Ransomware: Fast jedes zweite Unternehmen zahlt

Redaktion silicon.de,
Linkedin
Ransomware

Der „State of Ransomware 2025“-Report von Sophos bestätigt eine durchschnittliche Lösegeldzahlung von 1 Million US-Dollar.

Die unabhängige Umfrage unter 3.400 IT- und Cybersicherheits-Verantwortlichen in 17 Ländern untersucht die Auswirkungen von Ransomware-Angriffen auf Unternehmen. Die diesjährige Analyse ergab, dass international fast 50 Prozent der Unternehmen das Lösegeld gezahlt haben, um ihre Daten zurückzubekommen. 53 Prozent bezahlten weniger als ursprünglich von den Cyberkriminellen gefordert. Die Zahlungsbereitschaft der Opfer in Deutschland (63 Prozent) und in der Schweiz (54 Prozent) war überdurchschnittlich hoch. 

Lösegeldforderungen und -zahlungen

Die durchschnittliche Lösegeldforderung sank im Vergleich zu den Vorjahren aus internationaler Perspektive um ein Drittel. Gleichzeitig ging die durchschnittliche Lösegeldzahlung um 50 Prozent zurück. Diese Entwicklung zeigt, dass Unternehmen zunehmend erfolgreich bei der Minimierung der Auswirkungen von Ransomware-Angriffen sind.

Weltweit lag die durchschnittliche Lösegeldforderung (Median) bei 1.324.439 Million Dollar (€ 1.159.905). Auf Landesebene sind die Mediane der Forderungshöhen allerdings sehr unterschiedlich:

  • 600 Tsd. Dollar (€ 525 Tsd.) in Deutschland
  • 643 Tsd. Dollar (€ 563 Tsd.) in Frankreich
  • 4,12 Mio. Dollar (€ 3,61 Mio.) in Italien
  • 5,37 Mio. Dollar (€ 4,7 Mio.) in Großbritannien
  • 2,0 Mio. Dollar (€ 1,75 Mio.) in den USA

Da die Unternehmen teilweise das Lösegeld verhandelten, ist die durchschnittliche Lösegeldzahlung (Median) niedriger als die Forderung und liegt bei rund 1 Million Dollar (€ 869.591).

  • 412 Tsd. Dollar (€ 361 Tsd.) in Deutschland
  • 232 Tsd. Dollar (€ 203 Tsd.) in Frankreich
  • 2,06 Mio. Dollar (€ 1,8 Mio.) in Italien
  • 5,20 Mio. Dollar (€ 4,55 Mio.) in Großbritannien
  • 1,50 Mio. Dollar (€ 1,53 Mio.) in den USA
Schwachstellen und Ressourcenknappheit

Zum dritten Mal in Folge waren ausgenutzte Schwachstellen die häufigste technische Ursache für Angriffe. 40 Prozent aller befragten Ransomware-Opfer gaben an, dass die Angreifer eine ihnen nicht bekannte Sicherheitslücke ausnutzten. In Deutschland und der Schweiz stellt sich diese Situation mit 45 Prozent beziehungsweise 42 Prozent sogar noch verschärfter dar. Dies verdeutlicht die anhaltenden Schwierigkeiten von Unternehmen, ihre Angriffsfläche zu erkennen und zu sichern.

63 Prozent der befragten Unternehmen weltweit bestätigen, dass Ressourcenprobleme ein Faktor dafür waren, dass sie Opfer des Angriffs wurden. Die Unternehmen in Deutschland (67 Prozent) und in der Schweiz (72 Prozent) liegen hierbei sogar über dem internationalen Schnitt. Global wurden in diesem Zusammenhang mangelnde Fachkenntnisse als wichtigste operative Ursache in Unternehmen mit mehr als 3.000 Mitarbeitern genannt. Unternehmen mit 251 bis 500 Mitarbeitern kämpften am häufigsten mit einem Mangel an personellen Ressourcen bzw. Kapazitäten.

Konzentration auf Ursachen der Angriffspotenziale

„Im Jahr 2025 sehen die meisten Unternehmen die Gefahr, Opfer eines Ransomware-Angriffes zu werden, als einen Teil des Geschäftsalltags. Die gute Nachricht ist, dass sich viele Organisationen dank dieses gestiegenen Bewusstseins mit zusätzlichen Ressourcen ausstatten, um den Schaden zu begrenzen. Dazu gehört die Einstellung von Incident-Response-Spezialisten, die nicht nur die Lösegeldzahlungen senken können, sondern auch die Wiederherstellung nach einer Attacke beschleunigen und sogar laufende Angriffe stoppen können“, sagt Chester Wisniewski, Field CISO bei Sophos.

Wisniewski weiter: „Ein echter Game Changer im Kampf gegen Ransomware ist die Konzentration auf die Ursachen der Angriffspotenziale. Dazu gehören vor allem ausgenutzte Schwachstellen, mangelnde Transparenz bei der Angriffsfläche im Unternehmen und zu wenige Ressourcen. Wir beobachten, dass immer mehr Unternehmen erkennen, dass sie Hilfe benötigen und zur Verteidigung auf MDR-Dienste, also Managed Detection and Response, setzen. Dieser Cybersecurity-Service in Verbindung mit proaktiven Sicherheitsstrategien wie Multi-Faktor-Authentifizierung und Patching leistet einen entscheidenden Beitrag, Ransomware von vornherein zu verhindern.“

Weitere Erkenntnisse aus dem Report

44 Prozent der Unternehmen (42 Prozent in Deutschland und 46 Prozent in der Schweiz) konnten den Ransomware-Angriff stoppen, bevor Daten verschlüsselt wurden – ein Sechsjahreshoch. Die Datenverschlüsselung war folglich auf einem Sechsjahrestief, da nur die Hälfte der Unternehmen mit einer Datenverschlüsselung zu kämpfen hatten.

Die Nutzung von Backups ist rückläufig: Nur 54 Prozent der Unternehmen nutzten Backups, um ihre Daten wiederherzustellen – der niedrigste Prozentsatz seit sechs Jahren.

Die Wiederherstellungskosten sind rückläufig: Die mittleren Wiederherstellungskosten sanken aus globaler Sicht von 2,73 Millionen US-Dollar im Jahr 2024 (€ 2.373.983) auf 1,53 Millionen US-Dollar (€ 1.330.474) im Jahr 2025 – respektive 1,56 Millionen Dollar (€ 1.352.512) in Deutschland und 1,04 Millionen Dollar (€ 901.675) in der Schweiz.

Über die Hälfte der Unternehmen erholte sich innerhalb einer Woche vollständig von einem Ransomware-Angriff – gegenüber 35 Prozent im Vorjahr. Nur 18 Prozent weltweit benötigten mehr als einen Monat für die Wiederherstellung – gegenüber 35 Prozent im Jahr 2024. Mehr als einen Monat für die Wiederherstellung benötigten lediglich 9 Prozent sowohl in Deutschland als auch in der Schweiz.