Ransomware-Angriffe gehören zu den kostspieligsten Cyberbedrohungen für Unternehmen weltweit. Die reinen Lösegeldforderungen machen dabei nur einen Bruchteil des tatsächlichen Schadens aus – die wahren Kosten liegen in Betriebsunterbrechungen, IT-Wiederherstellung, Reputationsverlust und rechtlichen Konsequenzen.
Die durchschnittlichen Gesamtkosten eines Ransomware-Angriffs belaufen sich 2024 und 2025 auf 5,08 bis 5,13 Millionen US-Dollar. In den USA liegen die Kosten sogar bei 10,22 Millionen US-Dollar – der höchste Wert weltweit. Diese dramatischen Summen können besonders für kleine und mittlere Unternehmen existenzbedrohend sein: 58 Prozent der betroffenen Unternehmen mussten 2024 nach einem Ransomware-Vorfall ihr Geschäft aufgeben.
Die Kosten sind zwischen 2019 und 2024 um erschreckende 574 Prozent gestiegen – von 761.106 US-Dollar auf 5,13 Millionen US-Dollar. Die Lösegeldzahlungen selbst haben sich von 2018 bis 2024 sogar um 1.343 Prozent erhöht. Diese Entwicklung zeigt, dass Ransomware längst zu einer hochprofessionalisierten Industrie geworden ist, die jährlich Milliardenschäden verursacht.
Was ist ein Ransomware-Angriff?
Ein Ransomware-Angriff ist eine Form der Cybererpressung, bei der Kriminelle die IT-Systeme eines Unternehmens verschlüsseln und für die Entschlüsselung ein Lösegeld fordern. Der Begriff setzt sich zusammen aus „Ransom“ (englisch für Lösegeld) und „Malware“ (Schadsoftware).
So läuft ein Ransomware-Angriff ab
Ein Ransomware-Angriff folgt einem strukturierten Muster, das sich über mehrere Phasen erstreckt. Während die genaue Reihenfolge variieren kann, durchlaufen professionelle Attacken in der Regel acht Hauptphasen.
Phase 1: Aufklärung beginnt mit einer Informationsbeschaffungsphase, in der die Cyberkriminellen ihre Ziele analysieren. Die Angreifer suchen nach gewinnversprechenden Zielen, die die Fähigkeit haben, hohes Lösegeld zu zahlen. Sie nutzen Social Engineering durch Phishing-E-Mails und Telefonanrufe, automatisierte Tools für Netzwerk-Scanning nach ungeschützten Systemen, Open Source Intelligence aus öffentlichen Datenquellen wie Websites und Social Media sowie gezielte Spionage bei besonders attraktiven Zielen.
Phase 2: Initiale Kompromittierung ist der entscheidende Moment, in dem der Angreifer sich Zugang zum Netzwerk verschafft. Die häufigsten Infektionsvektoren sind Phishing-E-Mails mit infizierten Dateianhängen oder schädlichen Links, Exploit-Kits über betrügerische Websites, Zero-Day-Schwachstellen in ungepatchter Software, offen zugängliche Remote Desktop Protocol (RDP) Systeme mit schwachen Passwörtern sowie Initial Access Brokers, die bereits kompromittierte Netzwerkzugriffe verkaufen.
Phase 3: Persistenz sichert die Angreifer nach dem ersten Eindringen ab. Sie erstellen Backdoors über bösartige Software, nutzen AutoStart-Funktionen, erstellen geplante Aufgaben oder Services im Betriebssystem, manipulieren Registry-Einträge zur Verschleierung und kapern legitime Systemprozesse wie Windows Management Instrumentation oder PowerShell.
Phase 4: Informationserfassung erkundet das Netzwerk und identifiziert wertvolle Ziele durch Netzwerk-Spionage, System-Enumeration aller verbundenen Geräte, Schwachstellenanalyse für weitere Sicherheitslücken, Installation von Keyloggern und Spyware sowie Lokalisierung von besonders wertvollen Daten wie Finanzunterlagen und Kundendaten.
Phase 5: Erweiterung von Berechtigungen zielt auf Administrator-Konten durch Ausnutzung von Serverkonfigurationsfehlern, Verwendung spezialisierter Tools wie Cobalt Strike und Mimikatz, Diebstahl von Benutzer-Anmeldedaten sowie vertikale Rechteausweitung mit schrittweiser Erhöhung der Zugriffslevel. Mit Domain-Administrator-Rechten haben die Angreifer die maximale Kontrolle über das Netzwerk.
Phase 6: Laterale Bewegung verbreitet den Angriff schnell durch das gesamte Netzwerk mittels Remote Desktop Protocol, Server Message Block für Netzwerkfreigaben, Windows-Management-Tools sowie Ausnutzung ungepatchter Software auf anderen Geräten. Laterale Bewegungen werden in bis zu 25 Prozent aller Cybersecurity-Vorfälle beobachtet.
Phase 7: Datenexfiltration stiehlt wertvolle Daten vor der Verschlüsselung. Die systematische Suche nach Datenbanken und Dateispeichern erfolgt oft über Wochen oder Monate verteilt, um nicht durch ungewöhnliche Netzwerkaktivitäten aufzufallen. Gleichzeitig erfolgt das Staging mit Anpassung des Ransomware-Codes an das spezifische Ziel.
Phase 8: Verschlüsselung und Erpressung ist die finale Phase. Die Ransomware verschlüsselt Dateien schnell im gesamten Netzwerk mit AES-Verschlüsselung für die Dateien und RSA-Verschlüsselung für die Schlüssel. Moderne Angriffe können innerhalb von Stunden eine vollständige Verschlüsselung durchführen. Lösegeldforderungen werden auf dem Bildschirm angezeigt mit Anweisungen zur Zahlung inklusive Bitcoin-Adressen und Countdown-Timer für zeitlich begrenzte Fristen.
Double und Triple Extortion verschärfen die Bedrohung
Moderne Ransomware-Angriffe nutzen mehrere Erpressungsebenen. Bei Double Extortion werden zusätzlich zur Verschlüsselung Daten gestohlen mit der Drohung, diese zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Dies war bei über 30 Prozent der Ransomware-Angriffe 2022 zu beobachten.
Bei Triple Extortion kommen zu Verschlüsselung und Datendiebstahl zusätzliche Drohungen hinzu: DDoS-Angriffe zur Service-Unterbrechung, Erpressung von Kunden, Partnern oder Lieferanten des Opfers sowie Reputationsdruck durch Drohung, Informationen an Medien weiterzuleiten. Diese mehrschichtigen Angriffe erhöhen den Druck auf die Opfer dramatisch.
Wie hoch sind die durchschnittlichen Kosten für einen Ransomware-Angriff?
Die Kosten eines Ransomware-Angriffs haben sich in den letzten Jahren dramatisch entwickelt und variieren erheblich je nach Perspektive und enthaltenen Kostenbestandteilen.
Gesamtkosten pro Vorfall übersteigen 5 Millionen Dollar
Die durchschnittlichen Gesamtkosten eines Ransomware-Angriffs belaufen sich 2024 und 2025 auf 5,08 bis 5,13 Millionen US-Dollar. Diese Summe umfasst sowohl die Lösegeldzahlung als auch alle Wiederherstellungskosten, Ausfallzeiten, Reputationsschäden und weitere indirekte Kosten.
In den USA liegen die durchschnittlichen Kosten für Datenschutzverletzungen durch Ransomware sogar bei 10,22 Millionen US-Dollar – der höchste Wert weltweit. Dieser deutliche Anstieg ist vor allem auf strengere Regulierungen, höhere Bußgelder und längere Erkennungszeiten zurückzuführen.
Lösegeldzahlungen zeigen hohe Volatilität
Die tatsächlich gezahlten Lösegelder variieren stark:
| Zeitraum | Durchschnitt | Median | Höchste Zahlung |
|---|---|---|---|
| Q4 2024 | 553.959 $ | 110.890 $ | 75 Mio. $ |
| 2024 (Jahresschnitt) | 417.410 $ | – | – |
| 2024 (Sophos) | 2,0 Mio. $ | 1,0 Mio. $ | – |
Die große Diskrepanz zwischen Durchschnitt und Median zeigt, dass einige wenige extrem hohe Zahlungen den Durchschnitt nach oben ziehen. Der Median von 110.890 Dollar repräsentiert den typischen Fall besser als der Durchschnitt von 553.959 Dollar. Die höchste bestätigte Einzelzahlung betrug 75 Millionen US-Dollar.
Wiederherstellungskosten übersteigen das Lösegeld um ein Vielfaches
Die Kosten für die Wiederherstellung nach einem Angriff – ohne die Lösegeldzahlung – sind erheblich:
- 2024: 2,73 Millionen US-Dollar
- 2025: 1,53 Millionen US-Dollar
Dieser Rückgang um 44 Prozent ist auf verbesserte Sicherheitsmaßnahmen und schnellere Wiederherstellungszeiten zurückzuführen. Dennoch bleiben die Wiederherstellungskosten substanziell und können bis zu zehnmal höher sein als die Lösegeldzahlung selbst.
Diese Kostenbestandteile treiben die Gesamtrechnung
Ein Ransomware-Angriff verursacht vielfältige Kosten, die sich zu einer existenzbedrohenden Summe addieren:
- Ausfallzeiten sind der größte Kostentreiber. Die durchschnittliche Ausfallzeit beträgt 21 bis 24 Tage. Bei Unternehmen kosten Ausfallzeiten durchschnittlich 300.000 US-Dollar pro Stunde, bei großen Konzernen sogar über 1 Million US-Dollar pro Stunde.
- Weitere Kostenelemente umfassen forensische Untersuchungen und Incident Response, IT-Wiederherstellung und Systemrekonstruktion, Personalkosten für die Krisenreaktion, Rechtskosten und Anwaltsgebühren, regulatorische Bußgelder und Strafen, Reputationsverlust und Kundenabwanderung, entgangene Umsätze sowie Benachrichtigungskosten für betroffene Kunden.
Laut verschiedenen Analysen macht die eigentliche Lösegeldzahlung nur etwa 15 bis 20 Prozent der Gesamtkosten eines Ransomware-Angriffs aus.
Branchenspezifische Kosten füür Ransomware-Angriff variieren erheblich
Die Kosten unterscheiden sich stark nach Branche:
| Branche | Median | Durchschnitt (IBM) |
|---|---|---|
| Gesundheitswesen | 1,5 Mio. $ | 7,42 Mio. $ |
| Finanzdienstleister | 2,0 Mio. $ | 5,56 Mio. $ |
| Industrie/Fertigung | 1,2 Mio. $ | 6,67 Mio. € (Deutschland) |
| Bildungssektor | 4,4–6,6 Mio. $ | – |
| Regierung/Öffentlicher Sektor | 2,5 Mio. $ | – |
Das Gesundheitswesen trägt mit durchschnittlich 7,42 Millionen Dollar die höchsten Kosten, da Ausfallzeiten hier besonders kritisch sind und Patientendaten hochsensibel.
Zahlungsbereitschaft sinkt trotz steigender Kosten
Trotz steigender Kosten zahlen immer weniger Opfer das geforderte Lösegeld. Die Zahlungsrate ist von 85 Prozent im Jahr 2021 auf nur noch 25 bis 37 Prozent in Q4 2024 gesunken. 2025 liegt sie bei etwa 46 Prozent weltweit, in Deutschland jedoch bei 63 Prozent – der höchsten Rate weltweit.
Globale wirtschaftliche Auswirkungen erreichen astronomische Höhen
Die weltweiten Kosten durch Ransomware werden für 2025 auf 57 Milliarden US-Dollar geschätzt. Bis 2031 wird ein dramatischer Anstieg auf 265 bis 275 Milliarden US-Dollar jährlich prognostiziert. Das entspricht 2.400 US-Dollar pro Sekunde oder einem neuen Angriff alle 2 Sekunden.
Wie hoch ist der Schaden durch Ransomware in Deutschland?
Der Schaden durch Ransomware und Cyberangriffe in Deutschland hat in den letzten Jahren dramatische Ausmaße erreicht und stellt eine der größten wirtschaftlichen Bedrohungen für Unternehmen dar.
Gesamtwirtschaftlicher Schaden übersteigt 289 Milliarden Euro
Laut der Bitkom-Studie „Wirtschaftsschutz 2025″ beläuft sich der Gesamtschaden durch Datendiebstahl, Industriespionage und Sabotage in Deutschland auf 289,2 Milliarden Euro im Jahr 2025. Dies entspricht einem Anstieg von rund 8 Prozent gegenüber dem Vorjahr.
Von diesem Gesamtschaden entfallen 202,4 Milliarden Euro (70 Prozent) ausschließlich auf Cyberattacken. Dies markiert erstmals einen Überschritt der 200-Milliarden-Euro-Marke und bedeutet einen deutlichen Anstieg gegenüber dem Vorjahr (178,6 Milliarden Euro).
| Jahr | Cyberangriffe | Gesamtschaden |
|---|---|---|
| 2018/2019 | – | 103 Mrd. € |
| 2021 | – | 203 Mrd. € |
| 2023 | – | 148,2 Mrd. € |
| 2024 | 178,6 Mrd. € | 266,6 Mrd. € |
| 2025 | 202,4 Mrd. € | 289,2 Mrd. € |
Die Entwicklung zeigt einen alarmierenden Trend, der keine Anzeichen einer Verlangsamung zeigt.
Ransomware bleibt die dominierende Bedrohung
Ransomware bleibt die dominierende Bedrohung im deutschen Cyberraum. Das BKA (Bundeskriminalamt) stuft Ransomware-Angriffe als die größte Gefahr für Unternehmen und Privatpersonen ein.
Gemeldete Ransomware-Angriffe lagen 2024 bei 950 angezeigten Fällen und 2023 bei 1.018 angezeigten Fällen. Trotz des leichten Rückgangs bei den Anzeigen bleiben die Zahlen besorgniserregend hoch. Täglich werden der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe gemeldet.
Deutschland ist im internationalen Vergleich das am vierthäufigsten betroffene Land.
6 von 10 Unternehmen wurden angegriffen
Die Statistiken zur Betroffenheit zeigen das dramatische Ausmaß:
Ransomware-Angriffe:
- 60 Prozent der Unternehmen wurden in den letzten 12 Monaten von Ransomware angegriffen
- 31 Prozent erlitten dadurch Schäden
- 34 Prozent waren von Ransomware-Attacken betroffen (dreimal so viele wie 2022 mit 12 Prozent)
- 58 Prozent der betroffenen Unternehmen in Deutschland waren von Ransomware betroffen (2024)
Allgemeine Cyberangriffe:
- 87 Prozent der Unternehmen waren 2025 Opfer von Datendiebstahl, Spionage oder Sabotage
- 84 Prozent waren 2024 betroffen
- 73 Prozent registrierten eine Zunahme der Cyberangriffe
Kleine und mittlere Unternehmen sind überproportional stark betroffen und machen laut BKA rund 80 Prozent der von Ransomware betroffenen Unternehmen aus. Dies ist besonders problematisch, da KMU oft nicht über dedizierte Cybersicherheitsabteilungen verfügen.
Deutsche zahlen weltweit die höchsten Lösegelder
Die Bereitschaft deutscher Unternehmen, Lösegeld zu zahlen, ist im internationalen Vergleich erschreckend hoch:
| Quelle | Zahlungsrate |
|---|---|
| Bitkom 2024 | 12–15% |
| Sophos-Studie | 42–44% |
| Andere Erhebung | 53% |
| Deutschland 2025 | 63% (höchste Rate weltweit) |
Die Lösegeldsummen, die deutsche Unternehmen zahlen mussten, sind erheblich:
- Durchschnitt 2023: 525.000 Euro (G Data-Studie) – ein Anstieg um 230 Prozent in zwei Jahren
- Median: 5,14 Millionen Euro (Sophos, deutlich über dem weltweiten Durchschnitt)
- Durchschnittliche Forderung: 1,4 Millionen US-Dollar
Die Verteilung der Lösegeldzahlungen zeigt die Bandbreite:
- 10.000 bis 100.000 Euro: 19 Prozent
- 100.000 bis 500.000 Euro: 34 Prozent
- 500.000 Euro bis 1 Million Euro: 12 Prozent
- Über 1 Million Euro: 4 Prozent
Wiederherstellungskosten belasten zusätzlich
Die Kosten für die Wiederherstellung nach einem Ransomware-Angriff – ohne Lösegeldzahlung – sind beträchtlich:
- Durchschnitt: 1,2 Millionen Euro für die Wiederherstellung
- Sophos-Durchschnitt: 2,05 Millionen Euro (2,20 Millionen US-Dollar)
Für verschiedene Unternehmensgrößen ergeben sich unterschiedliche Schadenshöhen:
| Unternehmensgröße | Durchschnittlicher Schaden |
|---|---|
| Kleine und mittlere Unternehmen | 95.000 € |
| Freiberufler | 120.000 € |
| Größere Mittelständler | bis zu 500.000 € |
| Ransomware mit allen Folgekosten | 1,2 Mio. € |
Betriebliche Auswirkungen sind verheerend
55 Prozent der von Ransomware betroffenen deutschen Unternehmen mussten ihren Betrieb zeitweise unterbrechen. Bei 17 Prozent war der Geschäftsbetrieb massiv eingeschränkt.
Backup-Kompromittierung ist ein zusätzliches Problem: In 94 Prozent der Ransomware-Angriffe auf deutsche Organisationen versuchten Cyberkriminelle, Backups zu kompromittieren, wobei 63 Prozent dieser Versuche erfolgreich waren. Nur jede zehnte Firma konnte nach einem Ransomware-Angriff alle Daten vollständig wiederherstellen.
Diese Kostenbestandteile summieren sich
Der Gesamtschaden setzt sich aus verschiedenen Komponenten zusammen:
Direkte Kosten:
- Erpressung mit gestohlenen/verschlüsselten Daten: 13,4 Milliarden Euro
- IT-Forensik und Datenrettung
- Wiederherstellung der Systeme
- Betriebsunterbrechungen und Produktionsausfälle
- Rechtskosten und Anwaltsgebühren
Indirekte Kosten:
- Imageschaden: 35 Milliarden Euro (teuerster Einzelposten)
- Verlust von Wettbewerbsvorteilen
- Umsatzeinbußen
- Kundenabwanderung
- DSGVO-Bußgelder
Deckt eine Cyberversicherung Ransomware-Angriffe ab?
Ja, grundsätzlich deckt eine Cyberversicherung Ransomware-Angriffe ab – einschließlich vieler Kosten, die durch solche Angriffe entstehen. Allerdings hängt der konkrete Leistungsumfang stark vom Versicherer und den jeweiligen Vertragsbedingungen ab.
Diese Leistungen werden bei Ransomware üblicherweise abgedeckt
- Eigenschäden umfassen Kosten für die IT-Wiederherstellung wie Reparatur, Neuinstallation von Systemen und Datenrettung. Kosten der Betriebsunterbrechung sichern Umsatzausfälle infolge von Systemausfällen ab. Forensische Untersuchungen klären den Vorfall auf und werden durch IT-Spezialisten unterstützt. Krisenmanagement, PR und Rechtsberatung helfen bei Krisenkommunikation und Einhaltung der Meldepflichten wie DSGVO.
- Haftpflicht deckt Haftungsansprüche Dritter ab, wenn diese durch ausgelöste Datenschutzverstöße betroffen sind. Kosten für Datenschutzverletzungen, Vertragsstrafen oder Schadenersatz werden übernommen.
- Assistance-Leistungen bieten eine 24/7-Krisenhotline mit IT- und Rechtsexperten sowie psychologische Beratung für betroffene Mitarbeitende.
Lösegeldzahlungen: Ja, aber nicht immer uneingeschränkt
Sehr viele Versicherer übernehmen – zumindest teilweise und unter festgelegten Bedingungen – Lösegeldzahlungen (Ransom-Payments) im Falle eines Ransomware-Angriffs:
- 25 Prozent der Anbieter versichern diese Zahlungen uneingeschränkt
- 56 Prozent sichern dieses Risiko mit Sublimits oder Einschränkungen ab (Höchstbeträge, Prüfvorbehalt, Einzelfallprüfung)
Rechtlich bestehen in Deutschland weder ein explizites Verbot noch eine gesetzliche Vorschrift, Lösegeldzahlungen abzusichern oder auszuschließen. Eine Auszahlung darf jedoch nicht gegen geltende Sanktionsvorschriften oder Embargos verstoßen (etwa Zahlungen an bestimmte russische oder nordkoreanische Gruppen). Versicherer führen bei Lösegeldforderungen Sanktionslisten- und Compliance-Prüfungen durch, bevor sie eine Zahlung leisten.
Diese Voraussetzungen musst du erfüllen
Lösegeldzahlungen werden NICHT gedeckt, wenn der Angriff auf Missachtung von Vorschriften oder Verträgen, mangelnde IT-Sicherheit oder grobe Fahrlässigkeit zurückgeht. Schäden durch Cyberkrieg, Terror, kriminelle Handlungen von Mitarbeitenden, vorsätzliche Pflichtverletzungen sowie politische Angriffe sind üblicherweise ausgeschlossen.
Angesichts der steigenden Schadenssummen setzen viele Versicherer strenge Bedingungen:
- Pflicht zu aktuellen Backups (Air-Gap)
- Aktuelle Firewalls und Endpoint-Protection
- Multifaktor-Authentifizierung
- Schulung und Sensibilisierung der Mitarbeitenden
- Penetrationstests, Schwachstellen- und Patchmanagement
- Detailreiche Dokumentation der IT-Sicherheitsmaßnahmen
Sind diese Mindeststandards nicht erfüllt, kann der Versicherer im Schadenfall die Leistung kürzen oder verweigern. Die Zahl der Deckungsausschlüsse und Ablehnungen steigt, mit einer Ablehnungsquote von über 30 Prozent bei Anträgen.
Fazit: Ransomware kostet mehr als das Lösegeld
Die durchschnittlichen Kosten eines Ransomware-Angriffs von 5,13 Millionen US-Dollar weltweit und bis zu 10,22 Millionen US-Dollar in den USA zeigen: Ransomware gehört zu den teuersten Cyberbedrohungen überhaupt.
In Deutschland liegt der Gesamtschaden durch Cyberangriffe bei 289,2 Milliarden Euro jährlich, wovon 70 Prozent auf Cyberattacken entfallen.
Die reine Lösegeldzahlung macht dabei nur 15 bis 20 Prozent der Gesamtkosten aus. Die wahren Kostentreiber sind Betriebsunterbrechungen von durchschnittlich 21 bis 24 Tagen, Wiederherstellungskosten von 1,53 bis 2,73 Millionen Dollar, Reputationsverlust und Kundenabwanderung sowie regulatorische Bußgelder und rechtliche Konsequenzen.
Mit 60 Prozent angegriffener Unternehmen in Deutschland und einer Zahlungsrate von 63 Prozent – der höchsten weltweit – ist Deutschland ein besonders attraktives Ziel für Cyberkriminelle. Die Kosten sind zwischen 2019 und 2024 um 574 Prozent gestiegen, und bis 2031 werden jährliche globale Schäden von 265 bis 275 Milliarden Dollar prognostiziert.
„Ein Ransomware-Angriff kostet durchschnittlich 5,13 Millionen Dollar – doch die eigentliche Lösegeldzahlung macht nur 15 bis 20 Prozent davon aus. Die wahren Kosten liegen in wochenlangen Betriebsunterbrechungen, unwiederbringlichem Datenverlust und zerstörtem Kundenvertrauen. Eine Cyberversicherung deckt diese Schäden ab und kann den Unterschied zwischen Überleben und Geschäftsaufgabe bedeuten.“
