Ransomware-Resilienz: Warum deutsche Unternehmen seltener zahlen

8 Min. Lesezeit

Als die LockBit-Gruppe Continental 50 Millionen Dollar Lösegeld abverlangte, zahlte der Automobilzulieferer nicht. Als Akira die Südwestfalen-IT lahmlegte und 72 Kommunen ins analoge Zeitalter zurückwarf, zahlte niemand. Und insgesamt zahlen deutsche Unternehmen seltener als der Rest der Welt: 42 Prozent gegenüber 56 Prozent global. Das ist kein Zufall. Es ist das Ergebnis einer Kombination aus BSI-Empfehlungen, DSGVO-Meldepflichten und einer Backup-Kultur, die in dieser Konsequenz einzigartig in Europa ist.

Das Wichtigste in Kürze

• Zahlungsquote: 42 Prozent der betroffenen deutschen Unternehmen zahlen Lösegeld – global sind es 56 Prozent (Sophos 2024)
• Bedrohungslage: 58 Prozent der deutschen Unternehmen wurden 2024 von Ransomware angegriffen, 309.000 neue Malware-Varianten pro Tag (BSI)
• Wirtschaftsschaden: 266,6 Milliarden Euro Gesamtschaden durch Cyberangriffe in Deutschland 2024, davon 178,6 Milliarden durch Cybercrime (Bitkom)
• NIS2-Effekt: Seit Dezember 2025 sind unveränderbare Backups, Netzwerksegmentierung und MFA für über 30.000 Unternehmen gesetzliche Pflicht
• Continental-Case: 40 Terabyte exfiltriert, 50 Millionen Dollar Forderung – nicht gezahlt

Warum Deutschland seltener zahlt

Laut Sophos State of Ransomware 2024 (500 deutsche Unternehmen befragt) zahlten 42 Prozent der betroffenen deutschen Unternehmen Lösegeld – ein Rückgang von 44 Prozent im Vorjahr. Global liegt die Quote bei 56 Prozent. Die Bitkom-Wirtschaftsschutzerhebung kommt auf eine noch niedrigere Zahl: Nur 12 Prozent aller deutschen Unternehmen (inklusive nicht-angegriffener) haben Lösegeldforderungen erfüllt.

Der Unterschied von 14 Prozentpunkten gegenüber dem globalen Schnitt hat vier messbare Ursachen.

Erstens: Die BSI- und BKA-Position ist unmissverständlich. Das BSI rät explizit davon ab, Lösegeld zu zahlen. Die Begründung: Es gibt keine Garantie auf einen funktionierenden Entschlüsselungsschlüssel, die Zahlung finanziert kriminelle Strukturen und verhindert keine Wiederholung. In vielen anderen Ländern gibt es keine vergleichbar klare und autoritativ kommunizierte Empfehlung einer Bundesbehörde. Das erzeugt in Deutschland einen normativen Druck, der messbar wirkt.

Zweitens: Die DSGVO-Meldepflicht eliminiert das Motiv der Vertuschung. Bei Ransomware-Angriffen mit Bezug zu personenbezogenen Daten besteht unter DSGVO Artikel 33 eine Meldepflicht an die Aufsichtsbehörde innerhalb von 72 Stunden. Die Zahlung von Lösegeld befreit nicht von dieser Pflicht. Damit entfällt ein zentrales Motiv für stille Zahlungen: Wenn der Vorfall ohnehin gemeldet werden muss, gibt es keinen Anreiz, ihn durch Zahlung zu verbergen.

Drittens: Cyberversicherungen deckeln Lösegeld-Erstattungen. Laut BaFin haben deutsche Versicherer zwischen 2020 und 2022 Lösegeld nur im niedrigen zweistelligen Millionen-Euro-Bereich erstattet. Nur 25 Prozent der deutschen Cyberversicherer zahlen Lösegeld ohne Einschränkungen, 56 Prozent setzen Sublimits oder Auflagen. Der GDV hat 2024 seine Musterbedingungen überarbeitet – Lösegelderstattung bleibt ein regulierter Ausnahmefall, keine automatische Deckung.

Viertens: Die Backup-Kultur ist stärker als anderswo. Das BSI hat die 3-2-1-Backup-Regel (drei Kopien, zwei verschiedene Medien, eine offline) als Standard etabliert. Deutsche Unternehmen investieren überdurchschnittlich in Backup-Infrastruktur – nicht aus Überzeugung allein, sondern weil ISO 27001, BSI IT-Grundschutz und branchenspezifische Standards wie TISAX funktionsfähige Backups als Pflichtkomponente verlangen.

Quellen: Sophos State of Ransomware 2024, Bitkom Wirtschaftsschutz 2024, BSI Lagebericht 2024

Continental: 50 Millionen gefordert, null gezahlt

Der Continental-Fall von 2022 zeigt, wie deutsche Industrieunternehmen mit Ransomware-Erpressung umgehen. Am 1. Juli 2022 verschaffte sich ein Angreifer über einen Browser-Download eines Mitarbeiters Zugang zum Netzwerk. Rund vier Wochen lang bewegte sich der Angreifer unbemerkt durch die Systeme. Das Ergebnis: circa 40 Terabyte exfiltrierte Daten. LockBit 3.0 bot die Daten im Darknet für 50 Millionen US-Dollar an.

Continental zahlte nicht. Der Konzern informierte im Februar 2023 Zehntausende Mitarbeiter über den Datendiebstahl, arbeitete mit Behörden zusammen und nahm die Reputationskosten in Kauf. Das war nicht die bequeme Entscheidung, aber die richtige: Die Daten waren bereits exfiltriert, eine Zahlung hätte die Veröffentlichung nicht zuverlässig verhindert und das Unternehmen als zahlungswilliges Opfer markiert.

Bemerkenswert: Continental wurde nicht klassisch verschlüsselt. Der Angriff war reine Datenexfiltration mit anschließender Erpressung – ein Trend, der sich 2024 massiv verstärkt hat. Angreifer haben erkannt, dass Unternehmen mit funktionierenden Backups Verschlüsselung überstehen können. Deshalb setzen sie zunehmend auf Datendiebstahl und drohen mit Veröffentlichung. Gegen diesen Angriffsvektor helfen Backups allein nicht. Es braucht Network Detection and Response (NDR), konsequente Netzwerksegmentierung und schnelle Incident Response.

Dass Continental vier Wochen lang unbemerkt kompromittiert war, zeigt ein weiteres deutsches Kernproblem: Die Mean Time to Detect (MTTD) ist in vielen Unternehmen zu lang. Vier Wochen sind genug Zeit, um nicht nur 40 Terabyte zu exfiltrieren, sondern auch Backdoors zu installieren, Zugangsrechte zu eskalieren und das gesamte Active Directory zu kompromittieren. Investitionen in Detection und Monitoring sind mindestens so wichtig wie Investments in Prävention – eine Lektion, die Continental teuer gelernt hat.

Südwestfalen-IT: Die Anatomie eines Totalausfalls

Am 30. Oktober 2023 traf die Akira-Ransomware-Gruppe die Südwestfalen-IT – den kommunalen IT-Dienstleister für über 70 Kommunen und Kreisverwaltungen in Nordrhein-Westfalen. Der Einfallsvektor: eine VPN-Lösung ohne Multi-Faktor-Authentifizierung, mutmaßlich per Brute-Force kompromittiert.

Die Bilanz war verheerend: 1.463 Server betroffen, 871 mussten komplett neu aufgesetzt werden, 592 wurden aufbereitet. 1,6 Millionen Bürger waren betroffen, circa 20.000 kommunale Arbeitsplätze fielen aus. Bürgerbüros konnten keine Ausweise ausstellen, Kfz-Zulassungen waren unmöglich, Sozialleistungen konnten nicht bearbeitet werden. Die Wiederherstellung dauerte ein volles Jahr – im Oktober 2024 waren 98 Prozent der Dienste wieder verfügbar.

Die direkten Mehrkosten bei der SIT allein: mindestens 2,8 Millionen Euro. Der Hochsauerlandkreis bezifferte seine Kosten auf circa 1,5 Millionen Euro für die ersten vier Monate. Der Kreis Siegen-Wittgenstein plant 1,4 Millionen Euro allein für 2025. Gezahlt wurde nach allem, was bekannt ist, kein Lösegeld.

Der Fall zeigt zwei Dinge gleichzeitig: Deutsche Organisationen zahlen auch unter extremem Druck nicht – das ist die gute Nachricht. Aber die Kosten der Nicht-Zahlung sind erheblich, wenn die Backup- und Recovery-Infrastruktur nicht dem Stand der Technik entspricht. Eine VPN-Lösung ohne Multi-Faktor-Authentifizierung hätte 2023 niemals produktiv sein dürfen. Das wusste die IT-Branche seit Jahren, die MFA-Pflicht war in BSI-Empfehlungen längst verankert.

Die Südwestfalen-IT ist auch ein Warnsignal für die kommunale IT-Landschaft insgesamt. Laut BSI richten sich 80 Prozent aller gemeldeten Cyberangriffe gegen KMU – und kommunale IT-Dienstleister sind oft de facto KMU mit der Verantwortung eines Großkonzerns. Sie betreiben kritische Infrastruktur für Hunderttausende Bürger, haben aber weder das Budget noch das Personal eines DAX-Konzerns. NIS2 soll diese Lücke schließen, aber ob 30.000 neu regulierte Unternehmen bis 2026 tatsächlich compliant sein werden, ist eine offene Frage.

NIS2: Ransomware-Resilienz wird Gesetz

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft – ohne Übergangsfrist. Über 30.000 Unternehmen aus 18 Sektoren (ab 50 Mitarbeiter oder 10 Millionen Euro Umsatz) müssen jetzt eine Reihe von Maßnahmen umsetzen, die direkt auf Ransomware-Resilienz abzielen.

Die Pflichtliste liest sich wie ein BSI-Ransomware-Schutzkonzept: unveränderbare und verschlüsselte Backups (Immutable Backups als explizite Anforderung), Netzwerksegmentierung, MFA für administrative Konten, Risikoanalyse und Risikomanagement, Supply-Chain-Security und Schulung der Geschäftsleitung. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden – schärfer als die 72-Stunden-Frist der DSGVO.

Für die Ransomware-Resilienz bedeutet NIS2 eine Qualitätsoffensive: Was bisher Best Practice war, ist jetzt Gesetz. Unternehmen, die bereits BSI IT-Grundschutz oder ISO 27001 umgesetzt haben, sind gut vorbereitet. Alle anderen müssen jetzt investieren – nicht weil sie wollen, sondern weil die persönliche Haftung der Geschäftsführung bei Compliance-Versagen droht. Ein Fall wie Südwestfalen-IT – VPN ohne MFA – wäre unter NIS2 nicht nur ein operatives Versagen, sondern ein persönliches Haftungsrisiko für die Geschäftsführung. Das ändert die Dynamik im Vorstand fundamental: Cybersecurity-Investitionen sind keine optionalen IT-Budgets mehr, sondern Pflichtausgaben zur persönlichen Haftungsvermeidung.

Die 24-Stunden-Meldepflicht hat eine weitere disziplinierende Wirkung: Unternehmen müssen ihre Incident-Detection so aufstellen, dass sie einen Vorfall überhaupt innerhalb von 24 Stunden erkennen und klassifizieren können. Bei Continental dauerte die Erkennung vier Wochen. Unter NIS2 wäre das ein Compliance-Versagen, weil die Meldepflicht nur greifen kann, wenn die Detection funktioniert. Das zwingt Unternehmen zu Investitionen in Security Operations Center (SOC) und automatisierte Anomalieerkennung – genau die Bereiche, die bei Ransomware den Unterschied zwischen einer verhinderten Attacke und einem Totalausfall machen.

Was deutsche Unternehmen besser machen – und wo es hakt

Besser: Die Zahlungsquote sinkt. Die BSI-Empfehlung gegen Zahlung hat sich als normative Leitlinie etabliert. Die DSGVO-Meldepflicht macht Vertuschung sinnlos. Die Versicherungsbranche diszipliniert durch Sublimits und Auflagen. Und NIS2 macht Backup-Investitionen zur Compliance-Pflicht. Das ist ein System aus vier Schichten, das zusammen wirksamer ist als jede einzelne Maßnahme.

Schlechter: Die Bedrohungslage verschärft sich trotzdem. 309.000 neue Malware-Varianten pro Tag, 78 neue Schwachstellen täglich, 22 APT-Gruppen in Deutschland aktiv. 80 Prozent aller gemeldeten Cyberangriffe treffen KMU, die häufig weder BSI-Grundschutz noch ISO 27001 umgesetzt haben. Und die Wiederherstellungszeiten sind nicht kürzer als global: Laut Sophos liegt die typische Downtime in Deutschland bei einem Monat, 92 Prozent der Opfer erleben Betriebsunterbrechungen.

Global gibt es einen beunruhigenden Gegentrend: Die Backup-Nutzung zur Wiederherstellung sank laut Sophos 2025 auf ein Vier-Jahres-Tief von 53 Prozent weltweit. Das liegt nicht daran, dass Backups schlechter geworden sind, sondern daran, dass Angreifer gezielt Backup-Systeme kompromittieren, bevor sie die Produktivsysteme verschlüsseln. Immutable Backups – unveränderbar und physisch oder logisch vom Produktionsnetz getrennt – sind die einzige zuverlässige Antwort darauf und unter NIS2 jetzt Pflicht.

Ein weiterer Lichtblick: 53 Prozent der Ransomware-Opfer weltweit erholten sich 2025 innerhalb einer Woche – ein deutlicher Anstieg gegenüber nur 35 Prozent im Vorjahr (Sophos 2025). Das zeigt, dass die Investitionen in Recovery-Fähigkeiten Wirkung zeigen, auch wenn die Bedrohungslage gleichzeitig komplexer wird. Für deutsche Unternehmen bedeutet das: Die Kombination aus regulatorischem Druck (NIS2), behördlicher Guidance (BSI) und versicherungstechnischen Anreizen (BaFin/GDV) schafft ein Ökosystem, das Ransomware-Resilienz systematisch fördert. Das ist kein Zufall, sondern ein politisch gewolltes und regulatorisch durchgesetztes Ergebnis.

Die deutschen Wiederherstellungskosten liegen mit circa 1,6 Millionen Euro unter dem globalen Durchschnitt von 2,73 Millionen Dollar (Sophos 2024). Das ist ein messbarer wirtschaftlicher Vorteil der höheren Resilienz. Unternehmen, die nicht zahlen und schneller wiederherstellen können, sparen nicht nur das Lösegeld selbst, sondern auch die Folgekosten: niedrigere Versicherungsprämien, geringerer Reputationsschaden und kürzere Betriebsunterbrechungen.

Fünf Maßnahmen für echte Ransomware-Resilienz

1. Immutable Backups implementieren. Die 3-2-1-Regel reicht nicht mehr, wenn Angreifer Backup-Systeme gezielt kompromittieren. Unveränderbare Backups, die physisch oder logisch vom Produktionsnetz getrennt sind, sind die einzige zuverlässige letzte Verteidigungslinie. NIS2 macht sie zur Pflicht.

2. MFA überall – ohne Ausnahme. Der Südwestfalen-IT-Angriff wäre mit MFA auf der VPN-Lösung verhindert worden. Jeder administrative Zugang, jeder Remote-Zugang und jeder privilegierte Account muss durch einen zweiten Faktor geschützt sein. Das ist keine Empfehlung, das ist NIS2-Pflicht.

3. Recovery regelmäßig testen. Ein Backup, das nie getestet wurde, ist kein Backup. Mindestens quartalsweise sollte eine vollständige Wiederherstellung simuliert werden, inklusive der Frage: Wie schnell können wir den Geschäftsbetrieb wieder aufnehmen?

4. Datenexfiltration erkennen. Der Continental-Fall zeigt: Verschlüsselung ist nicht mehr der einzige Angriffsvektor. Network Detection and Response (NDR) und Data Loss Prevention (DLP) müssen ungewöhnliche Datenabflüsse erkennen, bevor 40 Terabyte das Netzwerk verlassen haben. Die Investition in Detection ist mindestens so wichtig wie die in Prävention – weil kein Perimeter perfekt ist und die Frage nicht lautet, ob ein Angreifer eindringt, sondern wie schnell er entdeckt wird.

5. Incident-Response-Plan erstellen und üben. Nicht erst im Ernstfall entscheiden, wer wen anruft und welche Systeme zuerst wiederhergestellt werden. Das BSI-Erste-Hilfe-Dokument für IT-Sicherheitsvorfälle ist eine gute Grundlage, aber jedes Unternehmen braucht einen maßgeschneiderten Plan mit klaren Rollen, Kommunikationswegen und Eskalationsstufen. Mindestens einmal jährlich sollte eine Tabletop-Übung stattfinden, bei der das Management einen Ransomware-Angriff durchspielt – inklusive der Frage, ob und unter welchen Umständen gezahlt wird. Diese Entscheidung muss vor dem Angriff getroffen werden, nicht unter Zeitdruck um drei Uhr nachts.

Häufige Fragen

Wie oft zahlen deutsche Unternehmen Ransomware-Lösegeld?

Laut Sophos State of Ransomware 2024 zahlen 42 Prozent der betroffenen deutschen Unternehmen, global sind es 56 Prozent. Die Bitkom-Erhebung kommt auf 12 Prozent (Basis: alle Unternehmen, nicht nur angegriffene). Die Zahlungsquote sinkt in Deutschland seit mehreren Jahren.

Was kostet Ransomware deutsche Unternehmen?

Die durchschnittlichen Wiederherstellungskosten liegen laut Sophos bei circa 1,6 Millionen Euro (ohne Lösegeld). Der Gesamtschaden durch Cybercrime in Deutschland beträgt 178,6 Milliarden Euro pro Jahr (Bitkom 2024). 31 Prozent der Unternehmen berichten von direkten Ransomware-Schäden.

Warum zahlen deutsche Unternehmen seltener als andere Länder?

Vier Faktoren: die klare BSI/BKA-Empfehlung gegen Zahlung, die DSGVO-Meldepflicht (die Vertuschung sinnlos macht), restriktive Cyberversicherungsbedingungen und eine stärkere Backup-Kultur durch BSI IT-Grundschutz und ISO 27001.

Was verlangt NIS2 für Ransomware-Schutz?

Unveränderbare verschlüsselte Backups, Netzwerksegmentierung, MFA für administrative Konten, Risikoanalyse, Supply-Chain-Security, Schulung der Geschäftsleitung und eine 24-Stunden-Meldepflicht bei Vorfällen. Diese Pflichten gelten ohne Übergangsfrist seit Dezember 2025.

Deckt die Cyberversicherung Lösegeldzahlungen in Deutschland?

Eingeschränkt. Nur 25 Prozent der deutschen Cyberversicherer zahlen Lösegeld ohne Einschränkungen. 56 Prozent setzen Sublimits oder Auflagen. Die BaFin berichtet, dass Lösegeldzahlungen durch Versicherer insgesamt nur im niedrigen zweistelligen Millionen-Euro-Bereich lagen (2020-2022).

Weiterlesen

• NIS2 als Standortvorteil: Warum Cybersecurity-Regulierung den Wirtschaftsstandort stärkt
• Incident Response Made in Germany: Wie BSI und Unternehmen zusammenarbeiten
• Supply Chain Security: Vom Compliance-Zwang zum Wettbewerbsvorteil

Quelle Titelbild: Pexels / Brett Sayles (px:5480781)

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik