Ransomware setzt Einzelhandel massiv unter Druck: Forderungen steigen, IT-Teams am Limit

Die aktuelle internationale Sophos-Studie „The State of Ransomware in Retail 2025 “ zeigt deutlich: Ransomware-Angriffe entwickeln sich weiter – sowohl in ihren Ursachen als auch in den Folgen. Für IT- und Security-Teams im Einzelhandel bedeutet das wachsende Herausforderungen und neue Belastungen.

Schwachstellen bleiben Haupteinfallstor

Schon in den Vorgängerstudien der Jahre 2023 und 2024 zeigte sich ein klares Bild: Schwachstellen in IT-Systemen sind nach wie vor das wichtigste Einfallstor für Angriffe. Auch 2025 bestätigte sich das – in rund 30 Prozent der Fälle nutzten Cyberkriminelle genau solche Lücken, um sich Zugang zu verschaffen. Doch nicht nur Technik, auch organisatorische Faktoren spielen eine große Rolle. Fast die Hälfte der Befragten (46 Prozent) nannte unbekannte Sicherheitslücken als Einstiegspunkt. Fast ebenso viele (45 Prozent) gaben mangelnde Fachkenntnisse als entscheidenden Faktor an – und zwar häufiger als in jeder anderen Branche.

Verschlüsselung nimmt ab – neue Erpressungsmethoden nehmen zu

Eine überraschend positive Entwicklung: Die Zahl der erfolgreichen Datenverschlüsselungen ist zurückgegangen. Während 2023 noch 71 Prozent der Angriffe zur Verschlüsselung führten, waren es 2025 nur noch 48 Prozent. Das spricht dafür, dass die Abwehrmechanismen im Einzelhandel besser greifen. Allerdings reagieren Kriminelle darauf mit neuen Methoden. Statt Daten zu verschlüsseln, setzen sie immer öfter auf reine Erpressung: Sie drohen damit, sensible Daten zu veröffentlichen – und fordern dafür Lösegeld. Innerhalb von zwei Jahren hat sich diese Form der Attacke verdreifacht, von 2 Prozent im Jahr 2023 auf 6 Prozent im Jahr 2025.

Zunehmende Bereitschaft, Lösegeld zu zahlen

Auch die Strategie zur Datenwiederherstellung verändert sich. Immer mehr Einzelhändler entscheiden sich dafür, das geforderte Lösegeld zu zahlen – 2025 waren es bereits 58 Prozent, deutlich mehr als der Durchschnitt aller Branchen (49 Prozent). Backups werden dagegen seltener genutzt und haben ein Vierjahrestief erreicht. Das deutet auf eine wachsende Abhängigkeit von externen Faktoren hin, statt auf eine konsequente Eigenvorsorge.

Forderungen explodieren – Zahlungen bleiben vergleichsweise stabil

Ein weiteres Ergebnis der Studie: Die Lösegeldforderungen steigen drastisch. 2025 lag die durchschnittliche Forderung bei 1,71 Millionen Euro – doppelt so hoch wie noch im Vorjahr. Besonders hoch ist der Anteil extremer Forderungen über 4,28 Millionen Euro, der von 17 Prozent (2024) auf 27 Prozent (2025) wuchs. Doch die tatsächlichen Zahlungen im Einzelhandel steigen nur moderat: Im Schnitt zahlten Unternehmen 856.382 Euro – ein Plus von lediglich fünf Prozent im Vergleich zu 2024. Auch die Wiederherstellungskosten ohne Lösegeld sind gesunken und lagen mit 1,41 Millionen Euro so niedrig wie seit drei Jahren nicht mehr.

Mehr als Geld: die psychische Belastung der Teams

Die Studie zeigt auch, wie stark Ransomware-Angriffe IT- und Sicherheitsteams psychisch belasten. Fast die Hälfte der Befragten (47 Prozent) berichtete von starkem Druck durch das Management, wenn es zu einer Datenverschlüsselung kam. 43 Prozent gaben an, Angst vor weiteren Angriffen zu haben oder unter erhöhter Anspannung zu leiden. 37 Prozent nannten stressbedingte Krankmeldungen, 34 Prozent sogar Schuldgefühle, den Angriff nicht verhindert zu haben.

Hintergrund zur Studie

Die Ergebnisse basieren auf einer unabhängigen Befragung von 3.400 IT- und Sicherheitsexperten in 17 Ländern in Amerika, Europa, Nahost, Afrika und Asien-Pazifik. 361 der Befragten stammen aus dem Einzelhandel. Befragt wurden Unternehmen mit 100 bis 5.000 Mitarbeitern. Die Erhebung wurde zwischen Januar und März 2025 von Vanson Bourne durchgeführt und basiert auf den Erfahrungen der letzten zwölf Monate.