Thought Leadership
Die aktuelle Sophos-Studie offenbart: Fast jedes zweite Unternehmen geht auf die Forderungen von Erpressern ein. Doch viele zeigen Verhandlungsgeschick und drücken den Preis – besonders in der DACH-Region.
Unternehmen zahlen, aber nicht blind
Cyberangriffe mit Ransomware treffen auch 2025 zahlreiche Firmen weltweit. Der neue „State of Ransomware“-Report von Sophos, basierend auf Daten aus 17 Ländern und über 3.000 befragten IT-Experten, zeigt ein alarmierendes Bild: 46 Prozent der betroffenen Unternehmen zahlten Lösegeld, um den Zugriff auf ihre Daten wiederzuerlangen. In Deutschland liegt diese Quote sogar bei 63 Prozent, in der Schweiz bei 54 Prozent – beides deutlich über dem weltweiten Durchschnitt.
Erpressung mit Rabatt
Interessanterweise gelingt es vielen Unternehmen, mit den Angreifern zu verhandeln. Laut Studie zahlten 53 Prozent der Opfer weniger als ursprünglich gefordert. In der Schweiz gelang dies sogar zwei Dritteln der betroffenen Unternehmen. Damit wächst nicht nur die Zahl der Zahlenden, sondern auch die Fähigkeit, die Forderungen zu drücken.
Forderungen und Zahlungen sinken
Ein überraschender Trend: Die durchschnittlichen Lösegeldforderungen sind im Vergleich zum Vorjahr um rund ein Drittel gesunken. Die tatsächlich gezahlten Beträge gingen sogar um die Hälfte zurück. In Deutschland lag die mittlere Forderung bei etwa 600.000 Dollar, die tatsächliche Zahlung betrug im Schnitt rund 412.000 Dollar. In Ländern wie Italien oder Großbritannien wurden dagegen teils Millionenbeträge verlangt – und auch bezahlt.
Sicherheitslücken bleiben Haupteinfallstor
Technische Schwächen sind weiterhin das größte Risiko. 40 Prozent der Ransomware-Angriffe gingen auf unentdeckte Schwachstellen zurück. Besonders in Deutschland und der Schweiz war die Situation angespannt: Hier lag der Anteil solcher Fälle bei 45 beziehungsweise 42 Prozent.
Fachkräftemangel als Sicherheitsrisiko
Ein weiteres Problem: fehlende personelle Ressourcen. Weltweit nannten 63 Prozent der Unternehmen diesen Punkt als Mitursache für erfolgreiche Angriffe. In Deutschland und der Schweiz liegt dieser Wert sogar noch höher. Vor allem mittelgroße Unternehmen mit bis zu 500 Mitarbeitenden berichten von Überlastung und zu wenig spezialisierten Kräften.
Verbesserungen in der Abwehr
Trotz der wachsenden Bedrohung gibt es auch positive Entwicklungen. Immer mehr Unternehmen schaffen es, Angriffe frühzeitig zu stoppen. 44 Prozent verhinderten die Datenverschlüsselung rechtzeitig – so viele wie nie zuvor. Auch die Wiederherstellung nach einem Angriff verläuft schneller. Mehr als die Hälfte der betroffenen Unternehmen war innerhalb einer Woche wieder vollständig einsatzbereit. Die Kosten für die Wiederherstellung sind im Vergleich zu 2024 deutlich gesunken.
Strategien für bessere Cyberresilienz
Statt auf Glück zu setzen, investieren viele Firmen inzwischen gezielt in Schutzmechanismen. Dazu zählen moderne Sicherheitslösungen, regelmäßige Schwachstellenanalysen, klare Notfallpläne und spezialisierte Partner wie MDR-Dienste (Managed Detection and Response), die rund um die Uhr Angriffe erkennen und eindämmen können.
„Im Jahr 2025 sehen die meisten Unternehmen die Gefahr, Opfer eines Ransomware-Angriffes zu werden, als einen Teil des Geschäftsalltags. Die gute Nachricht ist, dass sich viele Organisationen dank dieses gestiegenen Bewusstseins mit zusätzlichen Ressourcen ausstatten, um den Schaden zu begrenzen. Dazu gehört die Einstellung von Incident-Response-Spezialisten, die nicht nur die Lösegeldzahlungen senken können, sondern auch die Wiederherstellung nach einer Attacke beschleunigen und sogar laufende Angriffe stoppen können“, sagt Chester Wisniewski, Field CISO bei Sophos. „Ein echter Game Changer im Kampf gegen Ransomware ist die Konzentration auf die Ursachen der Angriffspotenziale. Dazu gehören vor allem ausgenutzte Schwachstellen, mangelnde Transparenz bei der Angriffsfläche im Unternehmen und zu wenige Ressourcen. Wir beobachten, dass immer mehr Unternehmen erkennen, dass sie Hilfe benötigen und zur Verteidigung auf MDR-Dienste, also Managed Detection and Response, setzen. Dieser Cybersecurity-Service in Verbindung mit proaktiven Sicherheitsstrategien wie Multi-Faktor-Authentifizierung und Patching leistet einen entscheidenden Beitrag, Ransomware von vornherein zu verhindern.“
Empfehlungen für besseren Schutz:
- Sicherheitslücken aktiv aufspüren und schließen
- Endpoint-Geräte mit Ransomware-Schutz absichern
- Notfall- und Wiederherstellungspläne regelmäßig testen
- Bei fehlenden internen Ressourcen auf externe Cybersecurity-Experten setzen
Über den „State of Ransomware 2025“-Report:
Die Daten für den „State of Ransomware 2025”-Report stammen aus einer unabhängigen Umfrage unter 3.400 IT- und Cybersicherheitsverantwortlichen in Unternehmen, die im vergangenen Jahr von Ransomware betroffen waren. Die befragten Unternehmen in 17 Ländern hatten zwischen 100 und 5.000 Mitarbeiter. Die Umfrage wurde zwischen Januar und März 2025 durchgeführt.
Der vollständige „State of Ransomware 2025“-Report steht hier zum Download zur Verfügung.
(vp/Sophos)
