Trotz massiv gestiegener Ransomware-Attacken zahlen immer weniger Opfer das geforderte Lösegeld – die Quote fiel 2025 auf nur noch 28%, den niedrigsten Wert seit Jahren. Allerdings steigen die einzelnen Zahlungsbeträge dramatisch an.
Die Quote der Ransomware-Opfer, die Cyberkriminellen tatsächlich Lösegeld zahlen, ist auf ein historisches Minimum gesunken. Nach Daten der Blockchain-Analyseplattform Chainalysis betrug die Zahlungsquote im vergangenen Jahr nur noch 28% – ein Rückgang, der sich bereits über vier Jahre hinzieht.
Paradox dieser Entwicklung: Während immer weniger Unternehmen zahlen, schnellen die Schadensummen in die Höhe. Die bislang erfassten Lösegeldzahlungen 2025 liegen bei 820 Millionen Dollar, könnten aber nach Schätzung von Chainalysis die 900-Millionen-Marke erreichen. Gleichzeitig verzeichnete die Sicherheitsindustrie einen 50%-igen Anstieg der Ransomware-Anschläge im Jahresvergleich – bei stabiler Gesamtanzahl der Zahlungen.
Die Zahlungsraten zeigen den klaren Trend: 2024 lag die Quote noch bei 62,8%, 2022 sogar bei 78,9%. Auch unabhängige Daten von Coveware bestätigen diesen Rückgang.
Entscheidende Faktoren für diese Entwicklung sind nach Chainalysis’ Analyse verbesserte Krisenmanagement-Verfahren, stärkere behördliche Regulierung, internationale Strafverfolgungsmaßnahmen und eine Fragmentierung des Marktes.
Doch während die Gesamteinnahmen aus Ransomware sinken, explodierten die Einzelzahlungen: Die mediane Lösegeldforderung stieg um 368% von 12.738 Dollar (2024) auf 59.556 Dollar (2025). Für Opfer ein Kalkül: Wer mehr zahlt, hofft dass Kriminelle gestohlene Daten wirklich löschen und nicht an andere Banden verkaufen.
Die Ransomware-Szene wird zudem fragmentierter. 2025 waren 85 verschiedene Extortionsgruppen aktiv – deutlich mehr als in Vorjahren, als einige wenige große RaaS-Plattformen dominierten.
Prominente Opfer 2025 zeigen die Schwere der Attacken: Der Jaguar Land Rover-Angriff verursachte geschätzte 2,5 Milliarden Dollar Schaden, die Scattered Spider-Gruppe traf Marks & Spencer, und die DaVita-Breach legte 2,7 Millionen Patientendatensätze offen.
Zielländer mit Vorliebe: Amerika führt die Liste an, gefolgt von Kanada, Deutschland und Großbritannien – Kriminelle konzentrieren sich auf wohlhabende Industrienationen.
Initial Access Broker (IABs) – Hacker, die Zugang zu kompromittierten Systemen an Ransomware-Operatoren verkaufen – generierten 2025 etwa 14 Millionen Dollar, ähnlich wie 2024. Das sind nur 1,7% der Gesamteinnahmen, doch IABs bleiben kritische Enabler. Analysedaten zeigen: Zahlungsspitzen bei IABs führen etwa 30 Tage später zu Ransomware-Übergriffen – sie könnten als Frühindikatoren dienen.
Bemerkenswert ist der Preisverfall bei Netzwerkzugriffen: von rund 1.427 Dollar (Q1 2023) auf nur 439 Dollar (Q1 2026). Ursachen sind Automatisierung, KI-gestützte Tools und Überangebot von gestohlenen Daten.
Chainalysis betont: Zwar sanken die absoluten Zahlungen, doch Umfang, Raffinesse und reale Auswirkungen der Anschläge wachsen weiter. Die Branche durchlebt keine Niederlage, sondern eine Anpassungsphase – Kriminelle entwickeln neue Taktiken, um aus immer weniger Zahler-Opfern maximalen Gewinn zu pressen.
Quelle: BleepingComputer