Die Zahlungsbereitschaft nach Ransomware-Attacken sinkt auf ein historisches Minimum: Im dritten Quartal 2025 leisteten laut Coveware nur noch 23% der betroffenen Organisationen eine Lösegeldzahlung. Parallel dazu schrumpfen die Beträge: Der Durchschnitt fiel auf 377.000 US‑Dollar, der Median auf 140.000 US‑Dollar. Zum Vergleich: Anfang 2024 lag die Quote zahlender Opfer noch bei 28%. Die Zahlen unterstreichen einen sechsjährigen Trend, der die Angriffsökonomie der Erpresser sichtbar unter Druck setzt (Quelle: Coveware Q3 2025).
Treiber: Regulierung, Strafverfolgung und Reife der Sicherheitspraktiken
Mehrdimensionale Gegenmaßnahmen zeigen Wirkung. Strafverfolgungsbehörden stören Infrastrukturen, zerschlagen Affiliates und erhöhen die operativen Risiken krimineller Ökosysteme. Gleichzeitig verankern Unternehmen Zero-Trust-Prinzipien, stärken Backups und professionalisieren das Incident Response (IR). Diese Kombination senkt den erwarteten Ertrag der Täter und erschwert Monetarisierung.
Rolle von Strafverfolgung und Compliance
Rechtlicher und regulatorischer Druck – von Sanktionsregimen bis zu Meldepflichten – beeinflusst Entscheidungen im Krisenfall. Unternehmensrichtlinien und Cyberversicherung-Klauseln fordern belegbare Wiederherstellungsfähigkeit und eine begründete Ablehnung von Zahlungen. Praxisbelege aus CISA- und ENISA-Empfehlungen sowie Branchenstudien (u. a. Verizon DBIR 2024) zeigen: Organisationen mit getesteten Wiederanlaufplänen und dokumentierter Forensik verhandeln seltener und kürzer – und zahlen signifikant seltener.
Taktikwechsel: Datenexfiltration dominiert vor klassischer Verschlüsselung
Erpresser verlagern den Hebel weg vom reinen Verschlüsseln hin zu Datenexfiltration und Drohung der Veröffentlichung (doppelte Erpressung). Im Q3 2025 betrafen solche Szenarien über 76% aller Fälle. Bemerkenswert: Gelingt es, Angriffe schnell zu isolieren und die Integrität von Offsite-/Offline‑Backups glaubhaft nachzuweisen, fällt die Zahlungswahrscheinlichkeit bei „ohne-Verschlüsselung“-Erpressung auf nur 19% – der niedrigste je von Coveware beobachtete Wert.
Ökonomie der Erpresser und Folgen sinkender Quoten
Weniger Zahlungen und kleinere Tickets verschlechtern die Rendite für Angreifer. Reaktionen sind bereits sichtbar: granularere Opferauswahl, mehrstufiger Druck (Teilveröffentlichungen, Kontakt zu Kunden/Partnern) sowie eine verstärkte Nutzung von Social Engineering und gezielter Insider‑Anwerbung. Diese Anpassungen erhöhen zwar die Komplexität der Angriffe, machen sie aber auch anfälliger für präventive Kontrollen und frühe Detektion.
Zielauswahl und Erstzugriff: Mittelstand im Fokus
Den größten Anteil der beobachteten Kampagnen im Quartal schrieben Analysten den Gruppen Akira und Qilin zu – zusammen 44%. Da Großunternehmen seltener zahlen und schneller wieder anlaufen, verlagert sich der Schwerpunkt auf den Mittelstand, wo operative Zwänge oft zu schnelleren Verhandlungen führen. Als Initialvektoren dominieren kompromittierte RDP/VPN-Zugänge, die Ausnutzung gepatchter, aber ungepatchter Schwachstellen in geschäftskritischer Software und Supply-Chain-Angriffe. Parallel steigt der Anteil an täuschungsnahen Taktiken: Phishing entlang echter Geschäftsprozesse und direkte Ansprache potenzieller Insider.
Maßnahmen: So sinken Risiko und Incident-Kosten
Organisationen, die Basismaßnahmen konsequent umsetzen, zahlen signifikant seltener. Dazu zählen: MFA für alle Remote-Zugriffe, strikte Netzwerksegmentierung, vulnerabilitätsorientiertes Patchen mit Priorisierung nach Exploitabilität, regelmäßig getestete Offline‑Backups und EDR/XDR mit 24/7‑Monitoring. Ergänzend wirksam: PAM zur Kontrolle privilegierter Konten, Minimierung exponierter Services und klar definierte Isolations-Playbooks, um Lateral Movement früh zu stoppen.
Gegen doppelte Erpressung helfen DLP-Kontrollen, eine aktuelle Dateninventur, durchgängige Verschlüsselung (at rest/in transit) und evidenzfähige Protokollierung, um Umfang und Art einer Exfiltration belastbar festzustellen. Regelmäßige Tabletop-Übungen, abgestimmte IR‑Pipelines, vorbereitete Kommunikationsbausteine sowie etablierte Kontakte zu Strafverfolgern und Rechtsberatern verkürzen die Entscheidungszeit und reduzieren Erpressungshebel. Praxisnahe Beispiele zeigen: Wer in den ersten 24–48 Stunden Assets isoliert, Datenabfluss belegt und Wiederanlauf demonstriert, entzieht Tätern den ökonomischen Boden.
Die Datenlage ist eindeutig: „Nicht zahlen“ wird zur neuen Norm. Unternehmen jeder Größe sollten den Remote‑Perimeter erhärten, bekannte Schwachstellen schließen, Belegschaften für Social Engineering sensibilisieren und die IR‑Fähigkeiten bis zur Führungsebene proben. Investitionen in Prävention und gesteuertes Reagieren senken nicht nur die Eintrittswahrscheinlichkeit, sondern auch die Verhandlungsmasse der Angreifer – und damit die Kosten eines Vorfalls.
