Sophos hat jetzt die Ergebnisse der Studie „The State of Ransomware 2021“ veröffentlicht. Demnach haben sich die Durchschnittskosten für die Wiederherstellung nach einem Ransomware-Angriff in Deutschland in einem Jahr mehr als verdoppelt. Und nur acht Prozent der betroffenen Unternehmen haben nach einer Zahlung alle Daten wiederbekommen.
(Quelle: Andrey Popov/shutterstock)
Laut der Studie „The State of Ransomware 2021“ von Sophos kostet die Wiederherstellung der Daten nach einem Ransomware-Angriff in Deutschland im Durchschnitt rund 970.000 Euro.
Nur acht Prozent der weltweit befragten Unternehmen erhalten nach der Lösegeldzahlung ihre Daten vollständig zurück.
54 Prozent der Unternehmen bewerten die Cyberattacken für die eigene IT als zu komplex.
Wie die weltweit durchgeführte Studie „The State of Ransomware 2021“ von Sophos zeigt, haben sich die internationalen Durchschnittskosten für die Wiederherstellung nach einem Ransomware-Angriff in einem Jahr mehr als verdoppelt, nämlich von rund 630.000 Euro in 2020 (Deutschland 390.000 Euro) zu 1,53 Millionen Euro in 2021 (Deutschland 970.000 Euro). Die durchschnittliche Lösegeldzahlung beträgt weltweit 140.000 Euro (in Deutschland 115.000 Euro). Die Studie zeigt auch, dass nur acht Prozent der betroffenen Organisationen im Falle einer Zahlung alle Daten wiederbekommen haben. 29 Prozent der befragten Unternehmen weltweit bekam nicht mehr als die Hälfte der verschlüsselten Daten zurück.
Die Zahl der Organisationen, die Opfer einer Ransomware-Attacke wurden, sank von 51 Prozent (Deutschland 57 Prozent) in 2020 auf 37 Prozent (Deutschland 46 Prozent) in 2021 und weniger Unternehmen litten unter Datenverschlüsselung (54 Prozent in 2021 gegenüber 73 Prozent in 2020). Dennoch enthüllen die neuen Studienergebnisse einen beunruhigenden Trend im Hinblick auf die Auswirkungen eines Ransomware-Angriffs.
Ransomware-Angriff: Erpresser haben ihr Verhalten geändert
„Der vermeintliche Rückgang der betroffenen Organisationen ist eine gute Nachricht, wird aber durch die Tatsache beeinträchtigt, dass diese Zahl zumindest teilweise, Änderungen im Verhalten der Angreifer widerspiegelt“, erklärt Chester Wisniewski, Principal Research Scientist bei Sophos. „Wir haben beobachtet, wie Angreifer von groß angelegten, generischen und automatisierten Angriffen zu gezielteren Angriffen übergehen, die auch menschliches Hacking via Tastatur umfassen. Während die Gesamtzahl niedriger ist, zeigt unsere Erfahrung, dass das Schadenspotenzial dieser zielgerichteten Angriffe weitaus höher ist. Sich von derartigen Attacken zu erholen, ist viel aufwändiger, was sich in den verdoppelten Kosten für die Wiederherstellung der Daten abbildet.“
Die wichtigsten Ergebnisse der Ransomware-Studie
Die durchschnittlichen Kosten für die Erholung nach einer Ransomware-Attacke haben sich in den letzten zwölf Monaten weltweit mehr als verdoppelt (1,5 Millionen Euro 2021). Inklusive zum Beispiel Produktionsstillstand, verlorene Aufträge, Betriebskosten. Im Durchschnitt ist dieser Betrag rund zehn Mal so hoch wie die Lösegeldzahlung selbst.
Während die durchschnittliche Lösegeldhöhe weltweit wie erwähnt 140.000 Euro beträgt, belief sich der höchste Betrag auf rund 2,65 Millionen Euro; Zahlungen in Höhe von etwas über 8.000 Euro wurden am häufigsten genannt. Zehn der befragten Organisationen überwiesen 800.000 Euro und mehr.
Die Anzahl der Organisationen, die Lösegeld zahlten, stieg weltweit von 26 Prozent in 2020 auf 32 Prozent in 2021. Nur acht Prozent erhielten ihre vollständigen Daten zurück.
54 Prozent der Befragtenweltweit (51 Prozent in Deutschland) meint, die Cyberattacken seien zu fortgeschritten, als dass ihre IT-Abteilung diese alleine handhaben können.
Bedenklicher Trend zur Erpressung ohne Verschlüsselung. Sieben Prozent der Befragten weltweit gaben an, dass sie zur Zahlung von Lösegeld aufgefordert wurden, obwohl ihre Daten nicht verschlüsselt wurden. Möglicherweise geschah dies, weil die Angreifer es geschafft hatten, Informationen zu stehlen. Im Jahr 2020 waren das noch drei Prozent.
„Diese Ergebnisse bestätigen die brutale Ransomware-Wirklichkeit: Zahlen lohnt sich nicht. Obwohl mehr Organisationen Lösegeld zahlen, bekommt nur eine Minderheit der Zahlenden die Daten komplett zurück. Das könnte zum Teil daran liegen, dass die Nutzung von Entschlüsselungs-Keys zur Wiederherstellung kompliziert ist. Und selbst wenn die Hacker nach Zahlung des Lösegelds den Code für die verschlüsselten Daten herausrücken, ist das keine Garantie für die erfolgreiche Wiederherstellung. Wie wir zum Beispiel kürzlich bei Ransomware-Attacken durch DearCry und Black Kingdom gesehen haben, können Angriffe, die mit minderwertigen oder überstürzt kompilierten Codes und Techniken gestartet werden, die Datenrettung schwierig, wenn nicht gar unmöglich machen“, erklärt Wisniewski.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
„Sich von einem Ransomware-Angriff zu erholen, kann Jahre dauern. Dazu gehört weitaus mehr als nur die Entschlüsselung und Wiederherstellung von Daten. Komplette Systeme müssen neu aufgebaut werden und auch die operativen Ausfallzeiten und Auswirkungen auf die Kunden dürfen nicht außer Acht gelassen werden“, so Wisniewski weiter.
Ransomware-Angriff: Zahlungsaufforderung ohne Datenverschlüsselung
Zudem ist noch nicht abschließend definiert, was ein ansomware-Angriff genau umfasst. Für eine kleine aber signifikante Minderheit der Befragten beinhalten die Attacken auch Zahlungsaufforderungen ohne Datenverschlüsselung. Das kann daran liegen, dass sie bereits über Anti-Ransomware-Technologien verfügen, die den Verschlüsselungsprozess blockieren. Ein anderer Grund könnte sein, dass die Angreifer schlichtweg beschlossen haben, keinerlei Daten zu verschlüsseln. Es ist anzunehmen, dass die Angreifer in solchen Fällen eine finanzielle Gegenleistung für die Nicht-Veröffentlichung vorab online gestohlener Daten fordern.
„Wichtiger denn je ist es also, Hackern so früh wie möglich den Zugang zum Unternehmen zu verwehren, damit sie erst gar nicht die Chance bekommen, mit ihren immer facettenreicheren Angriffen auf Unternehmensdaten zuzugreifen. Zum Glück stehen betroffene Organisationen nicht alleine da. Unterstützung gibt es rund um die Uhr in Form von externen Sicherheitszentren, die unter anderem von Menschen durchgeführtes Threat Hunting und Incident Response-Services anbieten, um solche Attacken schnellstmöglich zu erkennen und zu eliminieren“, betont Wisniewski.
Sechs praxisbewährte Tipps zum Schutz vor Ransomware
Jeden kann es treffen: Ransomware bleibt weit verbreitet, und macht weder vor Sektor, Land oder Unternehmensgröße Halt. Jeder sollte sich auf dieses Szenario vorbereiten, um im Ernstfall handlungsfähig zu bleiben
Backups nach Industriestandards: Laut der Studie stellen die meisten Organisationen ihre Daten nach einer Attacke wieder aus ihren Backups her. Dabei sollte der Industrie-Standard 3:2:1 berücksichtigt werden, sprich: dreifaches Backup, zwei unterschiedliche Medien und eins davon offline aufbewahren.
Schutzschichten einrichten: Da ein Ransomware-Angriff häufig auch Erpressung beinhaltet, ist es wichtiger denn je, die Gegner von vornherein fernzuhalten. Deshalb sollte Schutzmechanismen auf verschiedenen Ebenen (multi-layered) verwendet werden, um Angreifer zu blocken.
Menschliche Expertise in Kombination mit Anti-Ransomware-Technologie: Der Schlüssel, um Ransomware zu stoppen, ist die Verteidigung in der Tiefe. Dabei werden dedizierte Anti-Ransomware-Techniken mit von Menschen durchgeführtes Threat Hunting verbindet. Die Technologie liefert Skalierung und Automation, während menschliche Expertise unschlagbar beim Entdecken von Verschleierungstaktiken, Techniken und Verfahren, die darauf hinweisen, dass ein Angreifer versucht, in die Umgebung einzudringen, ist. Hat man diese Fähigkeiten nicht im Haus, bieten spezialisierte Security Operations Center (SOCs) Unterstützung für Organisationen verschiedener Größen.
Niemals Lösegeld zahlen: Lösegeldzahlung ist schlichtweg der ineffektivste Weg, um Daten zurückzubekommen. Wer dennoch bezahlen möchte, sollte im Hinterkopf behalten, dass, die Gegner im Durchschnitt nur bis zu Zweidrittel der Dateien wiederherstellen.
Recovery-Plan haben: Der beste Weg, eine Cyberattacke nicht zu einem kompletten Datenverlust werden zu lassen, ist ein vorab erstellter und jederzeit griffbarer Notfallplan.
Zur Methodik der Studie: Für die Studie „The State of Ransomware 2021“ wurden im Januar und Februar 2021 5.400 IT-Entscheider in mittelgroßen Organisationen (100 bis 5.000 Mitarbeiter) in 30 Ländern in Europa, Nord- und Südamerika, dem Asia-Pazifik-Raum, Zentralasien, dem Mittleren Osten und Afrika befragt. Die Untersuchung wurde von Sophos in Auftrag gegeben und von Vanson Bourne, einem unabhängigen Marktforschungsinstitut, durchgeführt. (sg)
:quality(80)/p7i.vogel.de/wcms/aa/b8/aab8a3c1889b1e04b1952c575581995b/hr-sascha-adobestock-595599677-996x560v1.jpeg "(Bild: © Sascha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/3d/fb3ddcfcee3f2b1d5be4bddac7c055b2/ki-deemerwha-20studio-adobestock-1198786685-neu-1200x675v1.jpeg "(Bild: © Deemerwha studio_/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/23/8f23611f371848cc289e785dd8156647/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/f8/2ef80842527ea5a0b1aca92065bd2579/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1a/0a1a836c8e49dd8439ef0558164ddbe1/software-harsha-adobestock-758547039-neu-937x527v1.jpeg "(Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/6f/6c6f563857a0623b1799961b8ed21f55/erp-deemerwha-20studio-adobestock-456874124-neu-900x506v1.jpeg "(Bild: © Deemerwha studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/da/0eda8fd92270cb63107a44b58bddbea2/genua-genugate-20virtual-r11-16-9-3000x1687v1.jpeg "Als erste virtualisierte Firewall erfüllt genugate und genugate Virtual die hohen Sicherheitsstandards für die BSI-Zertifizierung nach EAL 4+ und AVA_VAN.5. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/62/05/6205e09d28d23ddce06a6d82a405cdb1/agrartechnik-chusnul-adobestock-1135744669-neu-1197x673v1.jpeg "(Bild: © chusnul/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/fb/9f/fb9ff13a4443b9de02e58a89304a7bed/nis2-hikmet-adobestock-921854235-mitki-1197x673v1.jpeg "(Bild: © Hikmet/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/9a/73/9a73855bf0fbc1e06b7944f08482f312/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/ed/22edf8779226fa7b1049782ef9dbf0a1/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: : © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/72/57/7257de07535e18ec136695ffe17da77b/eu-20data-20act-lelisat-adobestock-1661256966-neu-1200x675v1.jpeg "(Bild: © LELISAT/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/4e/934e1815d6f36963ba3950aa2a99fdb0/freepik-bild16-9-1200x674v1.jpeg "(Bild: freepik.com/rawpixel.com)")
:quality(80)/p7i.vogel.de/wcms/7e/42/7e42c11ab9d4b23c668b5af3436d76ab/onlyoffice-201-1556x876v1.png "(Bild: Ascensio System SIA)")
:quality(80)/p7i.vogel.de/wcms/9c/eb/9ceb03e64fc021162fe8d6795c590305/ki-imaginethatstudios-adobestock-855455220-mitki-1197x673v1.jpeg "(Bild: © ImagineThatStudios/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e9/4d/e94d46aa750d5b4b9eff39ac86f3021e/quantencomputer-graphicview35-adobestock-1620461863-mitki-1165x655v1.jpeg "(Bild: © graphicview35/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d0/c9/d0c9db33dd29e147f8bfb10108d298c3/adobestock-1331550778-iman00-post-quantum-kryptografie-999x562v1.jpeg "(Bild: © Iman00/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/eb/29eb4c9076f5e31b20cc698b6629cd49/fortinet-20os-grafik-16-9-1559x876v1.jpeg "FortiOS ist ein Quantum-Safe-Betriebssystem, das als grundlegende Engine der Security-Fabric-Plattform von Fortinet dient. (Bild: Fortinet)")
:quality(80)/p7i.vogel.de/wcms/d5/67/d56702345eb3fed311a76f9679e44d6d/quantencomputer-paolo-adobestock-754407110-mitki-1067x600v1.jpeg "(Bild: © Paolo/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/71/e3/71e3ddd33e4dec1b40f9cefbf04e0817/telekom-noxtua-16-9-1008x567v1.jpeg "Noxtua wird neuer Kunde der KI-Fabrik der Deuschen Telekom in München. (Bild: Deutsche Telekom/ iStock/amgun; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/ed/ca/edca4b162f9e6fcb70e2ce992f0fc191/schwarz-20digits-charite-1779x1000v1.jpeg "(Bild: )")
:quality(80)/p7i.vogel.de/wcms/09/03/0903ce87036011b833ac01227be46f45/robotik-anastasiia-adobestock-831949885-mitki-1067x600v1.jpeg "(Bild: © Anastasiia/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/bc/91/bc9141b985b19a0664b7770d5f63587c/adobestock-1425063409-mutshino-artwork-digital-health-996x560v1.jpeg "(Bild: © Mutshino_Artwork/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/9b/319b8fe5d2c59cc300886409a20250d3/deutsche-20telekom-ti-connect-16-9-1149x646v1.jpeg "Der TI-Connect soll Arztpraxen, Pflegeeinrichtungen und Krankenhäusern die Arbeit spürbar erleichtern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/01/dd/01dd47904948c7e4bde7592a5975591a/deutscher-nachhaltigkeitspreis-preisstatuette-fotocredit-frank-fendler-1000x563v1.jpeg "(Bild: Frank Fendler)")
:quality(80)/p7i.vogel.de/wcms/18/57/1857a82b6e8a7046aaf37a4049d6647e/uhv-leitstelle-foto-20state-20grid-20corp-16-9-1200x675v1.jpeg "Die State Grid Corporation of China betreibt ein Netz von Leitstellen und Kontrollzentren, um die Stromversorgung für über 1,1 Milliarden Menschen in China zu sichern. (Bild: State Grid Corp.)")
:quality(80)/p7i.vogel.de/wcms/c2/82/c2822da028bb7639022b0c4e9cc68a04/osapiens-omnibus-teaser-1116x627v1.jpeg "(Bild: Osapiens)")
:quality(80)/p7i.vogel.de/wcms/9a/59/9a59f9ffabe7c603729033611a18f232/nachhaltigkeit-supatman-adobestock-896256258-neu-1200x675v1.jpeg "(Bild: © Supatman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/71/48711ea4b1f98dab7f6ad024df20baa3/daten-20cloud-studios-adobestock-983903579-mitki-1197x673v1.jpeg "(Bild: © Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/c9/e8c9711d8bf9b10b3627a09df683277e/rechenzentrum-nurionstudio-adobestock-990833600-mitki-1056x594v1.jpeg "(Bild: © nurionstudio/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/01/77/0177df0b26d49b9f660a7cc02709f1a4/adobestock-1739868363-khfd-digitale-souveraenitaet-969x545v1.jpeg "(Bild: © Khfd/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/39/98392ce450241eaf288c55d9e5ea2309/adobestock-1832958607-andrey-datenbroker-1000x562v1.jpeg "(Bild: © Andrey/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ad/c2/adc25038cc34717f62f8e7d2634096f5/cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1.jpeg "cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1 (Bild: © GreenOptix/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/34/5134975c97cebf7549b21b05454f4cec/cybersecurity-elnur-adobestock-394674637-neu-900x506v1.jpeg "cybersecurity-elnur-adobestock-394674637-neu-900x506v1 (Bild: © Elnur/stock.adobe.com)")