Sophos State of Ransomware 2025

Der Sophos-Report „State of Ransomware 2025“, für den Anfang des Jahres 3.400 IT-Spezialisten aus Unternehmen mit 100 bis 5.000 Mitarbeitern befragt wurden, zeigt, dass 60 Prozent der Unternehmen in Deutschland und 49 Prozent der Unternehmen in der Schweiz von Ransomware angegriffen wurden. Beide Ergebnisse sind positiv, denn weltweit liegt die Zahl der von Ransomware attackierten Unternehmen bei 68 Prozent. Im Vergleich zum Vorjahr bestätigen die Ergebnisse einen uneinheitlichen Trend: In Deutschland wurden vor 12 Monaten 58 Prozent und in der Schweiz 59 Prozent der Unternehmen attackiert – der weltweite Durchschnitt lag 2024 bei 59 Prozent.

Bei der Bewertung von Cyberattacken ist die entscheidende Frage, ob die Cyberkriminellen die Daten durch ihre Angriffe verschlüsseln oder stehlen konnten. Dies bejahten im diesjährigen Report 51 Prozent in Deutschland und 53 Prozent in der Schweiz. Der weltweite Schnitt liegt mit 50 Prozent minimal darunter. Die Entwicklung zeigt in beiden Ländern ein ähnliches Bild hinsichtlich der Angriffsqualität: Im Vergleich zur Vorjahresumfrage können deutsche Unternehmen mit 79 Prozent einen deutlichen Abwärtstrend bei „erfolgreichen” Ransomware-Attacken verzeichnen. Entsprechend ist die Rate der Datenverschlüsselungen und -diebstähle in der Schweiz von 68 Prozent gesunken – weltweit waren es im Mittel 70 Prozent.

Keine Entwarnung

Ein Aufatmen oder gar eine Entwarnung ist jedoch in keinem der beiden Länder gerechtfertigt. Zwar erhielten 95 Prozent der deutschen und 97 Prozent der Schweizer Unternehmen ihre Daten nach einer Verschlüsselung auf unterschiedlichen Wegen wieder zurück. Allerdings entschieden sich 63 Prozent der deutschen und 54 Prozent der Schweizer Unternehmen dazu, dies mit einer Lösegeldzahlung zu erreichen.

Diese Ergebnisse erscheinen im Vergleich zu 2024 besonders bedenklich, denn in der Vorjahresumfrage sahen nur 50 Prozent in beiden Ländern die Problemlösung in der Bezahlung der Erpressungssummen.

IT-Security-Personal weiterhin unter hohem Druck

Cyberattacken mit Ransomware haben nicht ausschließlich produktive und wirtschaftliche Auswirkungen auf Organisationen, sondern ganz unmittelbar auch auf das IT-Security-Personal. 44 Prozent der in Deutschland Befragten berichten von einer erhöhten Angst oder Stress in Bezug auf zukünftige Angriffe. In der Schweiz scheint dieses Phänomen mit nur 28 Prozent deutlich geringer zu sein. 44 Prozent der deutschen Unternehmen berichten von Teammitgliedern, die aufgrund von Stress oder psychischen Problemen nicht im Unternehmen anwesend sein konnten. En contraire hat die Schweiz mit 64 Prozent bei diesem Aspekt deutlich mehr zu kämpfen als die Landesnachbarn.

Die Belastung kommt jedoch nicht nur durch die Angreifer von außen, sondern auch aus dem Inneren Reihen. 41 Prozent in Deutschland bestätigen von erhöhtem Druck seitens der Führungskräfte; in der Schweiz sind es mit 31 Prozent zehn Prozentpunkte weniger. Allerdings sind beide Länder wieder gleichauf, wenn es um personelle Konsequenzen geht: 27 Prozent der deutschen und 26 der Schweizer bestätigen, dass die Führung des Teams bereits ausgewechselt wurde.

„Aus internationaler Perspektive werden 44 Prozent der Angriffe gestoppt, bevor Daten verschlüsselt werden und bei nur 50 Prozent der angegriffenen Unternehmen wurden Daten verschlüsselt. Dies verringert die Gesamtzahl der Opfer, die möglicherweise Lösegeld zahlen würden. Positiv ausgedrückt bedeutet dies, dass wir über zunehmend sorgfältige und erfahrene Überwachungsfunktionen verfügen und dass wir immer besser darin sind, fortschrittlichere Tools zur Früherkennung wie XDR einzusetzen“, sagt Chester Wisniewski, Director, Global Field CISO bei Sophos.

„Aber wenn wir ehrlich sind, ist die Tatsache, dass 49 Prozent der Ransomware-Opfer weltweit Lösegeld gezahlt haben und die durchschnittliche Lösegeldzahlung bei 1 Million US-Dollar lag, kein positives Ergebnis. Denn aus Sicht der Kriminellen bedeuten diese Ergebnisse, dass Angriffe auch in absehbarer Zukunft fortgesetzt werden und ein lukratives Geschäft darstellen. Trotz der guten Gegenwehr müssen wir weiterhin kontinuierlich mehr tun, um die Abwehrmaßnahmen mit Prävention, Erkennung und Reaktion an allen Fronten zu verstärken. Solange Kriminelle am Spielautomatenhebel des einarmigen Ransomware-Banditen ziehen und jedes zweite Mal eine Million Dollar Gewinn lockt, gibt es wenig, was sie von ihren Angriffen abhalten könnte.“

For the report, 3,400 IT specialists from companies with 100 to 5,000 employees were surveyed at the beginning of the year. The results show that 60 percent of companies in Germany and 49 percent of companies in Switzerland have been attacked by ransomware. These results are positive, as the global average of companies attacked by ransomware is 68 percent. Compared to last year, the results confirm an uneven trend: 12 months ago, 58 percent of companies in Germany and 59 percent in Switzerland were attacked — the global average in 2024 was 59 percent.

When assessing cyberattacks, the key question is whether cybercriminals were able to encrypt or steal data through their attacks. This year’s report shows that 51 percent of companies in Germany and 53 percent of companies in Switzerland answered yes. The global average is slightly lower, at 50 percent. The trend shows a similar picture in both countries in terms of the quality of the attacks. Compared to last year’s survey, German companies reported a significant decrease in „successful“ ransomware attacks, down to 79 percent. Conversely, the rate of data encryption and theft in Switzerland fell from 68 percent; the global average was 70 percent.

However, neither country should breathe a sigh of relief.

However, neither country should breathe a sigh of relief. While 95 percent of German companies and 97 percent of Swiss companies recovered their encrypted data through various means, 63 percent of German companies and 54 percent of Swiss companies chose to do so by paying a ransom.

These results are particularly concerning when compared to those from 2024, when only 50 percent of respondents in both countries saw paying the ransom as the solution to the problem.

IT security staff are under pressure

Not only do cyberattacks with ransomware have productive and economic effects on organizations, they also have a direct impact on IT security staff. Forty-four percent of respondents in Germany reported increased anxiety or stress about future attacks. In Switzerland, this phenomenon is significantly less prevalent, affecting only 28 percent of respondents. Furthermore, 44% of German companies report that team members have been unable to work due to stress or mental health issues. In contrast, Switzerland has significantly more to contend with in this regard, at 64 percent.

However, the pressure comes not only from external attackers but also from within the company. In Germany, 41 percent confirm increased pressure from managers, while in Switzerland, the figure is 31 percent—ten percentage points lower. Both countries are on par, however, when it comes to personnel consequences: Twenty-seven percent of Germans and 26 percent of Swiss confirm that their team’s leadership has already been replaced.

From an international perspective, 44 percent of attacks are stopped before data can be encrypted, and only half of the attacked companies have had their data encrypted. This reduces the total number of victims who might pay ransom. On a positive note, this means that we have increasingly careful and experienced monitoring functions, and we are getting better at using advanced early detection tools, such as XDR,“ says Chester Wisniewski, Director of Global Field CISO at Sophos.

„But, to be honest, the fact that 49 percent of ransomware victims worldwide paid the ransom, with an average payment of $1 million, is not positive. From the criminals‘ perspective, these results mean that attacks will continue in the foreseeable future because they represent a lucrative business. Despite our good defense, we must do more to strengthen it with prevention, detection, and response on all fronts. As long as criminals are winning a million dollars every other time they pull the lever on the one-armed ransomware bandit, there is little that can deter them from their attacks.“