Der siebte jährliche Ransomware-Report von Sophos zeigt einen deutlichen Strategiewechsel der Angreifer – und ein gemischtes Bild für Verteidiger: E-Mail- und identitätsbasierte Angriffe dominieren, die Verschlüsselungsrate steigt wieder, doch die Lösegeldzahlungen sinken weiter.

Ransomware-Angreifer ändern ihre Vorgehensweise. Laut dem Bericht „State of Ransomware 2026“ von Sophos, der auf einer Befragung von 2.158 IT- und Cybersicherheitsverantwortlichen in 17 Ländern basiert, deren Organisationen im vergangenen Jahr von Ransomware betroffen waren, haben kompromittierte Identitäten ausgenutzte Software-Schwachstellen als häufigsten Einfallsweg abgelöst.

Bösartige E-Mails (26 %) und Phishing (24 %) sind laut der Umfrage nun die beiden häufigsten Ursachen von Ransomware-Vorfällen und machen zusammen die Hälfte aller Angriffe aus. Ausgenutzte Schwachstellen, die drei Jahre in Folge an der Spitze standen, fielen von 32 % im Jahr 2025 auf 18 % in diesem Jahr. Kompromittierte Zugangsdaten blieben mit 23 % stabil. Insgesamt begannen laut Bericht 79 % aller Angriffe mit einem identitätsbasierten Ansatz – entweder durch das Erbeuten oder den Missbrauch bereits vorhandener Zugangsdaten.

Der Zusammenhang zwischen Identität und Ransomware geht noch tiefer: Zwei Drittel (67 %) der Ransomware-Opfer bestätigten laut Sophos, dass der Ransomware-Vorfall gleichzeitig ihr schwerwiegendster Identitätsangriff des Jahres war.

Neue Daten des diesjährigen Berichts zeigen zudem erstmals, wo diese Angriffe innerhalb der Unternehmen konkret ihren Ursprung nehmen: Exponierte Anwendungen und Systeme waren mit 38 % der häufigste Einstiegspunkt, gefolgt von Endgeräten (30 %) und Firewalls (21 %) – ein Muster, das der Bericht mit der anhaltenden Verlagerung in Cloud- und SaaS-Umgebungen in Verbindung bringt.

MFA allein reicht nicht aus

Ein ernüchterndes Erkenntniss betrifft die Multi-Faktor-Authentifizierung (MFA). Bei Organisationen, deren Angriffsursache kompromittierte Zugangsdaten waren, war laut Bericht bei 97 % zum Zeitpunkt des Angriffs bereits irgendeine Form von MFA aktiviert, im Schnitt wurden 2,5 Methoden genutzt. Sophos folgert daraus, dass MFA zwar unverzichtbar, aber allein nicht ausreichend ist, solange Abdeckungslücken in den Systemen bestehen.

Firewalls spielten dagegen eine messbare Schutzrolle: 61 % der Opfer gaben laut Umfrage an, dass ihre Firewall den Angriff erkannte, bevor die Ransomware ausgeführt wurde – dies korrelierte mit einer Verschlüsselungsrate von 50 %, verglichen mit 71 %, wenn die Firewall den Angriff überhaupt nicht erkannte.

Verschlüsselungsrate steigt wieder

Nach zwei Jahren des Rückgangs stieg der Anteil erfolgreich verschlüsselter Angriffe wieder auf 56 %, nach einem Tiefstand von 50 % im Jahr 2025 – bleibt aber weiterhin deutlich unter dem Höchstwert von 76 % aus dem Jahr 2023. Bei 16 % der Fälle wurden Daten sowohl verschlüsselt als auch gestohlen – ein Muster doppelter Erpressung, das der Bericht als besonders schädlich beschreibt.

Lösegelder sinken weiter

Trotz der steigenden Verschlüsselungsrate sinken die von Angreifern erzielten Summen weiter. Die durchschnittliche Lösegeldforderung fiel auf 698.000 US-Dollar, ein Rückgang von 65 % innerhalb von zwei Jahren, während die durchschnittliche Zahlung auf 769.000 US-Dollar sank, gegenüber 1 Million US-Dollar im Vorjahresbericht. Nur knapp die Hälfte (48 %) der Opfer mit verschlüsselten Daten zahlte ein Lösegeld – der niedrigste Wert seit drei Jahren – und 51 % der Zahlenden handelten laut Sophos einen niedrigeren Betrag als ursprünglich gefordert aus.

Die Wiederherstellung mittels Backups stieg unterdessen auf 66 % der Fälle mit verschlüsselten Daten, ein Plus von 12 Prozentpunkten – ein Hinweis darauf, dass erneute Investitionen in Backup-Infrastrukturen Früchte tragen.

Kosten und menschliche Belastung bleiben hoch

Dennoch bleiben die finanziellen und menschlichen Kosten eines Angriffs erheblich. Die durchschnittlichen Wiederherstellungskosten, ohne gezahltes Lösegeld, stiegen im Jahresvergleich um 11 % auf 1,7 Millionen US-Dollar. Und praktisch alle betroffenen IT- und Sicherheitsteams – 99 % – berichteten von anhaltenden persönlichen Folgen, am häufigsten erhöhter Angst vor künftigen Angriffen (41 %) und Druck von der Unternehmensführung (40 %). In jedem fünften Fall (21 %) führte der Vorfall zu einem Wechsel in der IT-Führung.

Sophos empfiehlt Unternehmen, der Erkennung identitätsbasierter Bedrohungen Priorität einzuräumen, MFA umfassend durchzusetzen, E-Mail-Filterung zu stärken (DMARC/DKIM/SPF), in getestete, unveränderliche Backups zu investieren und Firewall-Telemetrie mit XDR-/MDR-Plattformen zu verbinden, um Angriffe vor der Verschlüsselung zu stoppen.

(Source: Sophos „State of Ransomware 2026“ report, based on a Vanson Bourne survey of 2,158 IT/security leaders in 17 countries, Q1 2026)

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner