Top-Ransomware-Statistiken und aktuelle Ransomware-Angriffe [2025]

Was ist Ransomware?

Ransomware ist eine Art Schadsoftware, die Dateien verschlüsselt oder Benutzer von ihren Systemen aussperrt und eine Lösegeldzahlung für die Wiederherstellung des Zugriffs fordert. Sie zielt sowohl auf Einzelpersonen als auch auf Organisationen ab und verursacht oft erhebliche operative und finanzielle Schäden.

Sobald Ransomware ein System infiziert, verschlüsselt sie typischerweise Dateien mithilfe starker Verschlüsselungsalgorithmen. Die Opfer erhalten dann eine Nachricht, in der erklärt wird, wie sie ein Lösegeld (meist in Kryptowährung) zahlen müssen, um einen Entschlüsselungsschlüssel zu erhalten. Einige Varianten drohen zudem mit der Veröffentlichung gestohlener Daten, falls das Lösegeld nicht gezahlt wird.

Ransomware verbreitet sich über Phishing-E-Mails, schädliche Anhänge, kompromittierte Websites oder Schwachstellen in exponierten Systemen. Moderne Varianten verfügen oft über Funktionen wie die Netzwerkausbreitung, wodurch sie sich schnell über verbundene Geräte verbreiten können.
Dies ist Teil einer Artikelserie zum Thema Informationssicherheit

Wichtige Ransomware-Statistiken im Jahr 2025

Ransomware-Angriffe nahmen im Jahr 2025 sowohl in Bezug auf das Volumen als auch die Komplexität weiter zu:

• Coalition, ein aktiver Versicherungsanbieter, stellte fest, dass der durchschnittliche Ransomware-Versicherungsanspruch um 68 % auf 353.000 US-Dollar gestiegen ist.
• Laut Cyble stieg die Zahl der gemeldeten Ransomware-Vorfälle in den USA in den ersten fünf Wochen des Jahres 2025 im Vergleich zum Vorjahr um 149 %, wobei im gleichen Zeitraum des Jahres 2024 378 Angriffe verzeichnet wurden, verglichen mit 152.
• BlackFog stellte ebenfalls einen Anstieg fest und verzeichnete allein im Januar 2025 92 gemeldete Vorfälle – ein Anstieg von 22 % gegenüber dem Vorjahr – und identifizierte 32 verschiedene Ransomware-Gruppen, die in diesem Zeitraum aktiv waren.
• Laut dem Data Breach Investigations Report 2024 von Verizon erkannten 92 % der Branchen Ransomware als primäre Bedrohung an.
• Sophos stellte fest, dass 59 % der Organisationen im Jahr 2024 Opfer von Ransomware-Angriffen wurden.
• Chainalysis schätzte, dass die durch Ransomware verursachten Zahlungen im Jahr 2024 813,55 Millionen US-Dollar erreichten.
• Sophos berichtete, dass die durchschnittlichen Lösegeldzahlungen von 400.000 US-Dollar im Jahr 2023 auf 2 Millionen US-Dollar im Jahr 2024 gestiegen sind.

Neue Taktiken und Schwachstellen

Angreifer wenden zudem aggressivere Taktiken an. Dreifache Erpressungsmethoden – bei denen Daten verschlüsselt, exfiltriert und dann zur öffentlichen Offenlegung verwendet werden – werden zunehmend von Bedrohungsgruppen wie Vice Society eingesetzt. Angriffe auf die Lieferkette haben den Wirkungsradius einzelner Angriffe erweitert, wie die spektakulären Vorfälle im Zusammenhang mit MoveIt Transfer von Progress Software und den Sicherheitsverletzungen bei SolarWinds und Kaseya zeigen.

Schließlich bleibt Phishing der dominierende Einstiegspunkt. Der Aufstieg generativer KI hat es Angreifern erleichtert, überzeugende Phishing-Köder zu entwickeln, was zu einer Zunahme erfolgreicher Erstzugriffe beiträgt. Ransomware as a Service (RaaS) hat die Eintrittsbarriere ebenfalls gesenkt und ermöglicht es mehr Akteuren, mithilfe vorgefertigter Toolkits und Infrastrukturen teilzunehmen.

Der Stand der Ransomware-Angriffe

Die jüngsten Ransomware-Angriffe waren unerbittlich und hatten weitreichende Auswirkungen auf alle Branchen. Die Angreifer verursachten erhebliche Serviceunterbrechungen, Datenlecks und Betriebsausfälle. Hier sind die wichtigsten Vorfälle und die dadurch verursachten Schäden:

RansomHub-Angriffe:

• In die lateinamerikanische Abteilung von MetLife eingedrungen und angeblich 1 TB an Daten exfiltriert.
• Ziel war American Standard, dem der Diebstahl von 400 GB Unternehmensdaten vorgeworfen wurde.
• ​Community Health Northwest Florida wurde getroffen, wodurch die Patientenversorgung unterbrochen und 68 GB sensibler Daten gestohlen wurden.
• Infiltrierte das Musicians Institute und behauptete, 1 TB an gestohlenen Daten, darunter Rechnungen und persönliche Dokumente, erbeutet zu haben.

Treffer im Gesundheitssektor:

• Richmond University Medical Center: Über 670.000 Menschen waren von dem Angriff betroffen; es kam zu erheblichen Dienstausfällen.
• Sunflower Medical Group: Rhysida beanspruchte 3 TB an Daten, darunter Ausweise, Versicherungskarten und Datenbanken.
• Excelsior Orthopaedics: Die Monti-Ransomware-Bande hat die Daten von 357.000 Menschen kompromittiert.
• BayMark Health Services: RansomHub behauptet, 1,5 TB an Patienten- und Mitarbeiterdaten gestohlen zu haben.
• Krankenhaus El Cruce: Medusa hat 760 GB medizinische Daten gestohlen und 200.000 US-Dollar in Bitcoin verlangt.

Störungen im Bildungssektor:

• PowerSchool: Massiver Datendiebstahl betraf 6.505 Schulbezirke; Angreifer erbeuteten Daten von über 62 Millionen Schülern und 9,5 Millionen Lehrern.
• Addison Northwest School District: Server offline genommen; ThreeAM übernahm die Verantwortung.
• Riverdale Country School: RansomHub behauptete, 42 GB Daten gestohlen zu haben, und setzte eine Lösegeldfrist von fünf Tagen.
• Öffentliche Schulen in South Portland: Angriff erzwang Netzwerkabschaltung und beeinträchtigte den Betrieb.

Ziele der Regierung und der Kommunen:

• Slowakisches Grundbuchamt: Ransomware legte wichtige öffentliche Dienste lahm.
• Montréal-Nord Borough: Rhysida drohte damit, gestohlene Regierungsakten zu versteigern, wenn nicht ein Lösegeld von einer Million Dollar gezahlt würde.
• Südafrikanischer Wetterdienst: RansomHub verursachte mehrere Tage lang Systemausfälle.
• Stadt West Haven: Qilin meldete einen Verstoß; die Systeme der Stadt wurden heruntergefahren und teilweise wiederhergestellt.

Schwerwiegende Verstöße gegen Unternehmensrichtlinien:

• Stark Aerospace: Die INC-Gruppe behauptete, 4 TB Militär- und Ingenieurdaten gestohlen zu haben, darunter auch UAV-Designdateien.
• DEphoto (UK): Omid16B hat Kundenfotos, Kreditkartendaten und über 555.000 persönliche Datensätze exfiltriert.
• Peikko Group (Finnland): Akira beanspruchte 30 GB an internen Dokumenten, Personalakten und Finanzdaten.
• Mission Bank (Kalifornien): RansomHub behauptete den Diebstahl von 2,7 TB an Finanzdaten von Mitarbeitern und Kunden.

Weitere bemerkenswerte Vorfälle:

• City Bank PLC (Bangladesch): Funksec nutzte einen Sitzungsfehler aus, um auf die Finanzberichte von Kunden zuzugreifen.
• Telefónica (Spanien): Hellcat ist in Jira-Systeme eingedrungen und hat 500.000 interne Aufzeichnungen und Mitarbeiterdaten gestohlen.
• Avery Products Corporation: Von dem Datenleck waren über 60.000 Personen betroffen; Kreditkarten- und persönliche Daten wurden gestohlen.
• Thomas Cook India: Ransomware-Angriff hat IT-Systeme gestört; Untersuchung läuft noch.

So schützen Sie sich im Jahr 2025 vor Ransomware

Hier sind einige der wichtigsten Möglichkeiten, wie sich Unternehmen vor Ransomware-Angriffen schützen können.

1. Implementieren Sie eine Zero-Trust-Architektur

Ein Zero-Trust-Modell behandelt jede Anfrage als potenziell feindselig, unabhängig von ihrer Herkunft. Es erfordert eine strenge Identitätsprüfung, Gerätevalidierung und kontextabhängige Zugriffsrichtlinien. Die Identität muss durch Multi-Faktor-Authentifizierung (MFA) validiert werden, idealerweise mit Phishing-resistenten Methoden wie FIDO2 oder Hardware-Token.

Geräte sollten vor der Zugriffsberechtigung auf Konformität geprüft werden – beispielsweise auf Endpunktschutzstatus, Betriebssystem-Patchlevel und Standort. Nutzen Sie Netzwerksegmentierung, um Workloads zu isolieren und richtlinienbasierten Zugriff über softwaredefinierte Perimeter zu erzwingen. Kontinuierliches Monitoring ist entscheidend: Analysieren Sie das Sitzungsverhalten in Echtzeit und entziehen Sie den Zugriff, wenn Anomalien erkannt werden.

2. Behalten Sie gründliche Backup-Strategien bei

Effektive Backups erfordern mehr als nur regelmäßige Snapshots. Verschlüsseln Sie Backups im Ruhezustand und während der Übertragung, um Manipulationen zu verhindern, und speichern Sie sie an physisch und logisch isolierten Orten – vorzugsweise im WORM-Format (Write Once, Read Many) oder in einer Air-Gap-Umgebung. Diversifizieren Sie die Backup-Typen Ihres Unternehmens: Nutzen Sie vollständige, differenzielle und inkrementelle Backups, um die Wiederherstellungsgeschwindigkeit und Speichereffizienz zu optimieren.

Implementieren Sie automatisierte Backup-Verifizierungsroutinen, die die Dateiintegrität, Hash-Konsistenz und Wiederherstellbarkeit prüfen. Dokumentieren und proben Sie vollständige Wiederherstellungsszenarien für Betriebssysteme, Datenbanken und virtuelle Umgebungen. Stellen Sie außerdem sicher, dass die Backup-Systeme selbst gehärtet und nicht über Standard-Unternehmensnetzwerke oder AD-Domänen erreichbar sind, die von Ransomware-Angreifern angegriffen werden.

3. Setzen Sie erweiterte Tools Bedrohungserkennung ein

Ransomware-Angreifer agieren schnell und verschlüsseln Systeme oft schon wenige Stunden nach dem ersten Zugriff. Um dem entgegenzuwirken, verwenden Sie Tools, die umfassende Einblicke in die Aktivitäten von Endpunkten, Netzwerken und Clouds bieten.

SIEM-Plattformen mit Verhaltensanalysen sollten verwendet werden, um Verhaltensweisen wie schnelles Umbenennen von Dateien, Massenzugriff auf Dateien und unerwartete Rechteausweitungen zu kennzeichnen.

Nutzen Sie Täuschungstechnologien (Honeypots oder Köderdateien), um laterale Bewegungen zu erkennen. Verhaltensbasierte SIEM-Tools sollten Anzeichen von Command-and-Control-Verkehr (C2), anomalen Datentransfers und lateralem SMB-Scanning überwachen. Integrieren Sie SIEM in SOAR Plattformen, um automatisierte Eindämmungsmaßnahmen wie das Deaktivieren von Konten, das Blockieren von IPs oder das Isolieren von Rechnern zu ermöglichen – alles ohne die Notwendigkeit einer XDR-Lösung.

Erfahren Sie mehr in unserem ausführlichen Leitfaden zurBedrohungssuche 

4. Sorgen Sie für ein umfassendes Patch-Management

Priorisieren Sie Patches basierend auf Bedrohungsdaten, CVSS-Scores und der Verfügbarkeit von Exploits. Führen Sie ein Echtzeitinventar aller Hardware, Software und Firmware in der Umgebung. Wenden Sie Patches in strukturierten Wellen an: Testen Sie in Sandbox-Umgebungen, stellen Sie sie in Pilotgruppen bereit und erweitern Sie sie anschließend in die Produktion.

Beschleunigen Sie bei hochriskanten CVEs, die in der Praxis ausgenutzt werden, die Patch-Zyklen und wenden Sie bei Bedarf Out-of-Band-Fixes an. Legacy-Systeme, die nicht gepatcht werden können, sollten mithilfe von VLANs, Firewall-Regeln und Zugriffs-Proxys isoliert werden. Verwenden Sie Konfigurationsmanagement-Tools wie Ansible, SCCM oder Chef, um grundlegende Sicherheitseinstellungen durchzusetzen und zu prüfen. Verfolgen Sie fehlgeschlagene Patch-Bereitstellungen und implementieren Sie Rollback-Pläne, um Instabilitäten zu bewältigen, ohne die Systeme ungeschützt zu lassen.

5. Verbessern Sie die E-Mail- und Kommunikationssicherheit

Phishing ist nach wie vor der Hauptüberträger von Ransomware. Nutzen Sie sichere E-Mail-Gateways mit KI-/ML-Filterung, Sandboxing und integrierter Bedrohungsanalyse. Setzen Sie URL-Rewriting und Klickzeitschutz ein, um den Zugriff auf schädliche Links zu verzögern. Implementieren Sie Bedrohungserkennung auf Benutzerebene, um Interaktionen mit Phishing-Inhalten zu überwachen und Schulungen entsprechend anzupassen.

Beschränken Sie die externe Weiterleitung, aktivieren Sie die E-Mail-Verschlüsselung und deaktivieren Sie Makros standardmäßig in Office-Dokumenten. Kommunikationsplattformen wie Teams und Slack sollten ebenfalls überwacht werden – Ransomware-Gruppen nutzen diese zunehmend zur internen Verbreitung. Schulen Sie Ihre Mitarbeiter in der Meldung von Vorfällen und belohnen Sie frühzeitige Erkennung, um eine starke Meldekultur aufzubauen.

6. Entwickeln und testen Sie einen Incident-Response-Plan

Erstellen Sie ein Ransomware-spezifisches Incident-Response-Playbook mit detaillierten Runbooks für gängige Szenarien wie Endpunktverschlüsselung, Exfiltration oder Backup-Kompromittierung. Fügen Sie Kontaktbäume, Zeitpläne für rechtliche Hinweise und Protokolle für Entscheidungen zu Kryptowährungszahlungen hinzu (sofern die Richtlinien dies zulassen). Bewahren Sie Papierkopien und Offline-Versionen für den Fall auf, dass auf Ihre Primärsysteme nicht zugegriffen werden kann.

Führen Sie vierteljährlich Vorfallsimulationen mit IT-, Rechts-, Compliance- und Führungsteams durch, um den Plan unter Echtzeitdruck zu testen. Protokollieren und überprüfen Sie die Ergebnisse jedes Tests, um Verzögerungen, Unklarheiten oder fehlende Schritte zu identifizieren. Arbeiten Sie mit Cyber-Versicherungsanbietern zusammen, um die Reaktionsprozesse an die Richtlinienanforderungen anzupassen und sicherzustellen, dass forensische und Eindämmungsverfahren genehmigt werden.

7. Teilen Sie Informationen zu Bedrohungsintelligenz

Proaktive Abwehr erfordert Zugriff auf die neuesten Angriffstaktiken. Abonnieren Sie verschiedene Quellen für Bedrohungsinformationen, darunter kommerzielle Feeds (z. B. Mandiant, Recorded Future), behördliche Warnhinweise (z. B. CISA, ENISA) und Open-Source-Projekte (z. B. Abuse.ch, MalwareBazaar). Normalisieren und korrelieren Sie Daten mithilfe von STIX/TAXII-Protokollen für die Integration in SIEM-Plattformen.

Nutzen Sie TTPs und IOCs, um Bedrohungen in Ihrer Umgebung zu erkennen. Nehmen Sie an branchenspezifischen Foren wie FS-ISAC, H-ISAC oder InfraGard teil, um sich mit Kollegen auszutauschen, die mit ähnlichen Bedrohungen konfrontiert sind. Teilen Sie nach Möglichkeit anonymisierte Vorfalldaten – das unterstützt das gesamte Ökosystem bei der Vorbereitung und kann zu schnelleren Empfehlungen von Anbietern und Partnern zur Risikominderung führen.

Ransomware-Schutz mit Exabeam

Exabeam ermöglicht die frühzeitige Erkennung und schnelle Reaktion auf Ransomware durch die Analyse des Benutzer- und Entitätsverhaltens in der gesamten Umgebung. Anstatt sich auf statische Indikatoren oder vordefinierte Regeln zu verlassen, nutzt Exabeam erweiterte Analysen, um Anomalien zu erkennen, die auf die frühen Phasen eines Angriffs hinweisen. Dazu gehören ungewöhnliche Änderungen der Berechtigungen, laterale Bewegungen, verdächtige Zugriffe auf Backup-Systeme und abnormale Dateiaktivitäten.

Die Plattform erstellt automatisch Zeitleisten, die zusammenhängende Ereignisse miteinander verknüpfen. So erhalten Analysten den vollständigen Kontext eines Vorfalls ohne manuelle Zuordnung. Sicherheitsteams können schnell erkennen, wie sich ein Angriff entwickelt hat, und fundierte Maßnahmen ergreifen.

Exabeam lässt sich in Ihre vorhandenen Tools integrieren, darunter EDR, CASB, Identitätssysteme und Backup-Infrastruktur. Es reichert diese Daten mit verhaltensbezogenen Erkenntnissen an und automatisiert die Reaktion durch Playbooks im SIEM. Dieser Ansatz hilft Unternehmen, Ransomware zu stoppen, ohne anbieterspezifische XDR-Plattformen einführen zu müssen. Dies bietet ihnen Flexibilität und Kontrolle und verbessert gleichzeitig die Erkennungsabdeckung und Reaktionszeit.

Kunden berichten von einer Reduzierung der Warnmeldungen um bis zu 60 %, einer Verkürzung der Untersuchungszeiten um bis zu 80 % und einer um 50 % schnelleren Reaktion auf Vorfälle wie Ransomware-Angriffe als mit anderen Lösungen. Automatisierte Exabeam und Verhaltensanalysen liefern sofortigen Kontext, reduzieren den manuellen Aufwand und ermöglichen eine effizientere Erkennung kritischer Vorfälle. Dank nahtloser Integration, vorgefertigter Erkennungen und intuitiver Workflows unterstützt Exabeam Unternehmen dabei, ihre Sicherheitsergebnisse zu verbessern, Betriebskosten zu senken und potenziell in weniger als einer Stunde auf Bedrohungen zu reagieren.