Ransomware: Zahlen oder nicht? Was im Ernstfall wirklich zählt
Nur noch 7 Prozent der deutschen Opfer zahlen Lösegeld. Warum das eine gute Nachricht ist – und was über die ersten Stunden entscheidet.
2025 wurden in Deutschland 1.041 Ransomware-Angriffe angezeigt – zehn Prozent mehr als im Jahr zuvor. Rund 80 Prozent der Opfer sind kleine und mittlere Unternehmen. Das geht aus dem Bundeslagebild Cybercrime hervor, das das Bundeskriminalamt einmal im Jahr veröffentlicht. Ransomware – zu Deutsch Erpressersoftware – verschlüsselt die Daten eines Unternehmens und gibt sie erst gegen Lösegeld wieder frei, oft verbunden mit der Drohung, gestohlene Daten zu veröffentlichen.
Für Sie als Geschäftsführer läuft am Ende alles auf eine einzige, sehr unangenehme Frage hinaus: Zahlen oder nicht? Die gute Nachricht vorweg – immer mehr Unternehmen können diese Frage heute mit Nein beantworten. Und das ist kein Zufall.
Der überraschende Befund
Nur noch 7 Prozent der deutschen Geschädigten haben 2025 ein Lösegeld gezahlt; im Jahr zuvor waren es noch 9 Prozent. Auch international ist die Zahlungsquote gesunken – laut dem auf Ransomware-Verhandlungen spezialisierten US-Dienstleister Coveware von rund 30 auf etwa 24 Prozent.
Wer allerdings zahlt, zahlt deutlich mehr. In Deutschland stieg die durchschnittliche Lösegeldzahlung um 65 Prozent – von umgerechnet rund 277.000 auf etwa 456.000 US-Dollar. Die Angreifer konzentrieren sich also auf weniger, dafür zahlungskräftigere Opfer und drehen bei diesen die Forderung nach oben.
Warum die meisten nicht mehr zahlen müssen
Die niedrige Zahlerquote ist das eigentlich Bemerkenswerte. Sie ist kein Zeichen dafür, dass die Angriffe seltener oder harmloser werden – im Gegenteil. Sie ist ein Zeichen dafür, dass immer mehr Unternehmen vorbereitet sind. Wer funktionierende, vom Netzwerk getrennte Backups hat und seine Systeme im Ernstfall selbst wiederherstellen kann, ist auf das Entschlüsselungs-Werkzeug der Erpresser schlicht nicht angewiesen.
Anders gesagt: Die 7 Prozent zeigen, dass Resilienz wirkt. Die Frage „Zahlen oder nicht?“ stellt sich am wenigsten dringlich, wenn Sie sie gar nicht erst beantworten müssen.
Warum Zahlen selten der Ausweg ist
Viele Geschäftsführer glauben, eine Zahlung kaufe sie aus dem Problem heraus. Die Zahlen sprechen dagegen. Laut dem „State of Ransomware“-Bericht des Sicherheitsanbieters Sophos erhalten zahlende Unternehmen im Schnitt nur rund 60 Prozent ihrer Daten zurück. Die Entschlüsselungs-Werkzeuge der Täter sind oft fehlerhaft, langsam oder unvollständig.
Hinzu kommt: Eine Zahlung signalisiert Zahlungsbereitschaft und erhöht das Risiko, erneut angegriffen zu werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das BKA und die europäischen Strafverfolgungsbehörden raten deshalb ausdrücklich von einer Zahlung ab. Jeder gezahlte Euro finanziert zudem die kriminelle Infrastruktur, aus der der nächste Angriff kommt.
Die ersten Stunden – darauf kommt es an
Wenn der Ernstfall eintritt, entscheidet weniger die Technik als das ruhige, richtige Vorgehen. Vier Punkte sind in den ersten Stunden entscheidend:
Erstens: Nichts überstürzen. Keine vorschnelle Zahlung, aber auch nichts löschen oder „aufräumen“. Betroffene Systeme isolieren, nicht vernichten – sie sind für die spätere Analyse wichtig.
Zweitens: Dokumentieren. Halten Sie fest, was wann passiert ist. Das hilft den Spezialisten und ist für Versicherung und Behörden relevant.
Drittens: Die richtigen Stellen einbinden. Den IT-Sicherheitsdienstleister, gegebenenfalls Ihre Cyberversicherung und – bei Datenabfluss – den Datenschutz. Ein Angriff mit Datenleck kann eine Meldepflicht auslösen.
Viertens: Falls überhaupt verhandelt wird, dann nicht selbst und nicht im Affekt. Professionelle Verhandler senken die Forderung im Durchschnitt um rund 47 Prozent – aber das ist die Ausnahme für den Fall, dass Backups unbrauchbar sind und der Stillstand existenzbedrohend wird. Es ist kein Plan A.
Vorsorge schlägt Verhandlung
Die Wahrheit ist unbequem, aber einfach: Die beste Verhandlungsposition ist die, in der Sie nicht verhandeln müssen. Erreichen lässt sie sich mit überschaubaren, bewährten Mitteln.
Dazu gehört eine durchdachte Backup-Strategie nach dem 3-2-1-Prinzip – drei Kopien Ihrer Daten, auf zwei verschiedenen Medien, eine davon getrennt vom Netzwerk und offline. Dazu gehört eine Erkennung, die Angriffe bemerkt, bevor sie sich ausbreiten. Und dazu gehört ein Notfallplan, der nicht in der Schublade liegt, sondern regelmäßig geprobt wird. Denn die Wiederherstellung aus Backups dauert laut Sophos im Mittel zwei bis vier Wochen – planbar nur, wenn man sie vorher getestet hat.
Wie belastbar Ihre Abwehr wirklich ist, lässt sich nicht erraten, sondern nur prüfen. Mit einem professionellen Penetrationstest greifen wir Ihre Systeme kontrolliert an und zeigen Ihnen die Schwachstellen, bevor es die Kriminellen tun. Einen Überblick über unsere IT-Sicherheitsdienstleistungen finden Sie auf unserer Übersichtsseite.
Fazit
Ransomware bleibt eine der größten Bedrohungen für den Mittelstand – der Gesamtschaden durch Cyberangriffe in Deutschland lag 2025 bei über 200 Milliarden Euro. Aber die Entwicklung zeigt auch: Unternehmen sind den Erpressern nicht ausgeliefert. Wer vorbereitet ist, muss nicht zahlen. Und wer nicht zahlen muss, hat im Ernstfall die Kontrolle behalten.
Sie sind unsicher, wie gut Ihr Unternehmen im Ernstfall aufgestellt ist? Sprechen Sie uns an für eine unverbindliche Erstberatung. Gemeinsam prüfen wir Ihre Backup- und Notfallstrategie – bevor Sie sie zum ersten Mal wirklich brauchen.
