Ransomware: Nicht Sichtbarkeit oder Prominenz macht angreifbar, sondern fehlende Resilienz
Ransomware bleibt eine der größten Bedrohungen für Unternehmen. Ein wirksamer Schutz ist ein Mix aus Technik, Prozessen und gut geschulten Mitarbeitenden.
Ransomware zählt weiterhin zu den gravierendsten Bedrohungen für Unternehmen – auch und gerade im Enterprise-Segment. Das ist das Ergebnis des aktuellen Reports State of Ransomware in Enterprise 2025 von Sophos, für den erstmals gezielt große Organisationen mit mehr als 1.000 Mitarbeitenden untersucht wurden. Die Ergebnisse zeichnen ein ambivalentes Bild: Während technische Schutzmaßnahmen messbar wirksamer greifen und die finanziellen Schäden sinken, bleibt die Belastung für IT- und Security-Teams hoch.
Neben technischen Schwachstellen stellen vor allem organisatorische und menschliche Faktoren eine Herausforderung dar. Knapp 40 Prozent der betroffenen Unternehmen nennen fehlendes Personal oder unzureichendes Know-how als zentrale Ursache für ihre Verwundbarkeit – ein Wert, der sich kaum von dem kleiner und mittelständischer Unternehmen unterscheidet, die deutlich unter Ressourcenmangel leiden. 42 Prozent der KMU sehen darin den Schlüssel für ihre Anfälligkeit.
Erfolgreichere Abwehr dank früherer Erkennung
Ein zentrales Ergebnis des Reports ist die verbesserte Fähigkeit, Angriffe frühzeitig zu stoppen. Während 2024 noch rund zwei Drittel der Ransomware-Attacken zur Verschlüsselung von Daten führten, lag dieser Anteil 2025 bei unter 50 Prozent. Fast jedes zweite Unternehmen konnte Angriffe abwehren, bevor es zu einer Verschlüsselung kam – doppelt so viele wie noch zwei Jahre zuvor.
Diese Entwicklung deutet darauf hin, dass Investitionen in Früherkennung, Incident Response und strukturierte Notfallpläne Wirkung zeigen. Moderne Endpoint- und Detection-and-Response-Ansätze zwingen Angreifer zunehmend dazu, schneller und verdeckter zu agieren – was zugleich ihre Erfolgsquote senkt.
Lösegeldzahlungen und Backups: Widersprüchliche Trends
Wenig Bewegung zeigt sich hingegen bei der Bereitschaft zur Lösegeldzahlung. Mit 48 Prozent zahlt weiterhin knapp die Hälfte der betroffenen Unternehmen – trotz besserer Abwehrmöglichkeiten. Auffällig ist dagegen der rückläufige Einsatz von Backups zur Wiederherstellung: Nur noch 53 Prozent der Unternehmen setzten 2025 primär auf Sicherungskopien, der niedrigste Wert seit vier Jahren.
Das deutet auf ein Vertrauensproblem hin. Viele Organisationen zweifeln offenbar an der Aktualität, Integrität oder Wiederherstellbarkeit ihrer Backups oder sehen sich im Krisenfall unter massivem Zeitdruck zu alternativen Entscheidungen gezwungen.
Sinkende Kosten, steigender menschlicher Druck
Finanziell betrachtet hat sich die Lage entspannt. Die durchschnittlichen Lösegeldzahlungen sanken 2025 um 56 Prozent – von rund 2,3 Millionen Euro auf weniger als eine Million. Auch die Kosten für Wiederherstellung und Betriebsunterbrechungen gingen zurück.
Für die beteiligten Teams gilt das jedoch nicht. Vier von zehn IT- und Sicherheitsverantwortlichen berichten von steigenden Erwartungen seitens des Managements, nahezu ebenso viele von chronischer Überlastung. Besonders belastend ist das Gefühl persönlicher Verantwortung bei erfolgreichen Angriffen – obwohl Ransomware in der Regel systemische Schwächen ausnutzt und nicht auf individuelles Versagen zurückzuführen ist.
Wie sich Ransomware in den letzten Jahren verändert hat
Ransomware hat sich in den vergangenen Jahren deutlich weiterentwickelt. Klassische Verschlüsselungstrojaner sind heute nur noch ein Teil komplexer Erpressungsmodelle. „Double Extortion“, bei der Angreifer vor der Verschlüsselung Daten exfiltrieren und mit Veröffentlichung drohen, gilt inzwischen als Standard. Zunehmend kommt „Triple Extortion“ hinzu, etwa durch zusätzliche DDoS-Angriffe oder die direkte Ansprache von Kunden und Aufsichtsbehörden.
Parallel dazu professionalisiert sich das Ökosystem. Ransomware-as-a-Service senkt die Einstiegshürden, während die Zahl aktiver Gruppen stark fragmentiert ist. Sicherheitsforscher beobachten zudem, dass Angreifer verstärkt legitime Tools, Living-off-the-Land-Techniken und automatisierte Abläufe nutzen, um klassische Schutzmechanismen zu umgehen. Gleichzeitig verkürzt sich die Zeit zwischen Erstzugang und Verschlüsselung drastisch – in vielen Fällen auf weniger als einen Tag.
Wie Ransomware-Opfer ausgewählt werden
Entgegen der weit verbreiteten Annahme werden die meisten Ransomware-Opfer nicht gezielt ausgewählt. Entscheidend ist weniger, wer ein Unternehmen ist, als wie leicht es sich kompromittieren lässt.
“Wie Bedrohungsakteure ihre Opfer auswählen und Ransomware einsetzen, hängt von ihren Motiven ab. Cyberkriminelle wollen Geld verdienen, daher sind alle Organisationen potenzielle Opfer dieser Gruppen. Im Gegensatz dazu nutzen staatlich geförderte Akteure Ransomware zu destruktiven Zwecken, um Spionageaktivitäten zu verschleiern, Einnahmen zu generieren oder eine Kombination dieser Ziele zu erreichen. Jede dieser Gruppen hat daher ein eigenes Bedrohungsprofil, und die gefährdeten Organisationen können sehr unterschiedlich sein”, sagen Forscher der Counter Threat Unit (CTU).
Sobald ein Zugang vorhanden ist, erfolgt eine Art negative Selektion: Angreifer prüfen eher, welche Opfer sie nicht angreifen – etwa weil Systeme zu komplex, zu gut überwacht oder potenziell politisch sensibel sind – als gezielt nach „attraktiven“ Zielen zu suchen. Zwar bevorzugen einige Gruppen Organisationen mit höherem Umsatz in der Hoffnung auf höhere Lösegeldzahlungen, doch die Telemetriedaten zeigen, dass Angriffe häufig auch kleinere oder organisatorisch schwächer aufgestellte Unternehmen treffen, weil dort Sicherheitslücken schneller ausgenutzt werden können.
Ein Sonderfall sind staatlich unterstützte Akteure, die Ransomware nicht primär zur Monetarisierung einsetzen, sondern als Mittel zur Sabotage, zur Verschleierung von Spionageaktivitäten oder zur politischen Destabilisierung. In diesen Fällen kann die Auswahl der Opfer strategischer erfolgen. Für die Mehrzahl der Unternehmen gilt jedoch: Nicht Sichtbarkeit oder Prominenz macht angreifbar, sondern fehlende Resilienz.
Wirksamer Schutz vor Ransomware: Technik, Prozesse und Menschen
Wirksamer Ransomware-Schutz ist kein Einzelprodukt, sondern ein Zusammenspiel mehrerer Ebenen. Zentrale Bausteine sind ein konsequentes Patch- und Schwachstellenmanagement, abgesicherte Remote-Zugänge mit Multi-Faktor-Authentifizierung sowie moderne Endpoint- und XDR-Ansätze zur frühen Erkennung von Angriffen.
Ebenso entscheidend sind belastbare, regelmäßig getestete und möglichst unveränderliche Backups, die eine schnelle Wiederherstellung ohne Lösegeldzahlung ermöglichen. Ergänzt werden müssen diese technischen Maßnahmen durch klare Incident-Response-Prozesse, realistische Notfallübungen und kontinuierliche Schulungen der Mitarbeitenden, da Phishing und Social Engineering weiterhin zu den häufigsten Einstiegspunkten zählen.
Nicht zuletzt braucht es organisatorische Unterstützung: realistische Erwartungen an IT-Teams, ausreichende personelle Ressourcen und eine Sicherheitskultur, die Resilienz vor Schuldzuweisungen stellt.
Handlungsempfehlungen für CISOs
- Opportunismus einkalkulieren: Ransomware-Abwehr darf sich nicht auf einzelne Gruppen oder Branchen konzentrieren. Schutzmaßnahmen müssen davon ausgehen, dass jedes Unternehmen potenziell betroffen ist.
- Angriffsfläche minimieren: Internetexponierte Systeme, veraltete Software und ungesicherte Remote-Zugänge gehören zu den häufigsten Eintrittspunkten. Konsequentes Patch- und Asset-Management reduziert das Risiko erheblich.
- Früherkennung priorisieren: Da Angriffe oft nicht gezielt vorbereitet sind, entscheidet die Geschwindigkeit der Erkennung darüber, ob es zur Verschlüsselung kommt. EDR/XDR und klar definierte Alarmierungsprozesse sind entscheidend.
- Backups realistisch bewerten: Backups müssen nicht nur existieren, sondern regelmäßig getestet und gegen Manipulation abgesichert sein. Unzuverlässige Sicherungen erhöhen den Entscheidungsdruck im Ernstfall.
- Teams entlasten und absichern: Ransomware ist ein systemisches Risiko. Klare Verantwortlichkeiten helfen, Schuldzuweisungen zu vermeiden und ihre Teams sowohl organisatorisch als auch kommunikativ zu stärken.
- Notfallübungen durchführen: Incident-Response-Pläne entfalten ihren Wert erst, wenn sie unter realistischen Bedingungen geprobt wurden – inklusive Management‑ und Kommunikationsentscheidungen.
Fazit
Ransomware wird häufiger erkannt und abgewehrt, die finanziellen Schäden sinken. Gleichzeitig bleibt der Druck hoch – technisch, organisatorisch und menschlich. Ransomware ist damit weniger ein reines IT-Problem als eine dauerhafte Managementaufgabe, die klare Prioritäten, langfristige Investitionen und den gezielten Schutz der Menschen hinter den Systemen erfordert.