Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Kritisch

    Ransomware

    Ransomware ist Schadsoftware, die Dateien und Systeme verschlüsselt und ein Lösegeld für die Entschlüsselung fordert. Für Unternehmen bedeutet das oft einen vollständigen Betriebsstillstand – kein Zugriff auf E-Mails, Kundendaten oder Produktionssysteme. Moderne Ransomware-Gruppen drohen zusätzlich damit, gestohlene Daten im Darknet zu veröffentlichen (Double Extortion). <a href="/branchen/heilberufe-arztpraxen" class="text-primary hover:underline">Besonders gefährdet sind Arztpraxen</a>, deren Patientendaten auf dem Schwarzmarkt bis zu 250 € pro Datensatz wert sind.

    8.148Ransomware-Attacken weltweit in 2025 – ein Anstieg von 33 %

    Wie funktioniert Ransomware?

    Ransomware gelangt meist über Phishing-E-Mails, unsichere Fernzugänge (RDP) oder Sicherheitslücken in Software ins Unternehmensnetzwerk. Die Angreifer nutzen oft bekannte Schwachstellen, für die bereits Patches existieren – die aber noch nicht eingespielt wurden. Durch <a href="/blog/nis2-haftungsfalle-fuer-kmu" class="text-primary hover:underline">die neuen Pflichten der NIS2-Richtlinie</a> müssen Unternehmen diese Lücken nun schneller schließen.

    Nach dem Eindringen bewegen sich die Angreifer zunächst unbemerkt durch das Netzwerk. Diese Phase kann Tage bis Wochen dauern. Sie verschaffen sich Administratorrechte, identifizieren kritische Systeme und Backups, und stehlen vertrauliche Daten als zusätzliches Druckmittel.

    Erst wenn die Angreifer maximale Kontrolle haben, starten sie die Verschlüsselung – oft nachts oder am Wochenende, wenn niemand im Büro ist. Innerhalb weniger Minuten werden alle erreichbaren Dateien verschlüsselt: Server, Arbeitsplätze, Netzwerklaufwerke und im schlimmsten Fall auch die Backups.

    Danach erscheint die Lösegeldforderung. Gezahlt wird in Kryptowährungen wie Bitcoin. Die Forderungen reichen von wenigen tausend Euro bei kleinen Unternehmen bis zu mehreren Millionen bei größeren Zielen. Selbst nach Zahlung gibt es keine Garantie, dass die Daten wiederhergestellt werden. Vergleichen Sie <a href="/anbieter" class="text-primary hover:underline">Anbieter von Cyber-Policen</a>, um den passenden Schutz zu finden.

    <strong>Neue Trends 2025/2026:</strong> Laut dem Coalition Cyber Claims Report 2026 setzen Angreifer zunehmend auf hybride Angriffe – eine Kombination aus Ransomware und Datendiebstahl. KI-gesteuerte Angriffe nutzen Voice Cloning und Deepfakes für überzeugenderes Social Engineering. Das BSI warnt vor bis zu 3.600 neuen KI-bezogenen Sicherheitslücken bis 2026. Der Trend geht außerdem zur Verweigerung von Lösegeldzahlungen – Unternehmen mit guten Backups und Incident-Response-Plänen zahlen immer seltener.

    Ransomware in Zahlen

    8.148
    Ransomware-Attacken weltweit in 2025 – ein Anstieg von 33 % gegenüber dem Vorjahr
    203 Mrd. €
    jährlicher Gesamtschaden durch Cyberangriffe in Deutschland, Ransomware als Haupttreiber (Bitkom 2025)
    136.000 €
    durchschnittliche Lösegeldforderung an deutsche KMU (GDV Cyberumfrage 2025)
    22 Tage
    durchschnittliche Ausfallzeit nach einem Ransomware-Angriff auf KMU (BSI)
    3.600
    neue KI-bezogene Sicherheitslücken bis 2026 erwartet (BSI Lagebericht)
    Echte Schadensfälle

    So trifft Ransomware Unternehmen

    Automobilindustrie

    Ransomware legt mittelständischen Automobilzulieferer lahm

    4,2 Mio. €
    4 Wochen vollständiger Produktionsstillstand

    Über eine ungepatchte VPN-Schwachstelle drangen Angreifer in das Netzwerk eines Automobilzulieferers mit 280 Mitarbeitern ein. Nach zwei Wochen unbemerkterer Auskundschaftung verschlüsselten sie sämtliche Produktionssteuerungssysteme, ERP-Daten und Backups. Die Lösegeldforderung betrug 800.000 €. Das Unternehmen zahlte nicht und musste die gesamte IT-Infrastruktur neu aufbauen. Die Gesamtkosten inklusive Produktionsausfall und Vertragsstrafen beliefen sich auf 4,2 Mio. €.

    Rechtsberatung

    Kanzlei durch Ransomware zwei Wochen handlungsunfähig

    520.000 €
    14 Tage ohne Zugriff auf Mandantenakten

    Eine mittelgroße Anwaltskanzlei mit 15 Anwälten wurde über einen infizierten E-Mail-Anhang mit Ransomware attackiert. Sämtliche Mandantenakten, Schriftsätze und die Kanzleisoftware wurden verschlüsselt. Da auch das lokale Backup betroffen war, konnten Fristen nicht eingehalten werden. Die Cyberversicherung übernahm die Kosten für IT-Forensik, Datenwiederherstellung aus einem Cloud-Backup und den Ertragsausfall.

    Schutzmaßnahmen gegen Ransomware

    Technische Maßnahmen

    • 3-2-1-Backup-Strategie: 3 Kopien, 2 Medien, 1 offline/unveränderbar (Immutable Backups)
    • Zero-Trust-Architektur: Kein implizites Vertrauen, jeder Zugriff wird verifiziert
    • Netzwerksegmentierung zur Begrenzung der lateralen Ausbreitung
    • Endpoint Detection & Response (EDR) mit KI-gestützter Anomalie-Erkennung auf allen Endgeräten
    • Regelmäßiges Patching aller Systeme innerhalb von 72 Stunden
    • Multi-Faktor-Authentifizierung für alle Remote-Zugänge (VPN, RDP)
    • Application Whitelisting auf kritischen Servern
    • Deaktivierung von Makros in Office-Dokumenten aus externen Quellen
    • Privileged Access Management (PAM) zur Einschränkung von Admin-Rechten

    Organisatorische Maßnahmen

    • Incident-Response-Plan erstellen, dokumentieren und quartalsweise als Tabletop-Übung durchspielen
    • Backup-Wiederherstellung mindestens quartalsweise testen (Recovery Time Objective definieren)
    • Incident-Response-Retainer mit einem spezialisierten Dienstleister vereinbaren
    • Entscheidungsprozess für Lösegeldzahlungen vorab klären (inkl. rechtlicher Bewertung)
    • Kommunikationsplan für Kunden, Partner und Behörden vorbereiten
    • Security-Awareness-Trainings mit simulierten Phishing-Kampagnen durchführen
    • Cyber-Resilienz-Strategie etablieren: Nicht nur verhindern, sondern schnell wiederherstellen
    Versicherungsschutz

    Was die Cyberversicherung bei Ransomware abdeckt

    Abgedeckte Leistungen

    • Lösegeldzahlungen (nach Absprache mit dem Versicherer und Behörden)
    • Kosten für IT-Forensik und Incident Response
    • Betriebsunterbrechungsschäden und Ertragsausfall
    • Kosten für Datenwiederherstellung und Systemwiederaufbau
    • Haftpflichtansprüche betroffener Dritter (z. B. bei Datenverlust)
    • Krisenkommunikation und PR-Beratung
    • Rechtsberatung und Verhandlung mit Angreifern
    • Kosten für Benachrichtigung betroffener Personen

    Typische Ausschlüsse

    • Lösegeld, wenn ohne Absprache mit dem Versicherer gezahlt wurde
    • Schäden durch vorsätzliches Ignorieren bekannter Sicherheitslücken
    • Wertminderung von Geschäftsgeheimnissen nach Datendiebstahl
    • Vertragsstrafen gegenüber Geschäftspartnern (je nach Tarif)
    • Kosten für Sicherheitsverbesserungen nach dem Vorfall (Betterment)

    Schützen Sie Ihr Unternehmen vor Ransomware

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Ransomware

    Das BSI und die Polizei raten grundsätzlich von Lösegeldzahlungen ab, da diese das Geschäftsmodell der Kriminellen finanzieren. Dennoch kann es in Ausnahmefällen — etwa bei existenzbedrohenden Situationen ohne Backup — die einzige Option sein. Besprechen Sie dies immer zuerst mit Ihrem Cyberversicherer und der Polizei.
    Sofort. Die ersten Minuten sind entscheidend, um die Ausbreitung zu stoppen. Trennen Sie betroffene Systeme vom Netzwerk, informieren Sie Ihre IT und den Cyberversicherer. Bei Datenschutzverletzungen haben Sie 72 Stunden, um die Aufsichtsbehörde zu melden.
    Die meisten Cyberversicherungen decken Lösegeldzahlungen ab, allerdings unter strengen Bedingungen. Sie müssen den Versicherer vor der Zahlung informieren, oft werden spezialisierte Verhandler eingeschaltet. Es gibt häufig Sublimits und eine Abstimmung mit Strafverfolgungsbehörden ist erforderlich.
    Im Durchschnitt dauert es 22 Tage, bis ein mittelständisches Unternehmen wieder voll arbeitsfähig ist. Bei Unternehmen mit guten Backups und einem Notfallplan kann es deutlich schneller gehen — manchmal in wenigen Tagen. Ohne Backups kann die Wiederherstellung Monate dauern.
    Nur, wenn die Backups offline oder unveränderbar (immutable) gespeichert sind. Moderne Ransomware sucht gezielt nach Backup-Systemen und verschlüsselt diese mit. Deshalb ist die 3-2-1-Regel entscheidend: mindestens eine Kopie muss offline und vom Netzwerk getrennt aufbewahrt werden.
    Bei Double Extortion (doppelte Erpressung) stehlen die Angreifer die Daten, bevor sie sie verschlüsseln. Selbst wenn das Unternehmen die Daten aus Backups wiederherstellen kann, drohen die Täter mit der Veröffentlichung sensibler Informationen im Darknet. Das erhöht den Druck zur Zahlung erheblich.
    Cyber-Resilienz beschreibt die Fähigkeit eines Unternehmens, Cyberangriffe zu überstehen und den Betrieb schnell wiederherzustellen. Im Gegensatz zur traditionellen IT-Sicherheit, die auf reine Abwehr setzt, kombiniert Cyber-Resilienz Prävention, Erkennung, Reaktion und Wiederherstellung. Eine Cyberversicherung ist ein zentraler Baustein dieser Strategie, da sie die finanziellen Folgen auffängt.
    Zero-Trust reduziert das Risiko erheblich, da jeder Zugriff — auch innerhalb des Netzwerks — verifiziert wird. Dadurch wird die laterale Ausbreitung von Ransomware deutlich erschwert. Einen 100-prozentigen Schutz bietet aber auch Zero-Trust nicht. Deshalb empfehlen Experten die Kombination aus Zero-Trust, Immutable Backups und einer Cyberversicherung.

    Verwandte Bedrohungen

    Phishing-AngriffeMalware & SchadsoftwareTrojaner

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.