Dieser Report bündelt die wesentlichen Daten und Rechtsgrundlagen, die Geschäftsleitungen und Krisenstäbe vor einer Zahlungsentscheidung kennen müssen. Er greift auf öffentlich verfügbare Branchenauswertungen (Coveware, Chainalysis, BSI Lagebericht) zurück, ergänzt um die juristische Bewertung aus der Beratungspraxis. Bandbreiten und Schätzungen sind als solche gekennzeichnet; harte Quoten sind nur dort angegeben, wo eine belastbare Auswertung vorliegt.
1. Die Forderungslage 2024/2025
Die durchschnittliche Lösegeldforderung professionalisierter Ransomware-Gruppen ist in den vergangenen Jahren stark gestiegen. Coveware berichtet für das zweite Quartal 2024 eine durchschnittliche Zahlung von 391.015 US-Dollar bei einem Median von 170.000 US-Dollar; Chainalysis ordnet 2024 die gesamte über Krypto-Wallets verfolgte Lösegeldsumme bei etwa 813 Mio. US-Dollar ein, deutlich unter dem Rekordwert von 2023 (rund 1,25 Mrd. US-Dollar). Der Rückgang ist nach Brancheneinschätzung kein Erfolg der Strafverfolgung allein, sondern auch Folge besserer Verhandlung, strengerer Versicherer-Auflagen und höherer Skepsis gegenüber Zahlungen.
| Unternehmensgröße | Typische Erstforderung | Verhandelter Endbetrag (Bandbreite) |
|---|---|---|
| Klein (bis 50 MA) | 50.000 — 250.000 EUR | 10.000 — 80.000 EUR |
| Mittel (50 — 500 MA) | 250.000 — 2.500.000 EUR | 75.000 — 800.000 EUR |
| Groß (über 500 MA) | 1.000.000 — 50.000.000 EUR | 500.000 — 15.000.000 EUR |
Quelle: eigene Beratungspraxis, Brancheneinschätzung Coveware Q2 2024 und Chainalysis Crypto Crime Report 2025. Stand: Juni 2026. Bandbreiten — keine Garantie für den Einzelfall.
2. Die Zahlungsquote sinkt
Coveware berichtet, dass im zweiten Quartal 2024 nur noch rund 36 Prozent der betroffenen Unternehmen Lösegeld zahlten — ein historischer Tiefstand und ein deutlicher Rückgang gegenüber Werten um 70 bis 80 Prozent in den Jahren 2019/2020. Die juristische Lesart dieses Trends ist klar: Sorgfältig vorbereitete Unternehmen mit funktionierenden Backups, geübtem Krisenmanagement und einer rechtlich fundierten Verhandlungslinie können in der überwiegenden Mehrheit der Fälle ohne Zahlung wiederherstellen.
3. Was eine Zahlung tatsächlich bringt — und was nicht
Eine Zahlung beendet einen Ransomware-Vorfall nicht. Sie löst im besten Fall die Verschlüsselung — und das auch nur in einem Teil der Fälle vollständig. Sicherheitsforscher berichten regelmäßig, dass ein nicht unerheblicher Anteil zahlender Opfer entweder keinen funktionsfähigen Entschlüsseler erhält, dass die Entschlüsselung Tage dauert oder dass Daten teilweise unbrauchbar zurückkommen. Daneben verbleiben die zuvor abgeflossenen Daten in der Hand der Täter und werden in einem Teil der Fälle trotz Zahlung veröffentlicht oder ein zweites Mal als Druckmittel eingesetzt (Double Extortion).
| Aspekt | Was die Zahlung erreicht |
|---|---|
| Funktionsfähiger Entschlüsseler | in der Mehrzahl der Fälle ja, vollständig nutzbar in einer Bandbreite von 60 bis 90 Prozent (Coveware, Sophos). |
| Tatsächliche Wiederherstellungszeit | Entschlüsselung ist langsamer als Restore aus sauberen Backups, oft Tage bis Wochen. |
| Löschung der erbeuteten Daten | nicht überprüfbar, keine Garantie. Veröffentlichungen trotz Zahlung sind dokumentiert. |
| Sicherheit vor erneutem Angriff | nein. Wiederholungsangriffe innerhalb von 12 Monaten sind dokumentiert. |
| Erfüllung der DSGVO-Pflichten | keine — die Meldepflicht nach Art. 33 DSGVO bleibt unberührt. |
Quelle: Auswertung Coveware Q2 2024, Sophos State of Ransomware 2024, Beratungspraxis. Stand: Juni 2026.
4. Strafrechtliche Bewertung einer Zahlung
Eine pauschale Strafbarkeit der Zahlung gibt es nicht. Im Einzelfall können aber folgende Tatbestände greifen: § 129 StGB (Unterstützung einer kriminellen Vereinigung), § 261 StGB (Geldwäsche) und § 266 StGB (Untreue, soweit die Zahlung ohne Berechtigung aus dem Gesellschaftsvermögen erfolgt). Vertiefend siehe den Beitrag Lösegeld bei Ransomware zahlen: Ist das strafbar?.
5. Sanktionsrecht: der zentrale Stolperstein
Der wichtigste sanktionsrechtliche Rahmen ist die EU-Verordnung 269/2014 und die EU-Verordnung 833/2014, ergänzt durch nationale und transatlantische Sanktionslisten (u. a. OFAC SDN-Liste der USA). Eine Zahlung an einen in einer dieser Listen geführten Akteur ist verboten und kann mit Freiheits- und Geldstrafe bedroht sein. Mehrere Ransomware-Gruppen — darunter Conti, LockBit-Akteure und Evil Corp — wurden in den vergangenen Jahren auf Sanktionslisten gesetzt. Vor jeder Zahlung gehört eine sanktionsrechtliche Prüfung in den Krisenstab; sie kann nicht im Nachhinein nachgeholt werden.
| Prüfschritt | Konkret zu prüfen |
|---|---|
| Gruppen-Attribution | forensische Zuordnung der Tätergruppe (z. B. LockBit, Black Basta, Akira) durch Forensikdienstleister. |
| EU-Listenabgleich | Konsolidierte EU-Sanktionsliste, Bundesbank-Sanktionsabfrage. |
| OFAC-Listenabgleich | OFAC SDN-Liste, relevant bei US-Dollar-Zahlungen und US-Bezug der Konzernstruktur. |
| Wallet-Prüfung | Krypto-Adressen gegen Sanktions-Datenbanken (Chainalysis, TRM Labs) prüfen lassen. |
| Dokumentation | jeder Prüfschritt wird zeitlich und inhaltlich dokumentiert; das schützt die Geschäftsleitung im Nachgang. |
Quelle: EU-VO 269/2014, EU-VO 833/2014, OFAC Advisory zu Ransomware-Zahlungen (Updated 2021), Beratungspraxis. Stand: Juni 2026.
6. Versicherungsdeckung: keine Selbstverständlichkeit mehr
Cyberpolicen haben sich in den vergangenen Jahren deutlich verschärft. Eine Lösegelddeckung ist heute regelmäßig an Vorbedingungen geknüpft: vorherige Zustimmung des Versicherers, sanktionsrechtliche Prüfung, Einbindung eines vorgegebenen Verhandlers und Zahlung über einen zugelassenen Krypto-Zahlungsdienstleister. Eigenmächtige Zahlungen sind nicht gedeckt. Daneben schließen viele Policen Cyberkriegsrisiken und staatlich gelenkte Angriffe über eine sog. War-Exclusion aus — eine Entwicklung, die nach dem Lloyd's-Bulletin LMA 5564/5565 (2022/2023) den europäischen Markt erfasst hat. Vertiefend siehe Cyberversicherung und Ransomware.
7. Geschäftsführerhaftung: die unterschätzte Dimension
Die Entscheidung über eine Lösegeldzahlung ist eine unternehmerische Entscheidung im Sinne der Business Judgement Rule (§ 93 Abs. 1 Satz 2 AktG, § 43 GmbHG analog). Sie ist nur dann haftungsfrei, wenn sie auf angemessener Informationsgrundlage, frei von Interessenkonflikten und im Unternehmenswohl getroffen wurde. Eine Zahlung ohne sanktionsrechtliche Prüfung, ohne forensische Lagebewertung und ohne Versicherungsabstimmung erfüllt diese Voraussetzungen regelmäßig nicht. Die Folge ist eine persönliche Innenhaftung der Geschäftsleitung gegenüber der Gesellschaft. NIS2 verstärkt diese Dimension durch die persönliche Verantwortung nach § 38 BSIG.
8. Empfehlung: Zahlungsentscheidung als Prozess, nicht als Reflex
Aus der Beratungspraxis lässt sich ein klares Muster ableiten: Unternehmen, die vor dem Vorfall einen strukturierten Zahlungsentscheidungs-Prozess definiert haben — wer entscheidet, auf welcher Datengrundlage, nach welcher Prüfung — kommen in der Krise besser durch und stehen rechtlich besser da, unabhängig davon, ob die Zahlungsentscheidung am Ende mit Ja oder Nein endet. Wer den Prozess erst im Krisenstab improvisiert, läuft Gefahr, in sanktionsrechtliche, strafrechtliche und haftungsrechtliche Fallen zu geraten, die im Nachhinein nicht mehr zu korrigieren sind.
Zitierhinweis
Empfohlene Zitation: Kolb Blickhan Partner Rechtsanwälte, Ransomware-Lösegeld-Report 2026, Stand Juni 2026, abrufbar unterhttps://cyberangriff-soforthilfe.de/ratgeber/ransomware-loesegeld-report-2026. Bei Übernahme einzelner Zahlen bitte die jeweils angegebene Originalquelle (Coveware, Chainalysis, Sophos, EU/OFAC) mitzitieren.
Häufige Fragen
- Ist die Zahlung von Lösegeld in Deutschland erlaubt?
- Es gibt kein generelles Verbot. Eine Zahlung kann aber im Einzelfall Tatbestände wie die Unterstützung einer kriminellen Vereinigung (§ 129 StGB), die Geldwäsche (§ 261 StGB) oder Verstöße gegen Sanktionsrecht (insbesondere die EU-Verordnungen 269/2014 und 833/2014) berühren. Vor jeder Zahlung ist eine sanktionsrechtliche Prüfung dringend erforderlich.
- Wie hoch sind Lösegeldforderungen 2026 typischerweise?
- Die Forderungen werden individuell auf das Opfer zugeschnitten und reichen bei mittelständischen Zielen typischerweise von sechs- bis siebenstelligen Beträgen, bei Großunternehmen von acht- bis neunstelligen Beträgen. Sicherheitsforscher (Coveware, Chainalysis) berichten für 2024/2025 von steigenden Durchschnittsforderungen bei sinkender Zahlungsquote.
- Wenn wir zahlen — bekommen wir die Daten zurück?
- Nicht zuverlässig. Sicherheitsforscher berichten regelmäßig, dass ein Teil der zahlenden Opfer entweder keinen funktionierenden Entschlüsseler erhält oder dass die Entschlüsselung nur teilweise gelingt. Selbst bei erfolgreicher Entschlüsselung verbleiben die zuvor abgeflossenen Daten in der Hand der Täter und werden in einem Teil der Fälle trotz Zahlung veröffentlicht.
- Sind Lösegeldzahlungen über die Cyberversicherung gedeckt?
- Viele Policen sehen eine Erpressungsschadendeckung vor, knüpfen sie aber an Bedingungen: vorherige Zustimmung des Versicherers, Prüfung der Sanktionslisten, Einbindung eines vorgegebenen Verhandlers und eines zugelassenen Krypto-Zahlungsdienstleisters. Eigenmächtige Zahlungen sind regelmäßig nicht gedeckt.
- Wer haftet, wenn die Geschäftsführung zahlt und der Versicherer nicht erstattet?
- Die Geschäftsführung trägt das Risiko persönlich. Eine Zahlung ohne saubere rechtliche und versicherungstechnische Vorbereitung kann als Sorgfaltspflichtverletzung gewertet werden und Innenhaftung nach § 43 GmbHG bzw. § 93 AktG auslösen.
- Sind staatlich gelenkte Angreifer ein Sonderfall?
- Ja. Angriffe mit staatlichem Hintergrund (insbesondere aus Russland, Nordkorea, Iran) berühren regelmäßig Sanktionsrecht. Eine Zahlung an sanktionierte Akteure ist nach EU-Verordnung 269/2014 verboten und kann strafrechtliche Konsequenzen haben. Viele Cyberpolicen schließen zudem staatlich gelenkte Angriffe über eine War-Exclusion aus.
Akut betroffen? Unsere 24/7-Notfallnummer für Unternehmen: +49 171 5160827. Ergänzend können Sie über die Kontaktseite eine strukturierte Anfrage stellen.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
