Ransomware-Erpresser verlieren die Oberhand

Rekordzahl an Unternehmen weigert sich, Lösegeld zu zahlen – und verändert damit die Spielregeln der Cyberkriminalität. Die wirtschaftlichen Grundlagen von Cyber-Erpressung befinden sich in einem fundamentalen Wandel. Neue Branchendaten zeigen: Immer mehr Organisationen zahlen nicht mehr und zwingen die Angreifer damit zu einer gefährlichen Taktikwende.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche neuen Gesetze die Haftung verschärfen, erklärt dieser Experten-Report. IT-Sicherheits-Leitfaden für Geschäftsführer kostenlos herunterladen

Erpresser fordern mehr, kassieren weniger

Ein am 6. März 2026 veröffentlichter Bericht des Cyber-Versicherers Coillance offenbart eine klaffende Schere zwischen den Forderungen der Kriminellen und den tatsächlichen Zahlungen. Die durchschnittliche Erstforderung bei Ransomware-Angriffen ist im Vergleich zum Vorjahr um 47 Prozent gestiegen und liegt nun bei über einer Million Euro. Bei gezielten Attacken auf Großunternehmen wurden sogar Summen von bis zu 16 Millionen Euro verlangt.

Doch die Kehrseite für die Erpresser: 86 Prozent der betroffenen Firmen lehnen eine Zahlung kategorisch ab. Diese beispiellose Verweigerungsrate ist vor allem verbesserten Sicherheitsvorkehrungen geschuldet. Isolierte Backups und umfassende Notfallpläne machen Unternehmen widerstandsfähiger.

Die wenigen, die doch zahlen, setzen auf professionelle Verhandler. Diese konnten die ursprünglichen Forderungen im Schnitt um 65 Prozent drücken. Die durchschnittliche Endzahlung lag so bei etwa 355.000 Euro. Derzeit dominiert die Ransomware-Variante Akira das Feld. Sie war für ein Viertel aller gemeldeten Vorfälle verantwortlich.

Backups zwingen Kriminelle zu brutalerer Taktik

Da immer mehr Opfer ihre Systeme aus gesicherten Daten wiederherstellen können, verlieren reine Datendiebstahl-Kampagnen an Wirkung. Für die Erpresser lohnt sich der Aufwand kaum noch. Die Folge: Sie setzen zunehmend auf eine Doppel-Erpressung. Dabei werden Daten nicht nur gestohlen, sondern die Systeme auch verschlüsselt. Diese kombinierte Taktik machte 2025 bereits 70 Prozent aller Angriffe aus.

Gleichzeitig entwickeln die Malware-Programmierer raffiniertere Schadsoftware, die gezielt Backups angreift. Ein aktuell beobachteter Erpressungstrojaner namens Payload Ransomware sucht vor der Verschlüsselung aktiv nach Sicherungskopien und löscht sie. Er deaktiviert Backup-Dienste und vernichtet Windows-Wiederherstellungspunkte. Sein Ziel: Jede Möglichkeit zur Datenwiederherstellung ausschalten, um die Zahlungsbereitschaft zu erzwingen.

Um sich gegen immer raffiniertere Hacker-Methoden und psychologische Angriffsmuster zu schützen, benötigen Unternehmen eine klare Abwehrstrategie. Dieser Experten-Guide bietet eine konkrete 4-Schritte-Anleitung zur erfolgreichen Hacker-Abwehr. Kostenloses Anti-Phishing-Paket jetzt sichern

Strafverfolgung unter Druck und gefährliche neue Allianzen

Während die Unternehmensabwehr stärker wird, verzeichnen auch die Strafverfolgungsbehörden Erfolge. Das US-Justizministerium verkündete am 4. März 2026 ein Schuldeingeständnis im Fall des Phobos-Ransomware-Netzwerks. Der mutmaßliche Administrator gestand seine Beteiligung an Erpressungen in Höhe von über 39 Millionen Euro.

Unter diesem doppelten Druck – sinkende Erlöse und erhöhtes Strafverfolgungsrisiko – suchen einige Erpresserringe nach neuen Geschäftsmodellen. Besorgniserregend ist der Trend zu ideologisch motivierten Angriffen. Sicherheitsforscher beobachten, wie sich hacktivistische Gruppen neu organisieren.

Die Betreiber der Sicarii-Ransomware gaben kürzlich zu, mit der Nachfrage überfordert zu sein. Sie wiesen ihre Partner an, auf die Plattform BQTLock zu wechseln. Diese wird mit pro-iranischen Hacktivisten in Verbindung gebracht und rekrutiert gezielt Angreifer, die geopolitische Gegner im Nahen Osten und den USA ins Visier nehmen. Hier vermischen sich klassische Erpressung mit staatlich geförderten Störkampagnen – eine gefährliche Entwicklung.

Was bedeutet das für deutsche Unternehmen?

Die aktuellen Entwicklungen markieren einen Wendepunkt. Die Fähigkeit, schwere Cyberangriffe ohne Kapitulation zu überstehen, ist ein großer Erfolg für Sicherheitsstandards weltweit. Cyber-Versicherer agieren zunehmend als präventive Partner. Bei 64 Prozent der Schadensfälle im letzten Jahr trugen die versicherten Unternehmen laut Coalition keine direkten Kosten, dank schneller Intervention.

Doch der Erfolg hat eine Schattenseite. Da das klassische Erpressungsgeschäft schwieriger wird, werden die Angreifer erfinderischer – und destruktiver. Die nächste Generation von Ransomware zielt systematisch auf die letzte Verteidigungslinie ab: die Backups.

Für Unternehmen heißt das: Unveränderliche Backup-Systeme, die auch von Administratoren nicht gelöscht werden können, werden überlebenswichtig. Gleichzeitig bleiben grundlegende Maßnahmen wie zeitnahe Software-Updates und die Zwei-Faktor-Authentifizierung die entscheidenden Säulen der Abwehr. Der Wettlauf zwischen Angreifern und Verteidigern geht in eine neue, intensivere Runde.