Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit

Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen

[datensicherheit.de, 29.08.2025] Sophos hat seine jährliche erscheinende internationale Studie zur aktuellen Bedrohung des Einzelhandels durch Ransomware publiziert: „The State of Ransomware in Retail 2025“. Diese Studie beschreibt die Entwicklung und den Status im Einzelhandel im Kontext von Cyberattacken mit Ransomware. „Die Ergebnisse sind teils alarmierend: Beispielsweise zahlen immer mehr Einzelhandelsunternehmen die Erpressungssummen, welche die Cyberkriminellen nach der Verschlüsselung oder dem Diebstahl der Daten fordern.“

Abbildung: Sophos

Einzelhandel: Häufigste operative Gründe für Cyberattacken

TOM-Standardursachen für Cyberangriffe auf Einzelhandel

Die internationale Sophos-Studie „The State of Ransomware in Retail 2025“ zeige, „wie sich Ursachen, Auswirkungen und Strategien im Umgang mit Ransomware verändern und mit welchen Konsequenzen IT- und Cybersicherheitsteams im Einzelhandel zu rechnen haben“.

• Nach den Vorgängerstudien aus den Jahren 2023 und 2024 hätten Einzelhändler ausgenutzte Schwachstellen zum dritten Mal in Folge als häufigste technische Ursache für Ransomware-Angriffe benannt. In 30 Prozent der Fälle sei diese Form der kriminellen Infiltration nach wie vor ausschlaggebend.

„Auch operative Faktoren trugen dazu bei, dass Einzelhandelsunternehmen Opfer von Ransomware werden.“ Am häufigsten habe fast die Hälfte (46%) der Befragten unbekannte Sicherheitslücken als initialen Einstiegspunkt für die Cyberkriminellen genannt. Dicht dahinter rangiere mangelnde Fachkenntnis, welche in 45 Prozent der Angriffe eine Rolle gespielt habe – „was dem höchsten Wert entspricht, der in irgendeiner der untersuchten Branchen festgestellt wurde“.

Abbildung: Sophos

Einzelhandel: Häufigste technische Gründe für Cyberattacken

Datenverschlüsselung geht zurück – Lösegeldforderungen nehmen dennoch zu

Die Datenverschlüsselung durch Cyberkriminelle habe im Einzelhandel deutlich abgenommen. „Nur noch 48 Prozent der Angriffe führten 2025 zu einer tatsächlichen Verschlüsselung der Daten, verglichen mit 71 Prozent im Jahr 2023.“

• Parallel dazu habe die Zahl der vereitelten Verschlüsselungsversuche ein Rekordhoch erreicht, was auf verbesserte Abwehrmechanismen der Unternehmen schließen lasse.

Doch Cyberkriminelle passten sich indes an: „Der Anteil reiner Erpressungsangriffe, bei denen keine Daten verschlüsselt, aber dennoch Lösegeld für die Nichtveröffentlichung sensibler Daten gefordert wird, hat sich innerhalb von zwei Jahren verdreifacht.“ Während 2023 lediglich zwei Prozent der Befragten betroffen gewesen seien, habe der Anteil 2025 bereits bei sechs Prozent gelegen.

Abbildung: Sophos

Einzelhandel: Entwicklung der Datenverschlüsselung nach Ransomware-Angriffen

Resignation: Nutzung von Backups als Strategie für Datenwiederherstellung nimmt ab

Die Art und Weise, wie Einzelhändler Daten nach einem Cyberangriff wiederherstellen, habe sich spürbar verändert: „Während 2021 noch 32 Prozent der Unternehmen das Lösegeld zahlten, um ihre Daten zurückzuerlangen, waren es 2025 bereits 58 Prozent – deutlich mehr als der branchenübergreifende Durchschnitt von 49 Prozent.“ Im Gegenzug sei die Nutzung von Backups auf ein Vierjahrestief gefallen. Zwar seien Backups nach wie vor die etwas häufiger gewählte Lösung, doch die abnehmende Tendenz deute auf eine zunehmende Abhängigkeit von anderen Wiederherstellungsmöglichkeiten hin.

• Die nun vorliegende Studie belege außerdem einen drastischen Anstieg der Lösegeldforderungen: „Im Jahr 2025 lag die durchschnittliche Forderung bei 1,71 Millionen Euro – doppelt so hoch wie noch im Jahr zuvor. Besonders stark zugenommen hat die Zahl der Forderungen von über 4,28 Millionen Euro, die von 17 Prozent im Jahr 2024 auf 27 Prozent im Jahr 2025 gestiegen sind.“

Verglichen mit dieser Entwicklung zeige sich der Einzelhandel im Durchschnitt widerstandsfähiger: „Die durchschnittliche Lösegeldzahlung erhöhte sich um fünf Prozent von 813.563 Euro im Jahr 2024 auf 856.382 Euro im Jahr 2025.“ Gleichzeitig seien die durchschnittlichen Kosten für die Wiederherstellung nach einem Angriff gesunken – ohne Lösegeldzahlungen – um 40 Prozent auf 1,41 Millionen Euro und damit auf den niedrigsten Wert seit drei Jahren.

Belastung für IT- und Sicherheitsteams geht an die Substanz

Die Studie mache zudem deutlich, dass die Folgen von Ransomware weit über finanzielle Schäden hinausgingen. Nahezu die Hälfte der Befragten (47%) habe von verstärktem Druck seitens des Managements berichtet, „wenn es infolge eines Angriffs zu einer Datenverschlüsselung kam“.

• Viele IT- und Cybersicherheitsverantwortliche hätten außerdem angegeben, unter erhöhter Angst oder Stress vor künftigen Angriffen zu leiden (43%). Auch krankheitsbedingte Abwesenheit aufgrund von Stress oder psychischen Belastungen (37%) sowie Schuldgefühle, den Angriff nicht verhindert zu haben (34%), seien häufig genannt worden.

Die o.g. Ergebnisse basierten auf einer unabhängigen, anbieterneutralen Befragung von 3.400 IT- und Cybersicherheitsverantwortlichen in 17 Ländern in Amerika, der „EMEA“- und der Asien-Pazifik-Region. „Darunter befanden sich 361 Teilnehmer aus dem Einzelhandel. Die befragten Unternehmen beschäftigen jeweils zwischen 100 und 5.000 Mitarbeiter.“ Die Erhebung sei von Vanson Bourne zwischen Januar und März 2025 durchgeführt worden – Grundlage seien die Erfahrungen der Befragten aus den vergangenen zwölf Monaten gewesen.

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten. / Sophos stoppt Cyberangriffe mit einer adaptiven, KI-nativen offenen Plattform und hochkarätiger Sicherheits-Expertise.

SOPHOS, Rajan Sanhotra , 19.08.2025
The State of Ransomware in Retail 2025 / 361 IT and cybersecurity leaders reveal the ransomware realities for retail businesses today

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten