Ransomware in der Produktion

Sophos Studie: Ransomware in der Produktion: Fortschritte in der Abwehr – aber Angreifer sind einen Schritt voraus

, Sophos | Autor: Herbert Wieler

Sophos Studie: Ransomware in der Produktion: Fortschritte in der Abwehr – aber Angreifer sind einen Schritt voraus

Gemischtes Bild bei Produktions- und Fertigungsunternehmen

Im aktuellen Sophos-Report zeigt sich ein gemischtes Bild: Produktions- und Fertigungsunternehmen werden besser darin, Ransomware-Angriffe frühzeitig zu stoppen – doch die Kriminellen passen ihre Methoden an und setzen verstärkt auf Datendiebstahl, um Druck aufzubauen. Die Folge: Trotz sinkender Verschlüsselungsraten zahlen viele Unternehmen weiterhin hohe Lösegelder.

Sophos hat heute den Report „State of Ransomware in Manufacturing and Production 2025 “ veröffentlicht. Die zentrale Erkenntnis: Unternehmen in der Fertigung sind zwar besser geschützt als noch vor einem Jahr, doch Angreifer wechseln zunehmend ihre Taktik – von der reinen Verschlüsselung hin zur Erpressung durch Datenklau. Mehr als die Hälfte der betroffenen Unternehmen sah sich gezwungen, Lösegeld zu zahlen.

In der aktuellen Sophos Studie schneidet die Fertigungsindustrie beim Schutz vor Ransomware mit einer sinkenden Datenverschlüsselungsrate verbessert ab. Allerdings bleiben die Summen der Lösegeldzahlungen weiterhin hoch

Die wichtigsten Ergebnisse im Überblick:

Verschlüsselung sinkt – Erpressung steigt:

Nur noch 40 % der Angriffe führten zur Datenverschlüsselung (2024: 74 %). Gleichzeitig stiegen reine Erpressungsangriffe durch Datendiebstahl von 3 % auf 10 %.

Datendiebstahl als Druckmittel:

39 % der Unternehmen, die eine Verschlüsselung erlebten, waren zusätzlich von Datendiebstahl betroffen – einer der höchsten Werte aller Branchen.

Mehr Angriffe werden gestoppt:

Jedes zweite Produktionsunternehmen konnte einen Angriff stoppen, bevor Daten verschlüsselt wurden – mehr als doppelt so viele wie im Vorjahr.

Fachkräftemangel bleibt zentraler Risikofaktor:

42,5 % der Unternehmen nannten fehlende Expertise als Hauptursache für erfolgreiche Angriffe. Unbekannte Schwachstellen und fehlende Schutzmaßnahmen folgen knapp dahinter. Im Schnitt trugen drei interne Faktoren zum Schaden bei.

Lösegeld bleibt hoch:

Trotz besserer Abwehr zahlten 51 % der Betroffenen. Der mediane Zahlbetrag: 861.111 Euro – bei Forderungen von rund 1,03 Millionen Euro.

Wiederherstellung wird günstiger und schneller:

Die durchschnittlichen Wiederherstellungskosten ohne Lösegeld sanken auf 1,12 Millionen Euro. 58 % der Unternehmen waren binnen einer Woche wieder voll einsatzfähig.

Hohe Belastung für IT-Teams:

Fast die Hälfte der Unternehmen berichtet von massivem Stress im Sicherheitsteam nach einer Verschlüsselung. In über einem Viertel der Fälle kam es infolge eines Angriffs sogar zu Führungswechseln.

Was die Experten sagen

„Hersteller sind extrem abhängig von vernetzten Systemen – selbst kurze Ausfälle können Produktion und Lieferketten lahmlegen“, erklärt Michael Veit, Sicherheitsexperte bei Sophos. „Das nutzen Cyberkriminelle aus. Trotz sinkender Verschlüsselungsrate bleibt das gezahlte Lösegeld hoch. Effektive Cybersicherheit braucht mehrere Schutzschichten, volle Transparenz und regelmäßig geübte Notfallpläne.“

Aktuelle Einblicke der Sophos X-Ops

Die Analyse der vergangenen zwölf Monate zeigt: Ganze 99 verschiedene Bedrohungsgruppen griffen Fertigungsunternehmen an – darunter bekannte Namen wie Akira (GOLD SAHARA), Qilin (GOLD FEATHER) und PLAY (GOLD ENCORE). In mehr als der Hälfte der Fälle, bei denen Sophos Emergency Incident Response eingreifen musste, kombinierten die Angreifer Verschlüsselung mit Datendiebstahl („Double Extortion“).

Empfehlungen für mehr Cyber-Resilienz in der Produktion

Sophos rät Unternehmen zu vier zentralen Maßnahmen:

  1. Schwachstellen konsequent schließen: Technische und operative Lücken schnell adressieren. Services wie Sophos Managed Risk helfen, Risiken frühzeitig zu identifizieren.
  2. Endpunkte umfassend schützen: Alle Geräte – inklusive Server – benötigen moderne Anti-Ransomware-Technologien.
  3. Vorbereitet sein: Ein getesteter Incident-Response-Plan und zuverlässige Backups sind entscheidend, um Ausfallzeiten zu reduzieren.
  4. Rund-um-die-Uhr-Überwachung etablieren: Ständige Sichtbarkeit ist ein Muss. Unternehmen ohne eigene Ressourcen sollten auf einen MDR-Dienstleister setzen, der 24/7 reagiert.