Ransomware: Fast jedes zweite Unternehmen zahlt – oft nach Verhandlung

Gemäss dem eben veröffentlichten „State of Ransomware 2025“-Report von Sophos hat fast die Hälfte der befragten Unternehmen schon mal Lösegeld bezahlt. Die durchschnittliche Höhe des Lösegelds beträgt dabei rund 1 Million US-Dollar (€ 869.591). Neu ist, dass 53 Prozent der Unternehmen einen niedrigeren Betrag als die ursprüngliche Forderung ausgehandelt haben. Gleichwohl handelt es sich um die zweithöchste Rate an Zahlungen für Lösegeldforderungen seit sechs Jahren (Höchststand war im 2024-Report mit 56 Prozent). Im neuesten Report war die Zahlungsbereitschaft der Opfer in Deutschland (63 Prozent) und in der Schweiz (54 Prozent) überdurchschnittlich hoch.

Unternehmen verhandeln Lösegeldzahlungen

Trotz des hohen Prozentsatzes an Unternehmen, die das Lösegeld gezahlt haben, zahlten mit 53 Prozent mehr als die Hälfte weniger als ursprünglich von den Cyberkriminellen gefordert. Auch die betroffenen Unternehmen in Deutschland (47 Prozent) und vor allem in der Schweiz (65 Prozent) zeigten ihr Verhandlungsgeschick mit den Cyberkriminellen und zahlten ebenfalls geringere Beträge als ursprünglich gefordert.

Die durchschnittliche Lösegeldforderung sank zwischen den Berichten der letzten beiden Jahre aus internationaler Perspektive um ein Drittel. Gleichzeitig ging die durchschnittliche Lösegeldzahlung um 50 Prozent zurück. Diese Entwicklung zeigt, dass Unternehmen zunehmend erfolgreich bei der Minimierung der Auswirkungen von Ransomware-Angriffen sind.

Lösegeldforderungen und -zahlungen variieren stark nach Ländern

Weltweit lag die durchschnittliche Lösegeldforderung (Median) bei 1.324.439 Million Dollar (€ 1.159.905). Auf Landesebene sind die Mediane der Forderungshöhen allerdings sehr unterschiedlich, hier einige Beispiele:

• 600 Tsd. Dollar (€ 525 Tsd.) in Deutschland
• 643 Tsd. Dollar (€ 563 Tsd.) in Frankreich
• 4,12 Mio. Dollar (€ 3,61 Mio.) in Italien
• 5,37 Mio. Dollar (€ 4,7 Mio.) in Grossbritannien
• 2,0 Mio. Dollar (€ 1,75 Mio.) in den USA

Die regional bezahlten Lösegeldsummen belaufen sich in den Beispielländern auf:

• 412 Tsd. Dollar (€ 361 Tsd.) in Deutschland
• 232 Tsd. Dollar (€ 203 Tsd.) in Frankreich
• 2,06 Mio. Dollar (€ 1,8 Mio.) in Italien
• 5,20 Mio. Dollar (€ 4,55 Mio.) in Grossbritannien
• 1,50 Mio. Dollar (€ 1,53 Mio.) in den USA

Schwachstellen und Ressourcenknappheit sind massgebliche Risikofaktoren

Zum dritten Mal in Folge waren ausgenutzte Schwachstellen die häufigste technische Ursache für Angriffe. 40 Prozent aller befragten Ransomware-Opfer gaben an, dass die Angreifer eine ihnen nicht bekannte Sicherheitslücke ausnutzten. In Deutschland und der Schweiz stellt sich diese Situation mit 45 Prozent beziehungsweise 42 Prozent sogar noch verschärfter dar. Dies verdeutlicht die anhaltenden Schwierigkeiten von Unternehmen, ihre Angriffsfläche zu erkennen und zu sichern.

63 Prozent der befragten Unternehmen weltweit bestätigen, dass Ressourcenprobleme ein Faktor dafür waren, dass sie Opfer des Angriffs wurden. Die Unternehmen in Deutschland (67 Prozent) und in der Schweiz (72 Prozent) liegen hierbei sogar über dem internationalen Schnitt. Global wurden in diesem Zusammenhang mangelnde Fachkenntnisse als wichtigste operative Ursache in Unternehmen mit mehr als 3.000 Mitarbeitern genannt. Unternehmen mit 251 bis 500 Mitarbeitern kämpften am häufigsten mit einem Mangel an personellen Ressourcen bzw. Kapazitäten.

Interne wie externe Ressourcen sind entscheidend

„Im Jahr 2025 sehen die meisten Unternehmen die Gefahr, Opfer eines Ransomware-Angriffes zu werden, als einen Teil des Geschäftsalltags. Die gute Nachricht ist, dass sich viele Organisationen dank dieses gestiegenen Bewusstseins mit zusätzlichen Ressourcen ausstatten, um den Schaden zu begrenzen. Dazu gehört die Einstellung von Incident-Response-Spezialisten, die nicht nur die Lösegeldzahlungen senken können, sondern auch die Wiederherstellung nach einer Attacke beschleunigen und sogar laufende Angriffe stoppen können“, sagt Chester Wisniewski, Field CISO bei Sophos. „Ein echter Game Changer im Kampf gegen Ransomware ist die Konzentration auf die Ursachen der Angriffspotenziale. Dazu gehören vor allem ausgenutzte Schwachstellen, mangelnde Transparenz bei der Angriffsfläche im Unternehmen und zu wenige Ressourcen. Wir beobachten, dass immer mehr Unternehmen erkennen, dass sie Hilfe benötigen und zur Verteidigung auf MDR-Dienste, also Managed Detection and Response, setzen. Dieser Cybersecurity-Service in Verbindung mit proaktiven Sicherheitsstrategien wie Multi-Faktor-Authentifizierung und Patching leistet einen entscheidenden Beitrag, Ransomware von vornherein zu verhindern.“

Best Practices für einen effektiven Schutz vor Ransomware und anderen Cyberangriffen:

• Ergreifen von Maßnahmen, um häufige technische und betriebliche Ursachen für Angriffe, wie z. B. ausgenutzte Schwachstellen, zu beseitigen. Tools wie Sophos Managed Risk können Unternehmen dabei helfen, ihr Risikoprofil zu ermitteln und ihr Risiko gezielt zu minimieren.
• Sicherstellung, dass alle Endpointgeräte (einschließlich Server) mit einem speziellen Anti-Ransomware-Schutz ausgestattet sind.
• Bereitstellung und Testen eines Incident-Response-Plans. Dabei spielen gute Backups und das regelmäßige Üben der Datenwiederherstellung eine wichtige Rolle.
• 24/7-Überwachung und Erkennung. Wenn Unternehmen dafür nicht über die erforderlichen internen Ressourcen verfügen, können vertrauenswürdige Anbieter von Managed Detection and Response (MDR) helfen, diese Anforderungen zu erfüllen.

Quelle: Sophos