Ransomware

Ransomware: Warum Lösegeldzahlungen Unternehmen noch verwundbarer machen

, Veeam

Ransomware: Warum Lösegeldzahlungen Unternehmen noch verwundbarer machen

Von Thomas Sandner, Senior Director Technical Sales Germany bei Veeam

69 Prozent der Unternehmen, die im vergangenen Jahr Lösegeld an Cyberkriminelle gezahlt haben, wurden erneut angegriffen. Diese Zahl aus dem aktuellen Ransomware Trends and Proactive Strategies Report 2025  von Veeam ist alarmierend – aber auch wenig überraschend. Sie zeigt vielmehr ein gefährliches Muster: Unter enormem Zeitdruck und der Angst vor Produktionsstillständen, rechtlichen Konsequenzen oder Reputationsverlusten entscheiden sich viele Organisationen dafür, die Forderungen der Angreifer zu erfüllen. Die Hoffnung, das Problem mit der Zahlung aus der Welt zu schaffen, erfüllt sich jedoch in vielen Fällen nicht. Fast jedes fünfte Unternehmen, das Lösegeld gezahlt hat, konnte seine Daten dennoch nicht wiederherstellen.

Ein Angriff ist ein Prozess, kein punktuelles Ereignis

Thomas Sandner, Senior Director Technical Sales Germany bei Veeam

Ein Ransomware-Angriff ist längst kein isoliertes Ereignis mehr, sondern ein hochdynamischer Prozess. Die Bedrohungslage hat sich in den letzten Jahren schnell verändert. Während Systeme ausfallen und der wirtschaftliche Schaden mit jeder Stunde wächst, setzen Angreifer immer raffiniertere Social-Engineering-Methoden ein, um maximalen psychologischen Druck aufzubauen. Besonders kritisch ist die zunehmende Verbreitung sogenannter Double-Extortion-Methoden, bei denen Daten nicht nur verschlüsselt, sondern zusätzlich gestohlen werden und mit ihrer Veröffentlichung gedroht wird. Gleichzeitig verkürzt sich die Zeitspanne zwischen dem Eindringen in eine Infrastruktur und dem eigentlichen Angriff dramatisch. In vielen Fällen liegen zwischen Erstzugriff und Erpressung weniger als 24 Stunden. Wer in diesem Moment erst anfängt, nach Notfallplänen zu suchen, hat den entscheidenden Zeitpunkt längst verpasst.

Warum Lösegeldzahlungen die Lage verschärfen

Die Vorstellung, dass eine Zahlung das Ende eines Angriffs bedeutet, ist eine gefährliche Illusion. Stattdessen stellt eine Zahlung ein klares Signal für die kriminelle Szene dar: Das Unternehmen ist erpressbar. Dieser Umstand macht es für erneute Angriffe besonders attraktiv, sei es durch die gleichen Täter oder durch Nachahmer, die in Untergrundforen von der Zahlungsbereitschaft erfahren. Fast sieben von zehn Unternehmen, die einmal gezahlt haben, wurden später erneut angegriffen. Jede Zahlung ist darüber hinaus eine direkte Finanzspritze für neue kriminelle Kampagnen und trägt zum Wachstum des Ransomware-Ökosystems bei. Internationale Initiativen wie die Counter Ransomware Initiative , der mittlerweile 68 Staaten angehören, appellieren daher nachdrücklich an Unternehmen und Behörden, diese Spirale zu durchbrechen. In einigen Ländern wie dem Vereinigten Königreich oder einzelnen US-Bundesstaaten existieren inzwischen sogar Vorschriften, die öffentlichen Stellen Lösegeldzahlungen verbieten. Auch in Deutschland wird die Debatte intensiver, ob solche Maßnahmen langfristig notwendig sind.

Vorbereitung ist die einzige wirksame Verteidigung

Die einzige wirksame Antwort auf Ransomware ist eine konsequente Vorbereitung. Unternehmen müssen in der Lage sein, den Betrieb auch nach einem erfolgreichen Angriff schnell wiederherzustellen. Dazu gehört eine belastbare Datenstrategie, die eine saubere Klassifizierung, Lokalisierung und sichere Aufbewahrung der Daten sicherstellt. Ebenso unverzichtbar sind regelmäßige, getestete Backups und ein dokumentierter Wiederherstellungsprozess, der im Ernstfall bereits geübt wurde. Nur so lässt sich die technische Basis schaffen, um den Erpressungsdruck zu entschärfen.

Genauso entscheidend sind klare interne Strukturen für den Notfall. Wer darf Entscheidungen treffen, wer informiert wen und welche Schritte sind sofort einzuleiten? Erstaunlicherweise verfügen nur 30 Prozent der Unternehmen über eine formalisierte Befehlskette für den Ernstfall. Auch Playbooks, also Notfallhandbücher mit technischen Szenarien, Abläufen und Maßnahmen, sind zwar bei 98 Prozent der Unternehmen vorhanden, doch weniger als die Hälfte dieser Dokumente enthält die technischen Details, die im entscheidenden Moment den Unterschied machen. Ohne diese Klarheit geht im Stress wertvolle Zeit verloren, in der die Angreifer weiteren Schaden anrichten können.

Zusammenarbeit und Kultur als Erfolgsfaktor

Besonders wichtig ist die enge Abstimmung zwischen IT- und Security-Teams. Mehr als die Hälfte der befragten Unternehmen sieht hier bei sich selbst erheblichen Verbesserungsbedarf. Wenn diese Zusammenarbeit nicht funktioniert, bleibt selbst die beste Strategie wirkungslos. Ebenso wenig dürfen die Menschen im Unternehmen vergessen werden. Wer Ransomware wirksam begegnen will, muss auch das Bewusstsein der Mitarbeiter schärfen. Schulungen, Phishing-Simulationen und eine offene Kommunikation über aktuelle Bedrohungen sind keine Zusatzaufgaben, sondern elementare Bausteine der Sicherheitskultur.

Resilienz gegen Ransomware dank Strategie und Planung

Ransomware ist kein einmaliger Vorfall, sondern ein Dauerstresstest für Unternehmen, der sie dazu zwingt dazu, die eigene Widerstandsfähigkeit immer wieder zu überprüfen und zu verbessern. Wer diesen Test bestehen will, braucht mehr als Glück oder kurzfristige Zahlungen: Eine klare Strategie, einen geübten Aktionsplan und die Gewissheit, dass alle Beteiligten wissen, was im Ernstfall zu tun ist. Nur dann lässt sich verhindern, dass der nächste Angriff das Unternehmen völlig unvorbereitet trifft.