden identifiziert, mit denen sich die Schadsoftware innerhalb eines Netzwerks lateral ausbreitet, unter anderem durch Missbrauch von Windows-Systemrechten und regulären Admin-Werkzeugen wie PsExec oder WMI. Das bedeutet: Ein einziger kompromittierter Rechner kann innerhalb von Stunden ein komplettes Firmennetz mitreißen, inklusive Active Directory. Zusätzlich setzt die Gruppe spezialisierte Werkzeuge ein, die gezielt Endpoint-Detection-and-Response-Lösungen deaktivieren, bevor die eigentliche Verschlüsselung startet. Sicherheitsforscher von ESET beschreiben diese EDR-Killer-Funktion als strategischen Schritt, um moderne Schutzsoftware gezielt außer Kraft zu setzen.
Zielsysteme sind dabei nicht nur klassische Windows-Server: Auch Linux-Umgebungen, NAS-Speicher und BSD-Systeme geraten ins Visier, für ausgewählte größere Unternehmensziele existiert zusätzlich eine in C geschriebene Variante. Wer also dachte, ein NAS im Keller sei vom großen Ransomware-Zirkus verschont, weil es „nur“ Backup-Speicher ist – genau dieses NAS steht inzwischen ganz oben auf der Einkaufsliste der Angreifer.
Das Geschäftsmodell: 90 Prozent für die Handwerker des Verbrechens
Was „The Gentlemen“ von vielen älteren Gruppen unterscheidet, ist die aggressive Ökonomie im Hintergrund. Laut Threat-Intelligence-Auswertungen bietet die Gruppe ihren Affiliates eine außergewöhnlich hohe Umsatzbeteiligung von rund 90 Prozent des erzielten Lösegelds, der Kernbetreiber behält nur zehn Prozent. Diese Aufteilung ist im Vergleich zu vielen etablierten RaaS-Plattformen ungewöhnlich großzügig und wirkt wie ein Rekrutierungsmagnet, unter anderem über einschlägige Untergrundforen. Wer als Krimineller einsteigen will, bekommt hier ein besonders attraktives Franchise-Modell geboten, technisch ausgereift und finanziell verlockend.
Ergänzt wird das Ganze durch den Einkauf bereits vorhandener Netzwerkzugänge über sogenannte Initial Access Broker. Diese verkaufen Zugangsdaten und offene Schwachstellen an Ransomware-Banden weiter, was die Zeit zwischen erstem Einbruch und vollständiger Verschlüsselung deutlich verkürzt. Das Vorgehen folgt dabei dem klassischen Double-Extortion-Prinzip: Zuerst werden Daten abgezogen, dann verschlüsselt. Wer nicht zahlt, dem droht die Veröffentlichung sensibler Firmen- oder Patientendaten, ein doppelter Druckhebel, der viele Organisationen in eine Zwickmühle bringt.
Ein durchdachter Ransomware-Schutz für Unternehmen muss daher weit über reine Virenscanner hinausgehen und vor allem die Zugangswege absichern, über die Initial Access Broker ihre Ware an die RaaS-Betreiber weiterverkaufen.

Wer wirklich im Fadenkreuz steht
Die Angriffe von „The Gentlemen“ verteilen sich über Bildungseinrichtungen, Transport, Gesundheitswesen, Finanzdienstleister, Fertigung, Bauwirtschaft und Logistik, geografisch über Nord- und Südamerika, Europa, Afrika und Asien. Das ist auffällig breit gestreut, was gegen die Annahme spricht, hier handle es sich um eine Nischengruppe mit klarem Branchenfokus. Ein dokumentierter Vorfall im Juni 2026 beim australischen Zuckerproduzenten Mackay Sugar zeigt, wie ein IT-Angriff auch reale, physische Betriebsunterbrechungen auslösen kann, wenn Produktionssteuerung und Büronetz zu eng verzahnt sind.
Für Deutschland ist besonders relevant: Das BSI stuft Ransomware bereits grundsätzlich als größte cyberkriminelle Bedrohung für Staat, Wirtschaft und Gesellschaft ein. Mittelständische Unternehmen und öffentliche Einrichtungen gelten dabei traditionell als besonders verwundbar, weil ihnen häufig spezialisierte IT-Sicherheitsteams fehlen und Budgets für moderne Detection-Lösungen knapp sind. Genau diese Zielgruppe rückt nun verstärkt in den Fokus von „The Gentlemen“ und vergleichbaren Gruppen. Persönlich finde ich diese Entwicklung besonders bitter, weil kleinere Kommunen oder Handwerksbetriebe oft schlicht nicht die Ressourcen haben, um mit einer derart durchgetakteten kriminellen Industrie mitzuhalten.
Im Gesundheitswesen zeigt sich die Verwundbarkeit besonders drastisch. Als unlängst ein deutscher Klinikverbund durch einen Ransomware-Angriff lahmgelegt wurde, mussten Operationen verschoben und Notaufnahmen auf umliegende Häuser umgeleitet werden – ein Szenario, das über reine IT-Ausfälle weit hinausgeht und unmittelbar Menschen betrifft.
Cyber-Versicherungen: Was Policen noch decken – und was nicht
Ein Aspekt, der in der technischen Diskussion oft zu kurz kommt, ist die versicherungsrechtliche Dimension. Immer mehr Unternehmen verlassen sich auf Cyber-Versicherungspolicen als finanzielle Auffanglinie – doch die Bedingungen werden zunehmend strenger. Viele Versicherer verlangen inzwischen nachweisbare Mindeststandards wie funktionierende Offline-Backups, dokumentierte Incident-Response-Pläne und regelmäßige Penetrationstests, bevor sie im Schadensfall überhaupt leisten. Wer diese Voraussetzungen nicht erfüllt, riskiert im Ernstfall eine Kürzung oder sogar Verweigerung der Versicherungsleistung.
Zusätzlich problematisch: Manche Policen schließen Lösegeldzahlungen explizit aus oder decken nur die Wiederherstellungskosten, nicht aber entgangene Gewinne während wochenlanger Ausfallzeiten. Gerade bei produktionsnahen Betrieben können diese indirekten Kosten die direkten Schäden um ein Vielfaches übersteigen. Unternehmen sollten ihre Cyber-Police daher nicht als Rundum-Sorglos-Paket missverstehen, sondern als Ergänzung zu einer funktionierenden technischen und organisatorischen Verteidigung. Die Police ersetzt kein Sicherheitskonzept – sie setzt eines voraus.
Regulatorische Folgen: Meldepflichten und das BSI-Gesetz 2.0
Neben den operativen und finanziellen Risiken gewinnt die regulatorische Dimension zunehmend an Gewicht. Mit der Novellierung des BSI-Gesetzes und der Umsetzung der NIS-2-Richtlinie auf europäischer Ebene verschärfen sich die Meldepflichten bei Cybersicherheitsvorfällen erheblich. Organisationen, die als „wesentliche“ oder „wichtige“ Einrichtungen eingestuft werden – ein Kreis, der deutlich über die klassischen KRITIS-Betreiber hinausgeht – müssen erhebliche Sicherheitsvorfälle innerhalb enger Fristen an die nationalen Behörden melden.
Das hat praktische Konsequenzen: Ein Ransomware-Vorfall ist nicht mehr nur ein internes IT-Problem, sondern kann zu behördlichen Ermittlungen, Bußgeldverfahren und im Fall von Personaldaten zu zusätzlichen Meldungen an die Datenschutzaufsicht führen. Wer keinen dokumentierten Vorfallsprozess hat, gerät in dieser Gemengelage schnell in eine defensive Position. Compliance ist hier nicht mehr nur Formsache, sondern wird zum integralen Bestandteil der Incident-Response-Strategie. Unternehmen, die diese Pflichten ignorieren, riskieren neben dem operativen Schaden auch erhebliche rechtliche Konsequenzen.
Was das für Backup-Strategien und Incident Response bedeutet
Die klassische Devise „Wir machen doch Backups“ reicht gegen eine Gruppe wie „The Gentlemen“ nicht mehr aus. Die Schadsoftware sucht gezielt nach Netzwerkspeichern und Schattenkopien und verschlüsselt diese mit, bevor irgendjemand überhaupt Alarm schlagen kann. Sicherheitsexperten empfehlen deshalb konsequent offline gehaltene oder unveränderliche, sogenannte immutable Backups, die technisch so konfiguriert sind, dass selbst ein Administratorkonto sie nicht nachträglich löschen oder überschreiben kann. Das klingt nach Overkill, ist aber inzwischen eher Mindeststandard als Luxus.
Ebenso wichtig: phishing-resistente Mehrfaktor-Authentifizierung für alle externen Zugänge, insbesondere VPN und Remote-Desktop-Verbindungen. Einfaktor-Login über klassische Passwörter allein ist bei der aktuellen Bedrohungslage schlicht ein offenes Scheunentor. Netzwerksegmentierung hilft zusätzlich, die berüchtigte laterale Bewegung zu bremsen: Wenn ein Buchhaltungsrechner kompromittiert wird, sollte er nicht automatisch Zugriff auf die Produktionssteuerung oder den Backup-Server haben. Least-Privilege-Prinzipien, also so wenig Rechte wie möglich pro Konto, gehören ebenfalls in jedes moderne Sicherheitskonzept.
Für die Incident-Response-Seite bedeutet die neue Bedrohungslage vor allem: Geschwindigkeit zählt. Wer erst nach Stunden merkt, dass Scheduled Tasks mit ungewöhnlichen Namen im System auftauchen oder dass plötzlich keine EDR-Logs mehr eingehen, hat oft schon verloren. Kontinuierliches Monitoring von Anmeldeaktivitäten, ungewöhnlichen Prozessstarts und Netzwerkverbindungen ist kein Nice-to-have mehr, sondern Grundvoraussetzung. Behörden wie das BSI, aber auch Anbieter wie Microsoft und Kaspersky, raten grundsätzlich davon ab, Lösegeld zu zahlen, weil dies kriminelle Strukturen finanziert und keine Garantie für die tatsächliche Wiederherstellung der Daten bietet.
Praktische Schritte für Unternehmen und öffentliche Stellen
Im Ernst: Man muss hier nicht bei null anfangen, um sich spürbar besser aufzustellen. Ein paar konkrete Schritte machen bereits einen großen Unterschied gegenüber der aktuellen Bedrohungslage:
- Offline- oder immutable Backups etablieren, getrennt vom Produktivnetz, regelmäßig auf Wiederherstellbarkeit testen.
- Phishing-resistente Mehrfaktor-Authentifizierung für alle externen Zugänge einführen, insbesondere VPN und Fernwartung.
- Netzwerksegmentierung umsetzen, damit ein kompromittiertes System nicht automatisch das gesamte Netz gefährdet.
- Admin-Werkzeuge wie PsExec oder WMI konsequent überwachen und ungewöhnliche Nutzung sofort untersuchen.
- Verhaltensbasierte, cloud-gestützte Sicherheitslösungen ergänzend zur klassischen Signaturerkennung einsetzen.
- Einen dokumentierten Incident-Response-Plan mit klaren Verantwortlichkeiten und Kontaktketten vorbereiten, statt ihn erst während eines Angriffs zu improvisieren.
Klingt nach viel Arbeit? Ist es auch. Aber verglichen mit einem wochenlangen Produktionsstillstand, wie ihn Betriebe nach schweren Ransomware-Vorfällen bereits erlebt haben, ist der Aufwand überschaubar. Wer die eigene Cybersicherheit als Dauerprojekt statt als einmaliges Häkchen betrachtet, ist gegenüber Gruppen wie „The Gentlemen“ deutlich besser gerüstet.
Einordnung: Zwischen echter Gefahr und Alarmismus
Nun könnte man einwenden, dass jede neue Ransomware-Gruppe medial als „die gefährlichste aller Zeiten“ verkauft wird, das gehört fast schon zum Format solcher Meldungen. Ist „The Gentlemen“ also wirklich ein Sonderfall, oder einfach der aktuelle Höhepunkt einer ohnehin schon angespannten Lage? Aus meiner Sicht trifft eher Zweiteres, mit einem wichtigen Unterschied: Die Kombination aus wurmartiger Selbstverbreitung, gezieltem EDR-Killer und einer besonders attraktiven Affiliate-Struktur verschiebt die Bedrohung tatsächlich qualitativ, nicht nur in der reinen Häufigkeit der Angriffe. Auch Kaspersky-Forscher bewerten die Gruppe in einer aktuellen Pressemitteilung als rasant wachsende RaaS-Operation mit auffällig maßgeschneiderten Werkzeugen zur Systemkontrolle.
Gleichzeitig sollte man Zahlen wie einen zeitweiligen Anstieg von Vorfällen bei kleinen und mittleren Unternehmen im Frühjahr 2026 mit Vorsicht lesen: Solche Auswertungen stammen häufig aus einzelnen Fachblogs, die verschiedene Quellen zusammenführen, und sind kein Ersatz für offizielle Lageberichte des BSI. Für eine belastbare Einschätzung der eigenen Cybersicherheit lohnt sich der direkte Blick in die offiziellen Analysen aktiver Crime-Gruppen des BSI, statt sich allein auf reißerische Schlagzeilen zu verlassen.
Ein vorsichtiges Praxis-Szenario: Was passiert, wenn es wirklich trifft?
Nehmen wir ein realistisches Beispiel: Ein mittelständischer Fertigungsbetrieb mit 200 Mitarbeitern, eigener Produktion und einem externen IT-Dienstleister, der aber nur während der Geschäftszeiten erreichbar ist. Ein Mitarbeiter öffnet am Freitagabend eine täuschend echt aussehende Rechnung per E-Mail. Die Go-basierte Payload von „The Gentlemen“ erkennt das lokale Netzwerk, deaktiviert den EDR-Agenten auf den ersten drei befallenen Rechnern und beginnt innerhalb von 40 Minuten mit der lateralen Ausbreitung über WMI-Befehle. Der NAS-Backup-Server im selben Netzsegment wird mitverschlüsselt.
Am Montagmorgen steht die Produktion. Der IT-Dienstleister wird informiert, braucht aber mehrere Stunden für die erste Diagnose. Die Geschäftsleitung muss entscheiden: Lösegeld verhandeln, externe Forensiker einschalten, Versicherung informieren, Datenschutzbehörde melden – alles parallel, alles unter Druck. Genau hier zeigt sich, ob der Vorfallplan tatsächlich geprobt wurde oder nur als PDF im Schrank liegt. Organisationen, die dieses Szenario einmal im Jahr als Tabletop-Übung durchgespielt haben, reagieren nachweislich schneller und machen weniger kostspielige Fehler in den kritischen ersten Stunden.
Was bleibt also von der höflich benannten, aber alles andere als zurückhaltenden Bedrohung? Eine Erkenntnis, die eigentlich nicht neu ist, aber gerade wieder schmerzhaft aktuell wird: Backup-Strategie und Incident-Response-Plan sind kein Bastelprojekt für ruhige Zeiten, sondern Pflichtprogramm, bevor der Ernstfall eintritt. Die Frage ist nicht mehr, ob eine Organisation ins Visier einer Gruppe wie „The Gentlemen“ gerät, sondern wie gut sie vorbereitet ist, wenn es passiert. Wie sieht es bei Ihnen eigentlich mit dem letzten Backup-Test aus?





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.