Ransomware bleibt eine der gravierendsten Cyberbedrohungen weltweit, und Deutschland bildet dabei keine Ausnahme. Laut dem aktuellen Chainalysis-Bericht zählt Deutschland zu den am häufigsten betroffenen Nationen, direkt nach den USA und Kanada, mit besonders vielen Angriffen auf Lieferketten, kritische Infrastruktur und Logistikunternehmen.
Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4.
Die aktuellen Zahlen zeichnen dabei ein Bild, das Verantwortliche in Unternehmen nicht als Entwarnung missverstehen sollten. Die Zahl der dokumentierten Ransomware-Angriffe stieg 2025 global um 50 %, doch gleichzeitig fiel der Anteil der Opfer, die tatsächlich zahlten, auf ein historisches Tief. Das bedeutet jedoch keineswegs, dass die Bedrohung abnimmt. Wer zahlt, zahlt deutlich mehr.
Die durchschnittliche Lösegeldforderung stieg um 368 % auf knapp 60.000 US-Dollar. Insgesamt flossen 2025 rund 820 Millionen US-Dollar an Lösegeldzahlungen, was einem Rückgang von 8 % gegenüber dem Vorjahr entspricht. Erfahrungsgemäß steigen solche Zahlen im Nachhinein noch an, wenn weitere Fälle zugeordnet werden, sodass die endgültige Summe noch auf bis zu 900 Millionen US-Dollar anwachsen dürfte.
Doch Lösegeldzahlungen allein erfassen den tatsächlichen Schaden nur unzureichend. Die Sicherheitsforscher betonen, dass Reichweite, Raffinesse und strategische Wirkung der Angriffe 2025 weiter zugenommen haben. Betroffen waren Unternehmen jeder Größe und Branche, von globalen Automobilkonzernen bis hin zu regionalen Gesundheitsversorgern.
Die Folgen reichten von massiven Betriebsunterbrechungen über dauerhaften Vertrauensverlust bis hin zu systemischen Folgekosten, die die eigentlichen Lösegeldzahlungen oft weit überstiegen.
Anpassung statt Rückzug
Ransomware-Gruppen passen ihre Taktiken kontinuierlich an, um auch jenseits direkter Erpressung maximalen Schaden anzurichten und Druck auf ihre Opfer auszuüben. Für 2026 zeichnet sich ab, dass sich die Bedrohungslage weiter verschärfen wird. Der zunehmende Einsatz von KI durch Angreifer beschleunigt nicht nur die Automatisierung von Angriffen, sondern ermöglicht auch ausgefeiltere Erpressungstaktiken und gezieltere Angriffe auf verwundbare Systeme.
Gleichzeitig verschwimmt die Grenze zwischen kriminellen Ransomware-Gruppen und staatlich geförderten Akteuren zunehmend, da beide auf dieselbe Infrastruktur zurückgreifen. Für Unternehmen und Institutionen bedeutet das, dass wirksame Gegenmaßnahmen nicht nur robuste technische Verteidigung erfordern, sondern vor allem strategische Resilienz, um den Schaden dieser vielschichtigen Bedrohung nachhaltig zu begrenzen.