Sophos State of Ransomware Report: Bildungssektor trotzt Ransomware – doch IT-Teams zahlen den Preis

Der aktuelle Sophos State of Ransomware Report zeigt: Schulen und Hochschulen sind im Umgang mit Ransomware deutlich widerstandsfähiger geworden. 97 Prozent der betroffenen Einrichtungen konnten verschlüsselte Daten wiederherstellen, und auch die Lösegeldzahlungen sind stark zurückgegangen. Doch diese Erfolge haben eine Schattenseite – die IT-Mitarbeiter arbeiten am Limit.

Zwischen Erfolg und Erschöpfung

Die Studie „State of Ransomware in Education“ verdeutlicht: Bildungseinrichtungen sind besser auf Angriffe vorbereitet als noch vor wenigen Jahren. Lösegelder sinken, Wiederherstellungskosten nehmen ab und die Systeme sind schneller wieder einsatzbereit. Gleichzeitig wächst aber der Druck auf die Menschen hinter den Systemen. Viele IT-Beschäftigte berichten von Stress, Burnout oder Schuldgefühlen nach einem Angriff. Knapp 40 Prozent kämpfen sogar mit Ängsten.

In den letzten fünf Jahren hat sich Ransomware zu einer der größten Bedrohungen für Schulen und Hochschulen entwickelt. Cyberkriminelle sehen sie als leichtes Ziel: oft knapp finanziert, personell unterbesetzt und dennoch im Besitz hochsensibler Daten. Die Folgen reichen von unterbrochenem Unterricht über leere Budgets bis hin zu einer Atmosphäre ständiger Anspannung. Ohne stärkere Schutzmaßnahmen steht nicht nur der Unterrichtsbetrieb auf dem Spiel, sondern auch das Vertrauen von Eltern, Schülern und Öffentlichkeit.

Erfolge im Kampf gegen Ransomware

Trotzdem gibt es auch Grund zur Hoffnung. Laut der Studie konnten Bildungseinrichtungen ihre Verteidigungs- und Reaktionsfähigkeit verbessern:

• Mehr Angriffe gestoppt: Weiterführende Schulen konnten in 67 Prozent der Fälle verhindern, dass Daten überhaupt verschlüsselt wurden – Hochschulen immerhin in 38 Prozent. Beides sind Höchstwerte der letzten vier Jahre.
• Weniger Lösegeld: Die durchschnittlichen Forderungen sanken 2024 um 73 Prozent. Grund- und Sekundarschulen zahlten im Schnitt 682.000 Euro statt 5,1 Millionen, Hochschulen 395.000 statt 3,4 Millionen Euro.
• Niedrigere Wiederherstellungskosten: Auch abseits von Lösegeld wurden die Schäden kleiner. Hochschulen sparten im Schnitt 77 Prozent, Grundschulen immerhin 39 Prozent – auch wenn sie weiterhin die höchsten Gesamtkosten unter allen Branchen tragen.
• Hohe Datenrettungsquote: 97 Prozent der betroffenen Einrichtungen konnten ihre verschlüsselten Daten wiederherstellen.

Alte Schwächen bleiben – neue Bedrohungen kommen

Doch die Studie zeigt auch, dass die Sicherheitslage noch längst nicht entspannt ist.

• Schutzlücken: Zwei Drittel der Einrichtungen geben zu, nicht genug Personal oder Know-how für die Abwehr von Angriffen zu haben. Ebenso viele klagen über Sicherheitslücken.
• KI als Angriffshelfer: Schon jetzt entstehen 22 Prozent der Angriffe im Grundschulbereich durch Phishing. KI erleichtert den Angreifern, täuschend echte E-Mails, Stimmen oder Deepfakes zu nutzen – und Schulen könnten ungewollt zu Testfeldern für solche Methoden werden.
• Besonders im Visier: Hochschulen mit wertvollen Forschungsdaten, etwa im Bereich Künstliche Intelligenz, sind besonders häufig betroffen. 35 Prozent der Angriffe erfolgten über bekannte Schwachstellen, 45 Prozent über sogenannte „Zero-Days“.
• Menschliche Belastung: In allen betroffenen Einrichtungen litten die IT-Mitarbeiter. Jeder Vierte musste Urlaub nehmen, fast 40 Prozent berichten von Stresssymptomen, über ein Drittel plagt ein Schuldgefühl.

„Ransomware-Angriffe in Schulen stören nicht nur den Unterricht, sondern die ganze Gemeinschaft aus Schülern, Eltern und Lehrern“, erklärt Alexandra Rose, Director, CTU Threat Research bei Sophos . „Die Fortschritte sind ermutigend – aber entscheidend ist, Angriffe von vornherein zu verhindern. Dazu braucht es klare Strategien und verlässliche Partner, gerade angesichts neuer KI-getriebener Taktiken.“

Was jetzt zählt

Auf Basis ihrer Arbeit mit Bildungseinrichtungen weltweit empfehlen die Sophos-Experten:

• Prävention stärken: Der größte Erfolg liegt darin, Angriffe schon vor einer Verschlüsselung zu stoppen. Schulen sollten Erkennung und Reaktion mit aktiver Prävention kombinieren.
• Strategien bündeln: Breite IT-Umgebungen brauchen koordinierte Ansätze, um Lücken zu schließen und Risiken frühzeitig zu erkennen.
• Teams entlasten: IT-Mitarbeiter dürfen nicht allein gelassen werden. Externe Partner für Managed Detection and Response (MDR) können Kapazitäten schaffen und Druck nehmen.
• Reaktionsfähigkeit sichern: Trotz Prävention bleibt Vorbereitung Pflicht. Notfallpläne, Simulationen und 24/7-Services sorgen dafür, dass Schulen sich im Ernstfall schnell erholen.

Über die Studie

Die Ergebnisse basieren auf einer unabhängigen Befragung von 441 IT- und Security-Verantwortlichen, die 2024 Opfer eines Ransomware-Angriffs wurden – 243 aus Grund- und weiterführenden Schulen, 198 aus Hochschulen. Alle Einrichtungen beschäftigen zwischen 100 und 5.000 Mitarbeiter und stammen aus 17 Ländern. Die Befragung lief von Januar bis März 2025.