Ransomware 2026: Was passiert wenn Unternehmen zahlen – und was wenn nicht

7 Min. Lesezeit

Die Geschäftsführung sitzt im Krisenraum, die Server sind verschlüsselt, der Betrieb steht still. Die Angreifer fordern 800.000 Euro. Der IT-Leiter sagt, die Backups sind drei Wochen alt. Und jetzt steht die Frage im Raum, die niemand gerne beantwortet: Zahlen wir? Die Antwort ist komplexer als ein einfaches Ja oder Nein. Aber die Daten zeigen deutlich, warum Zahlen fast nie die richtige Entscheidung ist.

Das Wichtigste in Kürze

• Die Zahlungsbereitschaft bei Ransomware ist auf ein Allzeittief gefallen: Nur noch 25 Prozent der Opfer zahlten im vierten Quartal 2024 (Coveware).
• Die durchschnittliche Lösegeldzahlung sank von 2 Millionen US-Dollar 2024 auf rund 592.000 US-Dollar Ende 2025 (Coveware Q4 2025).
• 80 Prozent der Ransomware-Opfer in Deutschland sind kleine und mittlere Unternehmen (BKA Bundeslagebild Cybercrime 2024).
• Der Gesamtschaden durch Cyberangriffe in Deutschland stieg auf 266,6 Mrd. Euro in 2024, ein Anstieg von 29 Prozent (Bitkom).
• Unternehmen, die zahlen, erhalten im Durchschnitt nur 60 Prozent ihrer Daten zurück. Vollständige Wiederherstellung ist die Ausnahme.

Die Zahlen hinter dem Dilemma

Die Entwicklung der vergangenen zwei Jahre zeigt einen klaren Trend: Immer weniger Unternehmen zahlen. Laut den Quartalsberichten von Coveware, einem auf Ransomware-Verhandlungen spezialisierten Dienstleister, fiel die Zahlungsrate im vierten Quartal 2024 auf ein Allzeittief von 25 Prozent. 2025 stieg sie leicht auf 28 Prozent, bleibt aber weit unter den 62,8 Prozent, die noch 2023 gezahlt hatten.

Parallel dazu sinken die durchschnittlichen Zahlungsbeträge. Während Unternehmen 2024 im Schnitt noch 2 Millionen US-Dollar zahlten, lag der Durchschnitt im vierten Quartal 2025 bei 592.000 US-Dollar. Der Median lag bei 325.000 US-Dollar. Im dritten Quartal 2025 war der Durchschnitt sogar auf 377.000 US-Dollar gefallen, ein Rückgang von 66 Prozent gegenüber dem Vorquartal.

Diese Zahlen erzählen zwei Geschichten gleichzeitig. Die gute: Unternehmen lernen, nicht zu zahlen. Die schlechte: Die Gesamtschäden steigen trotzdem, weil die Kosten für Betriebsunterbrechung, Wiederherstellung und Reputationsschaden die Lösegeldforderung bei weitem übersteigen. Laut dem IBM Cost of a Data Breach Report 2025 lagen die durchschnittlichen Gesamtkosten eines Ransomware-Vorfalls bei 5,13 Millionen US-Dollar, unabhängig davon, ob gezahlt wurde oder nicht.

Was passiert wenn Unternehmen zahlen

Die Vorstellung, dass eine Zahlung den Normalzustand wiederherstellt, ist die gefährlichste Illusion in der Ransomware-Abwehr. Die Realität sieht anders aus.

Erstens ist die Datenwiederherstellung unvollständig. Im Durchschnitt erhalten zahlende Unternehmen nur rund 60 Prozent ihrer Daten zurück. Die Entschlüsselungstools, die Angreifer bereitstellen, sind häufig langsam und fehlerhaft. Manche Dateitypen werden gar nicht entschlüsselt. Datenbanken, die während der Verschlüsselung aktiv waren, sind oft korrupt und müssen trotzdem aus Backups wiederhergestellt werden.

Zweitens macht die Zahlung das Unternehmen zum Wiederholungsziel. Ransomware-Gruppen tauschen Informationen über zahlende Opfer aus. Wer einmal gezahlt hat, signalisiert: Hier gibt es Geld zu holen, und die Sicherheitslücken bestehen wahrscheinlich noch. Studien mehrerer Sicherheitsanbieter zeigen, dass Unternehmen, die einmal gezahlt haben, mit deutlich höherer Wahrscheinlichkeit erneut angegriffen werden.

Drittens sind die Nebenkosten erheblich. Zur Lösegeldzahlung kommen Kosten für forensische Untersuchung, Rechtsberatung, Krisenkommunikation, Benachrichtigung betroffener Kunden nach DSGVO, erhöhte Versicherungsprämien und oft monatelanger Produktivitätsverlust. Diese Kosten übersteigen das Lösegeld typischerweise um das Drei- bis Fünffache.

Viertens gibt es regulatorische Risiken. In der EU ist die Zahlung von Lösegeld nicht illegal, aber sie kann gegen Sanktionsrecht verstoßen, wenn die Empfänger auf Sanktionslisten stehen. Das Office of Foreign Assets Control (OFAC) in den USA und entsprechende EU-Stellen führen solche Listen. Ein Unternehmen, das unwissentlich an eine sanktionierte Gruppe zahlt, setzt sich strafrechtlichen Konsequenzen aus. Das BSI und die EU-Strafverfolgungsbehörden raten explizit von Zahlungen ab. Unternehmen, die unter NIS2 fallen, müssen Vorfälle innerhalb von 24 Stunden melden und riskieren zusätzliche behördliche Prüfungen, wenn sie gezahlt haben.

Fünftens finanziert jede Zahlung das kriminelle Ökosystem. Ransomware-Gruppen operieren als professionelle Unternehmen mit Entwicklern, Affiliates und Support-Personal. Die Einnahmen aus Lösegeldzahlungen fließen in die Weiterentwicklung von Angriffswerkzeugen, die Rekrutierung neuer Affiliates und in einigen Fällen in die Finanzierung staatlich unterstützter Operationen. Laut Chainalysis beliefen sich die Gesamtzahlungen an Ransomware-Gruppen 2024 auf 813,55 Millionen US-Dollar. Jede einzelne Zahlung stärkt dieses Ökosystem.

Was passiert wenn Unternehmen nicht zahlen

Nicht zu zahlen ist kein Freifahrtschein. Es bedeutet: Der Wiederaufbau dauert länger und kostet mehr operative Kraft. Aber die Ergebnisse sind langfristig besser.

Der Wiederherstellungsprozess ohne Zahlung dauert laut Sophos im Median 14 bis 30 Tage, abhängig von der Komplexität der IT-Umgebung und der Qualität der vorhandenen Backups. In dieser Zeit laufen Notfallprozesse: Manuelle Workflows ersetzen digitale Prozesse, kritische Systeme werden priorisiert wiederhergestellt und die forensische Analyse identifiziert den Angriffsvektor. Das ist schmerzhaft und kostet Umsatz. Aber es behebt das eigentliche Problem statt nur seine Symptome zu überbrücken.

Ein oft unterschätzter Vorteil der Nicht-Zahlung: Die forensische Aufarbeitung ohne Zeitdruck. Unternehmen, die zahlen, stehen unter dem Druck, die entschlüsselten Systeme schnell wieder produktiv zu schalten, oft ohne die Ursache vollständig zu verstehen. Unternehmen, die nicht zahlen und stattdessen sauber neu aufbauen, haben die Gelegenheit, ihre Sicherheitsarchitektur grundlegend zu verbessern. Viele IT-Leiter berichten rückblickend, dass der erzwungene Neuaufbau ihre Sicherheitslage langfristig gestärkt hat.

Unternehmen, die nicht zahlen, stehen langfristig besser da, weil sie gezwungen sind, ihre Sicherheitslücken tatsächlich zu schließen. Die Zahlung überbrückt den Schmerz, beseitigt aber nicht die Ursache. Wer zahlt und die gleiche Schwachstelle offen lässt, wird erneut angegriffen. Wer nicht zahlt und die Schwachstelle schließt, hat sein Sicherheitsniveau dauerhaft angehoben.

Der Schlüssel liegt in der Vorbereitung. Unternehmen mit getesteten Backup-Strategien, einem dokumentierten Incident-Response-Plan und einer Cyber-Versicherung mit Incident-Response-Deckung sind in der Lage, einen Ransomware-Vorfall ohne Zahlung zu überstehen. Die 36 Prozent, die 2025 nicht zahlen mussten, hatten diese Grundlagen in der Regel bereits geschaffen.

Der deutsche Mittelstand als Hauptziel

In Deutschland trifft Ransomware überproportional den Mittelstand. Laut dem BKA-Bundeslagebild Cybercrime 2024 sind 80 Prozent aller Ransomware-Opfer kleine und mittlere Unternehmen. Das BSI meldet 950 gemeldete Ransomware-Angriffe, wobei die Dunkelziffer deutlich höher liegt. Viele KMU melden Vorfälle nicht, um Reputationsschäden zu vermeiden. Die tatsächliche Zahl der Angriffe dürfte daher deutlich höher liegen.

Die Verwundbarkeit hat strukturelle Gründe. KMU erfüllen im Durchschnitt nur 56 Prozent der grundlegenden IT-Sicherheitsanforderungen und überschätzen dabei häufig ihr eigenes Schutzniveau. 83 Prozent der KMU kämpfen mit einem massiven IT-Fachkräftemangel. Ein dediziertes Security-Team, das einen Ransomware-Vorfall professionell bewältigen könnte, existiert in den meisten mittelständischen Unternehmen nicht.

Das BSI empfiehlt den CyberRisiko-Check nach DIN SPEC 27076 als Einstieg für KMU. Dieser standardisierte Check identifiziert die wichtigsten Lücken und kostet wenige tausend Euro. Ergänzend bieten Bund und Länder Förderprogramme für IT-Sicherheitsberatung im Mittelstand an.

Die Gegenposition: Wann Zahlen rational sein kann

Es gibt Szenarien, in denen die Nicht-Zahlung das Unternehmen existenziell gefährdet. Ein Krankenhaus, dessen Patientendaten verschlüsselt sind und das keine aktuellen Backups hat, steht vor einer anderen Abwägung als ein Softwareunternehmen mit redundanten Systemen. Ein produzierender Betrieb, der pro Tag Stillstand sechsstellige Umsatzeinbußen hat, berechnet den Break-Even anders.

In diesen Extremfällen kann die Zahlung die pragmatische Entscheidung sein, wenn drei Bedingungen erfüllt sind: Die Backups sind tatsächlich unbrauchbar, die Betriebsunterbrechung verursacht größere Schäden als das Lösegeld und ein professioneller Verhandlungsdienstleister wird eingeschaltet. Letzterer kann die Forderung laut Coveware im Durchschnitt um 47 Prozent reduzieren.

Aber auch dann gilt: Die Zahlung darf niemals ohne parallele Incident Response erfolgen. Der Angriffsvektor muss identifiziert und geschlossen werden. Andernfalls ist die nächste Verschlüsselung nur eine Frage der Zeit.

Checkliste: Ransomware-Vorbereitung für den Ernstfall

Prävention

• 3-2-1-Backup-Strategie umsetzen: 3 Kopien, 2 Medien, 1 Offsite-Kopie, regelmäßig getestet
• Netzwerksegmentierung implementieren: Produktions-, Büro- und Backup-Netzwerke trennen
• Multi-Faktor-Authentifizierung für alle Remote-Zugänge und privilegierten Accounts aktivieren
• Patch-Management mit maximal 72-Stunden-Fenster für kritische Schwachstellen etablieren

Vorbereitung auf den Ernstfall

• Incident-Response-Plan dokumentieren: Wer entscheidet, wer kommuniziert, wer die Forensik leitet
• Kontaktdaten für Incident-Response-Dienstleister und Rechtsanwalt offline vorhalten
• Cyber-Versicherung mit Incident-Response-Deckung prüfen und aktuell halten
• Tabletop-Übung mindestens einmal jährlich durchführen: Ransomware-Szenario durchspielen

Im Ernstfall

• Betroffene Systeme sofort isolieren, nicht herunterfahren (forensische Daten erhalten)
• BKA und BSI informieren (Meldepflicht unter NIS2 beachten)
• Professionellen Incident-Response-Dienstleister einschalten
• Nicht eigenständig mit den Angreifern kommunizieren

Fazit: Die Entscheidung fällt vor dem Angriff

Die Frage, ob ein Unternehmen bei einem Ransomware-Angriff zahlen soll, lässt sich nicht im Krisenraum beantworten. Sie wird Monate vorher entschieden: durch die Qualität der Backups, die Existenz eines dokumentierten und getesteten Incident-Response-Plans und die Frage, ob jemand im Unternehmen weiß, was im Ernstfall zu tun ist.

Die Zahlen sind eindeutig: Die Zahlungsbereitschaft sinkt, die Gesamtkosten steigen und Unternehmen, die vorbereitet sind, stehen deutlich besser da. Der CyberRisiko-Check des BSI ist ein guter Einstieg. Eine jährliche Tabletop-Übung, bei der ein Ransomware-Szenario durchgespielt wird, kostet einen Arbeitstag und kann im Ernstfall Millionen sparen. Wer diese Hausaufgaben gemacht hat, muss nie ernsthaft über Zahlung nachdenken. Wer sie nicht gemacht hat, zahlt in jedem Fall einen hohen Preis, ob mit oder ohne Lösegeld.

Häufige Fragen

Sollten Unternehmen bei Ransomware zahlen?

Das BSI, das BKA und die EU-Strafverfolgungsbehörden raten explizit von der Zahlung ab. Die Daten zeigen, dass zahlende Unternehmen im Durchschnitt nur 60 Prozent ihrer Daten zurückerhalten und ein erhöhtes Risiko für Folgeangriffe haben. In extremen Ausnahmefällen, wenn Backups unbrauchbar sind und die Betriebsunterbrechung existenzbedrohend ist, kann die Zahlung über einen professionellen Verhandlungsdienstleister erwogen werden.

Wie hoch ist die durchschnittliche Ransomware-Forderung?

Die durchschnittliche Lösegeldzahlung lag im vierten Quartal 2025 bei rund 592.000 US-Dollar mit einem Median von 325.000 US-Dollar (Coveware). Die Forderungen variieren stark nach Unternehmensgröße und Branche. Professionelle Verhandler können die Forderung im Durchschnitt um 47 Prozent reduzieren.

Wie lange dauert die Wiederherstellung ohne Zahlung?

Die Wiederherstellung aus Backups dauert laut Sophos im Median 14 bis 30 Tage, abhängig von der Komplexität der IT-Umgebung und der Qualität der Backups. In dieser Zeit laufen Notfallprozesse für den Geschäftsbetrieb. Unternehmen mit getesteten Backup-Strategien und einem dokumentierten Incident-Response-Plan verkürzen diese Zeit erheblich.

Was kostet ein Ransomware-Angriff insgesamt?

Laut dem IBM Cost of a Data Breach Report 2025 liegen die durchschnittlichen Gesamtkosten eines Ransomware-Vorfalls bei 5,13 Millionen US-Dollar. Darin enthalten sind forensische Untersuchung, Rechtsberatung, Krisenkommunikation, DSGVO-Benachrichtigungen, Produktivitätsverlust und erhöhte Versicherungsprämien. Diese Kosten fallen an, unabhängig davon, ob das Lösegeld gezahlt wurde.

Ist die Zahlung von Lösegeld illegal?

In der EU ist die Zahlung von Ransomware-Lösegeld nicht grundsätzlich illegal. Allerdings kann sie gegen Sanktionsrecht verstoßen, wenn die Empfänger auf EU- oder US-Sanktionslisten stehen. Unternehmen sollten vor jeder Zahlung eine sanktionsrechtliche Prüfung durchführen lassen. BSI und Strafverfolgungsbehörden raten aus kriminalpolitischen Gründen von Zahlungen ab, da sie das Geschäftsmodell der Angreifer finanzieren.

Quelle Titelbild: Pexels / Miguel A. Padrinan (px:3520692)

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik