Es gibt in den letzten Jahren einen neuen Trend in der Cybersicherheit: Die Gewinne der Hacker durch Ransomware sinken, aber die Anzahl der Angriffe nimmt zu. Ähnlich wie ein Virus reagieren Ransomware-Gruppen einfach auf Veränderungen in der Cybersicherheitsumgebung und entwickeln sich entsprechend weiter.

Größere Organisationen entscheiden sich dafür, überhaupt kein Lösegeld zu zahlen, also nehmen Hacker kleinere Unternehmen mit kleineren Lösegeldern ins Visier, um den Ausfall auszugleichen. Die Ransomware selbst entwickelt sich ebenfalls weiter, um stärkere Cybersicherheitsabwehren zu durchbrechen.

Während große Konzerne tatsächlich von diesen Veränderungen profitieren könnten, haben kleine und mittlere Unternehmen viel zu verlieren. Wenn du ein KMU führst, hast du vielleicht schon einen Anstieg an Phishing-Versuchen oder anderen verdächtigen Aktivitäten an den Rändern deines Unternehmens bemerkt. Die neuesten Daten erklären warum.

Wie Ransomware funktioniert

Ransomware ist eine Art von Malware, die Hacker verwenden, um den Zugriff auf Daten, Systeme und Netzwerke zu sperren. Dann fordern sie eine Lösegeldzahlung von den Eigentümern im Gegenzug für die Freigabe des Zugriffs. Sie wird typischerweise über E-Mail-Anhänge, Textnachrichten und Websites verbreitet, aber kreative Hacker haben sogar Vorstellungsgespräche(neues Fenster) und Vorschläge via Signal(neues Fenster) genutzt, um zu versuchen, Ransomware bereitzustellen.

Regierungen empfehlen nicht, Lösegeld zu zahlen, und können Unternehmen tatsächlich dafür bestrafen. Zum Beispiel verhängen sowohl die britische Regierung(neues Fenster) als auch die US-Regierung(neues Fenster) Finanzsanktionen gegen Ransomware-Angreifer, und Zahlungen an diese können zu Geldstrafen oder Gefängnisstrafen führen.

Um die gesamte Ransomware-Landschaft zu sehen, müssen wir verstehen, wie Organisationen unterschiedlicher Größe ins Visier genommen werden. Dies ist einer der Gründe, warum wir unser Data Breach Observatory gestartet haben.

Unternehmen aller Größen sind von Ransomware betroffen, aber in den letzten Jahren zeigen Trends, dass sich Ransomware-Gruppen weniger darauf konzentrieren, große Organisationen für große Auszahlungen ins Visier zu nehmen, und mehr auf kleinere Unternehmen für kleinere Auszahlungen. Also, was können wir aus der Forschung, die diese Trends untersucht, ableiten?

Der Stand von Ransomware im Jahr 2025

Die Cybersecurity-as-a-Service-Firma Sophos veröffentlicht einen jährlichen Bericht, der die Realität von Ransomware untersucht. Laut dem Sophos State of Ransomware-Bericht 2025:

  • Die durchschnittliche (mediane) Lösegeldforderung ist im letzten Jahr um ein Drittel (34 %) gesunken und lag 2025 bei 1.324.439 $ im Vergleich zu 2 Millionen $ im Jahr 2024.
  • Die durchschnittliche (mediane) Lösegeldzahlung ist im letzten Jahr um 50 % gefallen, runter von 2 Millionen $ im Jahr 2024 auf 1 Million $ im Jahr 2025.
  • Der Hauptfaktor hinter diesem Rückgang ist eine Reduzierung des Prozentsatzes der Lösegeldzahlungen von 5 Millionen $ oder mehr, runter von 31 % der Zahlungen im Jahr 2024 auf 20 % im Jahr 2025.
  • Das dritte Jahr in Folge identifizierten Opfer ausgenutzte Cybersicherheits-Schwachstellen als die häufigste technische Hauptursache des Angriffs, verwendet in 32 % der Vorfälle.

Der Wert einzelner Zahlungen ist drastisch gesunken. Wir können dies auf mehrere Faktoren zurückführen. Größere Unternehmen investieren mehr in die organisatorische Cybersicherheit und sind sich potenzieller Bedrohungen bewusster als in der Vergangenheit, was ihnen hilft, mehr Angriffen zu entgehen. Größere Unternehmen sind sich auch bewusster, dass Behörden empfehlen, nicht mit Hackern zu verhandeln oder Lösegeld zu zahlen, und dass dies tatsächlich illegal sein kann. Datenverschlüsselung und Backups werden auch für Organisationen aller Größen alltäglicher, was das Risiko von Datenverlust reduziert und die Motivation verringert, ein Lösegeld zu zahlen.

Zum Beispiel zahlte die australische Fluggesellschaft Qantas kein Lösegeld und verhandelte nicht, als sie vom Kollektiv Scattered Lapsus$ Hunters ins Visier genommen wurde, was zu einem Datenleck führte, das 5,7 Millionen Qantas-Kunden betraf. Die australische Regierung hält daran fest, dass dies die richtige Maßnahme war und hat sich nicht in Bezug auf eine potenzielle Geldstrafe für das Datenleck geäußert.

Um die Verluste aus gescheiterten Angriffen wie bei Qantas auszugleichen, nehmen Ransomware-Gruppen kleine Unternehmen häufiger ins Visier, fordern aber weniger. Es ist weniger wahrscheinlich, dass KMUs über angemessene Verteidigungsmaßnahmen verfügen, und wahrscheinlicher, dass sie kapitulieren, weil ihre finanziellen Umstände tendenziell fragiler sind. Ein Verizon-Bericht legt nahe, dass Ransomware 88 % der Cybersicherheitsangriffe auf KMUs darstellt, gegenüber nur 39 % bei großen Unternehmen.

So schützt du dein Kleinunternehmen vor Ransomware

Ransomware-Schutz muss für KMUs nicht teuer sein – mit den richtigen Tools und den richtigen Vorbereitungen kann sich jedes Unternehmen effektiv schützen.

Sei vorbereitet

Kein Unternehmen ist zu klein, um für Cyberkriminelle interessant zu sein. Selbst wenn dein Unternehmen vier Kunden und zwei Mitarbeiter hat, erstellst du immer noch sensible Daten, die für Hacker wertvoll sind. Es ist weniger wahrscheinlich, dass KMUs die Ressourcen für einen Vollzeit-Cybersicherheitsexperten haben, daher hilft Bildung für jeden Mitarbeiter, die Cybersicherheit deiner Organisation zu einer Teamleistung zu machen. Einige deiner besten Tools gegen das Opferwerden einer Ransomware-Gruppe sind:

  • Aufklärung von Teammitgliedern über Ransomware-Angriffe, um Risiken wie das Klicken auf verdächtige Links in E-Mails oder das Nicht-Erkennen einer gefälschten E-Mail zu eliminieren.
  • Das Erstellen eines Reaktionsplans für Vorfälle hilft deiner Organisation genau zu verstehen, welche Daten du hast, wo sie gespeichert sind und welche Sicherheitsmaßnahmen du ergreifst, um sie sicher zu halten.
  • Schaffung einer Kultur der Transparenz und Offenheit. Teammitglieder sollten sich wohl dabei fühlen, Fragen zur Cybersicherheit zu stellen und potenzielle Risiken zu melden.
  • Einsatz von Bedrohungserkennung und Netzwerküberwachung für dein Unternehmensnetzwerk, um verdächtige Anmeldeversuche zu identifizieren, und stelle sicher, dass Zwei-Faktor-Authentifizierung aktiviert ist.

Finde die richtigen Tools

Es kann schwierig sein, den Wert proaktiver Maßnahmen gegen Ransomware zu sehen, besonders wenn es um den ROI geht, aber denk daran: Prävention ist günstiger, als für die Wiederherstellung nach einem Datenleck zu zahlen. Sichere alltägliche Tools können kosteneffektiv sein und gleichzeitig dein Unternehmen schützen:

  • Ein sicherer Passwort-Manager hält die Passwörter deines Unternehmens verschlüsselt und stellt sicher, dass sie nicht von Hackern exfiltriert werden können. Er ermöglicht auch das sichere Teilen von Passwörtern, wo nötig, ohne die Sicherheit zu gefährden.
  • Robuster Anti-Phishing- und Anti-Malware-Schutz für deinen E-Mail-Anbieter kann verhindern, dass deine Teammitglieder überhaupt gefährliche E-Mails erhalten.
  • Ein verschlüsseltes Drive ist der sicherste Ort für all deine Unternehmensdaten. Die Wahl einer einfach zu bedienenden Lösung, die Teammitglieder sicher von jedem Gerät und jedem Standort aus nutzen können, reduziert das Risiko unbefugten Zugriffs erheblich. Du kannst auch verschlüsselten Cloud-Speicher für Backups nutzen, was Ransomware-Angriffe machtlos macht.
  • Wenn Teammitglieder ein VPN nutzen, um auf dein Unternehmensnetzwerk zuzugreifen, verbessert dies die Zugriffskontrollen erheblich und schützt vor Malware und Man-in-the-Middle-Angriffen.

Erwarte Ransomware-Angriffe

Als KMU könntest du annehmen, dass deine Organisation zu klein(neues Fenster) ist, um für einen Ransomware-Angriff von Interesse zu sein. Tatsächlich wirst du sehr wahrscheinlich ins Visier genommen, weil du ein KMU bist. Selbst wenn Hacker eine kleinere Auszahlung erhalten, macht ein Mangel an Infrastruktur und Ressourcen einen Angriff weitaus wahrscheinlicher erfolgreich. Um die Überlebenschancen deines Unternehmens bei einem Ransomware-Angriff zu maximieren, musst du die richtigen Notfallpläne haben. Es ist sicherer, Pläne für einen Angriff zu machen, der nicht passiert, als keinen Plan für einen erfolgreichen Angriff zu haben.

  • Sichere deine Schlüsselsysteme und Speicher regelmäßig. Falls du den Zugriff verlierst, reduziert die Wiederherstellung aus einem Backup deine Ausfallzeit erheblich.
  • Netzwerksegmentierung hilft dir, den Zugriff schneller abzuschalten, falls es einem Hacker gelingt, in dein Netzwerk einzudringen.
  • Verwende Zero-Trust-Prinzipien, um sicherzustellen, dass jedes Teammitglied nur Zugriff auf die Daten hat, die es benötigt, und nicht mehr.
  • Halte Apps aktualisiert, um Zero-Day-Exploits zu vermeiden.