Der Branchenverband Bitkom ermittelte seit 2019 bis Ende 2021 einen Anstieg der Schäden durch Ransomware um 358 Prozent. Wobei das Lösegeld vergleichsweise immer noch einen kleinen Teil an den Gesamtkosten eines Ransomware-Angriffs ausmacht.
CISOs sollten nicht die Symptome (Ransomware), sondern die Ursachen wie beispielswiese Cyber-Hygiene, Endpunkt-Erkennungs- und Reaktionsstrategie angehen.
(Bild: ryanking999 - stock.adobe.com)
IT-Security-Experten gehen davon aus, dass Hacker in Zukunft immer aggressivere vorgehen werden, um Unternehmen zur Zahlung größerer Lösegelder zu zwingen. Wobei die Kosten insbesondere für Ausfallzeiten, Datendiebstahl vor der Verschlüsselung, Upgrades, Lösegeld sowie die Beschädigung der Reputation dramatisch zunehmen werden.
Kosten für Systemausfälle
Im Zusammenhang mit Ransomware-Angriffen bilden die Kosten für Ausfallzeiten einen der größten Posten. Die Opfer sind oft Tage und manchmal sogar Wochen damit beschäftigt, die Systeme wiederherzustellen. Das heißt, bisweilen erhebliche Umsatzeinbußen, Verzögerungen bei Rechnungsstellungen, verlorene Kunden, Imageschäden uvm. Fachleute sind der Ansicht, dass angegriffene Unternehmen mindestens fünf Tage benötigen, um sich von einem Ransomware-Angriff zu erholen. Tendenz allerdings massiv ansteigend.
Die Kosten für eine durchschnittliche Ausfallzeit aufgrund eines Ransomware-Angriffs können bis zu 250.000 Euro betragen. Dies ist vergleichsweise um einiges höher als eine durchschnittliche Lösegeldforderung. Was wiederum Unternehmen dazu animieren kann, den Erpressungsversuchen der Hacker nachzugeben. Solche Zahlen verdeutlichen, dass Unternehmen gut beraten sind, sich um eine durchwegs durchdachte Strategie für die Cyber-Resilienz bemühen und einen Notfallplan für ihre Geschäftskontinuität zulegen sollten.
Für die Erstellung eines Business-Continuity-Plans müssen die Kriterien der Recovery Time Objective (RTO) und Recovery Point Objective (RPO) berücksichtigt werden. Unter einer RTO versteht man die Wiederherstellungszeit, also die maximale Zeitspanne, innerhalb derer ein Geschäftsbetrieb wiederhergestellt werden muss. Des Weiteren bestimmt die RTO auch die maximale Zeitspanne, die ein Unternehmen ohne Datenzugriff auskommen kann, bevor es gefährdet ist. Der Wiederherstellungszeitpunkt (RPO) beschreibt die Zeitspanne, die benötigt wird, um noch nutzbare Daten abzurufen. Zudem legt der RPO die Anzahl der Datensicherungen fest.
Datendiebstahl vor der Verschlüsselung
Besorgniserregend ist die Tendenz, dass Ransomware-Hacker zusehends dazu übergegangen sind, große Volumina an sensiblen Daten von Opfern zu stehlen, bevor sie deren Systeme sperren, um mit den gestohlenen Daten zusätzlich Geld zu erpressen. Sollen sich die Opfer weigern, das Lösegeld zu zahlen, geben die Hacker die gestohlenen Daten über selbst eingerichtete dunkle Websites an Dritte weiter.
Dies erhöht das Risiko eines Datenlecks. Das bedeutet, dass selbst wenn sich die Systeme ohne größere Ausfallzeiten wiederherstellen lassen, Kosten wie beispielsweise Markenschäden, Anwaltskosten, Bußgelder und Aufräumarbeiten nach einem Datenverlust anfallen können. Ransomware-Opfer müssen nun damit rechnen, dass ihre sensiblen Daten an die Öffentlichkeit gelangen oder an Konkurrenten verkauft werden.
Daraus folgt, dass die Opfer von Ransomware-Angriffen am Ende wohl oder übel die Hauptlast der finanziellen Strafen von Aufsichtsbehörden tragen müssen, da die Veröffentlichung von gestohlenen Daten, wiederum Verstöße gegen Vorschriften des Datenschutzes darstellen.
Kosten für Upgrades und Aufrüstungen
Vielfach werden nach einem Ransomware-Angriff die Kosten unterschätzt, die nicht nur für die Reaktion auf die Bedrohung, sondern auch für die Sicherung des IT-Systems gegen weitere Angriffe auflaufen. Im Falle der Zahlung eines Lösegelds und Freigabe der infizierten Rechner verfügen die Opfer über keine Garantie, dass die Hacker sich keinen Zugang mehr in das System vorbehalten haben.
Des Weiteren ist unklar, ob die Angreifer nicht noch mehr Malware in die Systeme eingebracht oder ihren illegalen Zugang nicht an weitere Hacker verkauft haben. So bestehen keine Garantien, dass die Hacker nach der Bezahlung des Lösegelds die gestohlenen Daten löschen oder den Zugang zum Netzwerk des Angegriffenen aufgeben.
Das bedeutet, um sich vor weiteren Bedrohungen abzusichern, ist es angeraten, dass die Opfer nicht nur ihre Infrastruktur aufrüsten, sondern auch bessere Kontrollsysteme implementieren. Dies können für viele Betroffene „versteckte Kosten“ bedeuten, da sie oftmals zu wenig Berücksichtigung finden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kosten eines Lösegelds
Nicht wenige Betroffene glauben, dass das Bezahlen von Lösegeld billiger sei als die eigene Wiederherstellung der Daten. Umfragen hatten ergeben, dass die Unternehmen, die sich für das Bezahlen eines Lösegelds entschieden haben, letztlich doppelt so hohe Gesamtkosten zu tragen hatten wie diejenigen, die darauf verzichtet haben.
Dies rührt daher, dass die betroffenen Unternehmen immer noch viel Arbeit leisten müssen, um die Daten wiederherzustellen. Denn die Kosten für die Datenwiederherstellung und die Rückkehr zur Normalität sind in etwa gleich hoch, ob nun die Daten aus einem Backup oder mit einem vom Hacker bereitgestellten Entschlüsselungsschlüssel wieder hergestellt werden müssen. Das Lösegeld kommt dann nur noch oben drauf.
Beschädigung der Reputation
Ransomware-Attacken können das Vertrauen der Kunden durchaus schwer beschädigen und dazu führen, dass ein betroffenes Unternehmen Kunden und Aufträge verliert und dadurch schmerzhafte Umsatzeinbußen erleiden muss. In Umfragen von Marktforschungsinstituten gaben knapp 30 Prozent der Teilnehmer an, dass sie das Unternehmen wechseln würden, wenn sie auch nur eine einzige Unterbrechung des beanspruchten Services erleben oder davon Kenntnis erlangten, dass ihre persönlichen Daten gehackt werden würden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/50/e5/50e5a27bd19160b6f2e63b1612e120da/0124507313v1.jpeg "Die Architektur der Cohesity-Plattform ist vielseitig einsetzbar. (Bild: Cohesity)")
:quality(80)/p7i.vogel.de/wcms/ab/4e/ab4e5bf9d5b3634797e75b288292a32e/0122087407v1.jpeg "Wasserdichte Backups sind die verlässliche Grundlage im Kampf gegen Ransomware & Co. – doch bei der Datenwiederherstellung kommt es vor allem auf den Faktor Zeit an. (Bild: Siarhei - stock.adobe.com)")