Wie moderne Ransomware hereinkommt – und wie Bromure die Tür schließt
Die meiste Ransomware beginnt nicht mit einem Zero-Day. Sie beginnt mit einem Browser-Tab. So funktioniert die Angriffskette 2026 wirklich – und so sieht sie aus, wenn sie auf einen Browser trifft, der gebaut wurde, um den Schlag einzustecken.
Der schnellste Weg, jede Datei zu verlieren, die Sie haben, ist nicht ein Hacker im Kapuzenpulli. Es ist ein Klick, in einem Tab, an einem ganz gewöhnlichen Nachmittag. Ransomware ist kein Rätsel. Sie ist eine Pipeline – und der größte Teil dieser Pipeline läuft durch den Browser.
Sie haben inzwischen vermutlich mehr als eine solcher Geschichten gelesen. Ein Krankenhaus, das keine Patientinnen und Patienten mehr aufnehmen kann. Eine kleine Anwaltskanzlei, die auf keine einzige Mandantenakte mehr zugreifen kann. Eine Stadtverwaltung, die drei Wochen lang auf Zettel und Stift umsteigt. Ein Rentnerpaar, dessen Fotos, Steuerunterlagen und jedes eingescannte Dokument der letzten zwanzig Jahre plötzlich weg sind – ersetzt durch eine höfliche Notiz auf Englisch und eine Wallet-Adresse.
Ransomware ist überall, und sie wächst. Sie ist aber auch – und das ist der entscheidende Punkt – an der Eintrittsstelle fast vollständig vermeidbar, und diese Eintrittsstelle ist 2026 fast immer dieselbe: eine Webseite, geladen in einem ganz gewöhnlichen Browser, an einem ganz gewöhnlichen Tag.
Ransomware ist eine Industrie, kein dummer Scherz.
Das Bild, das viele immer noch im Kopf haben – ein einsamer Angreifer mit Laptop – ist vierzig Jahre alt. Moderne Ransomware wird als Unternehmen betrieben, mit Abteilungen, Budgets, Gehältern, Personalstreitigkeiten, Kundenservice-Zeiten und in manchen Fällen Quartalsberichten.
Eine typische Operation umfasst mindestens:
- Initial-Access-Broker, deren gesamtes Geschäft darin besteht, anderen Banden „einen Fuß in der Tür” zu verkaufen: Zugangsdaten, einen kompromittierten Server, ein Nutzerkonto, dessen Rechner still und leise mit einer Backdoor versehen wurde.
- Partnerprogramme (oft als „Ransomware-as-a-Service” vermarktet), bei denen die Gruppe, die den Verschlüsseler schreibt, eine Beteiligung kassiert, während ein loses Netzwerk von „Partnern” die eigentlichen Einbrüche durchführt.
- Verhandlungsteams, die Chat-Lines besetzen, den Umsatz Ihres Unternehmens aus öffentlich zugänglichen Berichten ermitteln und das Lösegeld entsprechend ansetzen.
- Datenexfiltrations-Teams, deren einzige Aufgabe darin besteht, Dateien zu stehlen, bevor irgendetwas verschlüsselt wird – damit die Angreifer selbst dann mit Veröffentlichung drohen können, wenn Sie aus einem Backup wiederherstellen.
- Geldwäsche- und Auszahlungsteams, die sich um die Kryptowährungsseite kümmern.
Die Aussage ist einfach: Die Leute auf der anderen Seite sind Profis, Vollzeit, mit einem operativen Budget. Der Ratschlag „Seien Sie vorsichtiger” ist kein Verteidigungsplan gegen eine professionelle Industrie. Er ist ein Schulterzucken.
Wie sie tatsächlich hereinkommt.
Fast jede moderne Ransomware-Kette beginnt auf dieselbe Weise: Jemand öffnet eine Webseite.
Kurz und knapp, die großen Sechs:
Phishing-E-Mail-Links
Der älteste Vektor, und immer noch der produktivste. Eine plausible E-Mail – Paketverfolgung, geteiltes Dokument, Rechnung – führt auf eine Seite, die entweder direkt Schadcode ablegt oder Zugangsdaten abgreift, die später für den Zugriff auf das Netzwerk des Opfers verwendet werden.
Malvertising
Seriöse Werbenetzwerke, die bösartige Anzeigen ausliefern. Eine echte Nachrichtenseite, eine echte Wetterseite, eine echte Rezeptseite – alle zeigen eine Anzeige an, die den Browser still und leise auf ein Exploit-Kit umleitet. Die Seitenbetreiber sind nicht mitschuldig; das Werbenetzwerk wurde getäuscht.
SEO-Poisoning
Die Nutzerin sucht nach einem Tool – einem PDF-Konverter, einem VPN-Installer, einer kostenlosen Schriftart. Das oberste Ergebnis ist eine gefälschte Seite, die gut rankt, weil der Angreifer monatelang daran gearbeitet hat. Der Download sieht richtig aus, ist signiert, installiert sich – und bringt einen Zweitstufen-Loader mit.
Watering-Hole-Angriffe
Eine Nischenseite – ein Berufsverband, ein Fachforum, ein Lieferantenportal – wird still und leise kompromittiert, und jede Besucherin bekommt einen gezielten Schadcode ausgeliefert. Der Angreifer braucht kein weites Netz; nur das richtige.
ClickFix-Seiten
Ein moderner Favorit. Eine Seite gibt vor, ein CAPTCHA zu sein, eine Fehlermeldung oder eine „Das müssen Sie beheben, um fortzufahren”-Aufforderung. Sie schreibt still und leise einen PowerShell- oder Terminal-Befehl in die Zwischenablage und weist die Nutzerin an, eine Tastenkombination zu drücken und einzufügen. Der Befehl läuft auf dem Host, außerhalb des Browsers, und tut alles, was der Angreifer will.
Gefälschte Update-Aufforderungen
„Ihr Browser ist nicht mehr aktuell. Klicken Sie hier, um zu aktualisieren.” Die Seite sieht aus wie Chrome, Firefox oder Safari. Der Download ist ein Loader. Jeder Schritt fühlt sich normal an, weil jeder Schritt genau so konstruiert wurde.
Einige kleinere, aber immer noch relevante Vektoren runden die Liste ab: bösartige Browser-Erweiterungen, die außerhalb offizieller Stores installiert werden; kompromittierte Pakete in der Lieferkette; und – selten, aber katastrophal – echte Browser-Zero-Days. Der rote Faden ist langweilig und wichtig: Eine Webseite wird geladen, und alles Schlimme, das danach folgt, ist die Konsequenz aus diesem einen Ereignis.
Die Kette, Schritt für Schritt.
Sobald der erste Zugriff gelungen ist, läuft der Rest der Kette mechanisch ab.
Diese gesamte Kette – vom Moment, in dem der Tab geladen wurde, bis zum Moment, in dem die Lösegeldforderung auf dem Desktop erscheint – ist eine lange Abfolge, die von einer Sache abhängt: Schritt 2 muss gelingen. Wenn der Schadcode in Schritt 2 nicht an Ihre Dateien, Ihren Schlüsselbund, Ihre Aufgaben, Ihre Dienste oder Ihre Netzwerkfreigaben herankommt, stoppt die Kette. Jeder Schritt nach Schritt 2 setzt voraus, dass der Angreifer seine Hand am Rechner hat. Wenn er sie nie an den Rechner bekommen hat, passiert auch sonst nichts.
Der Browser ist die Tür. Wir haben eine Wand daraus gemacht.
Klassische Browser wurden zwanzig Jahre lang gepatcht, gehärtet, gesandboxt, gefuzzt und stressgetestet. Sie sind außerdem – mit großem Abstand – die zweitgrößte Angriffsfläche auf jedem Computer: größer als jede andere Anwendung, nur übertroffen vom Betriebssystem, das sie ausführt. Das liegt nicht daran, dass ihre Ingenieurinnen und Ingenieure schlecht wären. Es liegt daran, dass ein Browser jedes Byte des gesamten Internets parsen und daraus irgendwie ein sicheres Pixel machen muss. Das ist ein Problem, das man nicht gewinnen kann.
Bromure versucht nicht, dieses Problem zu den Bedingungen des Browsers zu gewinnen. Es verändert die Geometrie.
In Bromure läuft jeder Tab in einer versiegelten virtuellen Maschine. Der Browser, sein Renderer, die JavaScript-Engine, der PDF-Parser, der Video-Codec – all das ist in eine Einweg-Gast-VM eingebettet, die keinen Zugriff auf Ihre Dateien, Ihren Schlüsselbund, Ihre Webcam, Ihre Fotos oder Ihr lokales Netzwerk hat. Der Exploit, der einen Browser-Bug ausnutzt, landet in einer Welt, die Ihr Leben nicht enthält.
Wenn Sie in einer nicht-persistenten Sitzung das Fenster schließen, wird die gesamte VM – der Browserzustand, die Cookies, alles, was heruntergeladen wurde, alles, was sich eingenistet hat, alles, was nach außen greifen wollte – gelöscht. Sie müssen nicht einmal wissen, dass es da war. Sie müssen nichts aufräumen.
Isolation ist die erste Wand.
Ein klassischer Browser, der in Ihrem Benutzerkonto läuft, teilt die Dateiberechtigungen mit Ihnen. Das ist Architektur, kein Fehler, und genau darauf baut die gesamte Kill-Chain nach Schritt 2 auf. Bromure bricht diese Annahme an der Wurzel auf. Der Browser-Prozess läuft nicht in Ihrem Benutzerkonto – er läuft in einer komplett eigenen Maschine, und was diese Maschine sehen kann, beschränkt sich auf das, was Sie ihr ausdrücklich gegeben haben.
Downloads, Webcam, Zwischenablage, lokales Netzwerk – standardmäßig aus.
Jede Berechtigung in Bromure startet deaktiviert. Ein Drive-by-Download, der in einem klassischen Browser „einfach funktioniert”, kann in Bromure keine Datei schreiben, solange Sie nicht vorher gesagt haben, dass dieses Profil Dateien speichern darf. Dasselbe gilt für Webcam, Mikrofon, Zwischenablagezugriff und Anfragen ins lokale Netzwerk. Die meisten Profile brauchen das meiste davon nicht. Die meisten Profile bekommen das meiste davon auch nie.
Profile sind keine Ordner. Sie sind eigene Maschinen.
Ihr Banking. Ihre Arbeits-E-Mail. Ihr „Ich klick da mal drauf”-Profil für Links aus dem Gruppenchat. In Bromure ist jedes davon eine eigene VM, mit eigenem Speicher, eigenen Cookies, eigenen Berechtigungen und eigener sichtbarer Rahmenfarbe. Falls das „Zufallslinks”-Profil kompromittiert wird – was in Bromure ohnehin schon schwer ist –, kann es nicht an die Cookies des „Banking”-Profils heran. Sie befinden sich nicht im selben Computer.
Sitzungen enden. Welten enden mit ihnen.
Der dritte Schritt jeder Ransomware-Kette – Persistenz – ist der wertvollste Zug des Angreifers. Geplante Aufgaben, Systemdienste, Autostart-Einträge, Launch Daemons: Sobald sie sich eingenistet haben, kommen sie wieder. Gegen einen persistenten Host gewinnt der Angreifer allein durch Geduld. Gegen eine Einweg-Sitzung in Bromure gibt es nichts, zu dem er zurückkehren könnte. Die Welt, in der der Angreifer gelebt hat, ist weg.
Was Isolation nicht löst – und was dagegen zu tun ist.
Isolation ist keine Zauberei. Zwei Dinge behebt sie nicht von allein:
Social Engineering gegen die Nutzerin
Eine Seite, die eine Nutzerin überzeugt, einen Befehl zu kopieren und ihn in einem echten Terminalfenster auszuführen, hat den Browser vollständig umgangen – der Befehl läuft jetzt auf dem Host, nicht in der Sandbox. Genau so funktioniert ClickFix. Die Gegenmaßnahme ist eine zusätzliche Schicht: Der Browser muss die Zwischenablage-Nutzlast erkennen, die die Seite geschrieben hat, sie markieren und die Nutzerin warnen, bevor sie einfügt. Diese Funktion ist in Arbeit; bis dahin gilt: Führen Sie niemals einen Befehl aus, den Ihnen eine Webseite diktiert hat, und bringen Sie den Menschen in Ihrem Haushalt bei, dasselbe zu tun.
Echte Zugangsdaten, an einen echten Angreifer übergeben
Wenn eine überzeugende Phishing-Seite die Nutzerin dazu bringt, ein echtes Passwort in ein echtes Formular zu tippen, hilft kein Isolationsmodell – die Zugangsdaten haben die Sandbox einfach über Ihre Tastatur verlassen. Die Gegenmaßnahme ist Phishing-spezifisch: warnen, bevor ein Passwort auf einer neuen Domain eingegeben wird; Markenimitation erkennen; domainübergreifende Passwortübermittlungen abfangen. Diese Arbeit läuft und wird in einer kommenden Version ausgeliefert.
Bis diese Schichten kommen, schaltet allein schon Isolation die zuverlässigste industrielle Ransomware-Kette aus – die Kette „Tab → Datei auf der Platte → Persistenz → Verschlüsselung”. Das ist die Kette, aus der die Angreiferindustrie ihr Geld macht. Das ist die Kette, die Bromure durchbricht.
Die Angriffsindustrie wird nicht langsamer. Wir auch nicht.
Ransomware wird nicht durch bessere Ratschläge gestoppt, und auch nicht dadurch, dass Sie Ihre Verwandten bitten, vorsichtiger zu sein, oder so tun, als würden die Leute auf der anderen Seite eines Tages müde werden und nach Hause gehen. Sie werden nicht müde werden. Sie haben Quartalsziele.
Was sie stoppen wird, einen Rechner nach dem anderen, ist ein Browser, der von der ersten Zeile Code an unter der Annahme gebaut wurde, dass eine Webseite feindselig ist – und der dafür sorgt, dass nichts, was eine feindselige Webseite tut, an etwas herankommt, das Ihnen wichtig ist. Ein Browser, bei dem das Schlimmste, was passieren kann, wenn Sie am falschen Tag, in der falschen Stimmung, auf den falschen Link klicken, darin besteht, ein Fenster zu schließen.
Dafür ist Bromure da. Installieren Sie ihn, machen Sie ihn zu Ihrem Standard und machen Sie den Rest zu jemand anderem Problem.