Ransomware bleibt ein hochprofitables Geschäftsmodell der organisierten Cyberkriminalität. Ein neuer Bericht der US‑Finanzermittlungsbehörde FinCEN zeigt, dass Opfer zwischen 2013 und 2024 bereits über 4,5 Mrd. US‑Dollar an Erpresser gezahlt haben. Die Analyse basiert auf tausenden Verdachtsmeldungen von Banken und anderen Finanzdienstleistern im Rahmen des Bank Secrecy Act und gibt einen selten detaillierten Einblick in Umsätze, Akteure und Zielbranchen.
Ransomware-Zahlungen laut FinCEN: Milliardenmarkt mit hohem Dunkelfeld
Allein im Zeitraum Januar 2022 bis Dezember 2024 registrierte FinCEN 4.194 Ransomware-Incidents. In diesen drei Jahren flossen über 2,1 Mrd. US‑Dollar Lösegeld an Cyberkriminelle. Erfasst werden dabei nur Zahlungen, die Banken und andere regulierte Institute als verdächtig melden – die tatsächlichen Summen dürften nach Einschätzung von Strafverfolgern und Analysten wie Chainalysis oder ENISA noch deutlich höher liegen.
Ransomware-Statistik 2022–2024: Rekord 2023, deutlicher Rückgang 2024
2023 als Höhepunkt der Erpressungswelle
Das Jahr 2023 markiert den bisherigen Höchststand. FinCEN zählte 1.512 Angriffe, die Lösegeldzahlungen beliefen sich auf rund 1,1 Mrd. US‑Dollar – ein Anstieg von 77 % gegenüber 2022. Treiber dieser Entwicklung waren ausgereifte Geschäftsmodelle wie Ransomware-as-a-Service (RaaS), Doppelerpressung (Verschlüsselung plus Datendiebstahl) und gezielte Angriffe auf kritische Infrastrukturen und Lieferketten.
2024: Weniger Auszahlungen, aber keine Entwarnung
Im Jahr 2024 verzeichnete FinCEN zwar nur einen leichten Rückgang der Fälle auf 1.476 Incidents, die Gesamtsumme der Lösegeldzahlungen fiel jedoch fast um die Hälfte auf etwa 734 Mio. US‑Dollar. Das deutet auf eine veränderte Lage hin: mehr Unternehmen verweigern die Zahlung, Backup- und Notfallprozesse verbessern sich, zugleich wächst die Sorge vor regulatorischen und sanktionsrechtlichen Risiken bei Lösegeldüberweisungen. Fachberichte aus den USA und Europa zeigen einen ähnlichen Trend – weniger Mega-Deals, aber unverändert hohe Angriffszahlen.
Schlag gegen ALPHV/BlackCat und LockBit: Wirkung gezielter Strafverfolgung
Ein wesentlicher Faktor für die Trendwende sind internationale Strafverfolgungsaktionen. Ende 2023 wurde die Infrastruktur der Ransomware-Gruppe ALPHV/BlackCat kompromittiert, Anfang 2024 folgte ein koordinierter Schlag gegen LockBit. Beide galten als dominierende RaaS-Plattformen, die Tools und Infrastruktur für zahlreiche Affiliates bereitstellten. Nach den Polizeiaktionen versuchten einzelne Gruppen zwar Re‑Brandings oder wechselten zu anderen Programmen, insgesamt nahm jedoch der operative Druck auf das Ökosystem deutlich zu – und damit auch die Verhandlungsmacht der Opfer.
Betroffene Branchen und typische Lösegeldsummen
Die Mehrheit der von FinCEN erfassten Lösegeldforderungen lag bei unter 250.000 US‑Dollar pro Fall. Die Angreifer zielen damit bewusst auf Unternehmen, für die ein sechsstelliger Betrag schmerzhaft, aber noch zahlbar ist – insbesondere kleine und mittlere Unternehmen, die nicht über das Sicherheitsniveau großer Konzerne verfügen.
Nach Anzahl der Attacken führen Produktion (456 Incidents), Finanzdienstleister (432), Gesundheitswesen (389), Einzelhandel (337) und juristische Dienstleistungen (334) die Statistik an. Diese Sektoren sind stark von Verfügbarkeit und Vertraulichkeit von Daten abhängig und daher besonders anfällig für Erpressung über Downtime und Veröffentlichungsdrohungen.
Nach Volumen der Zahlungen steht jedoch der Finanzsektor mit rund 365,6 Mio. US‑Dollar an der Spitze, gefolgt von Gesundheitswesen (ca. 305,4 Mio.), Produktion (ca. 284,6 Mio.), Wissenschaft und Technologie (ca. 186,7 Mio.) sowie Einzelhandel (knapp 181,3 Mio.). Neben dem unmittelbaren Schaden drohen hier beträchtliche regulatorische Folgen, Sammelklagen und Reputationsverluste.
Führende Ransomware-Gruppen und das RaaS-Ökosystem
Insgesamt nennt FinCEN 267 unterschiedliche Ransomware-Familien, doch ein Großteil der Einnahmen konzentriert sich auf wenige Akteure. Nach Anzahl der genannten Vorfälle liegt Akira mit 376 Incidents vorn. Bei den Einnahmen dominieren ALPHV/BlackCat mit rund 395 Mio. US‑Dollar und LockBit mit ca. 252,4 Mio. US‑Dollar. Weitere prominente Namen sind Black Basta, Royal, BianLian, Hive, Medusa und Phobos. Zusammengenommen erwirtschafteten die zehn größten Gruppen rund 1,5 Mrd. US‑Dollar in den Jahren 2022 bis 2024.
Diese starke Konzentration ist typisch für das Ransomware-as-a-Service-Modell: Kernentwickler stellen Malware, Leak-Sites und Zahlungsinfrastruktur bereit, während Affiliates für Initialzugriff und eigentliche Angriffe sorgen. Die Gewinne werden über vertraglich vereinbarte Umsatzbeteiligungen geteilt – ein hochskalierbares, arbeitsteiliges Cybercrime-Ökosystem.
Kryptowährungen, Bitcoin und Geldwäsche
Etwa 97 % der registrierten Zahlungen für Ransomware-Angriffe entfallen auf Bitcoin. Andere Kryptowährungen – Monero, Ether, Litecoin, Tether – werden deutlich seltener verwendet. Der Vorteil von BTC für Kriminelle liegt in seiner Liquidität, seiner globalen Verbreitung und der Unterstützung durch die meisten Börsen und Zahlungsdienste.
Gleichzeitig erschweren die Verschärfung der KYC/AML-Kontrollen an Kryptobörsen und die Entwicklung von Blockchain-Analyse-Tools den Prozess der Geldwäsche. Berichte an FinCEN ermöglichen es, verdächtige Wallets zu identifizieren, sie mit bestimmten Gruppen in Verbindung zu bringen und Sanktionen gegen deren Infrastruktur zu verhängen.
Für Unternehmen sind die veröffentlichten FinCEN-Statistiken eine Erinnerung daran, dass Ransomware-Angriffe eine Bedrohung für Unternehmen jeder Größe darstellen, insbesondere in kritischen Sektoren. Ein umfassender Ansatz für die Cybersicherheit hilft, die Risiken zu verringern: regelmäßige Backups mit Wiederherstellungsprüfungen, Netzwerksegmentierung, Multi-Faktor-Authentifizierung, zeitnahe Installation von Updates, Einsatz von EDR/XDR-Lösungen, Schulung der Mitarbeiter zur Erkennung von Phishing und Vorhandensein eines ausgearbeiteten Plans für die Reaktion auf Vorfälle. Je besser ein Unternehmen technisch und organisatorisch vorbereitet ist, desto geringer ist die Wahrscheinlichkeit, dass es zwischen einem längeren Ausfall und der Zahlung eines Lösegelds wählen muss – und desto höher ist seine Cyber-Resilienz auf lange Sicht.
