Ransomware hat sich in den vergangenen Jahren von einer Randerscheinung der Cyberkriminalität zu einer der größten Bedrohungen für Unternehmen, Behörden und kritische Infrastrukturen entwickelt. Der aktuelle State of Ransomware Report 2025, der auf einer internationalen Befragung von 3.400 IT- und Sicherheitsverantwortlichen in 17 Ländern basiert, zeichnet ein differenziertes Bild: Die Zahl der betroffenen Organisationen, die nach einem erfolgreichen Angriff Lösegeld zahlen, ist weiterhin hoch. Gleichzeitig gelingt es jedoch immer mehr Unternehmen, den finanziellen Schaden zu begrenzen und durch bessere Sicherheitsstrategien die Folgen von Angriffen einzudämmen.

Lösegeldzahlungen bleiben hoch – Summen sinken spürbar

Weltweit zahlte im Jahr 2025 jedes zweite betroffene Unternehmen Lösegeld, um wieder Zugriff auf verschlüsselte Daten und Systeme zu erlangen. Diese Quote von rund 50 Prozent liegt zwar etwas unter dem Vorjahreswert von 56 Prozent, bleibt jedoch auf einem historisch hohen Niveau. Besonders bemerkenswert ist, dass Deutschland mit einer Zahlungsrate von 63 Prozent und die Schweiz mit 54 Prozent deutlich über dem internationalen Durchschnitt liegen.

Trotz dieser Zahlen deutet sich ein Paradigmenwechsel an. Zwar beugen sich nach wie vor viele Unternehmen dem Druck der Erpresser, doch die tatsächlich überwiesenen Summen sinken. Die Forderungen der Angreifer sind im Schnitt um ein Drittel zurückgegangen, während die real gezahlten Beträge sogar um die Hälfte schrumpften. Dahinter steckt ein neues Selbstbewusstsein: Mehr als die Hälfte der Opfer konnte die geforderten Summen erfolgreich nach unten verhandeln. Besonders ausgeprägt ist dieser Trend in der Schweiz, wo fast zwei Drittel der betroffenen Organisationen weniger zahlten, als ursprünglich verlangt wurde.

Diese Entwicklung ist nicht zuletzt auf die gestiegene Professionalität im Incident-Response-Bereich zurückzuführen. Viele Unternehmen haben inzwischen spezialisierte Krisenteams aufgebaut oder setzen auf externe Experten, die im Ernstfall die Verhandlungen übernehmen und technische Sofortmaßnahmen einleiten. So lässt sich nicht nur der Schaden mindern, sondern auch die Verhandlungsposition gegenüber den Tätern verbessern.

Ungepatchte Schwachstellen als größtes Risiko

Während die Lösegeldsummen sinken, bleiben die Ursachen für erfolgreiche Angriffe weitgehend unverändert. Wie schon in den vergangenen Jahren bilden ausgenutzte Schwachstellen in Software und Systemen den häufigsten Eintrittsvektor. Rund 40 Prozent der weltweiten Ransomware-Vorfälle sind auf Sicherheitslücken zurückzuführen, die den Unternehmen nicht bekannt waren. In Deutschland liegt dieser Wert mit 45 Prozent sogar noch höher, in der Schweiz mit 42 Prozent ebenfalls deutlich über dem internationalen Schnitt.

Die Zahlen zeigen, dass viele Organisationen trotz moderner Sicherheitswerkzeuge wie Endpoint-Detection-Systemen oder Zero-Trust-Architekturen an einem fundamentalen Problem scheitern: der konsequenten Verwaltung und Schließung von Sicherheitslücken. Angreifer nutzen bekannte Exploits häufig bereits wenige Tage nach deren Veröffentlichung, während Unternehmen oftmals Wochen oder gar Monate benötigen, um entsprechende Patches auszurollen. In dieser Zeitspanne bleibt eine offene Flanke bestehen, die gezielt ausgenutzt wird.

Ressourcenknappheit als systemischer Schwachpunkt

Neben technischen Defiziten wie ungepatchten Systemen tritt ein strukturelles Problem immer deutlicher zutage: der Mangel an Fachkräften und Ressourcen. Weltweit gaben 63 Prozent der befragten Unternehmen an, dass fehlende Kapazitäten maßgeblich zum Erfolg der Angreifer beigetragen haben. In Deutschland lag dieser Anteil bei 67 Prozent, in der Schweiz sogar bei 72 Prozent.

Interessanterweise variiert die Ausprägung dieser Schwächen je nach Unternehmensgröße. Während große Organisationen mit mehr als 3.000 Mitarbeitern vor allem den Mangel an spezifischem Fachwissen als zentrale Schwachstelle nennen, leiden mittelgroße Unternehmen mit 251 bis 500 Beschäftigten eher unter einer chronischen Unterbesetzung ihrer IT-Teams. Das Ergebnis ist in beiden Fällen dasselbe: Sicherheitslücken bleiben länger offen, Reaktionen auf Angriffe verzögern sich und notwendige Investitionen in Schutzmaßnahmen werden verschleppt.

Angriffsstrategien werden raffinierter

Die Professionalisierung der Ransomware-Gruppen verschärft die Situation zusätzlich. Klassische Verschlüsselung von Daten ist längst nicht mehr die einzige Waffe. Immer häufiger kombinieren die Täter verschiedene Taktiken, um den Druck auf ihre Opfer zu erhöhen. Dazu gehören Datendiebstahl mit anschließender Drohung zur Veröffentlichung sensibler Informationen, sogenannte Double- oder gar Triple-Extortion-Angriffe, bei denen neben der Verschlüsselung und Veröffentlichung auch gezielte DDoS-Attacken oder Drohungen gegenüber Kunden und Partnern eingesetzt werden.

Technisch nutzen die Gruppen ein breites Arsenal an Angriffsmethoden. Phishing-Mails mit präparierten Anhängen oder Links bleiben ein häufiger Erstzugang, ebenso wie kompromittierte Remote-Desktop-Protokolle (RDP). Hinzu kommen Lieferketten-Angriffe, bei denen Schwachstellen in Software von Drittanbietern oder Dienstleistern ausgenutzt werden, um Zugang zu eigentlich gut geschützten Unternehmensnetzwerken zu erhalten.

Strategien zur Stärkung der Resilienz

Trotz der anhaltenden Bedrohungslage zeigen die Ergebnisse des Reports, dass Unternehmen zunehmend auf eine breitere Palette an Abwehrmaßnahmen setzen. Neben klassischen Schutzmechanismen wie Firewalls oder Antivirensoftware gewinnen ganzheitliche Konzepte wie Managed Detection and Response (MDR) an Bedeutung. Hierbei überwachen externe Experten die IT-Infrastruktur rund um die Uhr, analysieren verdächtige Aktivitäten und reagieren im Ernstfall in Echtzeit.

Darüber hinaus rücken bewährte Maßnahmen wie die Einführung von Multi-Faktor-Authentifizierung, ein systematisches Patch- und Schwachstellenmanagement sowie die regelmäßige Schulung von Mitarbeitern wieder stärker in den Fokus. Denn nach wie vor gilt: Der Mensch ist einer der kritischsten Faktoren im Sicherheitsgefüge eines Unternehmens.

Ein zentraler Baustein der Resilienz bleibt das Thema Backup. Nur wer über funktionierende, regelmäßig getestete Sicherungskopien verfügt, kann im Ernstfall auf die Zahlung von Lösegeld verzichten. Immer mehr Unternehmen setzen deshalb auf redundante Systeme und georedundante Speicherlösungen, um im Ernstfall innerhalb kürzester Zeit geschäftskritische Systeme wiederherstellen zu können.

Fazit: Ein Spiel auf Zeit

Der Ransomware-Report 2025 macht deutlich, dass die Bedrohungslage trotz positiver Entwicklungen ernst bleibt. Zwar gelingt es vielen Unternehmen, die finanziellen Schäden durch besseres Krisenmanagement zu begrenzen, doch die hohe Zahl der Lösegeldzahlungen zeigt, dass Cyberkriminelle ihr Geschäftsmodell erfolgreich fortführen.

Die entscheidende Herausforderung besteht darin, den Angreifern den zeitlichen Vorsprung zu nehmen, den sie durch unentdeckte Schwachstellen und langsame Reaktionszeiten immer wieder gewinnen. Nur durch konsequentes Patch-Management, die Stärkung interner und externer Sicherheitsressourcen, die Nutzung von MDR-Diensten sowie eine gelebte Sicherheitskultur lässt sich die Resilienz nachhaltig erhöhen.

Die Befragung verdeutlicht: Ransomware ist kein Ausnahmefall mehr, sondern für viele Unternehmen eine kalkulierbare Gefahr, die in die strategische Planung einbezogen werden muss. Der Schlüssel liegt darin, nicht erst im Ernstfall zu reagieren, sondern Angriffsflächen proaktiv zu reduzieren und die Verteidigungsmechanismen kontinuierlich zu schärfen.

Studie: https://www.sophos.com/de-de/content/state-of-ransomware?cmp=701aJ00000IQfbTQAT