Die Bezahlung von Lösegeld – und eine entsprechende Versicherungspolice – kann zu einem falschen Sicherheitsgefühl gegenüber Ransomware führen. Doch das ist nicht das einzige Problem.
Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht.
(Bild: vchalup - stock.adobe.com)
Laut einer Studie von Cohesity zahlen mehr Unternehmen denn je Lösegeld bei Ransomware-Angriffen. Und die zentrale Ursache dafür ist, dass ihre Maßnahmen für Sicherheit und Datenwiederherstellung nicht ausreichend sind. Entsprechend ist es an der Zeit, dass sie einen genaueren Blick darauf werfen, welche Sicherheitsprodukte und -dienstleistungen sie nutzen. Schließlich werden Ransomware-Angriffe weiter zunehmen, insbesondere wenn sich Unternehmen einfach auf eine Cyberversicherung verlassen und im Falle eines Angriffs Lösegeld zahlen. Das heizt die Kriminalität weiter an, so dass die Gefahr erhöht statt das Problem gelöst wird.
Tatsächlich entsteht durch Cyber-Versicherungen ein trügerisches Gefühl der Sicherheit. Viele Unternehmen halten dann eine umfassend getestete Cyberresilienz-Strategie nicht mehr für nötig. Aber auch in Firmen ohne eine solche Versicherung schwindet die Unterstützung dafür. Dies belegt eine aktuelle Studie von RUSI, wonach „es tatsächlich keine zwingenden Beweise dafür gibt, dass Opfer mit einer Cyberversicherung eher Lösegeld zahlen als solche ohne.“
Keine Garantie für Wiederherstellung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist jedoch darauf hin, dass Unternehmen, die Lösegeld zahlen, keine Garantie dafür haben, wieder Zugang zu ihren Daten oder Systemen zu erhalten. Viele gut dokumentierte Fälle mit Lösegeld-Zahlung zeigen, dass die daraufhin zur Verfügung gestellten Schlüssel in keiner Weise strukturiert waren. Dies führte zu problematischen und oft nicht synchronisierten Prozessen und damit zu einer langwierigen Wiederherstellung der Geschäftsabläufe. Außerdem ist es sehr wahrscheinlich, dass die Computer infiziert bleiben und das Unternehmen in Zukunft erneut angegriffen wird.
Hinzu kommt natürlich das Problem, dass Geld an kriminelle Banden fließt. In Deutschland ist es nach derzeitigem Stand zwar grundsätzlich keine Straftat, Lösegeld zu bezahlen, durchaus aber in anderen Ländern. So hat das US-Finanzministerium bereits 2020 darauf hingewiesen, dass man sich dadurch strafbar machen kann. Auch das britische Office of Financial Sanctions Implementation (OFSI) erinnert in ihren Leitlinien Unternehmen daran, dass die Zahlung von Lösegeld an bestimmte Organisationen eine schwere Straftat darstellt.
So ist die Vorstellung absurd, eine Versicherung für Lösegeldzahlung wäre eine akzeptable Möglichkeit zur Gefahrenabwehr. Wenn überhaupt, dann führt dies in Unternehmen zur irrigen Annahme, sie seien gegen Ransomware-Angriffe abgesichert. Das ist ein großes Problem. Denn dies kann durchaus zu folgender Situation führen: Erst zahlen Unternehmen für eine Versicherung, welche die Zahlung des Lösegelds übernimmt, anschließend eine Geldstrafe für das Übertreten von Gesetzen oder Anordnungen, danach eine Geldstrafe für die Nichteinhaltung von Branchen-SLAs, dann Strafen für die Sicherheitsverletzung, schließlich für die Folgekosten wie Datenverlust, Wiederherstellung einschließlich Unterstützung durch Dritte, nachgelagerte Kundenauswirkungen und so weiter ... Die Cyberversicherung deckt höchstens Teile davon ab.
Wenig Vertrauen in Unternehmen
Kein Wunder, dass die Gefahr zunimmt: Gemäß der genannten Cohesity-Studie sagen 94 Prozent der Befragten in Deutschland, dass die Bedrohung durch Ransomware-Angriffe für ihre Branche 2023 im Vergleich zum Vorjahr gestiegen ist. Fast die Hälfte der deutschen Unternehmen war in den ersten sechs Monaten Ziel einer Ransomware-Attacke. Dabei bezweifeln 81 Prozent, dass ihre Cyberresilienz-Strategie die heutigen Herausforderungen und Bedrohungen bewältigen kann.
Es überrascht auch nicht, dass über zwei Drittel der befragten IT-Experten (71 Prozent) nicht voll und ganz darauf vertrauen, dass ihr Unternehmen im Falle eines systemweiten Cyberangriffs Daten und kritische Geschäftsprozesse vollständig wiederherstellen kann. Fast 80 Prozent der Befragten in Deutschland sagen, dass dies mehr als drei Tage dauern würde, fast die Hälfte (48 Prozent) geht von mehr als einer Woche aus. Jedes fünfte Unternehmen (20 Prozent) benötigt dazu sogar über drei Wochen. Entsprechend würden 73 Prozent Lösegeld zahlen, wenn sich damit Daten und Geschäftsprozesse schneller wiederherstellen ließen.
Die lange Dauer der Wiederherstellungsprozesse deutet auf eine fehlende Integration der Maßnahmen für Schutz, Erkennung, Identifizierung, Reaktion und Wiederherstellung hin. Deren enge Verknüpfung wäre auch für eine wirksame Eindämmung von Bedrohungen erforderlich. Aus der Studie geht eindeutig hervor, dass IT- und Sicherheitsteams enger zusammenarbeiten müssen, um eine solidere Strategie für Datensicherheit und Resilienz zu entwickeln. Doch nur 32 Prozent der Befragten in Deutschland sehen die mangelnde Koordination zwischen IT- und Sicherheitsteams als Hindernis für eine schnelle Wiederaufnahme des Betriebs nach einem erfolgreichen Cyberangriff.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der richtige Weg: Schaden minimieren
Eine Herausforderung ist dabei, dass sich die IT-Strukturen aufgrund wechselnder Datenanforderungen immer häufiger ändern müssen. Zusätzlich befinden sich die Daten an verschiedenen Orten: vor Ort, in einer Private oder Public Cloud, in SaaS-Plattformen und -Anwendungen, in Colocation-Rechenzentren und so weiter. Dies erhöht die Komplexität und verwischt die Verantwortungsgrenzen, weshalb der Fokus des Security-Ansatzes auf den Daten selbst liegen muss.
Da es nicht immer möglich ist, einen Sicherheitsvorfall zu verhindern, müssen Unternehmen diesen erkennen und darauf reagieren. Denn eines der offensichtlichsten Probleme nach einem Angriff besteht in einer erneuten Infektion. Die Zahlung eines Lösegelds führt nicht automatisch zur Entfernung der Ransomware von den Systemen des Unternehmens. Die Verantwortlichen sollten nicht darauf vertrauen, dass Kriminelle ihre Versprechungen einhalten, die Systeme nach Zahlung des Lösegelds vollständig wiederherzustellen. Warum sollte ein Angreifer keinen Code im System versteckt hinterlassen, um ihn später zu nutzen? Ein erneuter Hack für einen anderen Auftraggeber bringt weitere Einnahmen und erhöht die Notwendigkeit für das Opfer zur Wiederherstellung.
Die erwähnte Studie zeigt auch, dass IT- und Sicherheitsverantwortliche nicht völlig davon überzeugt sind, dass ihr Unternehmen eine erneute Infektion nach einem Angriff vermeiden kann. Dies glauben weltweit nur 20 Prozent. Das ist eindeutig zu wenig und liegt wohl daran, dass die Mehrheit eher spontan und ungeplant auf Ransomware reagiert. Stattdessen sollten Unternehmen einen gezielten Ansatz entwickeln, um Bedrohungen durch schnelle, effiziente Reaktion und Wiederherstellung abzuwehren.
Doch wie können sie nicht nur Ransomware und böswillige Insider erkennen, sondern auch durch optimierte Sicherheitstools Schäden vermeiden? An dieser Stelle rücken Backup und Wiederherstellung in den Vordergrund. Moderne Lösungen nutzen die Cloud und Automatisierung, um „Reinräume“ einzurichten sowie Analysen für eine angemessene und rechtzeitige Reaktion durchzuführen. Sie ermöglichen damit einen koordinierten Ansatz für digitale Forensik und die Reaktion auf einen Vorfall in Kombination mit einer sauberen und schnellen Wiederherstellung, welche die Leistungsfähigkeit von Daten und Cloud-basierten Dateisystemen nutzt.
Fazit
Das Bezahlen von Lösegeld ist zu kurz gedacht. Stattdessen benötigen Unternehmen eine intelligente Strategie, bei der ihre kurz- und längerfristigen Interessen hinsichtlich Betrieb und Cyberresilienz im Mittelpunkt stehen. Dabei ist es an der Zeit für eine Neubewertung, ob Versicherungen und Lösegeldzahlungen überhaupt ein Teil davon sein sollten.
Über den Autor: Mark Molyneux ist EMEA CTO bei Cohesity.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/55/9e/559e6a68c78458996759be1048074f0b/0128397299v1.jpeg "Die deutsche Zögerlichkeit ist nicht unbedingt eine Schwäche. Das ist das Ergebnis des Cohesity-Reports. (Bild: © Prostock-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/61/ee612e0a4e0c95d6ea6d787b48c48618/0125189160v2.jpeg "Die Kombination von Datenklassifizierung und KI ermöglicht Unternehmen, Schutzmaßnahmen und Datenwiederherstellung gezielt nach Sensibilität und Geschäftswert auszurichten, um Ausfallzeiten und Datenverluste effektiv zu minimieren.
(Bild: © Manoj - stock.adobe.com)")