it&t business - Neues Trendziel für Ransomware-Attacken: Hypervisoren im Visier

Cybersecurity-Branche steht vor wachsender Personallücke 15. 05. 2026

Der Fachkräftemangel in der Cybersecurity verschärft sich weiter. Laut aktueller ISC2-Studie kämpfen Unternehmen bereits heute mit Kompetenzdefiziten und fehlenden Spezialistinnen und Spezialisten. Der bevorstehende Ruhestand vieler erfahrener Fachkräfte könnte die Situation in den kommenden Jahren zusätzlich verschärfen.

SPAR erweitert Einsatz von Inventurrobotern in seinen Märkten 13. 05. 2026

Der autonome Inventurroboter „Tally“ sorgt bei SPAR für effizientere Prozesse, bessere Warenverfügbarkeit und mehr Zeit für Kund:innenservice. Nach erfolgreichen Tests in Österreich wird die intelligente Retail-Technologie nun schrittweise auf weitere Märkte ausgerollt – ein starkes Signal für die Zukunft des Handels.

HPE bringt Scale-up-Server mit bis zu 64 TB Arbeitsspeicher für SAP-Anwendungen 12. 05. 2026

Mit dem Compute Scale-up Server 3250 erweitert HPE sein Portfolio für SAP-HANA-Umgebungen und geschäftskritische Anwendungen. Das System unterstützt bis zu 64 Terabyte DDR5-Arbeitsspeicher, basiert auf Intel-Xeon-6-Prozessoren und wurde laut HPE als erster Scale-up-Server mit mindestens 48 TB RAM im SAP BW Edition HANA Benchmark validiert.

Wie BSH mit Echtzeit-Tracking mehr Transparenz in die globale Lieferkette bringt 12. 05. 2026

Globale Lieferketten effizient zu steuern, wird für Unternehmen immer komplexer. BSH setzt deshalb auf Echtzeit-Tracking, um Warenbewegungen weltweit transparenter, planbarer und resilienter zu machen. Der Beitrag zeigt, wie moderne Daten- und Trackinglösungen die Logistik optimieren und schnellere Entscheidungen ermöglichen.

Salesforce macht Slack zur zentralen Arbeitsoberfläche für CRM und KI 11. 05. 2026

Salesforce baut die Integration von Slack weiter aus und positioniert die Plattform künftig als zentrale Arbeitsoberfläche für CRM-Daten, KI-Funktionen und Zusammenarbeit. Ziel ist es, Tool-Wechsel zu reduzieren und Arbeitsprozesse stärker in Slack zu bündeln.

Neue IT-Infrastruktur für den Ernstfall: Wie das Rote Kreuz Steiermark seine kritischen Systeme zukunftssicher macht 11. 05. 2026

Das Rote Kreuz Steiermark setzt mit einer zentralisierten, hochverfügbaren IT-Infrastruktur auf maximale Ausfallsicherheit, Datenschutz und Einsatzbereitschaft. In der neuen Landeszentrale entstand ein vollredundanter Serverraum, der kritische Systeme stabilisiert, die IT entlastet und höchste Anforderungen an Cybersicherheit erfüllt.

BT International integriert STACKIT-Cloud in globale Netzwerkinfrastruktur 08. 05. 2026

BT International und STACKIT kooperieren beim Ausbau souveräner Cloud-Konnektivität in Europa. Unternehmen mit internationalen Standorten sollen dadurch regulatorisch konformen Zugriff auf europäische Cloud-Ressourcen erhalten – künftig auch über private Verbindungen außerhalb der EU.

Neues Innovation Center soll europäische Forschung, KI-Sicherheit und Kundenkooperation stärken 07. 05. 2026

Mit einem neuen Innovation Center in Paris baut Proofpoint seine Forschungs- und Entwicklungsaktivitäten in Europa aus. Der Cybersecurity-Anbieter will dort gemeinsam mit Kunden und Partnern Sicherheitslösungen für den Einsatz von KI-Agenten entwickeln. Die Investition ist Teil einer breiteren europäischen Expansionsstrategie, die auch zusätzliche Forschungsstandorte und die Integration von Hornetsecurity umfasst.

Ohne moderne Datengrundlage bleibt KI Stückwerk 07. 05. 2026

Manfred Traumüller, Geschäftsführer von HPE Österreich, und Dietmar Wiesinger, Vorstand bei CANCOM Österreich, sprechen im Business-Leader-Doppelinterview über den aktuellen Stand der KI-Readiness bei Daten, über Strategien zur Datenmodernisierung und darüber, wie sie ihre Kunden bei der Umsetzung mit den nötigen Technologien und Plattformen unterstützen.

KI verändert Arbeit grundlegend – Microsoft sieht neue Betriebsmodelle als Schlüssel zum Wettbewerbsvorteil 07. 05. 2026

Der neue Microsoft Work Trend Index 2026 zeigt einen tiefgreifenden Wandel in der Zusammenarbeit zwischen Mensch und KI. Laut der Studie mit 20.000 befragten KI-Nutzerinnen und -Nutzern entsteht der entscheidende Wettbewerbsvorteil künftig nicht mehr durch den Zugang zu KI-Technologien, sondern durch die Art, wie Unternehmen Arbeit rund um KI organisieren. Besonders organisatorische Faktoren wie Kultur, Führung und Anreizsysteme gewinnen dabei an Bedeutung.

Netzmodernisierung im Mobilfunk: A1 kündigt Abschaltung von 2G bis 2028 an 06. 05. 2026

A1 Telekom Austria plant die Abschaltung des 2G-Mobilfunkstandards im Mai 2028. Der Schritt ist Teil einer umfassenden Netzmodernisierung und soll Kapazitäten für neue Technologien schaffen. Gleichzeitig werden betroffene Kunden frühzeitig auf den Umstieg vorbereitet.

SAP plant Übernahme von Prior Labs für tabellarische KI 06. 05. 2026

SAP will Prior Labs übernehmen und mehr als eine Milliarde Euro in den Aufbau eines Frontier-KI-Labors investieren. Fokus sind sogenannte tabellarische Foundation Models für strukturierte Geschäftsdaten.

SAP plant Übernahme von Dremio für agentische KI 06. 05. 2026

SAP will Dremio übernehmen und damit seine Datenbasis für KI-Anwendungen erweitern. Ziel ist die Integration von SAP- und Nicht-SAP-Daten auf einer einheitlichen Plattform.

Warum viele Transformationen scheitern – und was erfolgreiche Unternehmen anders machen 05. 05. 2026

Hartmut Müller, Group VP Value-led Transformation bei ServiceNow, zeigt im Interview, warum digitale Transformation weit über Technologie hinausgeht. Entscheidend sind klare Prozesse, eine gelebte Innovationskultur und die Fähigkeit, neue Lösungen schnell in messbaren Geschäftswert zu überführen. Gleichzeitig wird deutlich, weshalb viele Initiativen genau an dieser Umsetzung scheitern.

Durchbruch bei Magnonen ebnet Weg für kompakte Quantencomputer 05. 05. 2026

Forschende der Universität Wien haben die Lebensdauer von Magnonen deutlich verlängert und damit eine zentrale Hürde in der Quantenforschung adressiert. Die Ergebnisse könnten langfristig neue Ansätze für skalierbare und kompakte Quantencomputer ermöglichen.

Deep Dive: Wie Forescout Vedere Labs Angriffe auf vernetzte Geräte frühzeitig erkennen 04. 05. 2026

Die Forescout Vedere Labs analysieren Cyberbedrohungen auf vernetzte Geräte – von klassischen IT-Systemen bis zu OT-Komponenten wie industriellen Steuerungen. Mit realitätsnahen Angriffsszenarien, globalen Datenquellen und KI-gestützter Analyse entsteht ein detailliertes Lagebild moderner Angriffe auf kritische Infrastrukturen. Ein Deep Dive in Forschung, Honeypots und Threat Intelligence aus erster Hand.

Salesforce stellt Agentforce Operations für durchgängige Prozessautomatisierung vor 04. 05. 2026

Der Softwareanbieter Salesforce präsentiert mit Agentforce Operations ein neues Modell zur Automatisierung von Backoffice-Prozessen, bei dem KI-Agenten Aufgaben eigenständig und vollständig ausführen sollen.

A1 führt connect B2B-Kundenbarometer 2026 an 30. 04. 2026

A1 erreicht im aktuellen B2B-Kundenbarometer Internet 2026 des Fachmagazins connect professional den ersten Platz in Österreich. Die Studie basiert auf einer breit angelegten Befragung von Geschäftskunden im DACH-Raum.

ENTERPRISE #SECURITY #INFRASTRUKTUR #SERVER #VIRTUALISIERUNG #RANSOMWARE

Gastbeitrag von Martin Zugec, Technical Solutions Director bei Bitdefender

Neues Trendziel für Ransomware-Attacken: Hypervisoren im Visier 02.10.2025

Eine der größten Aufgaben für Cybersicherheitsverantwortliche ist es, mit den stets neuen Angriffstaktiken schrittzuhalten. Zu diesen zählen aktuelle Ransomware-Attacken, die Endpunkte ignorieren und direkt auf die Infrastruktur auf Hypervisor-Ebene abzielen. Da die meisten modernen Infrastrukturen mittlerweile virtualisiert sind, kann ein Angreifer über diesen Vektor die gesamte IT des Unternehmens effektiv lahmlegen.

Foto: Bitdefender Martin Zugec, Technical Solutions Director bei Bitdefender Angriffe auf einen Hypervisor unterscheiden sich vom klassischen Ransomware-Angriff auf einen Endpunkt wesentlich im Umfang und durch ihr technisches Vorgehen. Eine traditionelle Ransomware-Kampagne kann viele Endpunkte ins Visier nehmen und fokussiert sich darauf, Daten zu verschlüsseln. So bleibt das Betriebssystem des Rechners funktionsfähig, aber die Informationen sind nicht mehr zugänglich. Im Gegensatz dazu ist ein Angriff auf einen Hypervisor ein Angriff auf die zentrale IT-Administration. Cyberkriminelle wollen die virtuellen Festplattendateien der darauf gehosteten virtuellen Maschinen verschlüsseln. Dadurch starten die virtuellen Maschinen nicht mehr, wodurch effektiv und auf einem Schlag ganze Applikationen, Server und Dienste lahmgelegt sind. Weg von der Datengeiselnahme auf einzelnen Maschinen hin zum vollständigen Lahmlegen der gesamten IT-Infrastruktur – das ist ein grundlegend neuer Ansatz.

Warum Hypervisoren zum attraktiven Ziel für Ransomware werden

Mehrere Ransomware-as-a-Service-Gruppen wie zum Beispiel Cactus, LockBit, RansomHouse oder Scattered Spider nehmen daher Hypervisoren ins Visier. Diese kritischen Komponenten anzugreifen, ist für viele der raffiniertesten Ransomware-Aktionen zu einer gängigen Strategie geworden, da sie für Cyberkriminelle eine Reihe von Vorteilen bietet:

Effiziente Angriffe durch OS-unabhängige Programmiersprachen: Durch das Schreiben eines einzigen Golang- oder Rust-basierten wirksamen Codes kann ein Angreifer ein Tool erstellen, das sowohl für Systeme mit Linux-basierten VMware ESXi als auch auf herkömmlichen Windows- oder Linux-Servern wirksam ist. Diese Effizienz ermöglicht es Cyberkriminellen, ihre Operationen zu skalieren und deren Reichweite mit minimalem zusätzlichen Aufwand auf verschiedene Umgebungen auszuweiten.
Diskreter Druck statt Aufmerksamkeit erregendes Chaos: Wenn Angreifer Hypervisoren ins Visier nehmen, können sie die Kerninfrastruktur verschlüsseln, während Endbenutzergeräte und Front-End-Geschäftsabläufe weitgehend unberührt bleiben. Diese Strategie reduziert vor allem den öffentlichen und medialen Druck auf das Opferunternehmen und macht es für Ransomware-Gruppen leichter, die Aufmerksamkeit von Strafverfolgungsbehörden zu vermeiden. Da weitreichende Ausfälle in IT und Geschäftsprozessen zunächst ausfallen, können Cyberkriminelle und Opfer diskreter und ohne Druck verhandeln. Die Betroffenen erhalten eine scheinbar wirksame Alternative zum öffentlichen Eingeständnis eines Angriffs und die Bereitschaft, Lösegelder zu zahlen, steigt.
Höhere Wiederherstellungsrate als vertrauensbildende Maßnahme: Auch Cyberkriminelle benötigen ein gewisses Grundvertrauen von Seiten ihrer Opfer in die Bereitschaft und Fähigkeit, die Verschlüsselung aufzuheben. Auch Kriminelle sind sich dessen bewusst. Bei Angriffen auf virtuelle Maschinen fällt es ihnen nun leichter, ihre Versprechen einzuhalten. Denn sie können verschlüsselte virtuelle Maschinen mit größerer Wahrscheinlichkeit erfolgreich wiederherstellen als Endpunkte. Der Grund: Bei einem Hypervisor-Angriff schaltet der Angreifer zunächst alle aktiven virtuellen Maschinen aus. Dieser Vorgang stellt sicher, dass alle Dateien geschlossen sind und kein Prozess sie aktiv verwendet. Das verhindert, dass geöffnete Dateien das Verschlüsselungstool blockieren. Das bedeutet zugleich, dass das bereitgestellte Entschlüsselungstool mit größerer Wahrscheinlichkeit einwandfrei funktioniert.
Lücken in der Kontrolle: IT-Management-Teams konzentrieren sich häufig eher auf betriebliche Effizienz und Stabilität als auf strenge Sicherheitskontrollen. Dies kann zu kritischen Sicherheitslücken führen, wie etwa dem Fehlen einer Multi-Faktor-Authentifikation (MFA) für den Zugriff auf die Schnittstellen zur Administration der Hypervisoren oder auf nicht gepatchte Schwachstellen, die in einer ausgereifteren Endpunktumgebung sofort erkannt würden.
Viele Hypervisoren unterstützen zudem EDR/XDR-Agenten direkt auf dem Host nicht offiziell. Stattdessen empfehlen die Anbieter oft den traditionellen und ineffektiven Ansatz, diese Sicherheitstools innerhalb jeder virtuellen Maschine auszuführen. Da diese VMs bei der Verschlüsselung heruntergefahren werden, werden ihre Sicherheitsstacks irrelevant.
Gezielter Druck auf die IT-Teams: Im Gegensatz zu einem großflächigen Angriff, der Tausende von Mitarbeitern und Abteilungen betreffen kann, konzentriert sich die ganze Aktivität der Erpresser bei einem Hypervisor-Angriff auf ein einziges isoliertes Team: die IT- und Systemadministratoren. Diese haben die Aufgabe, die unmittelbare Krise zu bewältigen, sich um die technischen Folgen zu kümmern und oft auch die Lösegelder auszuhandeln. Ein solches fokussiertes Vorgehen kann die betroffene Organisation williger machen, geforderte Beträge zu bezahlen. Die einzelnen Geschäftsbereiche und das C-Level verstärken diesen Druck, weil sie schnellstmöglich den Geschäftsbetrieb wiederherstellen wollen.

Wie man sich vor Ransomware-Attacken auf Hypervisor-Ebene schützt

Die grundlegendste Abwehrmaßnahme besteht darin, Hypervisoren und deren Administrationssoftware auf dem neuesten Stand zu halten. Unternehmen benötigen ein robustes Patch-Management-Programm, das Schwachstellen auf Hypervisor-Ebene priorisiert.

Eine Multi-Faktor-Authentifikation sollte für alle Nutzer mit Administrationsrechten Standard sein, insbesondere für die Konsolen zum Verwalten der Hypervisoren.

Das Prinzip der geringsten Privilegien sollte strikt gelten, um sicherzustellen, dass kein Benutzer oder Dienst mehr Rechte hat, als er für seine Aufgaben benötigt.

Security-Teams müssen außerdem das Host-Betriebssystem absichern, indem sie unnötige Dienste wie OpenSLP deaktivieren und den Zugriff aus dem Netz auf administrative Schnittstellen mit Firewall-Regeln einschränken oder dedizierte Netze zur Administration einrichten.

EDR- und XDR-Plattformen bieten die erforderlichen Detection- und Response-Funktionen, wirken jedoch nur in der Kombination mit menschlicher Expertise – entweder durch ein internes SOC oder einen externen MDR-Anbieter.

Die Wiederherstellungsstrategie ist zudem eine wichtige und oft letzte Reißleine, um die Blockade der IT im nie auszuschließenden Ernstfall aufzuheben. Empfohlener Standard für Ransomware-Resilienz ist die 3-2-1-1-0-Backup-Regel: Drei Kopien der Daten auf zwei Medientypen mit einer Kopie außerhalb des Standorts und einer Kopie, die unveränderlich (oder air-gapped) ist: Angreifer können sie nicht verschlüsseln oder löschen. Die 0 steht für Zero Recovery Surprises: Backups sind regelmäßig auf ihre Funktionsfähigkeit zu testen.

Unternehmen müssen außerdem über einen spezifischen, gut eingeübten Notfallplan für Hypervisor-Angriffe verfügen. Dieser Plan sollte klare Schritte zur Eindämmung des Angriffs enthalten, wie etwa das physische Abtrennen infizierter Hosts, um zu verhindern, dass Hacker die Malware weiter ausbreiten. Ebenso wichtig ist auch ein Kommunikationsplan für alle Beteiligten, von Mitarbeitern bis hin zu Stakeholdern.