57 Prozent aller Ransomware-Angriffe nehmen ihren Ausgang an einem mobilen, remote genutzten oder hybriden Endgerät. Die durchschnittliche Wiederherstellung dauert fünf Tage, in Einzelfällen bis zu zwei Wochen. Immer mehr Unternehmen zahlen im Ernstfall Lösegeld, statt Fähigkeiten zu entwickeln, Angriffe operativ zu verkraften.
Der Laptop im Homeoffice wird selten als Sicherheitsrisiko behandelt, ist aber Ausgangspunkt der meisten Ransomware-Angriffe. Ist der Ernstfall da, dauert die Wiederherstellung im Schnitt fünf Tage.
Daten verschlüsseln, Lösegeld fordern und auf eine Zahlung hoffen. Was ursprünglich als vergleichsweise einfache Methode von Cyberkriminellen begann, zählt heute zu den komplexesten, am besten skalierbaren und finanziell folgenschwersten Bedrohungen für Unternehmen: Ransomware.
Von der Verschlüsselung zur Erpressung: das RaaS-Modell
Ransomware-as-a-Service (RaaS) hat aus einer einst spezialisierten Form der Cyberkriminalität ein skalierbares Geschäftsmodell gemacht, das inzwischen auch von Akteuren mit geringem technischem Know-how genutzt werden kann. Die Betreiber der Ransomware stellen Schadsoftware, Infrastruktur und sogar Verhandlungsservices bereit, während ihre Partner gezielt Opfer auswählen und Angriffe durchführen – gegen eine Beteiligung an den erpressten Einnahmen. So ist ein professionell organisiertes kriminelles Ökosystem entstanden, das in Struktur, Effizienz und Skalierung zunehmend wie ein reguläres Unternehmen funktioniert.
Phishen mit KI
Die folgenreichste Entwicklung in der aktuellen Ransomware-Landschaft ist der Einsatz künstlicher Intelligenz (KI) durch Angreifer. Mithilfe von KI lassen sich täuschend echte Phishing-Kampagnen in großem Umfang erstellen, Schwachstellen automatisiert identifizieren, laterale Bewegungen innerhalb von Netzwerken beschleunigen und neue Malware-Varianten entwickeln, die klassische signaturbasierte Schutzmechanismen umgehen können.
Die Frage, ob im Fall eines Ransomware-Angriffs Lösegeld gezahlt werden sollte, beantworten viele CISOs inzwischen mit „ja“. Laut der aktuellen Umfrage The Ransomware Reality: Zero Days to Recover unter 750 CISOs aus den Vereinigten Staaten und dem Vereinigten Königreich ziehen 58 Prozent in Betracht, auf die Forderungen von Cyberkriminellen einzugehen, um einen Angriff zu beenden. Gleichzeitig sehen 46 Prozent der Befragten Betriebsunterbrechungen als die gravierendste mögliche Folge eines Ransomware-Vorfalls für ihr Unternehmen an.
Am Anfang steht der Endpunkt
Die Sorge vor Ransomware hängt eng mit der Frage zusammen, über welche Wege Angriffe heute erfolgen und wo sie den größten Schaden anrichten. Da mittlerweile viele Mitarbeiter vollständig remote arbeiten oder hybride Arbeitsmodelle nutzen, haben sich verteilte Endgeräte zu einer zentralen Angriffsfläche entwickelt.
55 Prozent der befragten CISOs berichteten, dass ihr Unternehmen innerhalb der vergangenen zwölf Monate von einem schwerwiegenden Cyberangriff oder Sicherheitsvorfall betroffen war, der Endgeräte außer Betrieb setzte. Im Durchschnitt dauerte die kostenintensive Wiederherstellung fünf Tage, in einzelnen Fällen sogar bis zu zwei Wochen. Keinem der befragten Unternehmen gelang eine vollständige Wiederherstellung innerhalb von 24 Stunden.
Besonders deutlich wird die Problematik beim Blick auf konkrete Ransomware-Fälle: 57 Prozent der CISOs gaben an, dass der Angriff über ein mobiles, remote genutztes oder hybrides Endgerät seinen Ausgang nahm. Gelangt Ransomware über ein solches Gerät in die Unternehmensumgebung, führt dies häufig zum Ausfall des betroffenen Systems – insbesondere dann, wenn keine integrierten Resilienz- und Schutzmechanismen auf Geräteebene vorhanden sind.
Die eingangs beschriebene doppelte Erpressung, also die Kombination aus Datenverschlüsselung und dem Diebstahl sensibler Informationen, ist inzwischen zum Standardvorgehen vieler Angreifer geworden. Zunehmend verbreitet sind zudem sogenannte Dreifach-Erpressungen, bei denen zusätzlich DDoS-Angriffe durchgeführt oder gezielt Kunden und Geschäftspartner der betroffenen Organisation unter Druck gesetzt werden. Durch diese mehrstufigen Angriffsmethoden reicht eine reine Wiederherstellung aus Backups heute nicht mehr aus, auch wenn sie weiterhin ein zentraler Bestandteil der Reaktion bleibt.
Für Sicherheitsverantwortliche bedeutet diese Entwicklung, ihre bisherigen Strategien neu auszurichten. Unternehmen mit der höchsten Widerstandsfähigkeit gegen Ransomware sind nicht zwangsläufig jene mit den komplexesten Erkennungs- und Präventionslösungen. Entscheidend ist vielmehr die Fähigkeit, Angriffe operativ zu verkraften, Ausfälle zu begrenzen und geschäftskritische Systeme schnell wiederherzustellen, bevor die Auswirkungen eines Angriffs das Unternehmen umfassend beeinträchtigen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Methodik
Zur Erstellung des Berichts „The Ransomware Reality: Zero Days to Recover“ führte Absolute Security in Zusammenarbeit mit Censuswide eine unabhängige Umfrage unter 750 CISOs durch: 500 in den Vereinigten Staaten und 250 im Vereinigten Königreich. Die Befragten stammen aus Großunternehmen mit 5.000 oder mehr Mitarbeitern. Die Umfrage wurde im November 2025 abgeschlossen und lieferte Erkenntnisse von Führungskräften aus sieben verschiedenen Bereichen: Gesundheitswesen, Finanzdienstleistungen, Bildung, Öffentlicher Sektor, Einzelhandel, Fachdienstleistungen und Energie.