Studie zu den globalen Kosten von Ransomware: Was uns die Zahlen sagen

Ihre gesamte Organisation gerät zum Erliegen. Verschlüsselte Dateien, Betriebsabläufe eingefroren und Kunden betroffen. Die Lösegeldforderung ist erst der Anfang. Willkommen im allzu realen Chaos eines Ransomware-Angriffs.

Ransomware ist keine bloße Möglichkeit — sie ist Realität, und Unternehmen werden täglich Opfer von Angriffen.  

Illumio's neu Studie zu den globalen Kosten von Ransomware ddeckt den wahren Tribut dieser Angriffe auf. Wir haben mit Trevor Dearing, dem Direktor für kritische Infrastrukturlösungen bei Illumio, gesprochen, um die Erkenntnisse des Berichts zu erläutern und den richtigen Weg zu finden.

Der Bericht zeigt einen deutlichen Anstieg der Unternehmen, die aufgrund von Ransomware ihren Betrieb einstellen mussten — von 45 % im Jahr 2021 auf heute 58 %. Was sagt uns das über die Entwicklung von Ransomware?

Dieser Anstieg von 45% auf 58% ist eine der aussagekräftigsten Statistiken im Bericht. Es zeigt eine Veränderung der Angriffstaktik. Sie stehlen nicht mehr nur Daten — sie setzen Ransomware ein, um Störungen zu verursachen.  

Denken Sie darüber nach, was passiert, wenn ein Krankenhaus, ein Energienetz oder eine Produktionsstätte abgeschaltet wird. Schauen Sie sich den jüngsten Angriff auf Synnovis an, bei dem 1.130 geplante Operationen und 2.190 ambulante Termine in Londoner Krankenhäusern zum Erliegen kamen. Oder sogar die Angriffe auf die IT in Südwestfalen, die 70 Gemeinden lahmlegten und 1,6 Millionen Bürger betrafen. Die Auswirkungen von Ransomware gehen weit über die IT hinaus. Es bedroht die betriebliche Widerstandsfähigkeit und sogar die öffentliche Sicherheit.

Dieser Fokus auf Betriebsstörungen macht Ransomware gefährlicher denn je. Angreifer wissen, dass sie deutlich höhere Lösegelder erpressen können, indem sie den Betrieb lahmlegen, anstatt lediglich Daten zu stehlen.

Der Global Cybersecurity Outlook des Weltwirtschaftsforums von 2024 und 2025 unterstreicht diesen Wandel. Tatsächlich gaben 45% der im diesjährigen Bericht befragten Cyber-Führungskräfte an, dass sie sich Sorgen über Betriebsunterbrechungen und Geschäftsprozesse aufgrund von Ransomware machen. Dies ist eine Veränderung gegenüber den Vorjahren, als Datendiebstahl die größte Sorge darstellte.

Und ehrlich gesagt sind viele Organisationen dafür nicht bereit. Sie sind immer noch besorgt darüber, Vorfälle zu verhindern und aufzudecken. In Wirklichkeit sollten sie sich auf Strategien zur Eindämmung von Sicherheitsverletzungen konzentrieren, die sie vor unvermeidlichen Angriffen schützen.

Unternehmen investieren fast ein Drittel ihres IT—Budgets in den Schutz vor Ransomware — und dennoch berichten 88 % von ihnen, dass sie Opfer geworden sind. Wo liegt die Diskrepanz?

Es geht nicht darum, wie viel Unternehmen ausgeben. Es geht darum, wie sie es ausgeben.  

Die Budgets steigen von Jahr zu Jahr, doch die Investitionen sind oft fehlgeleitet. Zu viele Unternehmen konzentrieren sich weiterhin ausschließlich auf die Verhinderung von Sicherheitsverletzungen. Doch die Realität ist: Man kann nicht alles aufhalten — Angreifer finden immer einen Weg ins System.

Derzeit herrscht viel Selbstüberschätzung und Selbstgefälligkeit. Unternehmen denken, sie seien vorbereitet, aber die Zahlen erzählen eine andere Geschichte.

Was nötig ist, ist ein Umdenken. Anstatt alle Ressourcen darauf zu verwenden, jeden möglichen Angriff zu verhindern, sollten Unternehmen Resilienz priorisieren — also den Schaden eines Angriffs begrenzen, sobald er passiert. Das bedeutet, in Maßnahmen wie Eindämmung von Sicherheitsverletzungen und grundlegende Sicherheitsmaßnahmen zu investieren.

Ein weiteres Problem ist die Komplexität. Je komplexer die Sicherheitsumgebung, desto schwieriger ist es, effektiv zu reagieren. Eine Vereinfachung der Tools und die Reduzierung der Angriffsfläche können einen erheblichen Unterschied machen.

Der Bericht zeigt, dass Ransomware — Angriffe im Durchschnitt 132 Stunden und den Einsatz von 17,5 Personen erfordern, um eingedämmt und behoben zu werden. Warum erfordert die Wiederherstellung so viele Ressourcen?

Die Wiederherstellung nach einem Ransomware-Angriff ist eine enorme Belastung. Es geht nicht nur um die unmittelbaren finanziellen Kosten — auch wenn diese erheblich sind — sondern auch um die Zeit — und Opportunitätskosten. Schlüsselpersonen werden von ihren täglichen Aufgaben abgezogen, um sich mit den Folgen des Angriffs zu befassen.

Im Wesentlichen entspricht dies dem Einsatz mehrerer Vollzeitkräfte für ein ganzes Jahr zur Schadensbegrenzung.

Ein großer Teil des Problems besteht darin, dass viele Unternehmen noch immer keine wirksamen Eindämmungsstrategien haben. Wenn sich ein Angriff über mehrere Systeme hinweg ausbreitet, steigt der Zeit — und Ressourcenaufwand exponentiell.

Die Zeit, Kosten und Ressourcen, die in Ransomware-Angriffe fließen, werden erst dann sinken, wenn Unternehmen über Tools verfügen, die Sicherheitsverletzungen effektiv eindämmen.

Cloud — und Hybrid — Umgebungen werden als besonders anfällig genannt. Warum ist das so?

Cloud-Umgebungen sind von Natur aus komplex, und diese Komplexität schafft Sicherheitslücken.

Unternehmen haben oft Schwierigkeiten mit der Transparenz. Sie wissen nicht, welche Systeme gefährdet sind. Legacy-Systeme in hybriden Umgebungen verschärfen das Problem zusätzlich. Viele dieser Systeme können nicht gepatcht werden — entweder aufgrund betrieblicher Einschränkungen oder weil sie schlichtweg zu alt sind.

Ein weiteres Problem ist die Skepsis gegenüber automatischen Updates. IT-Vorfälle wie jene im Juli 2024 haben Unternehmen vorsichtiger gemacht, selbst wenn Patches dringend erforderlich sind. Doch ungepatchte Systeme sind wie eine offene Haustür für Angreifer.

Der Schlüssel liegt darin, Patch-Management mit Risikoreduzierung in Einklang zu bringen. Wenn ein sofortiges Patchen nicht möglich ist, muss der Zugriff auf diese Systeme kontrolliert werden.

Mikrosegmentierung ist hier entscheidend. Sie ermöglicht es, Schwachstellen zu isolieren und gleichzeitig den Betrieb aufrechtzuerhalten.

Warum sind Backups allein kein ausreichender Schutz gegen Ransomware?

Backups sind essenziell, aber sie sind kein Allheilmittel. Eine der größten Risiken ist die Selbstüberschätzung. Unternehmen glauben, dass sie mit Backups sicher sind. Doch die Realität ist weitaus komplexer.

Wenn Angreifer das Netzwerk bereits infiltriert haben, könnten Unternehmen unwissentlich Malware sichern. Selbst wenn Backups ordnungsgemäß funktionieren, nimmt die Wiederherstellung viel Zeit in Anspruch-Zeit, die während eines Ransomware-Angriffs möglicherweise nicht zur Verfügung steht.

Zudem besteht immer das Risiko, dass etwas bei der Sicherung schiefgeht. Backups sind eine fragile Lösung, die nicht die einzige Verteidigungslinie sein darf.

Das Ziel sollte eine Kombination aus Backups und Eindämmung sein. Durch die Begrenzung der betroffenen Systeme wird der Wiederherstellungsprozess schneller und kostengünstiger.

Welche unmittelbaren Schritte sollten Organisationen unternehmen, um ihre Resilienz gegen Ransomware zu verbessern?

Resilienz beginnt mit der Einführung einer Zero-Trust-Strategie. Man sollte davon ausgehen, dass eine Sicherheitsverletzung unvermeidlich ist, und sich darauf konzentrieren, die Auswirkungen zu minimieren.

Mikrosegmentierung ist ein zentraler Baustein von Zero Trust. Sie ermöglicht es, Bedrohungen schnell zu isolieren, wodurch Ausfallzeiten und Wiederherstellungskosten reduziert werden.

Eindämmung ist der Schlüssel. Je schneller ein Angriff isoliert wird, desto schneller kann die Wiederherstellung erfolgen.

Unternehmen müssen außerdem die Grundlagen richtig umsetzen: Sicherheits-Tools vereinfachen, Teams schulen und einen soliden Incident-Response-Plan implementieren.

Resilienz bedeutet nicht nur, Angriffe zu verhindern — sondern vorbereitet zu sein, wenn sie passieren.

Was sagt der Bericht über die Sicherheit der Lieferkette aus?

Das gestiegene Vertrauen in die Sicherheit der Lieferkette hat mich wirklich überrascht.

Es ist zwar positiv, dass Unternehmen höhere Anforderungen an die Sicherheit ihrer Drittanbieter stellen, doch es ist gefährlich, sich zu sehr auf deren Schutzmaßnahmen zu verlassen. Unternehmen können nicht kontrollieren, was in den Umgebungen ihrer Lieferanten passiert oder wie ernst diese die Sicherheit nehmen.

Aber sie können kontrollieren, welchen Zugriff Lieferanten auf ihre eigenen Systeme haben.

Hier kommt Zero Trust ins Spiel. Es geht nicht darum, Lieferanten weniger zu vertrauen — sondern ihnen anders zu vertrauen. Der Zugang muss begrenzt, auf das Schlimmste vorbereitet und der eigene Schutz priorisiert werden.

Lieferkettenangriffe gehören zu den größten Risiken, mit denen Unternehmen konfrontiert sind. Es liegt an ihnen, die Verantwortung für ihre eigene Sicherheit zu übernehmen.

Ransomware eindämmen mit Illumio

Ransomware ist unerbittlich, aber sie muss Ihr Unternehmen nicht zerstören. Illumio Zero-Trust-Segmentierung (ZTS) wurde entwickelt, um Ransomware an der Wurzel zu bekämpfen, indem sie sich nicht im Netzwerk ausbreiten kann. Selbst wenn Angreifer die Verteidigung durchbrechen, stellt Illumio sicher, dass der Schaden begrenzt bleibt und Bedrohungen isoliert werden, bevor sie kritische Systeme erreichen.

Illumio bietet granulare Sichtbarkeit in alle Workloads, Anwendungen und Umgebungen. Unternehmen können genau sehen, wie Systeme miteinander kommunizieren, Schwachstellen leichter identifizieren und ungewöhnliche Aktivitäten erkennen. Diese Transparenz ermöglicht es, Mikrosegmentierungsrichtlinien zu erstellen und in Echtzeit unbefugten Zugriff zu blockieren.

Mit Illumio hat Ransomware keinen Handlungsspielraum. Durch die Begrenzung des Angriffsradius schützen Sie sensible Daten, erhalten die Betriebskontinuität aufrecht und vermeiden kostspielige Ausfälle.

Laden Sie noch heute Ihr kostenloses Exemplar der Studie „The Global Cost of Ransomware“ herunter.