Ransomware entwickelt sich dank KI rasant weiter. Cybereasons Ransomware-Report zeigt: Angriffe nehmen zu, besonders in nicht-englischsprachigen Ländern. Unternehmen glauben, vorbereitet zu sein, sind es aber oft nicht. Prävention ist entscheidend: Backup-Strategien, Schulungen und spezialisierte Schutzlösungen sind unerlässlich, um Ransomware effektiv abzuwehren.
Ransomware-Bedrohungen sind weiter auf dem Vormarsch. Besonders KI-getriebene Angriffe und unzureichende Vorbereitung setzen Unternehmen unter Druck.
(Bild: Dall-E / KI-generiert)
Was als einfache Idee begann – das Verschlüsseln von Daten und die Erpressung von Geld, um den Zugang zu ihnen zurückzubekommen – hat sich in den letzten Jahren zu einem komplexen "Schweizer Taschenmesser" entwickelt. Generative KI und allen voran ChatGPT sind auf der Bildfläche erschienen und treiben die nächste Evolution von Ransomware voran.
Wie hat sich die Häufigkeit und Effektivität von Ransomware-Angriffen in den letzten Jahren verändert? Warum haben die Angreifer vor allem in nicht-englischsprachigen Ländern wie Italien, Deutschland, Frankreich und Japan immer mehr Erfolg? Wie sind Unternehmen auf aktuelle Ransomware-Angriffe vorbereitet? Welche Schutzstrategien fahren sie? Haben sie eine Cyberversicherung und wie hilft diese bei einer Ransomware-Attacke? Hilft es, Lösegelder zu zahlen bzw. was sind die Folgen, wenn sie (nicht) zahlen? Und vor allem: Wie können sich Unternehmen wirklich vor Ransomware schützen? Diese Fragen hat Cybereason Unternehmen gestellt. Nachfolgend sind die wichtigsten Ergebnisse zusammengefasst.
Häufigkeit und Effektivität von Ransomware-Angriffen nehmen zu
Nie zuvor war die Bedrohungslage im Cyberraum so hoch wie heute. Der seit 2021 jährliche Ransomware-Report von Cybereason belegt einen raschen Anstieg von Ransomware-Attacken. Wurden 2021 55 Prozent der befragten deutschen Unternehmen Opfer von Ransomware, waren es 2022 bereits 73 Prozent. 2023 erlebten 9 von 10 Unternehmen einen Ransomware-Angriff. 63 Prozent wurden 2023 sogar mehr als nur einmal angegriffen. Dabei werden die Angriffe immer raffinierter – auch durch KI wie ChatGPT und Co., die den Kriminellen dabei helfen, immer schneller neue Angriffsmuster zu erstellen und in immer mehr Sprachen im Darknet anzubieten. Denn mit dem Konzept Cybercrime-as-a-Service verkaufen Cyberkriminelle Ransomware auch an weniger versierte Angreifer weiter. Mit KI lässt sich auch erklären, warum Ransomware in nicht-englischsprachigen Ländern immer mehr Erfolg hat. Aber KI hilft den Angreifern noch in weiteren Bereichen: Deepfakes – manipulierte Bilder, Videos und Stimmen – werden mit ihr immer authentischer und sind dadurch immer schwerer zu entlarven. KI macht Phishing-Mails auch glaubwürdiger, übersetzt sie fehlerfrei oder generiert automatisiert Schadcode – und das deutlich schneller und zum Teil wesentlich besser als menschliche Cyberkriminelle. Das macht es für die Angreifer leichter, Ransomware-Angriffe durchzuführen – und für Unternehmen wichtiger als je zuvor, sich entsprechend vorzubereiten.
Unternehmen fühlen sich angemessen vorbereitet – sind es aber oft nur teilweise
Zwar sagen fast alle befragten Unternehmen (98 Prozent), dass sie einen Ransomware-Angriff effizient managen könnten. Die meisten haben jedoch entweder nur einen Plan (24 Prozent) oder nur ein Team (55 Prozent) aufgestellt. Für eine angemessene Vorbereitung braucht es aber beides bzw. noch mehr (dazu später). Nur knapp 20 Prozent haben sowohl einen Plan als auch die entsprechenden Mitarbeitenden. Übrigens ist das häufigste Einfallstor für Ransomware (bei 47 Prozent der befragten deutschen Unternehmen) die Lieferkette. Hierauf sollten Unternehmen also ein besonderes Augenmerk legen und ggf. erforderliche Investitionen einplanen.
Ransomware-Schutz ist oft unvollständig
Fast die Hälfte (48 Prozent) der befragten deutschen Unternehmen hat ihre Security-Budgets für Ransomware-Schutz im letzten Jahr um mehr als 50 Prozent erhöht. Trotzdem fehlt es vielen Unternehmen an ausreichenden Ressourcen, Tools, Plänen und Fähigkeiten, um Ransomware-Angriffe zu verhindern, zu erkennen oder zu beenden bzw. in den Griff zu bekommen. Nicht zuletzt wegen des Fachkräftemangels fehlt vielen Unternehmen qualifiziertes Sicherheitspersonal, das IT-Systeme vorausschauend resilienter macht und Angriffe abwehrt – das A und O gegen Ransomware. Außerdem können viele kleine und mittelständische Unternehmen dafür gar keine eigene Stelle schaffen. Auch auf der Tool-Seite sind viele Unternehmen in Sachen Abwehr noch schlecht aufgestellt. Klar ist: Wer bei Personal, Expertise und Tools Defizite hat, muss Expertenwissen und technologische Unterstützung extern einkaufen. Denn Lösegeld zahlen löst das Problem nicht.
Lösegeld zahlen ist die falsche Strategie
76 Prozent der in der Studie befragten deutschen Unternehmen, die Lösegeld gezahlt haben, wurden erneut angegriffen – 86 Prozent davon innerhalb der nächsten zwölf Monate. Nur 32 Prozent erhielten ihre Daten und Lösungen nach der Zahlung unbeschädigt und brauchbar zurück. Doch viel mehr steht durch Ransomware auf dem Spiel als nur hohe Geldforderungen: Produktions- oder Service-Ausfälle, Umsatzeinbußen, Personalabbau oder sogar Geschäftsschließungen, Datenverlust, die Veröffentlichung von Kundendaten, der Verlust von Know-how oder Alleinstellungsmerkmalen an Wettbewerber, Reputations- und Vertrauensverlust, rechtliche Konsequenzen etc. Rund 50 Prozent der befragten deutschen Unternehmen, die schon Ransomware-Opfer wurden, gehen von einem Gesamtverlust durch Ransomware von 1-10 Millionen US-Dollar aus – rund zehn Prozent von über 10 Millionen US-Dollar. Das zeigt: Auch wenn präventive Sicherheitsmaßnahmen kosten – sie sind ihr Geld wert. Darauf zu setzen, nicht angegriffen zu werden, ist angesichts der zunehmenden Häufigkeit und des Schweregrades von Ransomware-Attacken geradezu riskant und fahrlässig.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cyberversicherungen – bei Ransomware nicht ausreichend
Zwar haben fast 100 Prozent der deutschen Unternehmen eine Cyberversicherung. Aber nur bei 32 Prozent ist Ransomware mitabgedeckt. Vor allem für jene, die Ransomware nicht versichert haben, sind präventive Maßnahmen besonders wichtig. Allerdings kann eine Cyberversicherung zwar Lösegelder bezahlen, aber nicht dafür garantieren, dass Unternehmen ihre Daten unversehrt wieder zurückbekommen. Von denen, die das Lösegeld zahlten, bekamen laut Studie nur gut die Hälfte ihre Daten unversehrt wieder zurück, 9 Prozent gar nicht und 32 Prozent nur unvollständig bzw. korrumpiert. Im Übrigen kann eine Cyberversicherung gegen eine ruinierte Reputation auch nichts tun.
Prävention ist das A und O gegen Ransomware
Unternehmen sollten daher in jedem Fall auf die Prävention und rechtzeitige Erkennung von Ransomware-Aktivitäten setzen. Ransomware-Angriffe erfordern eine proaktive und mehrschichtige Verteidigung, die verschiedene Sicherheitsebenen abdeckt. Dazu gehören regelmäßige Backups, um stets auf aktuelle Daten und Dateien zurückgreifen zu können. Kontinuierliche Software-Updates und Patches sind ebenfalls entscheidend, um bereits bekannte Schwachstellen zu schließen und Angriffsvektoren zu minimieren. Auch das Sicherheitsbewusstsein und Schulungen der Mitarbeitenden sind wichtig, damit sie Phishing-Angriffe erkennen und nicht darauf hereinfallen. Außerdem sollten auf sensible Daten und Systeme nur autorisierte Benutzer Zugriff haben – ein optimales Zugriffs- und Identity-Management ist hier ausschlaggebend. Für den Fall eines Ransomware-Angriffs ist die vorbeugende Erstellung eines Notfallplans unerlässlich: Wer kümmert sich, wie wird reagiert, wo sind die Back-ups für die Wiederherstellung der Daten und Systeme und wer übernimmt diese Aufgaben – das alles sollte präventiv festgelegt und regelmäßig geübt werden. Auch die Kommunikation mit Mitarbeitenden Kunden, Partnern und Behörden sollte im Falle eines Falles vorbereitet sein. Alle diese Aufgaben sind aufwändig und erfordern Know-how und Erfahrung sowie entsprechende Tools. Es sollte in spezialisierte, prädiktive Ransomware-Schutzlösungen investiert werden, die präventive, aufdeckende und reaktive Funktionen beinhalten. So lassen sich Ransomware-Angriffe bereits im Frühstadium verhindern, erkennen und stoppen.
Über den Autor: Reiner Dresbach ist Regional Vice President Central Europe bei Cybereason.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9d/0d/9d0db39410647c0a39d3ed7f5f887407/0126474605v1.jpeg "Ransomware trifft deutsche Unternehmen häufiger und erfolgreicher als internationale Wettbewerber. (Bild: © arrow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")