Wer ist die Akira-Ransomware-Gruppe?

Akira ist eine seit 2023 aktive Ransomware-as-a-Service-Gruppe, die weltweit kleine und mittlere Unternehmen ins Visier nimmt. Sie arbeitet mit einem Modell der doppelten Erpressung: Daten werden verschlüsselt, und es wird gedroht, sie auf einer Leak-Site im Darknet zu veröffentlichen, falls kein Lösegeld gezahlt wird. Ziele sind überwiegend KMU mit unvollständigem Perimeterschutz und unregelmäßigem Patch-Management.

Wie dringt Akira in Unternehmensnetze ein?

Bei den meisten italienischen Vorfällen 2026 ist der initiale Vektor das Ausnutzen bekannter (n-day) Schwachstellen auf veralteten Perimeter-Firewalls und SSL-VPN-Gateways, mit Vorliebe für bestimmte SonicWall-Modelle. Einmal im Netz, bewegen sich die Angreifer lateral, eskalieren Privilegien und verteilen die Verschlüsselungs-Payload auf kritische Server.

Ist mein KMU ein potenzielles Ziel?

Ja, wenn mindestens eine dieser Bedingungen zutrifft: eine Perimeter-Firewall mit veralteter Firmware, eine aus dem Internet erreichbare SSL-VPN ohne MFA, fehlende Segmentierung zwischen Benutzer- und Servernetz, keine EDR- oder XDR-Lösung, Online-Backups, die mit denselben Domain-Administratorkonten erreichbar sind. Akira wählt seine Ziele nicht nach Größe, sondern nach Leichtigkeit des Zugriffs.

Was tun bei einem laufenden Ransomware-Angriff?

Kompromittierte Systeme sofort vom Netz trennen (physisch, nicht ausschalten). CSIRT-Ansprechpartner aktivieren und die Vorabmeldung innerhalb von 24 Stunden an das CSIRT Italia übermitteln, wie von NIS2 gefordert. Kein Lösegeld ohne forensische Bewertung zahlen. Logs, Arbeitsspeicher und Datenträger für die Analyse sichern. Wiederherstellung aus Offline-Backups einleiten. Bei Betroffenheit personenbezogener Daten innerhalb von 72 Stunden die italienische Datenschutzbehörde informieren.

Wie verhindert man einen Angriff wie Akira?

Systematisches Patch-Management auf Firewalls, VPN-Gateways und Servern, Netzwerksegmentierung, zwingende Multi-Faktor-Authentifizierung auf VPNs und administrativen Zugängen, EDR oder XDR auf allen Endpunkten, 3-2-1-Backup mit mindestens einer Offline- oder unveränderbaren Kopie, ein Incident-Response-Plan, der mindestens einmal im Jahr getestet wird, und kontinuierliche Überwachung durch ein SOC oder ausgelagertes CSIRT.

Akira-Ransomware trifft italienische KMU: veraltete Firewalls und VPNs öffnen die Tür

Alle News

15. April 2026·RansomwareAkiraCSIRTNIS2KMU

Bestätigte Vorfälle13 in Italien

HauptvektorFirewall / SSL-VPN

NIS2-MeldungInnerhalb von 24 Std.

Was in Italien geschieht

Das CSIRT Italia bei der ACN (Agenzia per la Cybersicurezza Nazionale, die italienische nationale Cybersicherheitsbehörde) hat in den vergangenen Tagen eine Mitteilung zu den Ransomware-Kampagnen veröffentlicht, die der Gruppe Akira zugeschrieben werden. Seit Anfang 2026 wurden auf italienischem Staatsgebiet mindestens dreizehn Vorfälle bestätigt, alle zulasten kleiner und mittlerer Unternehmen aus unterschiedlichen Branchen: Fertigung, Dienstleistungen, Logistik, Handel. Es handelt sich nicht um ein isoliertes Phänomen, sondern um eine systematische Kampagne, die bereits bekannte Schwachstellen auf Perimetergeräten ausnutzt.

Die Mitteilung bestätigt einen Trend, der bereits im Clusit-Bericht 2026 hervorgehoben wurde: Italien gehört zu den am stärksten betroffenen Ländern Europas, und KMU sind die häufigsten Opfer — nicht wegen des Werts eines einzelnen Lösegelds, sondern wegen der Leichtigkeit des Zugriffs.

Wie der Angriff funktioniert

Der in den italienischen Fällen beobachtete Angriffszyklus folgt einem wiederkehrenden Muster in vier klar unterscheidbaren Phasen:

1Initialer Zugriff— Ausnutzung bekannter (n-day) Schwachstellen auf Perimeter-Firewalls und SSL-VPN-Gateways, die aus dem Internet erreichbar sind. In den italienischen Fällen 2026 hat das CSIRT eine Vorliebe für einige SonicWall-Modelle mit veralteter Firmware beobachtet, die Technik lässt sich jedoch auf jedes Perimetergerät mit ungepatchten öffentlichen CVEs anwenden.
2Aufklärung und Lateral Movement— einmal im Netz, bilden die Angreifer Active Directory ab, sammeln zwischengespeicherte Anmeldedaten von Workstations, kompromittieren Dienstkonten und bewegen sich auf die kritischen Systeme zu — mit legitimen Werkzeugen (PowerShell, PsExec, RDP), um klassische Antivirenlösungen zu umgehen.
3Datenexfiltration— vor der Verschlüsselung kopiert Akira die sensibelsten Daten aus dem Unternehmensperimeter: Projekte, Finanzen, HR-Daten, Kundenarchive. Die Exfiltration speist die doppelte Erpressung: Lösegeld für den Entschlüsselungsschlüssel und zusätzliches Lösegeld, damit die Daten nicht auf der Leak-Site der Gruppe veröffentlicht werden.
4Verschlüsselung— Verteilung der Akira-Payload auf Dateiserver, Datenbanken, Virtualisierungshosts und, wo möglich, auf Online-Backups, die mit denselben administrativen Anmeldedaten erreichbar sind. Zu diesem Zeitpunkt steht die Produktion still.

Warum KMU das ideale Ziel sind

Genau die Bedingungen, die es einem KMU erschweren, Sicherheit zu betreiben, machen es zu einem leichten Ziel. Akira nimmt keine strategischen Unternehmen ins Visier, sondern Unternehmen mit fragilem Perimeter. Die wiederkehrenden Faktoren bei den italienischen Opfern sind immer dieselben:

Unregelmäßiges Patch-Management— Perimeter-Firewalls werden selten aktualisiert, oft nur, wenn etwas nicht mehr funktioniert. Kritische CVEs bleiben monatelang offen.
SSL-VPN ohne MFA— Fernzugriff basiert noch immer nur auf Benutzername und Passwort. Ein gestohlener Zugangsdatensatz oder eine Pre-Auth-Schwachstelle reichen für den Eintritt ins Netz.
Keine Netzwerksegmentierung— einmal drinnen, erreicht der Angreifer Server, ERP-Systeme und Domain Controller aus demselben Subnetz wie die Benutzer, ohne Hindernisse.
Online-Backups mit denselben Domain-Zugangsdaten— ein Backup existiert, wird aber zusammen mit dem Rest verschlüsselt. Ohne eine Offline- oder unveränderbare Kopie gibt es keine Wiederherstellung.
Klassischer Virenschutz statt EDR— die von Akira verwendeten Werkzeuge sind legitime Windows-Binärdateien. Ein klassischer Virenschutz hat nicht den Kontext, um Lateral Movement in Echtzeit zu erkennen.

Was ein KMU heute tun sollte

Es gibt keinen einzelnen Schutz, der Akira stoppt: Es braucht eine Kombination aus Maßnahmen — jede einzelne für sich schwach, zusammen jedoch wirksam. Die Prioritäten, nach Wirkung geordnet, sind folgende:

1Firewalls und VPN-Gateways sofort aktualisieren— offene CVEs auf den Perimetergeräten prüfen und die Patches innerhalb weniger Tage nach Veröffentlichung einspielen. Wenn noch kein Prozess existiert, mit einem Vulnerability Assessment beginnen.
2Verpflichtende MFA auf VPN und Admin-Zugängen— den reinen Passwort-Zugriff auf SSL-VPN, RDP und Administrationskonsolen vollständig entfernen. Multi-Faktor-Authentifizierung in die Netzwerksicherheit integrieren.
3EDR oder XDR auf jedem Endpunkt — den klassischen Virenschutz durch eine EDR- oder XDR-Lösung ersetzen, die anomale Verhaltensweisen (Lateral Movement, verdächtige PowerShell-Nutzung, Rechteerhöhung) erkennt und nicht nur bekannte Signaturen.
4Offline- oder unveränderbares Backup— mindestens eine Kopie der kritischen Daten muss für Domain-Anmeldedaten unerreichbar sein. Unveränderbarer Speicher, Offline-Bänder oder ein verwaltetes Backup und Disaster Recovery mit dediziertem Repository. Die Wiederherstellung muss mindestens einmal im Jahr getestet werden.
5Kontinuierliche Überwachung und CSIRT-Ansprechpartner— der Unterschied zwischen einem eingedämmten Vorfall und einer Katastrophe ist die Reaktionsgeschwindigkeit. Ein ausgelagertes CSIRT sichert die Überwachung, die Abwicklung der NIS2-Meldungen und die Abstimmung mit der ACN im Vorfall.

Die NIS2-Meldepflicht

Für Organisationen im Geltungsbereich ist ein bestätigter Ransomware-Angriff ein erheblicher Vorfall im Sinne der NIS2-Richtlinie. Die Vorabmeldung an das CSIRT Italia muss innerhalb von 24 Stunden nach Entdeckung erfolgen, die formelle Meldung mit technischen Details innerhalb von 72 Stunden, der Abschlussbericht innerhalb eines Monats. Bei Nichteinhaltung drohen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Während eines laufenden Vorfalls bleibt keine Zeit zum Improvisieren: Der Prozess muss vorher aufgebaut werden.

Ein zertifizierter lokaler Partner

AtWorkStudio ist seit 2000 in Piacenza tätig. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert und besitzen die ACN-Qualifizierung für Cloud-Dienste. Wir sind Mitglied von Clusit (Italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster. Wir planen und betreiben die Verteidigung italienischer KMU Ende zu Ende: Patch-Management, Netzwerksegmentierung, EDR, unveränderbare Backups, kontinuierliche Überwachung und CSIRT-Outsourcing.

Quellen

CSIRT Italia – ACN — Mitteilung zur systematischen Ausnutzung von Perimeter-Schwachstellen und VPN-Zugriffen, zugeschrieben der Akira-Gruppe (April 2026)
Clusit — Clusit-Bericht 2026 zur IKT-Sicherheit in Italien
ENISA — Threat Landscape 2025, Abschnitt Ransomware und doppelte Erpressung
CISA — #StopRansomware-Advisory «Akira Ransomware», aktualisiert 2025

Mehr erfahren

Cybersecurity-Leistungen CSIRT-Outsourcing EDR und XDR Firewall und Netzwerksicherheit Backup und Disaster Recovery NIS2-Richtlinie

Häufig gestellte Fragen

Antworten auf die häufigsten Fragen zur Akira-Ransomware und zur Verteidigung italienischer KMU.

Möchten Sie prüfen, ob Ihr KMU Akira ausgesetzt ist?

Starten Sie mit einem kostenlosen Sicherheits-Assessment basierend auf NIST CSF 2.0 oder kontaktieren Sie uns für eine Analyse Ihrer Perimeter-Firewalls, VPN-Gateways und Backup-Strategie. Wir sagen Ihnen transparent, wo Sie zuerst eingreifen sollten.

Kostenloses NIST-Assessment Kontakt

Akira-Ransomware:13 italienische KMU in wenigen Monaten getroffen.