Die Ransomware-Verschlüsselungsrate in der Fertigung ist laut Sophos so niedrig wie seit fünf Jahren nicht mehr. Doch Angreifer weichen verstärkt auf Datendiebstahl und Double Extortion aus, mehr als die Hälfte der betroffenen Unternehmen zahlt weiter Lösegeld. Recovery-Fähigkeit und Resilienz werden zum entscheidenden Faktor.

Die Verschlüsselungsrate von Ransomware in Produktions- und Fertigungsunternehmen ist laut dem neuen Sophos-Report deutlich gesunken. Entwarnung bedeutet das nicht. Angreifer weichen verstärkt auf Datendiebstahl und Double Extortion aus, mehr als die Hälfte der betroffenen Unternehmen zahlt weiterhin Lösegeld.

Die neue Sophos-Studie »State of Ransomware in Manufacturing and Production 2025« kommt zu einem zunächst positiven Befund: In Produktions- und Fertigungsunternehmen endeten 40 Prozent der beobachteten Ransomware-Angriffe mit einer erfolgreichen Datenverschlüsselung. Das ist der niedrigste Wert seit fünf Jahren und ein deutlicher Rückgang gegenüber rund 74 Prozent im Vorjahr. Gleichzeitig konnten laut Pressemeldung 50 Prozent der Unternehmen eine Verschlüsselung vollständig verhindern, mehr als doppelt so viele wie im Vorjahr mit 24 Prozent.

Diese Zahlen deuten darauf hin, dass Investitionen in Schutzmaßnahmen, Monitoring und Incident Response Wirkung zeigen. Ransomware wird häufiger in frühen Phasen erkannt und gestoppt, bevor Produktionsdaten und Steuerungssysteme komplett verschlüsselt werden. Für Umgebungen, in denen schon Minuten Stillstand teure Produktionsausfälle und gestörte Lieferketten bedeuten, ist das ein wichtiger Fortschritt. Das Risiko bleibt dennoch erheblich, weil sich die Angriffstaktiken verändern.

Anzeige

Von Verschlüsselung zu Erpressung: Datendiebstahl als Druckmittel

Die Studie zeigt, dass reine Erpressungsangriffe ohne Verschlüsselung deutlich zunehmen. Der Anteil der Attacken, bei denen Angreifer ausschließlich auf Datendiebstahl setzen, stieg von 3 Prozent im Jahr 2024 auf 10 Prozent. Ihr Hebel ist dabei klar: Wer sensible Entwicklungsdaten, Produktionspläne oder personenbezogene Informationen exfiltriert hat, braucht keine Verschlüsselung mehr, um Druck aufzubauen.

Hinzu kommt, dass Datendiebstahl und Verschlüsselung häufig gemeinsam auftreten. Bei 39 Prozent der Produktionsunternehmen, die eine Ransomware-Verschlüsselung erlebten, wurden zusätzlich Daten entwendet. Damit gehört der Sektor zu den Branchen mit den höchsten Werten für kombinierte Angriffe.

Genau das beschreibt auch Michael Veit, Sicherheitsexperte bei Sophos: »Die Produktions- und Fertigungsindustrie ist in hohem Grad auf vernetzte Systeme angewiesen, bei denen selbst kurze Ausfallzeiten den Betrieb stoppen und Lieferketten beeinträchtigen können. Die Cyberkriminellen nutzen diese Situation aus. Obwohl die Verschlüsselungsrate im globalen Durchschnitt auf 40 Prozent gefallen ist, lag das mediane, gezahlte Lösegeld weiterhin hoch bei 861.111 Euro. Mehrschichtige Abwehrmechanismen, kontinuierliche Transparenz und regelmäßig geübte Notfallpläne sind entscheidend, um operative Auswirkungen und finanzielle Risiken zu reduzieren.«

Die Botschaft dahinter: Auch ohne flächendeckende Verschlüsselung können Angreifer in hochvernetzten Produktionslandschaften erheblichen wirtschaftlichen und reputativen Schaden anrichten.

Technische Einfallstore: wo Ransomware tatsächlich ansetzt

Ein Blick in die technischen Root-Causes zeigt, dass erfolgreiche Ransomware-Angriffe in der Fertigung meist mit sehr klassischen Einstiegspfaden beginnen. 32 Prozent der betroffenen Unternehmen führen den Vorfall auf eine ausgenutzte Schwachstelle zurück, weitere 23 Prozent nennen bösartige E-Mails als initialen Angriffsvektor. Kompromittierte Zugangsdaten spielen zwar weiterhin eine Rolle, sind mit 20 Prozent aber auf den niedrigsten Wert der vergangenen drei Jahre gefallen. Die Studie legt damit nahe, dass Ransomware-Gruppen verstärkt ungepatchte oder falsch konfigurierte Systeme sowie exponierte Dienste ins Visier nehmen, während reine Credential-Angriffe etwas an Bedeutung verlieren. Für Produktionsumgebungen bedeutet dies, dass Patch- und Schwachstellen-Management, Netzwerk-Segmentierung und die Härtung internetnaher Systeme faktisch die erste Verteidigungslinie bilden und die Diskussion um Lösegeldstrategien eher das Ende der Kette markiert.

Hohe Lösegeldzahlungen trotz besserer Abwehr

Trotz sinkender Verschlüsselungsrate bleibt das finanzielle Risiko erheblich. Laut Studie zahlten 51 Prozent der betroffenen Unternehmen im Produktions- und Fertigungssektor Lösegeld. In der Pressemeldung nennt Sophos einen medianen Zahlbetrag von rund 860.000 Euro bei einer Forderung von im Mittel gut einer Million Euro. Die Unternehmen zahlen damit zwar weniger als ursprünglich verlangt, bewegen sich aber weiterhin klar im sechs- bis siebenstelligen Bereich.

Die Kombination aus möglichem Produktionsausfall, drohendem Datenabfluss und regulatorischem Druck führt offenbar dazu, dass viele Unternehmen bereit sind, auf Lösegeldforderungen einzugehen, auch wenn Behörden und Sicherheitsexperten dies regelmäßig kritisch sehen.

Recovery-Kosten und -Dauer als Reifeindikator

Auf der Kostenseite zeigt der Report, dass Fertigungs- und Produktionsunternehmen beim Wiederaufstehen nach einem Angriff messbare Fortschritte machen. Die durchschnittlichen Aufwände zur Behebung der Auswirkungen eines Ransomware-Vorfalls, ohne Lösegeldzahlungen, liegen aktuell bei rund 1,1 Millionen Euro und damit etwa ein Viertel unter dem Vorjahreswert. Gleichzeitig beschleunigt sich die Wiederherstellung: 58 Prozent der betroffenen Organisationen waren innerhalb einer Woche wieder vollständig arbeitsfähig, im Vorjahr waren es erst 44 Prozent. Nur noch 6 Prozent benötigten ein bis drei Monate, insgesamt waren 98 Prozent binnen drei Monaten wieder auf dem Ausgangsniveau. Dies lässt sich als Hinweis darauf lesen, dass Notfallpläne, Backup-Konzepte und Wiederanlaufverfahren in der Fertigung schrittweise reifer werden, auch wenn das Kostenniveau weiterhin hoch bleibt und für viele mittelständische Betriebe ein erhebliches Geschäftsrisiko bedeutet.

Fachkräftemangel und blinde Flecken als Haupteinfallstore

Die Studie legt offen, dass viele erfolgreiche Angriffe weniger an hochkomplexen Zero-Day-Exploits scheitern, sondern an bekannten strukturellen Schwächen. Im Durchschnitt identifizieren die befragten Unternehmen drei interne Faktoren, die zum Erfolg eines Angriffs beigetragen haben. 42,5 Prozent der Produktions- und Fertigungsunternehmen nennen fehlende Expertise in den eigenen Reihen als wesentliche Ursache, 41,6 Prozent verweisen auf bislang unbekannte oder ungepatchte Sicherheitslücken, 41 Prozent sehen fehlende oder unzureichend umgesetzte Schutzmaßnahmen als Problem. Für gewachsene Produktionslandschaften mit langen Lebenszyklen, eingeschränkten Wartungsfenstern und knappen Security-Ressourcen ist das ein vertrautes Muster.

Double Extortion wird zum Standardrepertoire

Die Auswertung der Angreiferlandschaft durch Sophos X-Ops zeigt, dass es sich nicht um Einzelfälle handelt. Die Task-Force hat die Ransomware-Aktivität auf Leak-Seiten analysiert und 99 unterschiedliche Bedrohungsgruppen identifiziert, die maßgeblich für Angriffe auf Fertigungsunternehmen verantwortlich sind. Zu den prominenteren Gruppen zählen GOLD SAHARA (Akira), GOLD FEATHER (Qilin) und GOLD ENCORE (PLAY). »Die Ergebnisse der Fälle, bei denen die schnelle Eingreiftruppe Sophos Emergency Incident Response hinzugezogen wurde, zeigen, dass bei mehr als der Hälfte der Angriffe Daten gestohlen und verschlüsselt wurden«, erklärt Sophos-Manager Veit. »Dies ist ein klarer Hinweis darauf, dass die Cyberkriminellen weiterhin auf Double-Extortion-Taktiken setzen.«

Belastungsprobe für IT-Teams und Management

Ransomware bleibt nicht ohne Folgen für die Menschen, die die Vorfälle operativ bewältigen müssen. 47 Prozent der befragten Fertigungsunternehmen berichten von deutlich erhöhtem Stress im IT- und Sicherheitsteam nach einer Datenverschlüsselung, 44 Prozent erleben spürbaren zusätzlichen Druck durch die Unternehmensführung. In 27 Prozent der Fälle kommt es in der Folge sogar zu einem Wechsel in der Führungsebene. Die Vorfälle werden damit zu Managementkrisen, in denen unter hohem Zeitdruck über Geschäftsunterbrechung, Kommunikation und Umgang mit Lösegeldforderungen entschieden werden muss.

Konsequenzen für die Praxis: Resilienz statt Einmalprojekt

Aus den Studienergebnissen leitet Sophos vier Handlungsfelder ab, die sich mit gängigen Best Practices decken und im Produktionsumfeld besonders relevant sind. Technische und organisatorische Schwachstellen sollten kontinuierlich identifiziert und priorisiert behoben werden, statt auf einmalige Härtungsprojekte zu setzen. Alle Endpunkte, einschließlich Servern und OT-nahen Systemen, benötigen zeitgemäße Schutzfunktionen mit Verhaltensanalysen und Endpoint-Detection-and-Response-Funktionen. Ein durchdachter und geübter Incident-Response-Plan inklusive getesteter Backups und klarer Kommunikationswege reduziert Ausfallzeiten. Da viele Betriebe keine eigenen 24/7-SOC-Kapazitäten haben, rückt zudem die Zusammenarbeit mit spezialisierten Managed-Detection-and-Response-Anbietern in den Fokus.

Fazit: Die Lernkurve steigt, das Risiko bleibt hoch

Unterm Strich zeigt der Report, dass die Fertigungs- und Produktionsindustrie bei der Ransomware-Abwehr Fortschritte macht. Weniger erfolgreiche Verschlüsselungen, schnellere Wiederherstellung und reifere Notfallprozesse sind messbare Ergebnisse. Gleichzeitig verschieben Angreifer ihr Geschäftsmodell in Richtung Datendiebstahl und Double Extortion und nutzen den hohen Zeit- und Produktionsdruck der Branche gezielt aus. Ransomware bleibt damit ein strategisches Risiko, das nicht mit einzelnen Technikprojekten adressiert ist, sondern eine kombinierte Sicherheitsstrategie aus Prävention, Detektion, Reaktion und Wiederanlauf erfordert.