Sophos The State of Ransomware in Retail

Unbekannte Sicherheitslücken (d. h. Schwachstellen in der Verteidigung, die der Organisation nicht bekannt waren) sind mit 46 % der häufigste Grund, der von den Einzelhandelsunternehmen genannt wird. Eng gefolgt von einem Mangel an Fachwissen (d. h. unzureichende Fähigkeiten oder Kenntnisse, um den Angriff rechtzeitig zu stoppen), der bei 45 % der Angriffe eine Rolle spielte. Dies ist der höchste gemeldete Wert für diese spezifische organisatorische Ursache in jedem Sektor. An dritter Stelle steht der Mangel an Schutz (d. h. die fehlenden notwendigen Cybersicherheitsprodukte und -dienstleistungen), der bei 44 % der Angriffe eine Rolle spielte.

Angreifer verschlüsseln nicht nur Daten, sondern stehlen sie auch. Im Einzelhandelssektor wurden 14 % aller Ransomware-Opfer und 29 % derjenigen, deren Daten verschlüsselt wurden, auch Daten gestohlen.

Planung und Vorbereitung sind entscheidend. Ein Incident-Response-Plan, den Sie gut beherrschen, verbessert Ihre Ergebnisse erheblich, wenn das Schlimmste passiert und Sie einen großen Angriff erleben. Stellen Sie sicher, dass Sie qualitativ hochwertige Backups erstellen und regelmäßig üben, Daten aus ihnen wiederherzustellen, um die Wiederherstellung im Angriffsfall zu beschleunigen.

Es ist möglich, dass kleinere Organisationen den Diebstahl von Daten besser verhindern können. Wahrscheinlicher ist jedoch, dass Angreifer eher versuchen, Daten aus größeren Organisationen zu exfiltrieren, und/oder dass kleinere Unternehmen weniger in der Lage sind, den Diebstahl von Daten zu erkennen.

Ransomware-Forderungen im Einzelhandel

Die durchschnittliche (mediane) Ransomware-Forderung für Einzelhandelsunternehmen hat sich im letzten Jahr verdoppelt und beträgt nun 2 Millionen US-Dollar im Jahr 2025, gegenüber 1 Million US-Dollar im Jahr 2024.

Die Zunahme der Ransomware-Forderungen, die auf Einzelhändler abzielen, wird größtenteils von einer Zunahme der Forderungen von 5 Millionen US-Dollar oder mehr um 59 % im letzten Jahr getrieben. Darüber hinaus überstiegen 63 % aller Ransomware-Anforderungen, die an Einzelhändler gestellt wurden, 1 Million US-Dollar, was einen deutlichen Anstieg gegenüber den 50 % im Jahr 2024 darstellt.

Ransomware-Zahlungen im Einzelhandel

Trotz einer starken Zunahme der Ransomware-Forderungen ist die durchschnittliche Ransomware-Zahlung, die von Einzelhändlern geleistet wurde, nur um 5 % gestiegen. Dies deutet darauf hin, dass Unternehmen in diesem Sektor möglicherweise widerstandsfähiger gegenüber überhöhten Ransomware-Forderungen werden. Allerdings zeigt die Verteilung der Ransomware-Zahlungen einen Trend hin zu höheren Zahlungen, mit einem deutlichen Rückgang bei kleineren Zahlungen und einer Zunahme bei Unternehmen, die über eine Million US-Dollar zahlen.

Es ist wichtig zu beachten, dass diese Zahlen nur einen Teil des Gesamtbildes darstellen und die tatsächlichen Kosten und Auswirkungen von Ransomware-Angriffen auf Einzelhändler viel höher sein können. Es ist daher wichtig, dass Unternehmen in diesem Sektor proaktive Schritte unternehmen, um ihre Sicherheit zu verbessern und sich auf mögliche Angriffe vorzubereiten.

Ursachen für Cyberangriffe im Einzelhandel

Nach den Vorgängerstudien aus den Jahren 2023 und 2024 nannten Einzelhändler ausgenutzte Schwachstellen zum dritten Mal in Folge als häufigste technische Ursache für Ransomware-Angriffe. In 30 Prozent der Fälle war diese Form der kriminellen Infiltration nach wie vor ausschlaggebend.

Auch operative Faktoren trugen dazu bei, dass Einzelhandelsunternehmen Opfer von Ransomware werden. Am häufigsten nannte fast die Hälfte (46 Prozent) der Befragten unbekannte Sicherheitslücken als initialen Einstiegspunkt für die Kriminellen. Dicht dahinter rangiert mangelnde Fachkenntnis, die in 45 Prozent der Angriffe eine Rolle spielte – was dem höchsten Wert entspricht, der in irgendeiner der untersuchten Branchen festgestellt wurde.

Weniger Datenverschlüsselung, aber Zunahme neuer Angriffsmethoden

Die Datenverschlüsselung durch Cyberkriminelle ist im Einzelhandel deutlich gefallen. Nur noch 48 Prozent der Angriffe führten 2025 zu einer tatsächlichen Verschlüsselung der Daten, verglichen mit 71 Prozent im Jahr 2023. Parallel dazu erreichte die Zahl der vereitelten Verschlüsselungsversuche ein Rekordhoch, was auf verbesserte Abwehrmechanismen der Unternehmen schließen lässt.

Doch Cyberkriminelle passen sich an: Der Anteil reiner Erpressungsangriffe, bei denen keine Daten verschlüsselt, aber dennoch Lösegeld für die Nichtveröffentlichung sensibler Daten gefordert wird, hat sich innerhalb von zwei Jahren verdreifacht. Während 2023 lediglich zwei Prozent der Befragten betroffen waren, lag der Anteil 2025 bereits bei sechs Prozent.

Resignation als Strategie für Datenwiederherstellung

Die Art und Weise, wie Einzelhändler Daten nach einem Cyberangriff wiederherstellen, hat sich spürbar verändert. Während 2021 noch 32 Prozent der Unternehmen das Lösegeld zahlten, um ihre Daten zurückzuerlangen, waren es 2025 bereits 58 Prozent – deutlich mehr als der branchenübergreifende Durchschnitt von 49 Prozent. Im Gegenzug sank die Nutzung von Backups auf ein Vierjahrestief. Zwar sind Backups nach wie vor die etwas häufiger gewählte Lösung, doch die abnehmende Tendenz deutet auf eine zunehmende Abhängigkeit von anderen Wiederherstellungsmöglichkeiten hin.

Forderungen steigen rasant, dennoch bleiben Zahlungen stabil

Die Studie belegt außerdem einen drastischen Anstieg der Lösegeldforderungen. Im Jahr 2025 lag die durchschnittliche Forderung bei 1,71 Millionen Euro – doppelt so hoch wie noch im Jahr zuvor. Besonders stark zugenommen hat die Zahl der Forderungen von über 4,28 Millionen Euro, die von 17 Prozent im Jahr 2024 auf 27 Prozent im Jahr 2025 gestiegen sind.

Verglichen mit dieser Entwicklung zeigt sich der Einzelhandel im Durchschnitt widerstandsfähiger: Die durchschnittliche Lösegeldzahlung erhöhte sich um fünf Prozent von 813.563 Euro im Jahr 2024 auf 856.382 Euro im Jahr 2025. Gleichzeitig sanken die durchschnittlichen Kosten für die Wiederherstellung nach einem Angriff – ohne Lösegeldzahlungen – um 40 Prozent auf 1,41 Millionen Euro und damit auf den niedrigsten Wert seit drei Jahren.

Bis an die Substanz: Belastung für IT- und Sicherheitsteams

Die Studie macht zudem deutlich, dass die Folgen von Ransomware weit über finanzielle Schäden hinausgehen. Nahezu die Hälfte der Befragten (47 Prozent) berichtete von verstärktem Druck seitens des Managements, wenn es infolge eines Angriffs zu einer Datenverschlüsselung kam. Viele IT- und Cybersicherheitsverantwortliche gaben außerdem an, unter erhöhter Angst oder Stress vor künftigen Angriffen zu leiden (43 Prozent). Auch krankheitsbedingte Abwesenheit aufgrund von Stress oder psychischen Belastungen (37 Prozent) sowie Schuldgefühle, den Angriff nicht verhindert zu haben (34 Prozent), wurden häufig genannt.

Fazit:

Die Studie zeigt, dass Ransomware-Angriffe ein großes Problem für Unternehmen darstellen – insbesondere für Einzelhändler. Unternehmen sollten ihre Sicherheitsmaßnahmen daher kontinuierlich überprüfen und aktualisieren, um sich vor neuen Bedrohungen zu schützen. Durch die Verbesserung ihrer Sicherheitsmaßnahmen und die Vorbereitung auf mögliche Angriffe können Unternehmen ihre Ransomware-Zahlungen reduzieren und sich vor den negativen Auswirkungen solcher Angriffe schützen.

Um sich vor Ransomware-Angriffen zu schützen, sollten Unternehmen folgende Empfehlungen beachten:

– Regelmäßige Backups: Unternehmen sollten regelmäßig Backups ihrer Daten erstellen, um sicherzustellen, dass sie diese im Falle eines Angriffs wiederherstellen können.

– Sicherheitsupdates: Unternehmen sollten sicherstellen, dass ihre Systeme und Anwendungen auf dem neuesten Stand sind und regelmäßig Sicherheitsupdates durchführen.

– Firewalls und Intrusion-Detection-Systeme: Unternehmen sollten Firewalls und Intrusion-Detection-Systeme einsetzen, um unerwünschten Zugriff auf ihre Systeme zu verhindern.

– Schulung der Mitarbeiter: Unternehmen sollten ihre Mitarbeiter über die Risiken von Ransomware-Angriffen aufklären und sie über die besten Praktiken zur Vermeidung von Angriffen informieren.

– Erstellen eines Incident-Response-Plans: Unternehmen sollten einen Incident-Response-Plan erstellen, um im Falle eines Angriffs schnell und effektiv reagieren zu können.

Indem Unternehmen diese Empfehlungen befolgen, können sie ihre Sicherheit verbessern und sich vor Ransomware-Angriffen schützen.

Die Studie zeigt, dass Unternehmen ihre Ransomware-Zahlungen reduzieren können, indem sie ihre Sicherheitsmaßnahmen verbessern und sich auf mögliche Angriffe vorbereiten. Unternehmen sollten ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um sich vor neuen Bedrohungen zu schützen.

Unternehmen können ihre Sicherheit verbessern und sich vor Ransomware-Angriffen schützen, indem sie diese Empfehlungen beachten. Es ist wichtig, dass Unternehmen proaktive Schritte unternehmen, um ihre Sicherheit zu verbessern und sich vor Ransomware-Angriffen zu schützen.

The most common reason cited by retail companies is unknown security vulnerabilities (i.e., weaknesses in the defense that the organization was not aware of), at 46%. This is closely followed by a lack of expertise, i.e., insufficient skills or knowledge to stop the attack in time, which played a role in 45% of attacks. This is the highest reported value for this specific organizational cause in any sector. Third place goes to the lack of protection (i.e., the absence of necessary cybersecurity products and services), which played a role in 44% of attacks.

Attackers not only encrypt data, but also steal it. In the retail sector, 14% of all ransomware victims, as well as 29% of those whose data was encrypted, also had their data stolen.

Planning and preparation are crucial. Having a well-mastered incident response plan significantly improves your outcomes when you experience a major attack. Create high-quality backups and regularly practice restoring data from them to speed up recovery in the event of an attack.

Smaller organizations may be better able to prevent data theft. However, attackers are more likely to try to exfiltrate data from larger organizations, and smaller companies may be less able to detect data theft.

Ransomware Demands in Retail

The median ransomware demand for retail companies doubled in the past year, reaching 2 million USD in 2025 compared to 1 million USD in 2024.

This increase is largely driven by a 59% rise in demands of $5 million or more over the past year. Furthermore, 63% of all ransomware demands made on retailers exceeded $1 million, marking a significant increase from 50% in 2024.

Ransomware Payments in Retail

Despite the significant increase in ransomware demands, the average ransomware payment made by retailers has only increased by 5%. This suggests that companies in this sector may be becoming more resilient to inflated ransomware demands. However, the distribution of ransomware payments shows a trend toward higher payments, with a significant decrease in smaller payments and an increase in companies paying over one million U.S. dollars.

It’s important to note that these figures only represent part of the overall picture, and the actual costs and impacts of ransomware attacks on retailers may be much higher. Therefore, it is crucial for companies in this sector to proactively improve their security and prepare for potential attacks.

Causes of Cyber Attacks in Retail

Following previous studies from 2023 and 2024, retailers cited exploited vulnerabilities as the most common technical cause of ransomware attacks for the third consecutive time. This form of criminal infiltration was decisive in 30 percent of cases.

Operational factors also contributed to retail companies becoming victims of ransomware attacks. Almost half (46 percent) of respondents cited unknown security vulnerabilities as the initial entry point for criminals. A lack of expertise played a role in 45 percent of the attacks, the highest percentage found in any of the studied industries.

Less data encryption, but an increase in new attack methods

Data encryption by cybercriminals in retail has significantly decreased. Only 48 percent of attacks in 2025 resulted in data encryption, compared to 71 percent in 2023. At the same time, the number of thwarted encryption attempts reached a record high, indicating improved defense mechanisms by companies.

However, cybercriminals are adapting. The proportion of pure extortion attacks, in which no data is encrypted but a ransom is demanded in exchange for not publishing sensitive data, has tripled within two years. While only two percent of respondents were affected in 2023, this figure had risen to six percent by 2025.

Resignation as a data recovery strategy

The way retailers recover data after a cyberattack has changed significantly. While 32 percent of companies paid the ransom to regain their data in 2021, by 2025, that number had risen to 58 percent — significantly higher than the industry-wide average of 49 percent. In contrast, the use of backups fell to a four-year low. Although backups are still somewhat more frequently chosen, the declining trend indicates an increasing dependence on other recovery options.

Claims are rising rapidly, yet payments remained stable.

The study also shows a drastic increase in ransom demands. In 2025, the average demand was 1.71 million euros — double the amount from the previous year. Claims exceeding 4.28 million euros have increased notably, rising from 17 percent in 2024 to 27 percent in 2025.

Compared to this trend, the retail sector appears to be more resilient on average. The average ransom payment increased by 5% from €813,563 in 2024 to €856,382 in 2025. Meanwhile, the average cost of recovery after an attack — excluding ransom payments — decreased by 40 percent, reaching 1.41 million euros, the lowest level in three years.

Burden on IT and Security Teams

The study also makes it clear that the consequences of ransomware extend far beyond financial damage. Nearly half of the respondents (47%) reported increased pressure from management when data was encrypted as a result of an attack. Many IT and cybersecurity leaders reported increased anxiety or stress about future attacks (43%). Frequently mentioned consequences included sick leave due to stress or mental strain (37 percent) and feelings of guilt for not preventing the attack (34 percent).

Conclusion:

The study shows that ransomware attacks pose a significant problem for businesses, especially retailers. Therefore, companies should continuously review and update their security measures to protect themselves from new threats. Improving security measures and preparing for potential attacks can help companies reduce ransomware payments and protect themselves from the negative impacts of such attacks.

To protect themselves from ransomware attacks, companies should follow these recommendations:

– Regular backups: Companies should regularly back up their data to ensure that they can restore it in the event of an attack.

– Security updates: Companies should ensure that their systems and applications are up to date and regularly perform security updates.

– Implement firewalls and intrusion detection systems. Companies should implement firewalls and intrusion detection systems to prevent unauthorized access to their systems.

– Employee training: Companies should educate their employees about the risks of ransomware attacks and inform them of the best practices for avoiding such attacks.

– Create an incident response plan. Companies should create an incident response plan to respond quickly and effectively to attacks.

Following these recommendations can help companies improve their security and protect themselves from ransomware attacks.

The study shows that companies can reduce their ransomware payments by improving their security measures and preparing for potential attacks. To protect themselves from new threats, companies should regularly review and update their security measures.

By following these recommendations, companies can improve their security and protect themselves from ransomware attacks. Proactively improving security is essential for companies to protect themselves from ransomware attacks.