Trotz einer Welle von Cyberangriffen zahlen Unternehmen immer seltener Lösegeld. Neue Daten zeigen einen historischen Wendepunkt im Kampf gegen digitale Erpressung.

Die Zahlen aus dem ersten März-Wochenende 2026 markieren eine wirtschaftliche Zeitenwende: Während die Anzahl der Ransomware-Angriffe im vergangenen Jahr um 50 Prozent stieg, brachen die Lösegeldzahlungen an Cyberkriminelle um 8 Prozent ein. Sie sanken auf nur noch 820 Millionen US-Dollar. Der Grund ist ein fundamentaler Strategiewechsel in den Unternehmen. Statt zu zahlen, setzen sie zunehmend auf kostenlose Entschlüsselungstools, robuste Notfallpläne und Hilfe der Strafverfolgung.

Anzeige

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche neuen gesetzlichen Anforderungen auf Sie zukommen, zeigt dieser Experten-Bericht. IT-Sicherheits-Leitfaden für Unternehmen kostenlos herunterladen

Der Preis des Widerstands: Warum Erpressung nicht mehr lohnt

Die Finanzierung von Cyberkriminellen wird für Unternehmen zum Auslaufmodell. Das belegen der Coalition 2026 Cyber Claims Report und der Chainalysis 2026 Crypto Crime Report. Zwar fordern Hacker nach wie vor horrende Summen – oft um die eine Million Dollar. Doch die tatsächliche Auszahlungsquote sinkt dramatisch.

Unternehmen haben ihre Abwehr und Widerstandsfähigkeit massiv ausgebaut. Der Kauf eines kriminellen Entschlüsselungscodes ist heute oft das letzte Mittel, nicht die erste Reaktion. Verbesserte Incident-Response-Prozesse ermöglichen es, Betriebe ohne Verhandlungen mit den Tätern wiederherzustellen. Gleichzeitig zerschlagen internationale Ermittler die Geldwäsche-Netzwerke der Erpresserbanden. Für viele Firmen ist die Investition in eigene Backups und Wiederherstellungslösungen mittlerweile günstiger als die Zahlung von Lösegeld.

Polizei-Erfolge speisen kostenlose Rettungs-Tools

Ein entscheidender Schlag gegen die Erpresserindustrie gelang den Behörden Anfang März. Das US-Justizministerium erzielte ein Geständnis von Evgenii Ptitsyn, einem Kernmitglied der berüchtigten Phobos-Ransomware-Bande. Die Gruppe hatte mit ihrer Schadsoftware weltweit über 39 Millionen Dollar erpresst. Die Zerschlagung solcher Strukturen hat einen positiven Nebeneffekt: Sicherheitsforscher können die Malware analysieren und daraus kostenlose Entschlüsselungswerkzeuge entwickeln.

Diese Werkzeuge sammeln Initiativen wie das von Europol unterstützte „No More Ransom“-Projekt. Die stetig wachsende Datenbank mit kostenlosen Decryptoren beraubt die Angreifer ihrer Verhandlungsmacht. Betroffene Organisationen können ihre Daten so ohne Zahlung an sanktionierte Entitäten freischalten. Jeder neue Eintrag in diesem Arsenal untergräbt das Erpressungsgeschäftsmodell ein Stück mehr.

Hacker kehren zur harten Verschlüsselung zurück

Da reine Daten-Diebstähle immer seltener bezahlt werden, ändern die Kriminellen ihre Taktik. Bedrohungsanalysen vom März 2026 zeigen eine Rückkehr zu aggressiven Verschlüsselungsangriffen. Das reine Androhen von Datenleaks – ohne Systeme zu verschlüsseln – bringt kaum noch Geld ein. Bei einigen großen Kampagnen zahlten weniger als 2,5 Prozent der Opfer.

Die Antwort der Hacker: Sie setzen wieder auf maximale Betriebsstörung. Ein Beispiel ist die „Payload“-Ransomware. Diese raffinierte Malware zielt gezielt auf die internen Wiederherstellungsmechanismen eines Unternehmens ab. Bevor sie mit der Verschlüsselung beginnt, deaktiviert sie Backup-Dienste und löscht Windows-Sicherungskopien. Damit zerstört sie systematisch alle lokalen Rettungsanker. Das Opfer soll keine Alternative zum Kauf des Schlüssels haben. Um Glaubwürdigkeit vorzutäuschen, bieten die Täter sogar an, einige Dateien kostenlos zu entschlüsseln.

Anzeige

Hacker nutzen oft psychologische Schwachstellen und Phishing, um Zugriff auf Unternehmensnetzwerke zu erlangen. Dieser Experten-Guide bietet eine 4-Schritte-Anleitung zur erfolgreichen Abwehr aktueller Hacker-Methoden. Kostenloses Anti-Phishing-Paket sichern

Moderne Abwehr setzt auf Backups, nicht auf Verhandlung

IT-Sicherheitsexperten warnen jedoch davor, sich auf die Tools der Erpresser zu verlassen. Kriminelle Software ist unzuverlässig und oft fehlerhaft. Forensische Analysen haben kürzlich fatale Programmfehler in Ransomware-Varianten entdeckt, die VMware-Server angreifen. Dabei beschädigt die Malware versehentlich ihren eigenen öffentlichen Schlüssel während der Verschlüsselung. In diesen Fällen ist eine Datenwiederherstellung mathematisch unmöglich – der gekaufte Schlüssel ist wertlos.

Daher setzt die moderne Ransomware-Abwehr 2026 auf architektonische Resilienz statt auf Verhandlungen. Moderne Notfallpläne priorisieren die sofortige Eindämmung des Angriffs im Netzwerk, um die Ausbreitung zu stoppen. Bevor überhaupt Kontakt mit den Erpressern aufgenommen wird, konsultieren Sicherheitsteams globale Decryptor-Datenbanken.

Der wichtigste Baustein sind jedoch luftgekoppelte und immutable Backups. Diese gesicherten Datenarchive können von Netzwerk-Malware nicht verändert oder verschlüsselt werden. Unternehmen, die solche Systeme nutzen, können den gesamten Entschlüsselungs-Schritt umgehen. Sie stellen ihren Betrieb einfach aus sauberen, verifizierten Sicherungskopien wieder her. Damit entziehen sie den digitalen Erpressern endgültig die Geschäftsgrundlage.

Trading

Finanztrends

Redaktion finanztrends.de

>>