(pressebox) (Wiesbaden, 04.12.2025) Sophos veröffentlicht heute seinen aktuellen Report „State of Ransomware in Manufacturing and Production 2025“. Die Studie zeigt, dass Unternehmen im Produktionssektor im Vergleich zu früheren Studienergebnissen heute besser in der Lage sind, Ransomware-Angriffe zu stoppen, bevor Daten verschlüsselt werden. Allerdings setzen die Angreifer zunehmend auf den Diebstahl von Daten, um damit den Druck für reine Erpressungstaktiken aufzubauen. Eine der Folgen: Mehr als die Hälfte der betroffenen Fertigungsunternehmen bezahlten trotz verbesserter Abwehrmaßnahmen das Lösegeld.

Die zentralen Ergebnisse des Sophos State of Ransomware in Manufacturing and Production Reports sind:

• Sinkende Verschlüsselungsraten, aber veränderte Angriffstaktiken: 40 Prozent der Angriffe auf Produktionsunternehmen führten zu einer Datenverschlüsselung. Dies ist der niedrigste Wert seit fünf Jahren und ein Rückgang gegenüber 74 Prozent im Vorjahr. Gleichzeitig stiegen reine Erpressungsangriffe durch Datendiebstahl von 3 Prozent (2024) auf 10 Prozent.
• Datendiebstahl bleibt ein zentrales Risiko: 39 Prozent der Produktionsunternehmen, die eine Ransomware-Verschlüsselung erlitten, verzeichneten zusätzlich auch einen Datendiebstahl – einer der höchsten Werte aller untersuchten Branchen.
• Mehr Unternehmen stoppen Angriffe vor der Verschlüsselung: 50 Prozent der Fertigungsunternehmen verhinderten eine Datenverschlüsselung, Das sind mehr als doppelt so viele im Vergleich zum Vorjahr (24 Prozent).
• Fachkräftemangel und unzureichender Schutz begünstigen Angriffe: 42,5 Prozent der Produktions- und Fertigungsunternehmen nannten fehlende Expertise als Ursache. Unbekannte Sicherheitslücken wurden von 41,6 Prozent als Grund genannt, fehlende Schutzmaßnahmen von 41 Prozent. Im Durchschnitt identifizierten die Unternehmen drei interne Faktoren, die zum Angriff beitrugen.
• Mehr als die Hälfte der Fertigungsunternehmenzahlte Lösegeld: 51 Prozent der betroffenen Unternehmen zahlten das geforderte Lösegeld. Der mediane Lösegeldbetrag lag bei 861.111 Euro, verglichen mit einer Forderung von median 1,03 Millionen Euro.
• Wiederherstellung wird günstiger und schneller: Die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff – ohne Lösegeld – sanken um 24 Prozent auf 1,12 Millionen Euro. 58 Prozent der Hersteller waren innerhalb einer Woche vollständig wiederhergestellt (Vorjahr: 44 Prozent).
• Ransomware belastet IT- und Sicherheitsteams: 47 Prozent der Fertigungsunternehmen berichteten von erhöhtem Stress im Team nach einer Datenverschlüsselung. 44 Prozent erleben steigenden Druck von Führungskräften und 27 Prozent bestätigten einen Führungswechsel infolge des Angriffs.

„Die Produktions- und Fertigungsindustrie ist in hohem Grad auf vernetzte Systeme angewiesen, bei denen selbst kurze Ausfallzeiten den Betrieb stoppen und Lieferketten beeinträchtigen können“, sagt Michael Veit, Sicherheitsexperte bei Sophos. „Die Cyberkriminellen nutzen diese Situation aus. Obwohl die Verschlüsselungsrate im globalen Durchschnitt auf 40 Prozent gefallen ist, lag das mediane, gezahlte Lösegeld weiterhin hoch bei 861.111 Euro. Mehrschichtige Abwehrmechanismen, kontinuierliche Transparenz und regelmäßig geübte Notfallpläne sind entscheidend, um operative Auswirkungen und finanzielle Risiken zu reduzieren.“

Aktuelle Beobachtungen von Sophos X-Opsin der Fertigungsindustrie

In den vergangenen zwölf Monaten hat Sophos X-Ops – eine Task Force, die Unternehmen ein fundiertes Fachwissen über die gesamte Angriffsumgebung bietet – die Ransomware-Aktivität auf Leak-Seiten analysiert. Dabei haben die Experten festgestellt, dass 99 unterschiedliche Bedrohungsgruppen maßgeblich für die Attacken auf Fertigungsunternehmen verantwortlich sind. Zu den prominentesten Gruppen zählen GOLD SAHARA (Akira), GOLD FEATHER (Qilin) sowie GOLD ENCORE (PLAY). Die Ergebnisse der Fälle, bei denen die schnelle Eingreiftruppe Sophos Emergency Incident Response hinzugezogen wurde, zeigen, dass bei mehr als der Hälfte der Angriffe Daten gestohlen und verschlüsselt wurden. Dies ist ein klarer Hinweis darauf, dass die Cyberkriminellen weiterhin auf Double-Extortion-Taktiken setzen.

Was Produktionsunternehmen jetzt für mehr Resilienz beachten sollten

Sophos empfiehlt vier grundlegende Best Practices, um die Cybersicherheit im Unternehmen zu erhöhen:

• Ursachen beseitigen: Die Unternehmen sollten technische und operative Schwachstellen – etwa ausgenutzte Sicherheitslücken – umgehend adressieren. Lösungen wie Sophos Managed Risk unterstützen dabei, die eigene Angriffsfläche zu bewerten sowie Risiken zu erkennen und zu reduzieren.
• Alle Endpunkte absichern: Alle Endgeräte, einschließlich Server, benötigen spezielle Anti-Ransomware-Funktionen, um Angriffe frühzeitig zu stoppen.
• Planung und Vorbereitung: Unternehmen sollten einen umfassenden Incident-Response-Plan etablieren und regelmäßig testen. Neben den Abwehrmaßnahmen sind zuverlässige Backups sowie das routinemäßige Üben der Datenwiederherstellung entscheidend, um Ausfallzeiten zu minimieren.
• Rund-um-die-Uhr-Überwachung: Kontinuierliche Sichtbarkeit ist unverzichtbar. Unternehmen ohne eigene Ressourcen profitieren von der Zusammenarbeit mit einem vertrauenswürdigen Managed Detection and Response (MDR)-Anbieter, der die 24/7-Überwachung garantiert und die nötige Reaktion durch Experten einleitet und begleitet.

Die vollständige Studie Sophos State of Ransomware in Manufacturing and Production 2025 steht hier zum Download bereit.

Über die Studie:

Die jährlich und global durchgeführte Studie basiert auf einer unabhängigen Befragung von 332 Fertigungsunternehmen, die im vergangenen Jahr von Ransomware betroffen waren.

Über Sophos Technology GmbH: Sophos ist ein führender Anbieter im Bereich Cybersicherheit und schützt weltweit über 600.000 Unternehmen und Organisationen mit einer KI-gestützten Plattform und von Experten bereitgestellten Services. Sophos unterstützt Unternehmen und Organisationen unabhängig von ihrem aktuellen Sicherheitsniveau und entwickelt sich mit ihnen weiter, um Cyberangriffe erfolgreich abzuwehren. Die Lösungen von Sophos kombinieren maschinelles Lernen, Automatisierung und Echtzeit-Bedrohungsinformationen mit der menschlichen Expertise der Sophos X-Ops. So entsteht modernster Schutz mit einer 24/7 aktiven Erkennung, Analyse und Abwehr von Bedrohungen. Das Sophos-Portfolio beinhaltet branchenführende Managed Detection and Response Services (MDR) sowie umfassende Cybersecurity-Technologien – darunter Schutz für Endpoints, Netzwerke, E-Mails und Cloud-Umgebungen, XDR (Extended Detection and Response), ITDR (Identity Threat Detection and Response) und Next-Gen-SIEM. Ergänzt wird das Angebot durch Beratungs-Services, die Unternehmen und Organisationen helfen, Risiken proaktiv zu reduzieren und schneller zu reagieren – mit umfassender Transparenz und Skalierbarkeit, um Bedrohungen immer einen Schritt voraus zu sein. Der Vertrieb der Sophos-Lösungen erfolgt über ein globales Partner-Netzwerk, das Managed Service Provider (MSPs), Managed Security Service Provider (MSSPs), Reseller und Distributoren, Marketplace-Integrationen und Cyber Risk Partner umfasst. So können Unternehmen und Organisationen flexibel auf vertrauensvolle Partnerschaften setzen, wenn es um die Sicherheit ihres Geschäfts geht. Der Hauptsitz von Sophos befindet sich in Oxford, Großbritannien. Weitere Informationen finden Sie unter www.sophos.de.