Ransomware: Lösegeld an die Erpresser bezahlen?

Lösegeld bei Ransomware bezahlen – oder nicht? Wenn ein Unternehmen von Ransomware betroffen ist, dreht sich schnell alles um die Frage, ob man der Lösegeldforderung nachkommt. Die Einstellung der Behörden zu dieser Frage ist sehr einfach: Auf keinen Fall. Das ist vom kriminalistischen und generalpräventiven Standpunkt aus auf jeden Fall berechtigt und nachvollziehbar.

Jedenfalls so lange ist dieser Ansatz berechtigt, wie man nicht selber betroffen ist: Die Verschlüsselten Daten können den Ruin, also die Insolvenz, für das gesamte Unternehmen bedeuten. Und selbst wenn man die straf- und Zivilrechtliche Verantwortung (aka Haftung) als Geschäftsführung ausser Acht lässt, so besteht dennoch die Verantwortung nicht nur für den Bestand des Unternehmens sondern eben auch für die Existenz der Arbeitnehmer, deren Jobs akut bedroht sind. Also: Zahlen?

Gerade für die Unternehmensleitung ist die Lösegeldfrage dabei keine abstrakte IT‑ oder Strafverfolgungsfrage, sondern eine hochkonkrete Krisenentscheidung unter Unsicherheit: Es geht um die Fortführung des Geschäftsbetriebs, die Sicherung von Arbeitsplätzen, die eigene Organhaftung und zugleich um die Frage, ob man durch eine Zahlung eine kriminelle Angriffsökonomie stützt, von der auch andere – oder später wieder das eigene Unternehmen – getroffen werden. Die Entscheidung wird unter massivem Zeitdruck getroffen, typischerweise auf der Basis unvollständiger Informationen und in einer Situation, in der die technischen und organisatorischen Versäumnisse der Vergangenheit mit voller Wucht sichtbar werden.

Eine Studie gibt zwar keine pauschale Antwort, aber der Blick auf andere schärft den Fokus, zumal die Zahlung von Ransomware-Lösezahlungen ebenso wieder Haftungsbegründend sein kann für die Geschäftsführung – selbst wenn der Betrieb dann doch fortbesteht. Der Beitrag wurde zuletzt im Februar 2026 aktualisiert.

Sophos-Studie gibt Einblicke

Eine laufende Studienreihe von Sophos unter dem Titel „The State of Ransomware“ gibt seit Jahren Einblicke in das tatsächliche Verhalten von Unternehmen nach Ransomware‑Angriffen. Die aktuelle Ausgabe „State of Ransomware 2025“ basiert auf einer Befragung von 3.400 IT‑ und Sicherheitsverantwortlichen aus 17 Ländern, deren Organisationen im letzten Jahr von Ransomware betroffen waren. Im Fokus stehen nicht nur technische Ursachen und Zahlungsbereitschaft, sondern erstmals auch die internen organisatorischen Schwächen und der menschliche Impact auf IT‑ und Security‑Teams. Für das Management ist diese Perspektive zentral, weil sie zeigt, dass Ransomware‑Schäden in der Regel nicht auf einen einzigen Fehler zurückgehen, sondern auf eine Mischung aus fehlender Expertise, Sicherheitslücken und unzureichender Ressourcenverteilung im Unternehmen.

• State of Ransomware 2021 (Direkt zum PDF)
• State of Ransomware 2022 (Download nach Eingabe persönlicher Daten)
• State of Ransomware 2023 (Direkt zum PDF)
• State of Ransomware 2024 (Direkt zum PDF)
• State of Ransomware 2025 (Direkt zum PDF)

Cybersicherheit bei uns im Blog

Aufgrund unserer Spezialisierung auf Cybersecurity-Rechtsfragen (RA JF ist zertifizierter Experte für Cybersicherheit, SRH) sowie Managerhaftung beschäftigen wir uns regelmäßig in Beiträgen mit dem IT-Sicherheitsrecht:

• NIS2-Umsetzung in Deutschland 2026
• NIS2-Richtlinie und NIS-Richtlinie
• CER-Richtlinie und DORA
• IT-Sicherheitgesetz 2.0 und IT-Sicherheitsgesetz 1.0
• Cybersecurity-Act und Cyber Solidarity Act
• EU-Verordnung zur Informationssicherheit
• BSI-Gesetz als Grundlage der Cybersecurity (derzeit veraltet)
• Haftung der Geschäftsführung für Sicherheitsmängel
• Softwareupdates gesetzlich geregelt
• Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
• Bug-Bounty-Programme
• Wirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit
• Fahrlässige Tötung durch Schadsoftware im Krankenhaus?
• Haftung des Arbeitnehmers für Installation von Ransomware oder Virus
• Ransomware-Angriffe im Alltag
• Vertrag über Penetrationstest

Wurde nach Ransomware-Attacke gezahlt?

Laut Sophos ergab die Umfrage 2021, dass eine gewisse Zahlungsbereitschaft besteht, die Finanzdienstleister aber deutlich geringer bereit sind, Lösegeld zu zahlen als die meisten anderen Branchen. So kam wohl jedes vierte Finanzdienstleistungsunternehmen (25 %), dessen Daten verschlüsselt wurde, einer Lösegeldforderung nach, was unter dem Durchschnitt von 32 % liegt. Für das Jahr 2022 hat man eine Zahlungsquote je nach Branche von bis zu 50% ermittelt.

Die Studie ergibt, dass diese Branche in der Lage ist, sehr gut Daten zu sichern und wieder herzustellen, auf Grund der guten Backup Politik könnte deswegen eine geringere Bereitschaft zu zahlen vorhanden sein, so Sophos.

Die aktuelle Erhebung für 2025 verschiebt dieses Bild deutlich: Über alle Branchen hinweg berichten nun 49% der betroffenen Organisationen, dass sie das Lösegeld bezahlt haben, um an ihre Daten zu gelangen. Gleichzeitig ist die Nutzung von Backups zur Wiederherstellung von verschlüsselten Daten auf 54% gefallen und liegt damit auf dem niedrigsten Stand der letzten sechs Jahre.

Anders formuliert: Obwohl 97% der Unternehmen ihre verschlüsselten Daten am Ende wiederherstellen konnten, stützte sich fast die Hälfte davon auf eine Lösegeldzahlung – ein deutlicher Hinweis darauf, dass viele Unternehmen im Ernstfall ihre Backup‑Strategie als praktisch unzureichend erleben oder sich jedenfalls nicht zutrauen, allein über Backups innerhalb vertretbarer Zeit wieder arbeitsfähig zu werden.

Interessant ist, dass in dem industriellen Bereich Energie, Öl/Gas und Versorgung die „Zahlungswilligkeit“ für ein Lösegeld am größten ist, mit immerhin 43 %. Im Bereich medizinische Versorgung lag man 2022 sogar bei über 60 %.

Die Studie meint dazu, dass in diesem Bereich in der Regel deutlich veraltete IT-Infrastruktur vorhanden ist, die auch nicht ohne weiteres aktualisiert werden kann. Dies könnte den gefühlten Druck, das Lösegeld zu zahlen erhöhen, um auf diesem Weg die Betriebskontinuität aufrechtzuerhalten.
Wohl wenig überraschend liegt an zweiter Stelle die Kommunalverwaltung. Sophos sieht hier überraschenderweise eine grundlegende Bereitschaft der lokalen Behörden, das Lösegeld zu zahlen – das könnte wiederum Angreifer dazu veranlassen, ihre komplexeren und effektiveren Angriffe gerade auf diese Zielgruppe zu konzentrieren.

Für Vorstände und Geschäftsführungen ergibt sich daraus ein unangenehmer Befund: Die Frage, ob bezahlt wird, ist in der Praxis häufig weniger Ausdruck einer freien, strategischen Entscheidung als vielmehr das Ergebnis jahrelanger Versäumnisse bei IT‑Sicherheit, Backup‑Strategie und Ressourcenplanung. Wer in der Krise keine tragfähigen Alternativen zur Zahlung hat, entscheidet nicht mehr wirklich – er reagiert nur noch auf einen durch eigene Organisation verursachten Zwang.

Zahlung des Lösegelds = teilweise Daten zurück

Der Sinn der Lösegeldzahlung ist, die Daten zurückzuerhalten – doch mit welcher Sicherheit gibt es die Daten nun wieder? In entsprechenden Verhandlungen warnen Ermittler ständig, dass es keine Garantien gibt und man mitunter für wenig bis gar nichts zahlt. Diese Warnung ist wohl berechtigt, wie die Sophos-Studie aufzeigt: Denn diejenigen, die das Lösegeld zahlten, erhielten laut Studie nicht alle ihre Daten zurück! Die Chancen, alle Daten zurückzubekommen, sind statistisch gering, auch wenn man vollständig zahlt.

Auch mit Blick auf die aktuelle Datenlage aus 2025 bleibt der Befund der Vorjahre bestehen: Die Zahlung eines Lösegelds ist statistisch keine Garantie für eine vollständige Datenrückgabe. Zwar konnten 97% der betroffenen Unternehmen ihre verschlüsselten Daten grundsätzlich wiederherstellen, doch lässt sich aus der Studie klar ablesen, dass dies regelmäßig über eine Kombination aus Backups, Zahlungen und weiteren Mitteln erfolgt. Hinzu kommt, dass der Anteil der Unternehmen, die allein auf Backups setzen, kontinuierlich sinkt, während der Anteil der Unternehmen, die zahlen, auf einem dauerhaft hohen Niveau verharrt – ohne dass sich daraus eine verlässliche „Absicherung“ durch die Täter ableiten ließe.

Dabei betont die Untersuchung, dass die Anzahl der Befragten aus dem Finanzdienstleistungssektor nicht hoch genug war, um zuverlässige Schlussfolgerungen zu ziehen. Im Durchschnitt wurde berichtet, man habe nur 63 % der Daten nach Zahlung zurückerhalten – mehr als ein Drittel der Daten war unzugänglich. Im gesamten Durchschnitt waren es 65 %. Insgesamt haben nur 4 % der befragten Finanzdienstleister, die das Lösegeld gezahlt haben, alle ihre Daten zurückerhalten, und 33 % erhielten die Hälfte oder weniger ihrer Daten zurück.

Die Studie mutmaßt, dass es sich dabei nicht einmal um Absicht der Erpresser handelt, sondern dass das Problem vielmehr darin liegt, dass die Angreifer mehr Zeit und Mühe in die Entwicklung starker Verschlüsselungswerkzeuge investieren als in ihre notwendigen Entschlüsselungs-Tools. Es drängt sich auf, dass sich die Ransomware-Zahlung jedenfalls statistisch wohl nicht auszahlt (so auch das Fazit der Studie). Leider lassen sich keine starken Verallgemeinerungen bilden, da die Datengrundlage wohl zu klein ist. Zumindest ist es eine Orientierung.

Hacking im Blog

• Hackangriff bzw. Cyberangriff – Was tun?
• Datenleck: Herausforderungen für Unternehmen
• NIS2-Umsetzung in Deutschland 2026
• Fake News als Gefahr für Unternehmen
• IT-Sicherheit im Arbeitsrecht
• Wie schütze ich mich vor einem Hackangriff?
• Was ist ein sicheres Passwort?
• Phishing-Seiten-Installation am Beispiel ZPhisher
• Bin ich von einem Hackangriff betroffen?
• Online-Betrug & Fake-Shops: Was tun?
• Glossar zum Cybercrime mit klassischen Angriffsszenarien
• Strafbarkeit der Suche nach Sicherheitslücken
• Unser Hacker-Guide: Russland, Iran, Nordkorea und China
• Unser Ransomware-Guide:
  • Verhandlungsstrategien
  • BSI-Maßnahmenkatalog
  • Bezahlen oder nicht?
  • Wie Unternehmen mit Ransomware erpresst werden
  • Haftung des Arbeitnehmers bei Ransomware

Zahlungen trotz guter Backups?

Mitunter erfolgen Zahlungen, obwohl Daten aus Backups vollständig wiederhergestellt wurden – der Hintergrund liegt in der Praxis oft darin, dass alleine der Zugriff auf die Daten schon lange nicht mehr das einzige Motiv einer Zahlung ist! Tatsächlich dient die Zahlung regelmäßig der Vermeidung weiterer Konsequenzen, weil Ransomware-Attacken in mehreren Wellen erfolgen und verschiedene weitere Konsequenzen haben können, wie etwa das BKA anschaulich darstellt:

Kosten einer Ransomware-Erpressung

Wer rein wirtschaftlich denkt und „rechnet“, der muss in eine Kostengegenüberstellung der Zahlung neben das potentielle Verlustrisiko auch die sonstigen Kosten einstellen, um reflektiert entscheiden zu können. Die Sophos‑Erhebung 2025 beziffert die durchschnittlichen Kosten für die Bewältigung eines Ransomware‑Angriffs – wohlgemerkt ohne das Lösegeld – aktuell auf rund 1,53 Millionen US‑Dollar pro Vorfall. Erfasst werden dabei Ausfallzeiten, zusätzlicher Personalaufwand, die Wiederherstellung von Geräten und Netzwerken sowie verlorene Geschäftsgelegenheiten; damit wird deutlich, dass das eigentliche Lösegeld in vielen Fällen nur einen Teilposten einer erheblich größeren Schadensbilanz darstellt. Für das Management ist das ein zentraler Punkt: Wer die Lösegeldzahlung isoliert „gegenrechnet“, blendet die Gesamtkostenstruktur des Vorfalls aus, einschließlich möglicher behördlicher Sanktionen und langfristiger Folgen etwa durch Reputationsverlust oder steigende Cyberversicherungsprämien.

Insoweit ist daran zu erinnern, dass es erhebliche weitere Kosten gibt, mit der Studie ist hier zu Recht zu erinnern an folgende Kostenfaktoren:

• Lösegeld
• Kosten für die Wiederherstellung und Sicherung der IT-Systeme
• Öffentlichkeitsarbeit
• forensische Analyse.

Die Sophos-Untersuchung kommt zu dem Ergebnis, dass dem Finanzdienstleistungssektor im Durchschnitt Kosten für die Beseitigung von Ransomware in Höhe von ca. 2,10 Millionen US-Dollar entstehen (unter Berücksichtigung von Ausfallzeiten, verlorenen Arbeitsstunden, Gerätekosten, Netzwerkkosten, entgangenen Chancen, Lösegeldzahlungen, gesetzliche und behördliche Geldstrafen). Dies liegt oberhalb des sonstigen Durchschnitts von 1,85 Millionen US-Dollar.

Lösegeld bei Ransomware zahlen – oder nicht? Es kommt auf den Einzelfall an – die Situation ist bereits vergiftet – wenn die Backup-Politik nicht geschützt hat, dann geht es um Schadensbegrenzung und die Frage, welche Kröte man schluckt.

Haftungsfalle Ransomware-Lösgeld

Wie zu Beginn schon angesprochen: Pauschale Überlegungen werden sich verbieten. Die generalpräventiven Gedanken, dass Zahlungen nur die Ransomware-Szene stärken sind auf jeden Fall richtig; doch muss einem Vorstand respektive einer Geschäftsführung klar sein, dass der eigene Ärger mit dem (erfolgreichen) Ransomware-Angriff nur beginnt. Es drängt sich ja quasi im Moment des Angriffs die Frage auf, ob ein Organisations- oder Delegationsversagen der Leitung vorlag, dass zu einem Mangel an Sicherungsmaßnahmen führte.

Die aktuelle Studienlage unterfüttert diesen Verdacht mit Zahlen: Im Schnitt benennen betroffene Unternehmen 2,7 organisatorische Faktoren, die zum Erfolg des Angriffs beigetragen haben. Am häufigsten genannt werden fehlende Expertise (40,2%), unerkannte Sicherheitslücken (40,1%) sowie ein Mangel an personellen Kapazitäten im Sicherheitsbereich (39,4%). Für die Organhaftung ist das brisant: Wenn das Unternehmen selbst im Nachgang zugesteht, weder die nötigen Fähigkeiten noch ausreichende Ressourcen noch eine angemessene Schutzarchitektur vorgehalten zu haben, wird es schwer, ein pflichtgemäßes Sicherheits‑ und Risikomanagement zu behaupten.

Doch diese Frage vertieft sich dann mit der Zeit nur weiter, aus meiner Sicht zu naiv ist der Gedanke, dass alleine das Nicht-Zahlen problemlos ist (zumal man damit behördlichen Hinweisen folgt). Der Blick auf die, sicherlich nicht repräsentativen, Zahlen oben macht deutlich, dass man einerseits mit einem ernsthaften Risiko rechnen muss, dass die Zahlung versandet und man seine Daten nicht (vollständig) zurückerhält. Andererseits muss das realistische Risiko gesehen werden, dass die Firma auf Grund der Verschlüsselung gerade handlungsunfähig ist.

Hinzu tritt eine bislang unterschätzte Ebene: die Folgen des Angriffs für die eigenen IT‑ und Security‑Teams. Laut Sophos berichten alle befragten Unternehmen mit verschlüsselten Daten von direkten Auswirkungen auf ihre Teams; 41% der Teams verzeichnen eine dauerhaft erhöhte Angst oder Stress vor künftigen Angriffen, 31% berichten von krankheitsbedingten Ausfällen aufgrund der psychischen Belastung, in einem Viertel der Fälle wurde die Teamleitung nach dem Vorfall ausgetauscht. Für die Unternehmensleitung bedeutet das: Ransomware ist nicht nur ein IT‑ oder Compliance‑Thema, sondern eine Frage der Führungsverantwortung und Personalbindung – wer seine Fachleute im Krisenfall ohne Rückendeckung alleine lässt, verschärft die eigene Risikolage für die Zukunft.

Was für den Laien auf den ersten Blick wie ein Argument pro Zahlung aussehen könnte, ist juristisch gleichwohl von erheblicher Brisanz (die bisher noch weitgehend ignoriert wird) – das durch die Verschlüsselung handlungsunfähige Unternehmen, das seiner wirtschaftlichen Werte beraubt ist, kann in diesem Moment de facto in Überschuldung geraten sein, etwa wenn die laufende Produktion komplett lahmgelegt ist und für den Fortbestand notwendige Umsätze wegbrechen. Das Ergebnis wäre eine persönliche Haftung der nach § 15b Abs.1 InsO (vormals §64 GmbhG) für Zahlungen nach diesem Moment – worunter auch das Lösegeld fallen kann.

Also vielleicht bezahlen …

Nach einem ersten flüchtigen Blick kann es also durchaus eine unternehmerische Entscheidung sein zu zahlen, gerade die könnte aber eine Haftung eröffnen, die bis zur persönlichen Haftung führt. Und wer nicht zahlt und dem Unternehmen zusieht, wie es ruiniert wird? Der muss nicht nur diskutieren, ob das die richtige Entscheidung war (was mit Blick auf Empfehlung der Behörden und obige Zahlen vertretbar wäre), sondern muss diskutieren, ob er versäumt hat, im Rahmen seiner Pflichten die präventiv-notwendigen Maßnahmen zu treffen. Und während der Angriff als solcher beim aktiven, vorsätzlichen Handeln eines kriminellen Dritten keine Haftung auslösen dürfte, ist die Diskussion hinsichtlich der vorher unterlassenen Maßnahmen voll eröffnet. Insbesondere, wenn keine funktionierende Backup-Politik existiert hat im Moment des Angriffs.

Aus Managementsicht ist daher entscheidend, die Lösegeldfrage nicht erstmals in der akuten Krise zu diskutieren. Die verfügbaren Daten zeigen, dass Ransomware‑Angriffe branchenübergreifend sind und in rund der Hälfte der Fälle tatsächlich zu einer Verschlüsselung von Daten führen; die Frage ist nicht, ob es einen trifft, sondern in welchem Zustand das Unternehmen getroffen wird. Ein belastbarer Notfall‑ und Krisenplan, dokumentierte Entscheidungsleitlinien für die Lösegeldfrage, getestete Backups und eine nachvollziehbare Ressourcenplanung in der IT‑Sicherheit gehören deshalb zur präventiven Leitungsaufgabe – und sind im Haftungsfall das Einzige, was sich noch als ernsthafte Schutzbehauptung anführen lässt.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
• Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
• Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026